Amtswegige Datenschutzüberprüfung von Kundenbindungsprogrammen - Datenschutzbehörde
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
NEWSLETTER 4/ 2020
Amtswegige Datenschutzüberprüfung von
Kundenbindungsprogrammen
Dr. Andreas Zavadil
Die Datenschutzbehörde hat amtswegige Prüfver- (also Profiling) sowie zu weiteren Analysezwecken ver-
fahren zu den Verfahrenszahlen DSB-D213.895 und wendet werden können. Die Datenschutzbehörde hat
DSB-D213.983 gegen zwei unterschiedliche Verant- diese Ersuchen um Einwilligung sowie die jeweiligen
wortliche von größeren Kundenbindungsprogrammen Kanäle überprüft.
aus Österreich geführt. Im Rahmen der Verfahren wur- Diesbezüglich war zunächst festzuhalten, dass an
de (neben weiteren Aspekten) die Einhaltung der in die Erfüllung der Kriterien von Art. 4 Z 11 und Art. 7
der DSGVO normierten Transparenz- und Informations- DSGVO ein hoher Maßstab anzulegen ist. Dies erhellt
pflichten im Zusammenhang mit der Einholung einer neben der einschlägigen Judikatur des EuGH insbeson-
datenschutzrechtlichen Einwilligung überprüft. dere aus der Überlegung, dass der europäische Ge-
Den Verfahren war gemeinsam, dass die Verant- setzgeber – anders noch als in der Richtlinie 95/46/EG,
wortlichen jeweils ein unternehmens- sowie branchen- in der dies bloß rudimentär geregelt war – sich dazu
übergreifendes Kundenbindungsprogramm betreiben, entschlossen hat, Anforderungen an eine datenschutz-
an dem verschiedene Unternehmen aus der Privat- rechtliche Einwilligung in einer eigenen Bestimmung
wirtschaft teilnehmen können. Bei den Verantwort- gemäß Art. 7 DSGVO zu normieren; darüber hinaus ist
lichen handelte es sich jeweils um die Betreiber des eine „Verletzung der Bedingungen für die Einwilligung“
Programms, denen insbesondere die Mitgliedsverwal- in Art. 83 Abs. 5 lit. a DSGVO ausdrücklich als Straf-
tung (und die damit verbundene Datenverarbeitung) tatbestand genannt, womit der hohe Stellenwert der
zukommt. Ebenso war den Verfahren gemeinsam, dass Kriterien nochmals bekräftigt wird.
die Verantwortlichen unterschiedliche Kanäle verwen- Weiters war festzuhalten, dass man sich bei der
den (Webpage, App, physischer „Flyer“, der in Filialen Überprüfung datenschutzrechtlicher Einwilligungs-
von Partnern der Verantwortlichen aufliegt), um die erklärungen in die Rolle eines durchschnittlichen Be-
Anmeldung zum Programm durchzuführen. Zeitgleich troffenen versetzen muss, der den Anmeldeprozess
wird im Rahmen dieser Anmeldung auch um Einwilli- mit durchschnittlicher Aufmerksamkeit durchläuft und
gung ersucht, dass erhobene Daten – vereinfacht for- der über keine juristischen oder technischen Kenntnis-
muliert – zum Zwecke der personalisierten Werbung se verfügt. Dies ergibt sich sowohl aus den einschlä-
DSB Newsletter 4 / 2020 1
www.dsb.gv.at dsb@dsb.gv.atgigen Leitlinien der ehemaligen Art. 29-Datenschutz- in den vorliegenden Fällen nichts dazu beigetragen,
gruppe (vgl. WP259 rev.01, 17/DE, S. 16), als auch aus dass der Abschnitt, in dem die Einwilligung dann tat-
der Judikatur des EuGH zum Verbraucherschutzrecht sächlich eingeholt wird, für den Betroffenen transpa-
(vgl. C-210/96, Gut Springenheide GmbH, Rn 37), die renter wird.
auf datenschutzrechtliche Einwilligungserklärungen Die App des einen Verantwortlichen war hinge-
übertragbar ist (so verweist ErwGr 42 DSGVO im Zu- gen datenschutzkonform: Anders als bei den zu be-
sammenhang mit Einwilligungserklärungen auf die Ver- anstandenden anderen Methoden (Webseite und
braucherschutz-Richtlinie 93/13/EWG). physischer „Flyer“) wird in der App durch einen
Unter Berücksichtigung dieser Überlegungen war Screen-für-Screen-Anmeldeprozess sichergestellt, dass
zunächst der physische „Flyer“ zu überprüfen. Das Er- sich das Ersuchen um Einwilligung dadurch vom übri-
suchen um Einwilligung war von beiden Verantwortli- gen Anmeldeprozess deutlich abhebt, indem dieses in
chen am Ende des Anmeldeformulars zum Kundenbin- einem eigenständigen Anmeldeschritt (ohne weitere
dungsprogramm platziert. In diesem Zusammenhang Elemente) dargestellt wird und einen großen sowie
ist zwar festzuhalten, dass die Verantwortlichen je- deutlichen Hinweis auf „Profiling“ und „Einwilligung“
weils darauf hinweisen, dass es sich hierbei um eine beinhaltet. Eine Überprüfung der App des anderen Ver-
datenschutzrechtliche Einwilligung handelt und dass antwortlichen ist noch ausständig.
die Abgabe dieser Einwilligung nicht für die Anmeldung Da die Ersuchen um Einwilligung nicht den Anforde-
erforderlich ist. Allerdings ist dieser Hinweis nach Auf- rungen der Verordnung entsprechen, sind diese gemäß
fassung der Datenschutzbehörde nicht deutlich genug Art. 7 Abs. 1 DSGVO unverbindlich und können nicht als
hervorgehoben, sondern befindet sich dieser bloß un- Rechtsgrundlage für das Profiling (und mehr) herange-
auffällig unter- bzw. oberhalb der Unterschriftenzeile. zogen werden. Ein nachträgliches „Ändern“ der Rechts-
Ebenso – und dies war der entscheidende Punkt – wird grundlage – insbesondere auf berechtigte Interessen –
ein durchschnittlicher Betroffener bei einem Unter- kommt nach Auffassung der Datenschutzbehörde nicht
schriftenfeld, das am Ende eines Anmeldeformulars in Betracht.
zum Kundenbindungsprogramm platziert ist, davon Dies insbesondere deshalb, da sich die Verantwortli-
ausgehen, dass es sich hierbei um eine Unterschrift zur chen gegenüber den Betroffenen ausschließlich auf die
Anmeldebestätigung zum Programm (und nicht etwa Einwilligung als Rechtsgrundlage gestützt haben (vgl.
um eine datenschutzrechtliche Einwilligung zum Pro- Art. 13 Abs. 1 lit. c und lit. d DSGVO). Würde man an-
filing) handelt. stelle der Einwilligung im Nachhinein nun eine Ersatz-
Ebenso wurde die Webpage überprüft. Die Webpa- rechtsgrundlage heranziehen können, so würde man
ge der Verantwortlichen – samt den dazugehörigen Er- das Recht auf Widerruf der Einwilligung konterkarie-
suchen um Einwilligung – war im Detail unterschiedlich ren, da der Betroffene diesfalls die Datenverarbeitung
gestaltet. Als gemeinsamer Nenner lässt sich jedoch – so wie bei der Anmeldung suggeriert – nicht mehr
festhalten, dass aufgrund der Gesamtkonzeption der einseitig mit Widerruf der Einwilligung beenden kann.
Ersuchen ebenso wenig von einer DSGVO-Konformität Zwar mag es Ausnahmefälle geben, bei denen diese
auszugehen war. Dies insbesondere deshalb, da nach Argumentation nicht fruchtbar ist (etwa, wenn die Ein-
Auffassung der Datenschutzbehörde beim Drücken der willigung widerrufen wird, die Datenverarbeitung aber
„Einwilligungsbuttons“ vordergründig auf die Vorteile dennoch für einen Gerichtsprozess benötigt wird). Von
verwiesen wurde, nicht jedoch hinreichend klar darauf, Art. 17 Abs. 1 lit. b DSGVO nicht umfasst ist aber die
dass es sich hierbei um eine Einwilligung zum Zwecke gegenständliche Konstellation, in welcher eine Ersatz-
des Profiling (und mehr) handelt. Bei der Webpage ei- rechtsgrundlage bloß deshalb „ersatzweise“ ins Treffen
nes Verantwortlichen kam hinzu, dass der „Button“ zur geführt wird, weil der Verantwortliche ein unzulässiges
Abgabe einer Einwilligung zeitgleich der Bestätigung Ersuchen um Einwilligung formuliert hat.
der Registrierung diente. Aufgrund dieser Doppelfunk- Im Ergebnis war daher bescheidmäßig auszuspre-
tion einer Aktion kann nach Auffassung der Daten- chen, dass die herangezogenen Ersuchen um Einwil-
schutzbehörde aber nicht von einer unmissverständ- ligung in dieser Form nicht mehr verwendet werden
lichen Einwilligung ausgegangen werden, da unklar mögen und wurde weiters die bis dato erfolgte Daten-
bleibt, ob der Betroffene nicht doch lediglich den An- verarbeitung (auf Grundlage der unzulässigen Einwil-
meldeprozess abschließen wollte (vgl. zur Doppelfunk- ligungsersuchen) für unrechtmäßig erklärt. Den Ver-
tion von Aktionen auch GA 21. März 2019, C‑673/17, antwortlichen wurde eine Frist zur Anpassung ihrer
Planet 49, Rn 89). entsprechenden Datenprozesse eingeräumt. Gegen
Zwar ist hervorzuheben, dass die Verantwortlichen beide Bescheide wurde Beschwerde erhoben. Es darf
ihren Informationspflichten nach Art. 13 f DSGVO zwar um Verständnis ersucht werden, dass eine Veröffent-
grundsätzlich nachgekommen sind. Allerdings hat die lichung oder Übermittlung der Bescheide mangels
(an anderer Stelle befindliche) Datenschutzerklärung Rechtskraft nicht vorgesehen ist.
2 DSB Newsletter 4/ 2020
www.dsb.gv.at dsb@dsb.gv.atVfGH 29.11.2017, G 223/2016 mwN) sowie nach dem
Verständnis des europäischen Verordnungsgebers (vgl.
ErwGr 41 zweiter Satz DSGVO) klar und präzise sowie
Dr. Andreas Zavadil ihre Anwendung für die Rechtsunterworfenen vorher-
sehbar sein.
Datenschutzrechtliche Zulässigkeit des „AMS-Algo- Davon ausgehend war in Folge festzuhalten, dass für
rithmus“ den Rechtsunterworfenen zwar sicherlich nachvollzieh-
Mit Bescheid vom 16. August 2020, Verfahrenszahl bar ist, dass das AMS einige – in § 25 Abs. 1 AMSG auf-
DSB-D213.1020, setzte sich die Datenschutzbehörde gezählte – Datenarten zwangsläufig verarbeiten muss,
mit der datenschutzrechtlichen Zulässigkeit des soge- damit gewisse Leistungen (beispielsweise die Bearbei-
nannten „AMS-Algorithmus“ auseinander. tung eines Antrags für den Bezug von gewissen Leistun-
Bei diesem handelt es sich um ein Arbeitsmarktchan- gen aus der Arbeitslosenversicherung) erbracht wer-
cen Assistenz-System (in Folge: „AMAS“). Das AMAS soll den können. Nach Auffassung der Datenschutzbehörde
laut Angaben des AMS (als datenschutzrechtlicher Ver- nicht nachvollziehbar wird es für den Rechtsunterwor-
antwortlicher) seine BeraterInnen – vereinfacht formu- fenen hingegen sein, allein auf Grundlage von § 25 Abs. 1
liert – bei der Einschätzung der Arbeitsmarktchancen AMSG – selbst wenn man diesen im Lichte der §§ 29
von Arbeitssuchenden unterstützen (Chancenmodell) und 31 Abs. 5 leg. cit. auslegt – davon auszugehen, dass
und soll eine effizientere Einsetzung der Ressourcen die in § 25 Abs. 1 leg. cit. genannten Datenarten zum
der Verantwortlichen gewährleisten. Bei diesem Chan- Zwecke der Bewertung von Arbeitsmarktchancen (also
cenmodell werden die Wahrscheinlichkeiten (niedrig, Profiling) verarbeitet werden.
mittel, hoch) für aktuell vorgemerkte KundInnen des Einzuräumen war, dass nicht jede einzelne Verarbei-
AMS (Arbeitssuchende) innerhalb eines bestimmten tungstätigkeit einer Behörde abschließend gesetzlich
Zeitraums berechnet, in der Zukunft eine bestimmte angeführt werden kann. Eine Generalermächtigung für
Anzahl von Tagen beschäftigt zu sein. Die berechneten die Datenverarbeitung, wie in den §§ 25 ff AMSG vor-
Wahrscheinlichkeiten können von den BeraterInnen handen, kann nach Auffassung der Datenschutzbehörde
verwendet werden, um passende weitere Maßnah- aber nicht dazu führen, dass ein derart vergleichsweise
men mit den KundInnen zu vereinbaren bzw. zu setzen großer Eingriff in das Grundrecht auf Datenschutz ge-
(etwa Weiterbildungsmöglichkeiten). rechtfertigt ist. Vielmehr ist bei dem Bestimmtheits-
Im Rahmen der Berechnung werden folgende Da- grad, der an solche Gesetze anzulegen ist, auch der (der
tenkategorien verwendet: Altersgruppe, Geschlecht, DSGVO inhärente) risikobasierte Ansatz zu berücksichti-
Staatengruppe, Ausbildung, Gesundheitliche Beein- gen. Mit anderen Worten: Je größer der Eingriff in das
trächtigungen, Betreuungspflichten, Berufsgruppe, Grundrecht auf Datenschutz ist, umso klarer muss die-
Vorkarriere, regionales Arbeitsmarktgeschehen und ser Eingriff für den Betroffenen vorhersehbar sein und
Dauer des Geschäftsfalls beim AMS. umso strenger wird der Maßstab für die Determiniert-
Zuallererst war festzuhalten, dass die unter Zuhil- heit der entsprechenden Rechtsgrundlage.
fenahme des AMAS erfolgte Datenverarbeitung im Dies ergibt sich insbesondere auch aus einer syste-
Rahmen der Wahrnehmung der dem Verantwortlichen matischen Betrachtung der DSGVO. Der europäische
gemäß § 1 Abs. 1 AMSG übertragenen öffentlichen Auf- Verordnungsgeber geht nämlich davon aus, dass es
gabe erfolgt. Als Behörde ist es erforderlich, dass sich sich beim Profiling um eine derart spezifische Verarbei-
eine Datenverarbeitung – und damit verbunden, der tungsform handelt, sodass mit der allgemeinen Begriffs-
Eingriff in das Grundrecht auf Datenschutz – nicht bloß definition der „Verarbeitung“ in Art. 4 Z 2 DSGVO nicht
auf eine gesetzliche Ermächtigung gründet, die gesetz- das Auslangen gefunden werden konnte und dass der
liche Ermächtigung muss vielmehr hinreichend deter- Begriff „Profiling“ nochmals spezifisch in Art. 4 Z 4 leg.
miniert bestimmen, unter welchen Voraussetzungen cit. zu bestimmen war. Wenn nun der europäische Ver-
ein Eingriff in das Grundrecht auf Datenschutz zulässig ordnungsgeber eine solche Differenzierung (allgemeine
ist (vgl. etwa VfSlg. 18146/2007). Es obliegt der Daten- Verarbeitung und spezifische Verarbeitung in Form von
schutzbehörde, zu überprüfen, ob eine Datenverarbei- Profiling) trifft, so muss dieser Maßstab auch für nati-
tung Deckung in gesetzlichen Bestimmungen findet. onale Gesetze gelten, auf deren Grundlage ein solches
Das AMS hat sich im Hinblick auf die Datenver- Profiling durchgeführt wird.
arbeitung auf die Rechtsgrundlage gemäß §§ 25 All diese Überlegungen finden auch in Art. 21 DSGVO
Abs. 1, 29 und 31 Abs. 5 AMSG gestützt. Es stellte Deckung. Denn wenn eine Rechtsgrundlage nicht klar
sich die Frage, ob diese angeführte Rechtsgrundla- und präzise sowie für den Betroffenen vorhersehbar ist
ge dem Determinierungsgebot von Gesetzen ent- (vgl. ErwGr 41 zweiter Satz DSGVO), so ist es ihm un-
spricht. So muss die Rechtsgrundlage der Datenver- möglich, seine „besondere Situation“ im Rahmen des
arbeitung nämlich sowohl nach der Judikatur des
DSB Newsletter 4 / 2020 3
www.dsb.gv.at dsb@dsb.gv.atrelativen Widerspruchrechts nach Art. 6 Abs. 1 lit. e diger funktioneller Teil der Rechtspflege sei, weshalb
iVm Art. 21 Abs. 1 DSGVO darzulegen. auch die Strafprozessordnung auf ihn anzuwenden
Im gegenständlichen Fall wurde auch die aktuelle wäre. Die Strafprozessordnung würde Parteien die Ge-
Ausnahmesituation rund um COVID-19 berücksichtigt. legenheit zur Akteneinsicht geben, eine Akteneinsicht
So ist nach Auffassung der Datenschutzbehörde auf- beim Gutachter sei hingegen nicht vorgesehen.
grund der steigenden Ressourcenbelastung des AMS Die Datenschutzbehörde verwies in ihrer Entschei-
sowie des Umstands, dass persönliche Gespräche (re- dung zunächst auf die Judikatur des Bundesverwal-
gionsbedingt) nicht mehr stattfinden (und somit der tungsgerichts, wonach gerichtlich beeidete Sachver-
„persönliche Eindruck“ der BeraterInnen nicht gege- ständige zumindest gemeinsam mit dem Gericht, das
ben ist) davon auszugehen, dass die Rechenergebnisse sie mit der Gutachtenserstellung beauftragt hat, als
des AMAS weitgehend bloß unhinterfragt übernom- Verantwortliche im Sinne des Art. 4 Z 7 DSGVO zu be-
men werden. Weiters ist davon auszugehen, dass der trachten sind (vgl. das Erkenntnis des BVwG vom
Mensch (also BeraterInnen) durch derartige Rechener- 27. September 2018, GZ W214 2196366-2). Die
gebnisse in seiner Entscheidung jedenfalls zu einem Datenschutzbehörde verwies sodann darauf, dass die
derart hohen Grad beeinflusst wird, dass durch diese Bestellung des Beschwerdegegners zwar im Rahmen
Datenverarbeitung von einer „erheblichen Beeinträch- eines anhängigen Strafverfahrens geschehen sei, aller-
tigung“ iSd Art. 22 Abs. 1 DSGVO auszugehen ist, selbst dings bei der Gutachtenerstellung von keiner „justizi-
wenn die Rechenergebnisse des AMAS nicht bloß un- ellen Tätigkeit“ ausgegangen werden kann, weshalb die
hinterfragt übernommen werden. Es ist daher auch Datenschutzbehörde auch zur Entscheidung zuständig
von einer Anwendbarkeit der Schutzbestimmungen ist. Während in der DSGVO Daten in Patientenakten,
des Art. 22 DSGVO auszugehen. Informationen wie Diagnosen, Untersuchungsergeb-
Vor dem Hintergrund dieser Überlegungen war da- nisse oder Befunde der behandelnden Ärzte und An-
von auszugehen, dass für die Datenverarbeitung im gaben zu Behandlungen oder Eingriffen ausdrücklich
Zusammenhang mit dem AMAS keine (ausreichende) vom Recht auf Auskunft als umfasst angesehen wer-
Rechtsgrundlage (samt notwendigen, gesetzlichen den, hat der österreichische Gesetzgeber im Psycholo-
Schutzgarantien) besteht. Die Datenverarbeitung war gengesetz 2013 keine Beschränkung für das Recht auf
daher mit Wirkung vom 1. Jänner 2021 zu untersagen, Auskunft vorgesehen. Da die DSGVO auch keine Ein-
sofern bis zu diesem Zeitpunkt keine geeignete Rechts- schränkung des Rechts auf Auskunft zugunsten eines
grundlage für die Datenverarbeitung durch den Ge- gesetzlich normierten (Akten)Einsichtsrechts vorsieht,
setzgeber geschaffen wird. Die aufschiebende Wirkung kam die Datenschutzbehörde zum Ergebnis, dass der
einer Bescheidbeschwerde wurde ausgeschlossen. Ge- Beschwerdegegner gegenüber dem Beschwerdefüh-
gen diesen Bescheid wurde Beschwerde erhoben. Es rer zur Auskunftserteilung verpflichtet ist und der Be-
darf um Verständnis ersucht werden, dass eine Veröf- schwerdegegner dem Beschwerdeführer eine dem
fentlichung oder Übermittlung des Bescheids mangels Art. 15 DSGVO entsprechende Auskunft zu erteilen hat.
Rechtskraft nicht vorgesehen ist. Der Bescheid ist in Rechtskraft erwachsen.
2020-0.225.643 (D124.2138), Einreichen der Origi-
nalrechnungen einer Apotheke, um in den Genuss ei-
ner Versicherungsleistung zu kommen
2020-0.396.410 (D124.2061), Auskunftsrecht eines Mit Bescheid vom 12. Juni 2020, GZ: 2020-0.225.643
gerichtlich bestellten psychologischen Sachverständigen (D124.2138), hatte sich die Datenschutzbehörde mit
Im Bescheid vom 29. Juni 2020, GZ: 2020-0.396.410 einer Beschwerde im Recht auf Geheimhaltung (§ 1 DSG)
(D124.2061), hatte sich die DSB mit dem Auskunftsrecht auseinanderzusetzen.
eines gerichtlich bestellten psychologischen Sachver- Der Beschwerdeführer hat als Landesbeamter eine
ständigen zu beschäftigen. Zusatzversicherung bei der Beschwerdegegnerin. Die
Der Beschwerdegegner wurde vom zuständigen Lan- Beschwerdegegnerin, ein österreichisches Versiche-
desgericht für Strafsachen im Verfahren gegen den Be- rungsunternehmen, verlangte für die Leistungserbrin-
schwerdeführer als psychologischer Sachverständiger gung die Übermittlung der Apothekenbelege im Ori-
bestellt und mit der Erstellung eines Gutachtens zum ginal, auf welchen die bezogenen Medikamente des
Beschwerdeführer beauftragt. Nach der Übermittlung Beschwerdeführers namentlich angeführt und ersicht-
des Gutachtens an das Landesgericht, wandte sich der lich waren.
Beschwerdeführer mit einem Auskunftsbegehren an Aufgrund der Anordnung des § 34 VersVG trifft den
den Beschwerdegegner. Der Beschwerdegegner kam Beschwerdeführer eine Auskunfts- und Belegeoblie-
dem Auskunftsbegehren nicht nach, sondern verwies genheit gegenüber der Beschwerdegegnerin. Die Über-
darauf, dass er als gerichtlich bestellter Sachverstän- mittlung der Gesundheitsdaten kann sich diesfalls auf
4 DSB Newsletter 4/ 2020
www.dsb.gv.at dsb@dsb.gv.at§ 11a Abs. 1 Z 3 und Abs. 2 Z 2 VersVG stützen. Die Be- stücks des DSG (welches gegenständlich nicht zur An-
schwerdegegnerin hingegen trifft die Beweispflicht da- wendung kommt) fremd ist.
für, dass die angeforderten Unterlagen zur Feststellung Daraus ist abzuleiten, dass nunmehr mittels eines
des Versicherungsfalles oder des Umfanges der Leis- Auskunftsbegehrens grundsätzlich auch Auskunft über
tungspflicht tatsächlich erforderlich sind. Als Konkre- den Inhalt von Urkunden und Aktenbestandteilen be-
tisierung des § 34 VersVG konnte Punkt 7.1. der Allge- gehrt werden kann, sofern darin personenbezogene
meinen Versicherungsbedingungen gewertet werden. Daten der betroffenen Person enthalten sind und der
Die Beschwerdegegnerin führte aus, dass durch eine sachliche Anwendungsbereich der DSGVO eröffnet ist
bloße Rezeptgebührenbestätigung eventuelle irrtümli- (vgl. Art. 4 Abs. 1 leg. cit).
che Doppeleinreichungen nicht eruiert werden könn- Ein Verantwortlicher hat gemäß Art. 12 Abs. 1 ge-
ten, wodurch eine korrekte Bearbeitung im Interesse eignete Maßnahmen zu treffen, um einer betroffenen
der Gesamtversichertengemeinschaft nicht garantiert Person alle Informationen gemäß den Art. 13 und 14
werden könne. und alle Mitteilungen gemäß den Art. 15 bis 22 und
Insofern erscheint es durchaus „denkmöglich“, dass Art. 34 DSGVO, die sich auf die Verarbeitung beziehen,
die Beschwerdegegnerin die Originalrechnungen für in präziser, transparenter, verständlicher und leicht zu-
die Beurteilung des genauen Umfangs ihrer Leistungs- gänglicher Form in einer klaren und einfachen Sprache
pflicht benötigt. zu übermitteln.
Im Ergebnis liegt keine Verletzung im Recht auf Ge- Diese Informationen sind gemäß Art. 12 Abs. 3 DSGVO
heimhaltung vor. unverzüglich, in jedem Fall aber innerhalb eines Mo-
Der Bescheid ist rechtskräftig. nats nach Antrag zur Verfügung zu stellen.
Die Beschwerdegegnerin reagierte daher jedenfalls
2020-0.127.361 (D124.365), Einladung zur Akten- unzureichend auf das Auskunftsbegehren, weshalb sei-
einsicht als Reaktion auf ein Auskunftsbegehren tens der Datenschutzbehörde eine Rechtsverletzung
Im Bescheid vom 9. Juli 2020 hat sich die Daten- festgestellt wurde und der Beschwerdegegnerin ein
schutzbehörde mit der Frage auseinandergesetzt, ob die entsprechender Leistungsauftrag erteilt wurde.
Beschwerdegegnerin den Beschwerdeführer dadurch im Dieser Bescheid ist rechtskräftig.
Recht auf Auskunft verletzt hat, indem sie ihn in Reakti-
on auf ein Auskunftsbegehren zur Akteneinsicht einge- 2020-0.349.984 (D205.023), Scannen und Spei-
laden hat. chern von Ausweisdaten aufgrund von Abholung ei-
Der Beschwerdeführer richtete ein Auskunftsbegeh- ner Briefsendung mittels „gelben Zettels“ ist nicht un-
ren an die Beschwerdegegnerin und beantragte darin verhältnismäßig bei begrenzter Speicherdauer von
„volle Auskunft über seine personenbezogenen Daten“. sechs Monaten und berechtigten Interessen
Die Beschwerdegegnerin beantwortete das Auskunfts- Im Bescheid vom 26. Juni 2020 zur GZ: 2020-
begehren, indem sie den Beschwerdeführer zur Akten- 0.349.984 (D205.023) hatte sich die Datenschutzbe-
einsicht eingeladen hat und ihm diesbezüglich einen hörde mit einer Beschwerde im Recht auf Geheimhal-
Termin mitteilte. Weiters wurde der Beschwerdeführer tung (§ 1 DSG) mit der Verarbeitung von Ausweisdaten
darüber informiert, dass er sich gemäß § 17 AVG von aufgrund der Behebung einer Einschreibsendung zu
Akten oder Aktenteilen an Ort und Stelle Abschriften befassen.
selbst anfertigen und auf seine Kosten Kopien oder Der Beschwerdeführer behob in einer Filiale eine
Ausdrucke erstellen lassen könne. Postsendung mittels „ gelben Zettels“, da er vom Post-
Der Beschwerdeführer ist zu dem im Schreiben ge- boten zu Hause nicht angetroffen wurde. Daraufhin
nannten Termin nicht erschienen. Die Beschwerdegeg- wurde er aufgefordert, einen Lichtbildausweis vor-
nerin benachrichtigte daraufhin den Beschwerdefüh- zulegen. In weiterer Folge wurden die Ausweisdaten:
rer mit Schreiben, dass aufgrund des unentschuldigten Ausweisart, Ausweisnummer, Ausstellungsbehörde,
Nichterscheinens das „Datenauskunftsverfahren“ ein- Geburtsdatum sowie der korrespondierende Name
gestellt werde. elektronisch mittels Scangerät erfasst und für 6 Mo-
Die Datenschutzbehörde gab der Beschwerde statt nate gespeichert. Eine Kopie des Ausweisdokuments
und trug der Beschwerdegegnerin auf, dem Beschwer- selbst wurde hingegen nicht erstellt.
deführer eine dem Art. 15 DSGVO entsprechende Aus- Im Verfahren vor der Datenschutzbehörde brachte
kunft zu erteilen. die Beschwerdegegnerin vor, dass nach Ablauf der Auf-
Die Datenschutzbörde begründete dies zunächst da- bewahrungsfrist von 6 Monaten die gegenständlichen
mit, dass der DSGVO eine Subsidiaritätsregelung nach Daten gelöscht worden seien und begründete die Spei-
§ 44 Abs. 5 DSG im Anwendungsbereich des 3. Haupt- cherfrist u.a. mit den gesetzlichen Gewährleistungs-
fristen. Demnach habe sie in der Lage seien müssen,
DSB Newsletter 4 / 2020 5
www.dsb.gv.at dsb@dsb.gv.atsich in allfälligen Verfahren bezüglich Schadensersat- meinheit wäre in derartigen Fällen ohne die in Rede
zansprüchen oder vor der Datenschutzbehörde frei- stehende Maßnahme regelmäßig nicht ernsthaft be-
beweisen zu können, indem sie ihrer Sorgfaltspflicht einträchtigt, weshalb die Verarbeitung der Datenarten
nachgekommen sei und die Identität des Übernehmers zur „Parteiaffinität“ nicht auf Art. 9 Abs. 2 lit. g DSGVO
nachweislich geprüft habe. iVm § 151 Abs. 6 GewO gestützt werden könne.
Die Datenschutzbehörde wies die Beschwerde als Da sich die Österreichische Post AG auch auf keine
unbegründet ab und erkennt an, dass die Verarbei- der anderen Ausnahmebestimmungen des Art. 9 Abs. 2
tung der Ausweisdaten des Beschwerdeführers dazu DSGVO vom Verarbeitungsverbot besonderer Katego-
dienen konnte, im Falle eines Rechtsstreits die Über- rien von Daten des Art. 9 Abs. 1 DSGVO berufen kön-
gabe an den richtigen Empfänger nachweisen zu kön- ne, insbesondere habe sie keine Zustimmung für die
nen. Die von der Beschwerdegegnerin verarbeiteten Verarbeitung von den Betroffenen eingeholt, erweise
Datenkategorien sind keinesfalls überschießend und sich die Verarbeitung der Daten zur „Parteiaffinität“ als
die Speicherdauer mit sechs Monaten ist nicht als un- rechtswidrig.
verhältnismäßig anzusehen. Daher überwiegen die be- Das Teilerkenntnis ist nicht rechtskräftig.
rechtigten Interessen der Beschwerdegegnerin gegen-
über den Grundrechten und Grundfreiheiten des EuGH-Urteil vom 16. Juli 2020, C-311/18 (Schrems II)
Beschwerdeführers und die Verarbeitung erfolgte Ausgangspunkt des Verfahrens war ein Rechtsstreit
rechtmäßig auf Grundlage von berechtigten Inter- zwischen der irischen Aufsichtsbehörde und Maximi-
essen nach Art 6 Abs. 1 lit. f DSGVO. lian Schrems im Hinblick auf die von Herrn Schrems
Dieser Bescheid ist rechtskräftig. begehrte Untersagung der Übermittlung seiner perso-
nenbezogenen Daten durch Facebook Irland an Face-
book Inc. in die Vereinigten Staaten.
Der Gerichtshof prüfte einerseits die Gültigkeit der
Angemessenheitsentscheidung betreffend die USA
BVwG-Erkenntnis vom 20. August 2020, GZ W258 (Beschluss 2016/1250, sog. „Privacy-Shield“) und an-
2217446-1/15E (Österreichische Post AG) dererseits den Beschluss 2010/87 über Standarddaten-
Mit diesem Teilerkenntnis bestätigte das BVwG schutzklauseln für Auftragsverarbeiter (sog. „SDK-Be-
teilweise einen Bescheid der Datenschutzbehörde, schluss“). Im Ergebnis wurde das Privacy-Shield (wie
wonach es sich bei den Daten zur „Parteiaffinität“ um bereits dessen Vorgänger „Safe-Harbor“) für ungültig
besondere Kategorien personenbezogener Daten iSd erklärt. Als maßgeblich für seine Entscheidung nennt
Art. 9 DSGVO handle, die dem darin normierten Verar- der Gerichtshof umfangreiche, nicht auf das zwingend
beitungsverbot unterliegen und demnach unrechtmä- erforderliche Maß beschränkte Eingriffs- und Zugriffs-
ßig verarbeitet wurden. befugnisse von U.S.-amerikanischen Behörden auf per-
Begründend führte das BVwG zusammengefasst sonenbezogenen Daten, welche aus dem Unionsgebiet
aus, der Unionsgesetzgeber hatte in der Verwendung in die Vereinigten Staaten übermittelt werden, sowie
des Ausdrucks „alle Informationen“ das Ziel vor Augen, unzureichende Rechtsschutzmöglichkeiten.
dem Begriff der „personenbezogenen Daten“ eine wei- Im Hinblick auf den SDK-Beschluss stellte der Ge-
te Bedeutung beizumessen. Weiters ergebe sich aus richtshof fest, dass die Prüfung anhand der Charta der
der „Parteiaffinität“ eine hinreichende Wahrschein- Grundrechte nichts ergeben hat, was seine Gültigkeit
lichkeit des Hervorgehens der politischen Meinung, berühren könnte. Gleichzeitig sprach der Gerichtshof
weshalb besondere Kategorien personenbezogener aber aus, dass Standarddatenschutzklauseln alleine in
Daten iSd Art. 9 DSGVO vorliegen. Werden Personen bestimmten Fällen kein ausreichendes Schutzniveau
mit einer hohen „Parteiaffinität“ für eine bestimmte bieten und daher die Schaffung von zusätzlichen Maß-
politische Meinung empfänglich angesehen und sollen nahmen bzw. Garantien geboten sein kann.
deshalb gezielt mit Werbung über politische Parteien Der Europäische Datenschutzausschuss hat zum Ur-
beworben werden, würden dazu spiegelbildlich die Ge- teil C-311/18 bereits am 23. Juli 2020 ein Dokument
fahren stehen, die Art. 9 DSGVO vermeiden möchte. mit häufig gestellten Fragen veröffentlicht und befin-
Das BVwG stellte sodann klar, dass § 151 Abs. 6 det sich dazu eine ergänzende Orientierungshilfe in Be-
GewO keine Regelung iSd Art. 9 Abs. 2 lit. g DSGVO ist, zug auf zusätzliche Maßnahmen zu den SDK in Arbeit.
welche eine Verarbeitung besonderer Kategorien per- Weitere Informationen sind auch auf der Website der
sonenbezogener Daten zulässig machen würde. Man Datenschutzbehörde abrufbar.
könne nämlich kein erhebliches öffentliches Interes-
se iSd Art. 9 Abs. 2 lit. g annehmen, wenn durch die
Rechtsnorm lediglich die Tätigkeit eines bestimmten
Wirtschaftsbereichs erleichtert werden soll. Die Allge-
6 DSB Newsletter 4/ 2020
www.dsb.gv.at dsb@dsb.gv.atFolgende neue Mitarbeiterinnen und Mitarbeiter
Die DSB hat zu folgenden Gesetzesvorhaben eine nahmen ihre Tätigkeit in der DSB auf:
Stellungnahme abgegeben:
– Bundesgesetz, mit dem das E-Government-Ge- Herr Eduard Brauchinger war ab 1985 für das
setz und das Passgesetz 1992 geändert werden Bundesministerium für Inneres tätig und unterstützt
– Bundesgesetz, mit dem zivilrechtliche und zivil- nun den Personal- und Budgetbereich.
prozessuale Maßnahmen zur Bekämpfung von
Hass im Netz getroffen werden (Hass-im-Netz- Herr Mag. Marek Gerhalter studierte Rechtswis-
Bekämpfungs-Gesetz – HiNBG) senschaften an der Karl-Franzens-Universität Graz
– Bundesgesetz über Maßnahmen zum Schutz und war danach mehrere Jahre in Rechtsabteilungen
der Nutzer auf Kommunikationsplattformen international agierender Unternehmen tätig. Er ab-
– Bundesgesetz, mit dem das Epidemiegesetz solviert derzeit den postgradualen Universitätslehr-
1950, das Tuberkulosegesetz und das CO- gang Informations- und Medienrecht an der Univer-
VID-19-Maßnahmengesetz geändert werden sität Wien und unterstützt das Team der Juristinnen
– Entwurf eines Landesgesetzes, mit dem das Ge- und Juristen in den Bereichen nationales und inter-
setz über die Gewährung von Sozialunterstüt- nationales Verfahren.
zung (Steiermärkisches Sozialunterstützungsge-
setz – StSUG) erlassen und das Steiermärkische Herr Lukas Matschinger unterstützt tatkräftig das
Sozialhilfegesetz, das Steiermärkische Wohn- Kanzleiteam.
unterstützungsgesetz, Steiermärkische Behin-
dertengesetz und das Steiermärkische Grund- Frau Mag. Vanessa Neudecker war nach dem Stu-
versorgungsgesetz geändert werden dium an der Universität Wien sowie diversen Prak-
– Neufassung der Verordnung des Fachverbandes tika zuletzt als Mitarbeiterin in der Rechtsabteilung
der gewerblichen Dienstleister über die Befä- eines Telekommunikationsunternehmens tätig. Nun
higungsprüfung für das Sicherheitsgewerbe unterstützt sie das Team der Juristinnen und Juris-
eingeschränkt auf das Gewerbe der Berufsde- ten in den Bereichen nationales und internationales
tektive (Berufsdetektive-Befähigungsprüfungs- Verfahren.
ordnung);
– Bundesgesetz, mit dem das Kontenregister- und Frau Mag. Sairah Batul Rizvi studierte Rechtswis-
Konteneinschaugesetz, das Finanzmarkt-Geld- senschaften an der Universität Wien und unterstützt
wäschegesetz, das Bankwesengesetz, die das Team der Juristinnen und Juristen in den Berei-
Bundesabgabenordnung, das Finanzmarkt- chen nationales und internationales Verfahren.
aufsichtsbehördengesetz und das Wertpapier-
aufsichtsgesetz 2018 geändert werden Frau Mag. Elina Vera Schuster, LL.M war nach ih-
– Bundesgesetz, mit dem ein Investitionskont- rem Studium der Rechtswissenschaften in Wien und
rollgesetz erlassen und das Außenwirtschafts- York (UK) zuletzt als Referentin für Energiepolitik an
gesetz 2011 geändert wird der Ständigen Vertretung von Österreich bei der EU
– Bundesgesetz, mit dem das Hochschul-Quali- in Brüssel tätig. Sie unterstützt jetzt das Team der
tätssicherungsgesetz geändert wird, ein Bun- Juristinnen und Juristen in den Bereichen nationales
desgesetz über Privathochschulen erlassen und internationales Verfahren.
wird und das Fachhochschul-Studiengesetz so-
wie das Hochschulgesetz 2005 geändert wer-
den
Impressum:
Weblink: Medieninhaber, Herausgeber und Redaktion: Österreichische Daten-
schutzbehörde (DSB), Barichgasse 40-42, 1030 Wien, E-Mail: dsb@dsb.
– Parlament aktiv: alle Stellungnahmen gv.at, Web: http://www.dsb.gv.at
Offenlegung gemäß § 25 Mediengesetz:
Der Newsletter der DSB ist ein wiederkehrendes elektronisches Medium
(§ 1 Abs. 1 Z 5a lit. c MedienG); die gesetzlich gebotenen Angaben sind
über folgenden Link abrufbar: http://www.dsb.gv.at/impressum.
DSB Newsletter 4 / 2020 7
www.dsb.gv.at dsb@dsb.gv.atSie können auch lesen
