Schlagwort-Archive: Datenschutzbehörde

Wie hoch darf‘s denn sein?

Veröffentlicht am von

In meinen Seminaren zum betrieblichen Datenschutzbeauftragten taucht immer wieder die Frage auf, ob die österreichische Datenschutzbehörde überhaupt so hohe Geldbußen (Strafen) wie in der DSGVO vorgesehen – bis zu € 20 Millionen oder 4 % des weltweiten Konzernjahresumsatzes (je nachdem was höher ist!) – verhängen darf.

Um dies beantworten zu können, muss überprüft werden, ob die notwendigen verfahrensrechtlichen und grundrechtlichen Garantien gegeben sind. Im Zusammenspiel mit dem Bankwesengesetz (BWG) – konkret § 99d BWG – hat sich der Verfassungsgerichtshof (VfGH) mit dieser Problematik auseinandergesetzt.

Der VfGH führt in seinem Erkenntnis G408/2016 ua an, dass durch die Schaffung der Verwaltungsgerichtsbarkeit erster Instanz BGBl. I 51/2012 (Verwaltungsgerichtsbarkeits-Novelle 2012) die notwendigen Verfahrensgarantien gegeben sind. Die Verwaltungsgerichte der Länder und das Bundesverwaltungsgericht genießen die verfassungsrechtlichen Garantien:

  • richterliche Unabhängigkeit
  • richterliche Unabsetzbarkeit
  • richterliche Unversehrtheit

Weiters wurden die von Art. 6 Europäische Menschenrechtskonvention (EMRK) geforderten Verfahrensgarantien für Strafverfahren wie

  • Unschuldsvermutung
  • Verteidigungsrechte
  • Recht auf Verfahrenshilfe
  • Gebot der Waffengleichheit

durch die Einrichtung der Verwaltungsgerichte berücksichtigt und abgesichert.

Gemäß § 19 Datenschutzgesetz (DSG) handelt es sich bei der österreichischen Datenschutzbehörde um eine unabhängige Behörde. Der VfGH erachtete die Weisungsfreiheit der Behörde als entscheidend.

Ausgehend vom genannten Erkenntnis wird dies wohl bedeuten, dass keine verfassungsrechtlichen Bedenken gegen die Verhängung solch hoher Strafen durch die Datenschutzbehörde im Verwaltungsstrafverfahren – wie in der DSGVO vorgesehen – bestehen.

Anonymisierung als Löschung?

Veröffentlicht am von

Zum Schutz der Privatsphäre und zur Kontrolle seiner personenbezogenen Daten stehen jedem Betroffenen – das ist derjenige, dessen Daten verarbeitet werden – verschiedene Betroffenenrechte zu. Darunter findet sich auch das Recht auf „Löschung“ oder besser bekannt als das Recht auf „Vergessenwerden“.

Eine Definition des Begriffs „Löschen“ findet sich in der gesamten DSGVO weder im verbindlichen Teil noch in den Erwägungsgründen. Die Datenschutzbehörde führt dazu in der Entscheidung DSB-D123.270/0009-DSB/2018 vom 5.12.2018 wie folgt aus: „Eine Löschung liegt dann vor, wenn die Verarbeitung und Nutzung der personenbezogenen Daten einer betroffenen Person … nicht mehr möglich ist. Dass sich zu irgendeinem Zeitpunkt eine Rekonstruktion (etwa unter Verwendung neuer technischer Hilfsmittel) als möglich erweist, macht die Löschung durch Unkenntlichmachung nicht unzureichend. Eine völlige Irreversibilität ist daher – unabhängig vom verwendeten Mittel zur Löschung – nicht notwendig …“

Das bedeutet, dass eine Anonymisierung personenbezogener Daten – dabei wird der Personenbezug der Daten mit aktuellen Mitteln unumkehrbar entfernt – einer Löschung gleichkommt.

Daher ist bei einem Ansuchen auf Löschung personenbezogener Daten wohl eine Anonymisierung zulässig.

Welche Sprache nehm‘ ich denn?

Veröffentlicht am von

In ihrer Entscheidung GZ: DSB-D130.092/0002-DSB/2018 hat die österreichische Datenschutzbehörde beschieden, dass Anbringen an die Behörde grundsätzlich in deutscher und nicht – wie im vorgelegenen Fall – in englischer Sprache zu formulieren seien.

Grundlage für die Entscheidung war Art. 8 B-VG (Bundes-Verfassungsgesetz), wonach Deutsch – unbeschadet der den sprachlichen Minderheiten bundesgesetzlich eingeräumten Rechte – die Staatssprache der Republik ist.

Gemäß Art. 77 DSGVO (Datenschutz-Grundverordnung) hat jede betroffene Person grundsätzlich das Recht auf Beschwerde bei einer Aufsichtsbehörde, wenn sie der Meinung ist, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstoße. Die Verordnung sieht vor, dass diese Beschwerde insbesondere im Mitgliedsstaat des Aufenthaltsorts, des Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes erfolgen kann. Da es sich in der Verordnung um eine beispielhafte Aufzählung handelt, ist ein Anbringen an jede Aufsichtsbehörde für Datenschutz in der Europäischen Union möglich. Allerdings dürfen Beschwerden gegen ein und denselben mutmaßlichen Verstoß von der betroffenen Person nicht bei mehreren Aufsichtsbehörden anhängig gemacht werden. (Siehe Erwägungsgrund 141 Satz 1)

Für die Praxis bedeutet dies wohl, dass Anbringen an die (gewählte) Aufsichtsbehörde in der jeweiligen Amtssprache zu stellen seien.