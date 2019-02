Von den ersten Strafen nach der Datenschutz- Grundverordnung und wie man diese verhindern kann.

Es war ein durchaus turbulentes Jahr: unzählige Einwilligungen, Informationsschreiben oder Einladungen zu datenschutzrechtlichen Schulungen. Kurzum, es war das mit Abstand dominanteste Thema in den Mailboxen. Die Wahl der Datenschutz-Grundverordnung zum "Unwort des Jahres" ist daher durchaus verständlich.

Nach der ersten Hysterie war die eingetretene Ruhe nach dem Sturm ebenso zu erwarten wie das stattfindende Aufkochen durch die ersten Entscheidungen und Strafen. Für Aufruhr sorgte etwa die Geldbuße von 50 Millionen Euro, die die französische Datenschutzbehörde Ende Jänner gegen Google verhängte. Die höchste Geldbuße, die die österreichische Datenschutzbehörde im Jahr 2018 verhängte, liest sich verhältnismäßig gering: Für eine nicht ordnungsgemäße Videoüberwachung wurden 4.800 Euro verhängt.

Warum wurde gestraft und wie kann man das verhindern?

Diese (wie die meisten) Entscheidungen betreffen jene beiden Bereiche, bei welchen die meisten Verstöße zu erwarten waren: die Verletzung der Informationspflichten und die Zulässigkeit der Datenverarbeitung. Interessanterweise handelt es sich dabei um Regelungen, die nicht erst mit der DSGVO eingeführt wurden, sondern teilweise seit mehreren Jahrzehnten gelten. Dennoch zeigt die Praxis (und auch die Entscheidungen), dass noch vielerorts unklar ist, was nun mit den Daten angestellt werden darf - und was nicht.

Daher in aller Kürze: Sollen personenbezogene Daten verarbeitet werden, braucht man dazu einen Rechtfertigungsgrund. Zur Verfügung stehen mehrere, die gängigsten sind: Einwilligung, Notwendigkeit zur Vertragserfüllung und rechtliche Verpflichtung. Dabei ist nur ein Rechtfertigungsgrund notwendig. Müssen Kundenoder Mitarbeiterdaten verarbeitet werden, um Vertragspflichten nachzukommen, ist das zulässig. Eine gesonderte Einwilligung ist dann gar nicht notwendig. Für jene Datenverarbeitungen, die nicht zur Erfüllung eines Vertrages notwendig sind, ist in der Regel eine Einwilligung notwendig. Beispielsweise Newsletter. Ist (sonst) kein Rechtfertigungsgrund vorhanden, können Verantwortliche die Datenverarbeitung durch eine Interessenabwägung rechtfertigen: Sind die Interessen an der Verarbeitung höher als jene der betroffenen Personen, ist die Verarbeitung zulässig. Das Problem: Rechtssicherheit gibt es immer erst im Nachhinein. Für sensible Daten (z. B. Gesundheitsdaten) steht diese Interessenabwägung gar nicht zur Verfügung.

Unabhängig von der Zulässigkeit müssen die betroffenen Personen über Art und Umfang der Datenverarbeitung informiert werden, was üblicherweise mit entsprechenden Datenschutzerklärungen erledigt wird. Wird eine Homepage betrieben, ist ohnehin eine Datenschutzerklärung über die dortigen Datenverarbeitungen zu erstellen (z. B. Analysetools etc.). Diese kann dann auch mit den Datenverarbeitungen des "normalen" Geschäftsbetriebs ergänzt werden, um darauf von verschiedenen Stellen (z. B. Mail-Signatur) verweisen zu können. Somit gelangen die Informationen an die Betroffenen.

Martin Führer ist Rechtsanwalt und Zertifizierter Datenschutzbeauftragter bei www.ulsr.at