· 

DSB: kein subjektives Recht auf bestimmte Datensicherheitsmaßnahmen

 

 

Die Datenschutzbehörde hat in einer Entscheidung (DSB-D123.070/0005-DSB/2018, 13.09.2018 rk) die Frage beurteilt, ob betroffene Personen einen Rechtsanspruch aus die Durchsetzung von Datensicherheitsmaßnahmen / technischen und organisatorischen Maßnahmen gem. Art 32 DSGVO hat.

 

 

Eine betroffene Person hat bei zwei Behörden ersucht, dass ihre Daten psyeudonymisiert werden, da die Gefahr bestünde, dass die Vertraulichkeit verloren gehen könnte. Die betroffene Person führte aus:

 

Die unterlassene Pseudonymisierung sei eine Verletzung des Grundrechts auf Datenschutz. Es wäre unverhältnismäßig, wenn Daten in einer nicht pseudonymisierten Form aufbewahrt würden. Die Beschwerdeführerin befürchte, dass ihre Identität in den folgenden Jahrzehnten bei jedem Zugriff auf die Daten offengelegt werde, was nicht mehr mit dem öffentlichen Interesse begründet werden könne. Insbesondere wären ihre Daten bei einem erfolgreichen Hacker-Angriff auf die Server der Beschwerdegegner sofort öffentlich zugänglich. Wenn Daten aufbewahrt werden würden, um „österreichische Rechtsansprüche“ gegen die Neueinbringung einer gleichartigen Beschwerde durch sie bei einem anderen Tribunal zu verteidigen, dann werde der Dokumentationszweck durch die geforderte Pseudonymisierung nicht beschränkt. Nach Rechtsansicht des VfGH müsse für die fortgesetzte Aufbewahrung sensibler persönlicher Daten eine aktuelle und konkrete Notwendigkeit geltend gemacht werden (Verweis auf VfGH vom 12.12.2018, Zl. E3249/2016). Auch aus der DSGVO wäre abzuleiten, dass weitgehende Datenschutzmaßnahmen der Regelfall für die Archivierung sein müssten. So normiere Art. 5 Abs. 1 lit c DSGVO das Prinzip der Datenminimierung und als Instrument dazu führe Art. 25 Abs. 1 DSGVO die Pseudonymisierung an. Die Unterlassung dieser oder vergleichbarer Schutzmaßnahmen wäre ein mit dem Grundrecht auf Datenschutz unvereinbarer leichtfertiger Umgang mit sensiblen Daten.

 

 

 

Kein subjektives Recht der betroffenen Personen auf bestimmte Datensicherheitsmaßnahmen:

 

Die DSB hat entschieden, dass eine betroffene Person kein Recht hat, eine Pseudonymisierung zu fordern, und generell festgehalten, „aus der DSGVO kein Recht abzuleiten ist, wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Art. 32 DSGVO von einem Verantwortlichen verlangen könnte. Ebenso wenig kann eine betroffene Person – wie von der Beschwerdeführerin begehrt – spezifische Maßnahmen zur Datenminimierung iSv Art. 5 Abs. 1 lit. c DSGVO verlangen.“

 

Es besteht zwar grundsätzlich die Möglichkeit, dass eine betroffene Person durch die Verletzung von Datensicherheitsmaßnahmen im Grundrecht auf Datenschutz verletzt wird, aber eine Verletzung muss bereits eingetreten sein, damit die betroffene Person dies verfolgen kann. Die DSB geht daher davon aus, dass ein durchsetzbarer Anspruch auf die Einhaltung bestimmter technischer und organisatorischer Maßnahmen erst dann besteht, wenn zB eine unzulässige Offenlegung der Daten bzw. ein Verlust der Vertraulichkeit eingetreten ist. Auch in diesem Fall besteht jedoch kein subjektives Recht der betroffenen Person, dass eine bestimmte technische oder organisatorische Maßnahme durch den Verantwortlichen gesetzt wird.

 

 

 

Auch durch die Systematik der DSGVO ist diese Ansicht gestützt, da die Rechte der betroffenen Personen in Kapitel III und die Verpflichtungen zu technischen und organisatorischen Maßnahmen sind jedoch in anderen Bereichen, so zB die Pseudonymisierung in Kapitel IV geregelt.

 

Die DSB verweist auch auf eine frühere Entscheidung der DSK; auch danach bewirken die rechtlichen Bestimmungen zu den Datensicherheitsmaßnahmen nur eine Verpflichtung des Verantwortlichen, stellen aber keine subjektiven Rechtsansprüche der betroffenen Personen dar (Bescheid der DSK vom 2. August 2005, GZ: K121.038/0006-DSK/2005). Diese Ansicht wurde auch vom BVwG bestätigt (vgl. die Erkenntnisse des BVwG vom 11. Juli 2017, Zl. W214 2117640-1 sowie vom 20. April 2017, Zl. W214 2007810-1).

 

Die Schlussfolgerung von dataprotect

Diese Entscheidung bedeutet, dass eine betroffene Person kein Recht hat, bestimmte technische oder organisatorische Maßnahmen beim Verantwortlichen in einem Verfahren bei der DSB durchzusetzen. 

 

Welche Möglichkeiten verbleiben?

 

1. Schadenersatzanspruch bei Verletzung:

Art 82 DSGVO:

  1. Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

Ein Geschädigter hat sohin nach Schadenseintritt einen Anspruch gegen den Schädiger, wenn

  • ein Schadenseintritt("(Schaden")
  • durch eine angemessene technische oder organisatiorische Maßnahme, die nach den Bestimmungen des Art 32 DSGVO geboten gewesen wäre ("Rechtswidrigkeit")
  • verhindert worden wäre ("Kausalität" iS einer conditio sine qua non), und
  • der Verantwortliche / Auftragsverarbeiter nicht nachweisen kann, dass er in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist/war (Beweislastumkehr des Art 82 Abs 3 DSGVO) ("Verantwortlichkeit" als Haftungsvoraussetzung").

 

2. vorbeugende Unterlassungsklage:

Eine vorbeugende Unterlassungsklage wird mE nicht in Frage kommen, da in diesem Fall ein Schadenseintritt unmittelbar bevorstehen muss, um diese zu rechtfertigen. 

 

3. Klage auf "Vertragszuhaltung / Vertragserfüllung":

Besteht eine vertragliche Leistungsbeziehung zwischen der betroffenen Person und dem Verantwortlichen, dann könnte argumentiert werden, dass der Schutz der Geheimhaltung der Daten eine Haupt- oder Nebenpflicht aus der vertraglichen Leistung des Verantwortlichen ist. 

 

Wird dies nicht "ausreichend" gemacht, dann könnte uU ein Anspruch der betroffenen Person gegen den Verantwortlichen bestehen, dass der Verantwortliche seiner Leistungsverpflichtung "dem Stand der Technik" in angemessener Art und Weise nachkommt. 

 

Soweit überblickbar hat noch niemand einen derartigen Anspruch durchgesetzt, und es gibt keien Judikatur dazu. Ein Verfahren müsste mE beim für die Vertragserfüllung zuständigen Zivilgericht oder beim Zivilgericht am Sitz der beklagten Partei (des Verantwortlichen) geführt werdne, und ist mit einem realtiv hohen Kostenaufwand (zB auch Sachverständigenkosten) sowie einem erheblichen Kostenrisiko verbunden. 

 

4. Anzeige des Fehlverhaltens bei der Datenschutzbehörde:

Es steht mE jeder Person frei, einen Verantwortlichen, der die Bestimmungen der DSGVO nicht einhält, bei der zuständigen Verwaltungsstrafbehörde (Datenschutzbehörde) anzuzeigen, und dieser den Sachverhalt zur Kenntnis zu bringen. Die DSB hat dann die Möglichkeit im Rahmen der Befugnisse des Art 58 DSGVO tätig zu werden, und zB ein amtswegiges Prüfungsverfahren einzuleiten und auch Maßnahmen zur Abhilfe von DSGVO-widrigem Verhalten (Anweisungen, Weisungen ...) zu ergreifen. 

 

Vergleichbar wäre das zB mit einem Verfahren, in dem jemand eine andere Person wegen eines Parkvergehens anzeigt, oder wegen einer Verletzung von Bauvorschriften nach der Bauordnung oder Einhaltung der Auflagen bei einer Betriebsanlage. 

 

In diesem Verfahren hat jedoch der "Anzeiger" keine Parteistellung, sondern es ist dann ein amtswegiges Verfahren von Seiten der DSB.

 

 

 

Download
Entscheidung der Datenschutzbehörde
DSB subjektives Recht auf Datensicherhei
Adobe Acrobat Dokument 216.3 KB