RAin Mag. Melanie Gassler-Tischlinger, LL.M. und RA Dr. Georg Huber, LL.M. befassen sich in einem Beitrag für „Aspekte“, dem Magazin der Deutschen Handelskammer in Österreich, mit dem Thema „Ein Jahr DSGVO – Lessons Learned .
PDF Download „1 Jahr DSGVO“ (Aspekte)
Ein Jahr Datenschutzgrundverordnung – Lessons Learned
Am 25. Mai 2018 trat die EU-Datenschutzgrundverordnung (DSGVO) in Geltung. Sie enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten. EU-Datenschutz-Regelungen gibt es zwar schon seit 1995, die DSGVO brachte jedoch eine Änderung des bisherigen Regimes: der Datenschutz wurde in die Hände der Unternehmen gelegt.
Die meisten Unternehmen haben sich bereits vor dem 25. Mai 2018 mit der Umsetzung der DSGVO beschäftigt. Was wird bei uns gespeichert, warum und wo? Wer hat Zugang zu Daten? Was ist zu löschen und wann? Welcher Rechtfertigungsgrund ist die Grundlage für eine Datenverarbeitung?
Die verhältnismäßig komplexe und teilweise mit hohem Aufwand verbundene Umsetzung erforderte in manchen Unternehmen erhebliche Ressourcen in der Vorbereitung. „Der Countdown läuft“, hieß es. Von „Millionenstrafen“ war die Rede.
Seither ist etwas über ein Jahr vergangen. Waren die Prognosen und Warnungen zutreffend? Und vor allem: wie hoch waren die bisher verhängten Strafen?
Die DSGVO in den Medien
Eine der ersten DSGVO-Kuriositäten stammt aus Wien. Ein Mieter beschwerte sich bei „Wiener Wohnen“ darüber, dass sein Name auf dem Klingelschild stand. Obwohl es sich wohl weder um eine automatisierte Verarbeitung noch eine Speicherung in einem Dateiensystem gehandelt haben dürfte, entschied sich Wiener Wohnen dazu, alle Klingelschilder der 220.000 Wohnungen gegen Top-Nummern auszutauschen. Jedem Mieter steht es nunmehr frei, den eigenen Namen anzubringen. Eine einfache und kostengünstige Methode, Konflikte zu vermeiden.
Wie sich Anfang 2019 herausstellte, hatte die Österreichische Post in großem Umfang mit Kundendaten gehandelt. Namen, Adressen, Geschlecht etc. wurden mit Parametern wie zB Parteiaffinität verbunden und weiterverkauft. Die Post argumentierte, dass auch Datenhändler so agieren und es sich um statistische Hochrechnungen handle. Die österreichische Datenschutzbehörde (DSB) stellte jedoch fest, dass die Daten zur Parteiaffinität nicht hätten verarbeitet werden dürfen.
Verfahren zu Betroffenenrechten
Eine der ersten Entscheidungen der DSB betraf einen Kandidaten, der im Anschluss an eine Online-Stellenbewerbung die Löschung seiner Daten beantragte. Die DSB entschied, dass die Speicherung für 6+1 Monat zulässig sei, weil der Kandidat unter Umständen innerhalb der Frist von sechs Monaten Ansprüche nach dem Gleichbehandlungsgesetz einklagen könnte.
Ein ehemaliger Arbeitnehmer verlangte die Löschung seiner Krankenstandstage. Die DSB entschied, dass es rechtliche Aufbewahrungsfristen gibt, die in diesem Fall einer Löschung entgegenstehen.
Ein Betroffener begehrte Informationen zu Überweisungen, die über e-banking nicht mehr verfügbar waren. Die Bank verlangte dafür EUR 20,-. Die DSB entschied, dass die DSGVO das Recht auf unentgeltliche Auskunft vorsieht und die Bank daher kein Recht auf Kostenersatz hat. Diese Entscheidung ist sehr umstritten.
Das Landesarbeitsgericht Baden-Württemberg stellte fest, dass ein Mitarbeiter das Recht hat, eine Kopie auch seiner nicht im Personalakt gespeicherten personenbezogenen Leistungs- und Verhaltensdaten zu erhalten.
Ein Arzt verlangte die Löschung seines Profils sowie der