Datenschutz und DSGVO

Daten von und über Konsumenten sind der Rohstoff des 21. Jahrhunderts, viel wertvoller als Gold im 19. und Erdöl im 20. Jahrhundert - allemal Grund dafür, ihre Gewinnung zu regulieren! In Europa gibt es jetzt eine Regulierung (DSGVO, GDPR), anderswo auf der Welt kann man nur davon träumen, insbesondere in den USA (vgl. so unterschiedliche Autoren wie Weigend, Data for the People, und Zuboff, Das Zeitalter des Überwachungskapitalismus). Ja, Regulierungen sind wahrscheinlich immer lästig. Aber uns interessiert vielmehr, wie wir sie zum Wohle der Konsumenten nützen können.


Anwendungsbeispiel aus unserer Praxis:

Die Medien berichten am 07.01.2019 über den gewerblichen Adresshandel der Post. Das Empörende daran: Die Österreichische Post AG speichert in ihren Datenbanken anscheinend auch Parteiaffinitäten. Vielen ist dabei nicht wohl, aber was kann man tun? Wir verlangen erst einmal Auskunft nach der DSGVO.


 Am 08.01.2019 will der erste unserer Klienten schriftlich von der Post wissen, ob sie personenbezogene Daten, die ihn betreffen, verarbeitet (ein definierter terminus der DSGVO). Zudem ersuchen wir die Post um Informationen bezüglich der Herkunft dieser Daten, den allfälligen Empfänger oder Empfängerkreis der Übermittlungen, falls die Daten an Dritte übermittelt werden und gegebenenfalls, zu welchen Zwecken. Wir setzen der Post die gesetzliche Frist für die Beantwortung dieser Fragen.

Am selben Tag leitet die Datenschutzbehörde ein Prüfverfahren gegen die Post ein. Grund dafür ist ein Bericht, wonach das Unternehmen Daten der Österreicher zur „Parteiaffinität“ sammelt und verkauft. Die Post verwaltet eigenen Angaben zufolge rund drei Millionen Datensätze und Profile. Bei rund 2,2 Millionen Österreichern ist auch die Parteiaffinität abgespeichert, berichtete die Rechercheplattform Addendum. Die Post weist die Vorwürfe zurück. Die politische Präferenz werde lediglich geschätzt, das sei in der Digitalisierung üblich.


Am 09.01.2019 erhalten wir das Antwort E-Mail. Darin kündigt die Post uns zwar ihre Auskunftserteilung an, aber auch, dass die bis zu zwei Monaten dauern könne. Dabei beruft sie sich auf § 26 DSG, der eine Auskunftserteilung innerhalb von acht Wochen vorsieht.


Am 16.01.2019 teilen wir der Post mit, dass aber § 26 DSG schon am 24.05.2018 außer Kraft getreten ist. Das Auskunftsrecht wird jetzt zur Gänze in der DSGVO geregelt. Die Verordnung sieht eine unverzügliche Auskunftserteilung vor. Unverzüglich ist die Auskunftserteilung nur dann, wenn sie ohne ungebührliche bzw. unangemessene Verzögerung erteilt wird. In jedem Fall hat sie aber innerhalb eines Monats nach Eingang des Antrages zu erfolgen. In Ausnahmefällen kann die Frist von einem Monat um maximal zwei weitere Monate verlängert werden. Über die Verlängerung und den Grund der Verlängerung muss die betroffene Person jedoch unverzüglich und genau unterrichtet werden. Erhalten wir nicht noch rechtzeitig eine Begründung, werden wir daher davon ausgehen, dass eine einmonatige Frist zur Erfüllung Ihrer Auskunftspflicht ausreichend ist Und dann schon Klage führen).


Am 06.02.2019 erhalten wir ein Schreiben - mit der Post; Aufgabedatum 04.02.2019 - von der Post, dass sie vor dem Hintergrund der hohen Anzahl an Anfragen im Zusammenhang mit der medialen Berichterstattung mehr Zeit zur Beantwortung braucht: Im Einklang mit der DSGVO wird unsere Anfrage so rasch wie möglich, jedenfalls aber innerhalb von drei Monaten beantwortet. - Ist das zulässig? Ja. Aber: Über die Verlängerung und den Grund der Verlängerung muss die betroffene Person unverzüglich und genau unterrichtet werden. Und wir würden sagen, dass 2 Tage vor Ablauf des ersten Monats nicht "unverzüglich" ist...

 


Seit dem 25.05.2018 ist im Bereich des Datenschutzes nichts mehr so, wie es bisher war! An diesem Tag ist die sogar unter Juristen hitzige Diskussionen auslösende Datenschutzgrundverordnung (DSGVO) europaweit und unmittelbar in Geltung getreten.

Obwohl das österreichische Parlament bei der Beschlussfassung des Datenschutz-Anpassungsgesetzes 2018 schließlich die in der DSGVO vorgesehenen Verbandsklagen doch nicht zugelassen hat, was wohl noch den Europäischen Gerichtshof beschäftigen wird, steht betroffenen Personen immer noch die Möglichkeit offen bei Verstößen gegen die DSGVO durch Einzelklagen Schadenersatz zu verlangen.

Wissen Sie, wer wie viel über Sie weiß?

Wenn Sie z. B. Ihr heißgeliebtes Smartphone in die Hand nehmen und eine App herunterladen, und sei es auch nur eine harmlose Fotobearbeitungs-App, mussten Sie bis dato in den Zugriff auf all Ihre Kontakte, Fotos, usw. einwilligen, obwohl die heruntergeladene App diese Informationen zum Funktionieren gar nicht braucht. Obwohl sich europäische Anwender nach aktuellen Studien mehr als anderswo auf der Welt Sorgen um Datenschutz und Sicherheit machen, willigen viele Anwender, wenn auch mit einem mulmigen Gefühl im Bauch, in diese dreisten Zugriffe ein, da sie sonst die App nicht benutzen könnten.

Die sich in rasendem Tempo weiterentwickelnde Technologie und die damit verbundenen neuen Produkte, die so vermarktet werden, dass wir glauben, dass sie dafür gedacht sind unser Leben zu vereinfachen, stellen jedoch Schwarze Löcher für unsere personenbezogenen Daten dar. Wer Ihre Daten erhält, wofür sie benutzt werden und wieviel Sie von sich bisher schon Preis gegeben haben, sind Fragen, deren Antworten Sie vielleicht nicht einmal wissen wollen.

Was ist neu?

Seit dem 25.05.2018 müssen Ihnen alle Verantwortlichen, die Ihre persönlichen Daten verarbeiten, den Zweck der Verarbeitung genau und verständlich erklären. Wenn die Verarbeitung der persönlichen Daten über die Vertragserfüllung hinausgeht, dann müssen Sie der Verarbeitung zustimmen, sonst ist sie illegal. Diese Zustimmung muss gänzlich freiwillig sein, das heißt, dass Sie auch ohne Zustimmung die Dienstleistung in Anspruch nehmen dürfen (sog. Koppelungsverbot). 

Zudem muss der Verantwortliche, also derjenige, der Ihre Daten verarbeitet, Sie über Ihre Betroffenenrechte präzise, transparent, verständlich und in einer klaren und einfachen Sprache informieren. Ein vorangekreuztes Feld ist für so eine Belehrung nicht mehr ausreichend.

Wenn Sie Verstöße gegen diese Regelungen bemerken, können Sie sich grundsätzlich an die Datenschutzbehörde wenden, aber auch (immateriellen) Schadenersatz, also eine Geldzahlung fordern.

Schreiben Sie uns Ihre Erfahrungen mit dem neuen Datenschutz oder rufen Sie uns an, wenn Sie meinen, in Ihren Rechten verletzt zu sein.