DSGVO: Checkliste für die Datenschutz-Praxis
 

DSGVO: Checkliste für die Datenschutz-Praxis

psdesign1/stock.adobe.com/Baker & McKenzie/Foto Wilke/LGP
Die DSGVO-Experten: Lukas Feiler, Rechtsanwalt bei Baker & McKenzie, DMVÖ- Präsident Anton Jenzer, sowie Amra Bajraktarevic, Gerald Ganzger und Petr Kudelka von der Kanzlei Lansky, Ganzger + partner Rechtsanwälte (LGP).
Die DSGVO-Experten: Lukas Feiler, Rechtsanwalt bei Baker & McKenzie, DMVÖ- Präsident Anton Jenzer, sowie Amra Bajraktarevic, Gerald Ganzger und Petr Kudelka von der Kanzlei Lansky, Ganzger + partner Rechtsanwälte (LGP).

Die DSGVO-Deadline naht, für viele gibt es immer noch ungelöste Aufgaben. Eine Liste mit den zehn wichtigsten Fragen in Sachen Datenschutz – und die Antworten von Rechtsexperten darauf.

Dieser Artikel ist zuerst in Ausgabe Nr. 16/2018 des HORIZONT erschienen. Noch kein Abo? Hier klicken!

Ab 25. Mai muss sich jedes Unternehmen an die EU-Datenschutz- Grundverordnung (DSGVO) halten, für viele Branchenvertreter gibt es aber noch ungelöste Fragen. Die wichtigsten werden gegenüber HORIZONT beantwortet von Lukas Feiler, Rechtsanwalt bei Baker & McKenzie, DMVÖ- Präsident Anton Jenzer sowie Gerald Ganzger, Amra Bajraktarevic und Petr Kudelka von der Kanzlei Lansky, Ganzger + partner Rechtsanwälte (LGP).

1. Welche Unterschiede gibt es in der Anwendung der DSGVO zwischen Deutschland und Österreich?

Als europäische Verordnung ist die DSGVO sowohl in Österreich als auch in Deutschland unmittelbar anwendbar. Die DSGVO enthält jedoch Öffnungsklauseln, die dem nationalen Gesetzgeber Anpassungen erlauben, wie zum Beispiel Art 8 Abs 1 (Festlegung der Altersgrenze bei der Einwilligung des Kindes in Dienste der Informationsgesellschaft) und Art 9 Abs 2 lit a (die Einwilligung in die Verarbeitung besonderer Kategorien personenbezogener Daten ist stets auch nach nationalem Recht zu prüfen). „Bei der Beurteilung der Unterschiede in der Anwendbarkeit der DSGVO zwischen Österreich und Deutschland kommt es daher darauf an, ob und wie beide Staaten die Öffnungsklauseln genutzt haben, um spezifische nationale Regelungen zu erlassen“, heißt es dazu von Bajraktarevic. Unterschiede gebe es etwa beim Datenschutzbeauftragten, wie Feiler ausführt: „Für den Datenschutzbeauftragten gilt, dass dieser in Österreich nur in den wenigen, in der DSGVO genannten Fällen erforderlich ist“. Dabei handele es sich im wirtschaftlichen Bereich vor allem um Firmen, bei denen Datensammlung und -verwertung der vordringliche Unternehmenszweck ist. In Deutschland hingegen „ist die Bestellung eines Datenschutzbeauftragten bereits dann erforderlich, wenn zumindest zehn Mitarbeiter in die Datenverarbeitung involviert sind“, erinnert Feiler. Hinsichtlich des Arbeitnehmerdatenschutzrechts gelte auch weiterhin primär nationales Recht, sagt Feiler: Daher ist insbesondere die Frage, ob eine Betriebsvereinbarung erforderlich ist oder nicht, in Österreich und Deutschland sehr unterschiedlich zu beantworten.

2. Welches Recht kommt bei Unternehmen mit internationaler Eigentümerstruktur zur Anwendung?

Die Markteilnahme entscheide, nicht der Sitz des Unternehmens, betont Jenzer: Die EU-DSVO gilt für alle Unternehmen, die innerhalb der EU tätig sind.

Das bestätigt man auch bei Ganzger: Die DSGVO gelte, wenn Verantwortliche oder Auftragsverarbeiter ohne EU-Niederlassung hier Waren oder Dienstleistungen entgeltlich oder unentgeltlich anbieten. Dies gelte auch für jene Verantwortliche oder Auftragsverarbeiter, die das Verhalten von betroffenen Personen in der Europäischen Union beobachten, wie beispielsweise sogenannte Online- Advertising-Networks. Facebook und andere Plattformen etwa fallen durch ihre europäischen Niederlassungen ohnehin nicht unter diese Norm.

3. Wie streng hat Österreich die Öffnungsklauseln im Vergleich zu anderen Staaten ausgelegt?

Entgegen der Wahrnehmung von betroffenen Unternehmen heißt es von Petr Kudelka, dass der österreichische Gesetzgeber die Öffnungsklauseln weniger aktiv genutzt habe als andere Mitgliedsstaaten. Man habe sich im Wesentlichen darauf beschränkt, nur Minimalerfordernisse festzulegen und die bestehenden Rechtsetzungsbefugnisse nicht ausgeschöpft.

Laut Feiler habe man in zwei für die Praxis wichtigen Punkten aber sehr wohl eine Sonderregelung getroffen: Erstens könnten Kinder bereits ab einem Alter von 14 und nicht erst ab 16 Jahren in die Verarbeitung ihrer Daten einwilligen, zweitens habe der österreichische Gesetzgeber ausdrücklich für Datenschutzvereine, wie jene von Max Schrems, die Möglichkeit eröffnet, auch Schadenersatzansprüche von Betroffenen geltend zu machen.

4. Wann müssen Daten gelöscht werden und was ist dabei zu beachten?

„Daten müssen gelöscht werden, sobald sie nicht mehr für den Verarbeitungszweck erforderlich sind“, sagt Feiler: „Werden beispielsweise die Daten aufbewahrt, um gesetzliche Speicherpflichten zu erfüllen, so sind die Daten zu löschen, sobald diese Speicherpflicht endet, zum Beispiel bei Daten aus der Lohnverrechnung nach sieben Jahren.“ Ähnliches gelte etwa bei Compliance-Normen. Zu beachten sei überdies, dass Daten, die in Backups gespeichert sind, nicht gelöscht werden müssen. Jenzer betont zudem, dass jeder Betroffene das Recht auf Datenlöschung habe und dass für die Aufforderung zur Löschung keine Begründung nötig sei. Allerdings, so Jenzer: Kein Löschungsrecht besteht, wenn dieser Forderung überwiegend berechtigte Interessen von Unternehmen – zum Beispiel offene Rechnungen und Mahnungen, Aufbewahrungspflichten von Finanzunterlagen oder Dienstzeugniskopien – oder von staatlichen Stellen oder Behörden – zum Beispiel strafrechtliche Verurteilungen – entgegenstehen. Die Löschung der Daten habe „tatsächlich“ im Sinne einer Vernichtung zu erfolgen, heißt es ergänzend von Ganzger: Ein bloßes „markieren“ oder „kennzeichnen“ reiche nicht. Der Verantwortliche müsse dabei auch insofern aktiv werden, als die zu löschenden personenbezogenen Daten aus allen Speicherorten zu entfernen sind, wie beispielsweise auch aus E-Mail Postfächern, Backups und externen Festplatten. Die rechtskonforme Löschung personenbezogener Daten ist zudem zu dokumentieren. Für größere Unternehmen empfiehlt sich den Experten von LGP zufolge die Erstellung eines eigenen Löschkonzepts. Das Deutsche Institut für Normung hat dazu mit der DIN 66398 eine effiziente Vorgehensweise mit klaren Regeln und Zuständigkeiten entwickelt.

5. Dürfen Daten an anderer Stelle gespeichert oder haptisch abgelegt werden?

Gemäß Art 32 habe laut Kudelka der Verantwortliche oder Auftragsverarbeiter bei der Verarbeitung personenbezogener Daten technische und organisatorische Maßnahmen zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten: Dazu zählen die Speicherung und das physische Ablegen von Dokumenten, wenn diese personenbezogene Daten beinhalten. Dabei seien der Stand der Technik, Implementierungskosten, der Umfang, die Umstände und Zwecke der Datenverarbeitung sowie Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen. Laut Jenzer dürfen Daten in verschiedenen Systemen gespeichert und in Archiven abgelegt werden – im Falle eines Löschbegehrens müssen die Daten aber aus allen Systemen, Backups und Archiven gelöscht werden.

6. Wie gestaltet sich das Spannungsfeld zwischen DSGVO und Redaktionsgeheimnis?

„Das Redaktionsgeheimnis geht der DSGVO vor“, unterstreicht Feiler: Die DSGVO gestattet es den Mitgliedstaaten, durch gesetzliche Regelungen die Betroffenenrechte, wie insbesondere das Recht auf Auskunft, einzuschränken. Eine solche Einschränkung stelle das Redaktionsgeheimnis dar, welches im Mediengesetz ausdrücklich verankert ist. Informationen, die dem Redaktionsgeheimnis unterliegen, müssen daher nicht gegenüber Betroffenen beauskunftet werden. Allerdings: § 22 des österreichischen Datenschutz-Anpassungsgesetzes 2018 sieht für die Datenschutzbehörde relativ weitreichende Befugnisse vor, heißt es von LGP: Teilweise handle es sich um „polizeiartige“ Kompetenzen, wie das Recht zur Betretung von Räumen, der Inbetriebsetzung von Datenverarbeitungsanlagen oder zur Anfertigung von Kopien von Datenträgern. Dieses könne mit dem Schutz des Redaktionsgeheimnisses, laut dem Medieninhaber, Herausgeber und Medienmitarbeiter das Recht haben, in einem Strafverfahren als Zeugen die Beantwortung entsprechender Fragen zu verweigern, in Konflikt geraten. Auch der in Artikel 10 EMRK normierte Schutz journalistischer Quellen könnte durch die behördlichen Kompetenzen der Datenschutzbehörde verletzt werden. Es werde also notwendig sein, diese Befugnisse dort einzuschränken, wo sonst eine Verletzung des Redaktionsgeheimnisses drohen würde, heißt es von Kudelka – entweder in der behördlichen Praxis oder sonst allenfalls durch den Gesetzgeber.

7. Was müssen PR-Agenturen bei der (Kalt-)Ansprache von Journalisten beachten?

Auch Journalisten fallen unter den Schutz der DSGVO. Die Verarbeitung ihrer Daten benötige grundsätzlich ebenso eine entsprechende Rechtsgrundlage, wie auch jede andere Verarbeitung personenbezogener Daten, heißt es von Kudelka: Im Berufsleben lässt sich jedoch argumentieren, dass es sich bei einer öffentlich kundgemachten beruflichen E-Mail-Adresse eines Journalisten um eine schlüssige Einwilligung zur Kontaktaufnahme handelt. Da die DSGVO auch die Erwartungshaltung der betroffenen Person ins Zentrum stellt und die beabsichtigte Verarbeitung für Betroffene daher vorhersehbar sein muss, müssen sich die Zwecke der Kontaktaufnahme mit den vermuteten Zwecken, für welche die Daten veröffentlicht wurden, decken. Die Nutzung privater Kontaktangaben wäre daher als Datenschutzverstoß zu werten. Wenn ein Journalist mitteilt, nicht mehr kontaktiert werden zu wollen, so ist das zu respektieren, fügt Feiler hinzu: Eine Rechtsgrundlage für die Datenverarbeitung wegen eines überwiegenden berechtigten Interesses gibt es in diesem Fall nicht.

8. Wie holt man die Einwilligung von Lesern ein, die man auf elektronischem Weg nicht erreicht?

Es bleiben offline nur der persönliche Kontakt – zum Beispiel auf Messen und Event oder an der Haustür – oder die postalische Ansprache, sagt Jenzer. Die Zusendung eines Briefes zu Zwecken der Direktwerbung ist laut Feiler zulässig, sofern der Empfänger dem nicht vorab widersprochen hat. Jedenfalls erfordere die Einwilligung laut Bajraktarevic grundsätzlich eine aktive, bestätigende Handlung: Bloße Untätigkeit kann in der Regel nicht als Einwilligung verstanden werden.

9. Wer erhält die Klagesumme bei einem Verstoß gegen die DSGVO?

Klagt ein Betroffener Schadenersatz ein, so erhalte er diesen selbst, wenn er den Prozess gewinnt, sagt Feiler: Verhängt hingegen die Datenschutzbehörde eine Geldbuße, so fließt diese ins Bundesbudget.

10. Wie sollen Medien und Marketingabteilungen mit Newsletterabonnenten vorgehen?

Der Newsletterversand ist grundsätzlich eine Verarbeitung von Daten, die aufgrund einer Einwilligung oder aber aufgrund von berechtigten Interessen des Unternehmers rechtmäßig sein kann. Während der Versand eines Newsletters im postalischen Wege als berechtigtes Interesse geschützt sein könne, sei bei E-Mail-Newslettern zusätzlich der Tatbestand der „unerbetenen Nachrichten“ des § 107 TKG zu beachten, sagt Bajraktarevic: Dieser erfordert für die Zusendung von Mails grundsätzlich eine Zustimmung – es sei denn, der Newsletter wird an eigene Kunden verschickt. Bei dieser Ausnahme ist eine vorherige Zustimmung für die Zusendung elektronischer Post dann nicht notwendig, wenn der Absender die Kontaktinformation für die Nachricht im Zusammenhang mit dem Verkauf eines Produktes oder einer Dienstleistung an seine Kunden erhalten hat und diese Nachricht zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen erfolgt und der Empfänger klar die Möglichkeit erhalten hat, eine solche Nutzung der elektronischen Kontaktinformation (erstmalig und bei jeder Übertragung) kostenfrei und problemlos abzulehnen. Nicht verschickt werden darf der Newsletter an Personen auf der „Robinsonliste“. Gilt die Ausnahme nicht, so ist eine Einwilligung nötig. Angesichts des immensen wirtschaftlichen Werts, den derartige E-Mail- Verteiler aber darstellen, rät Feiler Unternehmen allerdings zu einer wirtschaftlichen risikobasierten Analyse, bevor es tatsächlich zur Löschung der E-Mail- Adressen schreitet.

stats