Zum Hauptinhalt springen

Eine Geldstrafe und ein Urteil des Höchstgerichts

Von Petra Tempfer

Recht
Öffentliche Räume dürfen nur gefilmt werden, wenn der damit verfolgte Zweck rechtfertigbar ist.
© Adobe/antiksu

Vor einem halben Jahr trat die Datenschutz-Grundverordnung der EU in Kraft. Entscheidungen werden aber nur sehr selektiv veröffentlicht, kritisiert Anwalt Gernot Fritz.


Wien. Am 25. Mai 2018, also vor fast genau einem halben Jahr, endete die zweijährige Übergangsfrist zur Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, und sie trat in Kraft. Grundsätzlich soll mit dieser der Datenschutz einheitlich und EU-weit gewährleistet werden. Sonst drohen nun höhere Verwaltungsstrafen als bisher: Bis zu 20 Millionen Euro respektive vier Prozent des Konzernumsatzes des vorangegangenen Jahres sind möglich - je nachdem, welche Summe höher ist. Bisher lag die Höchststrafe bei 25.000 Euro.

Die Datenschutzbehörde (DSB), also die nationale Aufsichtsbehörde Österreichs, habe bereits rund zehn Entscheidungen im Rechtsinformationssystem des Bundes (RIS) veröffentlicht, sagte der auf Datenschutzrecht spezialisierte Rechtsanwalt Gernot Fritz von Freshfields Bruckhaus Deringer in Wien bei einem Hintergrundgespräch diese Woche. Zudem gab es sogar schon eine Entscheidung des Obersten Gerichtshofes (OGH) und solche weiterer Gerichte wie Bundesverwaltungsgericht und Europäischer Gerichtshof (EuGH). Insgesamt kommt man laut Fritz auf rund 20 Entscheidungen.

Daten eines abgelehnten Bewerbers

Die rund zehn der DSB seien allerdings bei Weitem nicht alle, denn diese sei bei der Veröffentlichung "sehr selektiv", so Fritz’ Kritik. Gerade bei diesem Thema, das für viele aufgrund unklarer Begriffsauslegungen noch Neuland wäre, wäre eine bessere Kenntnis über die Entscheidungspraxis wünschenswert, sagte er.

Bei einer der vorliegenden Entscheidungen ging es zum Beispiel um die Genehmigung, für Zwecke des Forschungsprojekts "Analyse der Straßenoberfläche und des Straßenraumes" personenbezogene Bilddaten zu ermitteln und auszuwerten (DSB-D202.207/0001-DSB/2018). Der Antragstellerin wurde zwar die Genehmigung erteilt, für Zwecke des Projekts personenbezogene Bilddaten zu ermitteln und auszuwerten, die Bildauflösung sei jedoch so zu wählen, dass "tunlichst weder Kfz-Kennzeichen noch Gesichter der betroffenen Personen erkennbar" seien, so der Spruch. Und: "Die aufgezeichneten Bilddaten sind, sobald sie für das gegenständliche Forschungsprojekt nicht mehr benötigt werden, jedenfalls aber mit Abschluss des Forschungsprojekts, zu löschen." Eine Veröffentlichung der Bilddaten dürfe zudem nur in anonymisierter Form erfolgen.

Ein weiterer Fall beschäftigte sich mit der Frage, wie lange ein Unternehmen die Daten eines abgelehnten Bewerbers aufbewahren darf. Die Entscheidung lautete dahingehend (DSB-D123.085/0003-DSB/2018), dass sechs Monate zuzüglich eines Monats Postlauffrist erlaubt sind -und zwar deshalb, weil die Frist für die Geltendmachung von Schadenersatz dem Gleichbehandlungsgesetz zufolge sechs Monate beträgt. Denn falls der abgelehnte Bewerber am letztmöglichen Tag klagt, kann diese Klage nicht sofort zugestellt werden - das Unternehmen braucht dafür jedoch dessen Daten.

Bezüglich Dienstzeugnis, auf das nach dem Abgang vom Unternehmen ein Anspruch von 30 Jahren besteht, müsse man lediglich die dafür relevanten Daten speichern, erläuterte Fritz. Oder noch besser: "Man schreibt das Dienstzeugnis gleich und hebt nur dieses auf."

"Der OGH setzt seine strenge Judikatur fort"

Warum es bereits jetzt eine Entscheidung des OGH zur Datenschutz-Grundverordnung gibt (OGH 6 Ob 140/18h), hat laut Fritz den einfachen Grund, dass das Verfahren schon vor Inkrafttreten anhängig war. Konkret ging es um eine Verbandsklage wegen gesetzwidriger AGB-Bestimmungen und einer Geschäftspraktik, die von der Beklagten, die Konsumenten den Empfang (die Entschlüsselung) der digital-terrestrisch übertragenen Fernsehprogramme ermöglicht, eingesetzt werden. Die beanstandete Geschäftspraktik betraf das Angebot einer kostenpflichtigen Hotline. Und eine der beanstandeten Klauseln lautete: Der Kunde stimmt zu, dass die von ihm angegebenen Daten (Name, Geburtsdatum, Adresse, Telefonnummer, E-Mail-Adresse, Gerätenummer des TV-Empfangsgeräts, Internet-ID) verwendet werden, um dem Kunden Informationen über das Produktportfolio per Post, E-Mail, Telefon, SMS, Fax oder über soziale Netzwerke zukommen zu lassen.

Das Höchstgericht entschied, die beanstandeten Klauseln nicht mehr zu verwenden. "Die Entscheidung nach dem 25. Mai zeigt", so Fritz, "dass der OGH seine strenge Judikatur zu Zustimmungserklärungen in Allgemeinen Geschäftsbedingungen auch nach der Datenschutz-Grundverordnung fortsetzt."

Der EuGH hatte sich währenddessen mit den Zeugen Jehovas zu beschäftigen und deren Praxis, dass sich die Untergruppen die Adressen der besuchten Personen und deren Reaktionen notieren (C-25/17). Diese Daten gelangen zwar nie bis zum Dachverband, die Gemeinschaft der Zeugen Jehovas profitiert laut EuGH aber dennoch davon (Joint Control). Daher müssen nun wesentliche Teile gegenüber den Betroffenen offengelegt werden.

Und auch ein Straferkenntnis gibt es bereits, das allerdings über die Medien und nicht die DSB veröffentlicht worden ist. Dabei ging es laut Fritz um einen Wettlokalbetreiber in der Steiermark, der über Video den Gehsteig vor seinem Lokal überwachte. Er wurde im August zu einer Geldstrafe von 4800 Euro verurteilt, weil weder Zweck noch Rechtfertigung gegeben waren, öffentlichen Raum zu filmen.

Gold Plating kann gegenteiligen Effekt haben

Generell steige die Anzahl der Betroffenenbegehren (Recht auf Auskunft oder Löschung) seit Inkrafttreten der DSGVO an, sagte Fritz. Rund 700 Beschwerdeverfahren seien seit Mitte September anhängig.

Fritz empfiehlt den Unternehmen, Abwägungsentscheidungen zur Umsetzung der DSGVO jedenfalls genau zu dokumentieren. Das geht zwar mit einem hohen Dokumentationsaufwand einher, aber selbst wenn die Behörde die Situation anders als das Unternehmen einschätzt, könne das einen strafreduzierenden Effekt haben.

Eine Übererfüllung der Vorgaben sei aber auch nicht immer angebracht -sie könne mitunter den gegenteiligen Effekt haben, so Fritz. Ist zum Beispiel die Teilnahme an einem Kundenbonusprogramm an die Einwilligungserklärung für die damit einhergehende Datenverarbeitung für die Kundenkarte gekoppelt, wird die Einwilligung nicht mehr freiwillig gegeben -und das widerspricht den Vorgaben der DSGVO. Wer nicht einwilligt oder seine Einwilligung widerruft, kann das Kundenbonusprogramm nämlich nicht mehr nutzen.