„Was seither geschah …“ – oder: Österreichisches Datenschutzrecht seit der DSGVO / DSG (2018)

Neuigkeiten im österreichischen Datenschutzrecht

Diesen Blogbeitrag (samt Erweiterungen zur Spruchpraxis) hier Datenschutzrecht_News_GEISTWERT-Dokument ansehen bzw herunterladen:


 

Groß war die Aufregung über die DSGVO: GEISTWERT hat – zum Teil schon seit der Entwurfsphase der DSGVO – mehr als 30 nationale und internationale DSGVO-Projekte betreut. Acht Monate nach Wirksamwerden der DSGVO und des österreichischen Datenschutz-Anpassungsgesetzes zum DSG ist es Zeit für einen „Reality-Check“, zu Rechtsentwicklungen und Spruchpraxis.

FACEBOOK hat auf die EuGH-Entscheidung zu „Fanpages“ reagiert – siehe am Ende des Beitrags, was GEISTWERT rät.

„Datenschutzgesetz-Novelle 2019“

Die DSGVO umfasst ausschließlich Daten natürlicher Personen. Das DSG schützt hingegen (schon immer) auch personenbezogene Daten von juristischen Personen (siehe auch Entscheidung dazu in Punkt 4.7 unten). Die in der Regierungsvorlage zur „Datenschutzgesetz-Novelle 2019“ noch geplante „Einschränkung“ des Grundrechts (mit Drittwirkung) auf Datenschutz auf natürliche Personen (also ohne juristische Personen) wurde nicht Gesetz.

Mit dem Bundesgesetzblatt I 2019/14 vom 15. Jänner 2019 wurde das DSG wieder geändert. Wichtig ist die mit Aufhebung der Regelungen zum räumlichen Anwendungsbereich des österreichischen Datenschutzgesetzes zum 01.01.2020:

Der § 3 DSG bringt (bis 31.12.2019) ein „rechtssichereres Mehr“ gegenüber der Datenschutz-Grundverordnung (DSGVO): Er schafft eine klare Abgrenzung der nationalen Datenschutzgesetze der EU-Mitgliedsstaaten gegenüber dem österreichischen Datenschutzgesetz, wie folgt:

  • Die Bestimmungen des DSG sind auf die Verwendung von personenbezogenen Daten in Österreich anzuwenden. 
  • Darüber hinaus ist das DSG auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung geschieht.
  • Abweichend davon ist das Recht des Sitzstaates auf eine Datenverarbeitung in Österreich anzuwenden, wenn sie hier zu einem Zweck verwendet/ verarbeitet wird, der keiner in Österreich gelegenen Niederlassung zuzurechnen ist.
  • Weiters ist das DSG nicht anzuwenden, wenn personenbezogene Daten durch Österreich nur durchgeführt werden.

Ab 1.1.2020 wird nicht mehr ausdrücklich geregelt sein, wie die Anwendbarkeit der nationalen Datenschutzgesetze abgegrenzt werden soll. Anders sehen es die Erläuterungen zur Aufhebung des § 3 DSG: „Der räumliche Anwendungsbereich ergibt sich bereits unmittelbar anwendbar aus Art. 3 DSGVO.“ Aus dieser Bestimmung ergibt sich aber gerade keine Abgrenzung des räumlichen Anwendungsbereichs zwischen den nationalen Datenschutzgesetzen der EU-Mitgliedsstaaten.

Österreichische Datenschutzbehörde (DSB) zur Datenschutz-Folgenabschätzung

Art 35 DSGVO normiert, dass der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen hat, wenn eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

Die DSB hat eine Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV) erlassen (Erläuterungen zum Entwurf: https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2018_II_108/BGBLA_2018_II_108.html), in der eine Liste der Arten von Verarbeitungsvorgängen enthalten ist, für die keine Datenschutz-Folgenabschätzung erforderlich ist (https://www.dsb.gv.at/documents/22758/116802/Verordnung_der_Datenschutzbeh%C3%B6rde_%C3%BCber_die_Ausnahmen_von_der_Datenschutz-Folgenabsch%C3%A4tzung_DSFA-AV__Erl%C3%A4uterungen.pdf/83514f8f-592c-438d-9bbb-fa2d0d9e16b9).

Weiters hat die DSB eine Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V) erlassen (https://www.dsb.gv.at/documents/22758/116802/Verordnung+der+Datenschutzbeh%C3%B6rde+%C3%BCber+Verarbeitungsvorg%C3%A4nge,+f%C3%BCr+die+eine+Datenschutz-Folgenabsch%C3%A4tzung+durchzuf%C3%BChren+ist+(DSFA-V).pdf/9e8b41a0-c5a1-4587-a3f7-1412c907f47e). Das ist eine Liste aller Arten von Verarbeitungsvorgängen, für die jedenfalls eine Datenschutz-Folgenabschätzung erforderlich ist (Erläuterungen zum Entwurf: https://www.dsb.gv.at/documents/22758/116802/Erl%C3%A4uterungen+zur+DSFA-V.pdf/f488e164-f4f7-47d8-b218-167e83be1a10).

Zu kritisieren ist dabei, dass der Katalog äußerst unbestimmt und zum Teil praktisch einfach zu weitreichend ist.

Wichtige Spruchpraxis der österreichischen Gerichte und Behörden

Oberster Gerichtshof (OGH) – kein „absolutes Koppelungsverbot“:

An die Beurteilung der „Freiwilligkeit“ einer datenschutzrechtlichen Einwilligung sind strenge Anforderungen zu stellen. Bei der Koppelung (a) der Einwilligung zu einer Verarbeitung (vertragsunabhängiger) personenbezogener Daten mit (b) einem Vertragsabschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen.

GEISTWERT’s Schlussfolgerungen: Es gibt zwar kein „absolutes Koppelungsverbot“, doch muss derjenige, der sich auf die Zulässigkeit der „gekoppelten“ Einwilligung beruft, die besonderen Umstände im Einzelfall darlegen, die für eine (dennoch gegebene) Freiwilligkeit sprechen.

(Entscheidungstext: OGH 31.08.2018, 6 Ob 14018h, https://www.ris.bka.gv.at/Dokument.wxe?Abfrage=Justiz&Dokumentnummer=JJT_20180831_OGH0002_0060OB00140_18H0000_000).

Weitere Besprechungen zu wichtiger Spruchpraxis siehe im angeschlossenen Datenschutzrecht_News_GEISTWERT-Dokument.:

FACEBOOK‘s „Seiten-Insights-Ergänzung bezüglich des Verantwortlichen“

Facebook hat – im Lichte der EuGH-Entscheidung (http://curia.europa.eu/juris/document/document.jsf;jsessionid=C4116B91D2D4C7E1D669F54144467B83?text=&docid=204508&pageIndex=0&doclang=DE&mode=req&dir=&occ=first&part=1&cid=1339249) – eine Ergänzung iSd Art 26 DSGVO veröffentlicht (https://www.facebook.com/legal/terms/page_controller_addendum). Die Ergänzung erklärt Facebook Ireland Limited („Facebook Ireland“) und den Fanpage-Betreiber zu gemeinsam Verantwortlichen für die Verarbeitung von Insights-Daten. Diese Seiten-Insights-Ergänzung legt die jeweiligen Verantwortlichkeiten von Facebook Ireland und dem Betreiber fest. Facebook Ireland stimmt zu, die primäre Verantwortung gemäß DSGVO für die Verarbeitung von Insights-Daten zu übernehmen und sämtliche Pflichten aus der DSGVO im Hinblick auf die Verarbeitung von Insights-Daten zu erfüllen (u. a. Artikel 12 und 13 DSGVO, Artikel 15 bis 22 DSGVO und Artikel 32 bis 34 DSGVO). Darüber hinaus wird Facebook Ireland das Wesentliche dieser Seiten-Insights-Ergänzung den betroffenen Personen zur Verfügung stellen. Facebook Ireland entscheidet nach seinem alleinigen Ermessen, wie es seine Pflichten gemäß dieser Seiten-Insights-Ergänzung erfüllt.

Allerdings verlangt Facebook, dass der Betreiber eine Rechtsgrundlage für die Verarbeitung von Insights-Daten gemäß DSGVO hat und jedwede sonstigen geltenden rechtlichen Pflichten erfüllt.

Diese Seiten-Insights-Ergänzung gewähren dem Betreiber auch kein Recht, die Offenlegung von im Zusammenhang mit Facebook-Produkten verarbeiteten personenbezogenen Daten von Facebook-Nutzern zu verlangen, einschließlich für Seiten-Insights.

Wenn die Seite für irgendeinen geschäftlichen oder gewerblichen Zweck genutzt wird, wird der ausschließliche Gerichtsstand in Irland vereinbart.

Als Reaktion auf diese Ergänzung reichte die Verbraucherzentrale Sachsen eine Klage gegen Facebook ein, da dieses „den Betreibern von Fanpages nicht ermöglicht, ihre Seiten DSGVO-konform zu betreiben. Schließlich könnten Betreiber von Fanpages immer noch nicht nachvollziehen, wie Facebook auf ihren Seiten Daten sammelt bzw. Einfluss auf diese Datensammlung nehmen. Das Problem sei die fehlende Rechtsklarheit für Verbraucher„. Auch nach Ansicht der Berliner Datenschützer reicht die Ergänzung nicht aus, um die Anforderungen des Art 26 DSGVO zu erfüllen: Sie fordert genauere Informationen über die Ausgestaltung der gemeinsamen Verantwortlichkeit und formuliert, um ihren Standpunkt zu unterstreichen, 15 Fragen an Betreiber von Fanpage-Seiten, die diese ohne Hilfe von FB nach derzeitigem Stand nicht beantworten können.

GEISTWERT’s Empfehlung: Fanpage-Betreiber sollten – weil praktisch nichts anderes übrig bleibt – ihre Datenschutzinformationen unter Verweis auf die Ergänzung entsprechend erstellen bzw. ergänzen.