#DP - Ein Jahr EU-Datenschutzgrundverordnung

Am 25. Mai 2019 feierte die EU-Datenschutzgrundverordnung ihren ersten „Geburtstag“. Ein guter Anlass für eine kurze Bestandsaufnahme:

Die Panik vor den Millionenstrafen war unbegründet, hatte jedoch einen gewissen erzieherischen Effekt: Sie veranlasste die Unternehmen sich mit dem Thema Datenschutz ernsthaft zu befassen. Bislang gibt es – soweit ersichtlich – noch kein rechtskräftiges Straferkenntnis der Datenschutzbehörde. Die bislang in Österreich angedrohte höchste Geldbuße beläuft sich auf EUR 4.800,00 und betrifft eine unzulässige Videoüberwachung in einem Wettlokal. Ganz allgemein ist festzustellen, dass sich die Datenschutzbehörde recht häufig mit dem Thema Videoüberwachung zu befassen hat.

Auch die Anzahl der Beschwerden ist signifikant gestiegen. Die gute Nachricht aus unternehmerischer Sicht: Die Mehrzahl der Beschwerden bei der Datenschutzbehörde wurde zurückgewiesen aufgrund von Formalfehlern. Für einen Laien ist es offensichtlich nicht ohne weiteres möglich, eine juristisch korrekte Beschwerde zu formulieren. Im Übrigen behält sich die Datenschutzbehörde die Veröffentlichung von Entscheidungen vor.

Nachfolgend möchte ich ein paar praktische Fragestellungen erläutern:
 
Databreach – ist jede Datenpanne bei der Datenschutzbehörde zu melden oder gar der Betroffene zu unterrichten?
Eine Datenpanne liegt vor, wenn Daten unbefugt oder unabsichtlich offengelegt, verändert oder vernichtet werden oder der Verantwortliche selbst keinen Zugang mehr zu den Daten hat.

Nicht jede Datenpanne löst eine Informationspflicht aus. Wird ein verschlüsselter Datenträger z.B. gestohlen, ist keine Meldung an die Datenschutzbehörde und keine Information des Betroffen erforderlich, solang

• die Daten „state of the art“ verschlüsselt und
• Back-Ups vorhanden sind und der einzige Schlüssel intakt ist.

Eine Verletzung von Gesundheitsdaten und anderen sensible Daten (Art. 9 und Art. 10 DSGVO) löst immer eine Meldepflicht bei der Datenschutzbehörde aus sowie die Benachrichtigungspflicht des Betroffenen.
 
Die rechtskonforme Einwilligung
Die Einwilligung ist eine von mehreren möglichen Rechtsgrundlagen für die Verarbeitung von personenbezogenen Daten. Zu beachten ist, dass sie freiwillig abgegeben wird und der Verantwortliche in transparenter Weise über den Verarbeitungszweck informiert. Freiwilligkeit ist in der Regel gegeben, wenn der Betroffene eine Wahlmöglichkeit hat, beispielsweise, dass sein Foto nicht veröffentlicht wird. Zudem ist immer auf das Recht des jederzeitigen Widerrufs hinzuweisen.

Außerdem ist das Kopplungsverbot beachtlich. D.h. es darf keine Einwilligung verlangt werden, wenn bereits eine andere Rechtsgrundlage (z.B. die Vertragserfüllung) vorliegt.

PRAXISTIPP: Da die Einwilligung jederzeit widerrufen werden kann, ist es ratsam – soweit rechtlich möglich – die Datenverarbeitung auf eine andere Rechtsgrundlage zu stützen (z.B. die berechtigten Interessen oder die Erfüllung einer (vor-)vertraglichen Verpflichtung).
 
Newsletter-Versand – Einwilligung erforderlich?
Grundsätzlich ist der Versand von Newslettern zu Werbezwecken ohne vorherige Einwilligung nicht gestattet. Für die Einholung der Einwilligung sollte das Double-Opt-In Verfahren eingesetzt werden.

Aufgrund der umfassenden Dokumentationspflichten nach der DSGVO haben viele Unternehmen die Einwilligung vor dem 25.05.2018 sicherheitshalber neuerlich eingeholt.

Dies wäre in vielen Fällen gar nicht nötig gewesen wäre. Es gibt nämlich eine wichtige Ausnahme im Telekommunikationsgesetz (§ 107 Abs 3 TKG): Eine Einwilligung für den Versand des Newsletters ist nicht erforderlich, soweit alle nachfolgenden Kriterien erfüllt sind:

1. Adressat ist bestehender Kunde (kein Interessent)
2. Werbung für eigene, gleiche oder ähnliche, Waren/Dienstleistungen
3. Möglichkeit des jederzeitigen Widerrufs („Unsubscribe“)
4. Kunde ist nicht in der Robinsonliste eingetragen

Im zweiten Teil der Serie zur “DSGVO” dreht sich alles rund um das Thema Videoüberwachung.