Die DSB hat in einem Bescheid (rechtskräftig) vom 21.02.2019 (DSB-D123.311/0003-DSB/2019) entschieden, dass das Bundeskanzleramt (als Hilfsapparat des Bundesministeriums für Tourismus und Nachhaltigkeit) im Rahmen der Anmeldung bei der Veranstaltung „Europe’s Transformation: Where People Matter“ im November 2018 die Informationspflicht der DSGVO nicht ausreichend erfüllt und auch keine gültige Einwilligung eingeholt hat. Die Daten wurden daher rechtswidrig verarbeitet und das BKA hat das Grundrecht auf Geheimhaltung (§ 1 Abs 1 DSG) verletzt.
Der Sachverhalt
Um die Konferenz besuchen zu können, musste sich jede Person anmelden, und einen Akkreditierungsprozess durchlaufen.
Der Beschwerdeführer brachte u.a. vor:
„Dieser umfassende Prozess verletze jedoch die DSGVO in mehrfacher Hinsicht: Die Erteilung von Informationen über die Datenverarbeitung durch den Beschwerdegegner erfolge zu spät, weil die Informationen erst am Ende des Registrierungsprozesses erteilt würden. Zu diesem Zeitpunkt müsse der Nutzer bereits zwei Mal personenbezogene Daten angeben, weshalb Art. 13 DSGVO verletzt sei. Auch sei ein Verstoß gegen Art. 13 Abs. 2 DSGVO darin zu erkennen, dass die betroffenen Personen nicht darüber informiert würden, welche Folgen die Nichtbereitstellung der abgefragten Daten bzw. der Widerruf der Einwilligung habe. Darüber hinaus sei es nicht möglich an der Konferenz teilzunehmen, ohne in die Datenverarbeitung einzuwilligen, weil keine andere Form der Einwilligung vorgesehen sei. Der Beschwerdegegner verstoße daher gegen Art. 7 Abs. 1 sowie Art. 6 DSGVO. Darüber hinaus seien die vom Beschwerdegegner bereitgestellten Informationen über die Datenübermittlungen intransparent und erfolgten offenbar ohne erkennbare Rechtsgrundlage (Art. 6, 12 und 13 DSGVO).“ (Auszug aus dem Bescheid)
Die Reaktion des Veranstalters
Es wurde umgehend reagiert, und es wurde unverzüglich veranlasst, die Informationen bereits auf der „ersten Seite der Eingabemaske für die Erstellung des Registrierungsaccounts im Zuge des Akkreditierungsprozesses einzufügen. Damit sei sichergestellt, dass bei Erstanmeldung in diesem System noch vor Eingabe der Daten, die Information über Datenverarbeitungsvorgänge“ erfolgt.
Auch der Zweck, nämlich Registrierung im Akkreditierungsprozess, wurde klar umschrieben.
Im Zuge des Verfahrens hat der Beschwerdeführer jedoch vorgebracht, dass keine Übermittlungsempfänger (zB Sicherheitsbehörde oder „conference organisers“; Bundesministerium für Inneres) bekanntgegeben werden. Auch fehlen die Angaben zur Dauer der Verarbeitung der Daten (Art 13 Abs 2 lit a DSGVO).
Auch das Fehlen einer Rechtsgrundlage hat der Beschwerdeführer bemängelt.
Die Einwilligung als Grundlage?
Der Verantwortliche verlangte von den Personen, die sich angemeldet haben, eine „Einwilligung“:
- By providing and transmitting my data, I give my consent in accordance with § 8 para. 1 subpara 2 DSG 2000 and in accordance with Article 6 para 1 (a) GDPR and § 1 para 2 of the Data Protection Amendment Act 2018, that my data may be used and transferred as described above. I am entitled to withdraw my consent at any time and without giving a reason. To do so, I need to inform the Federal Chancellery of Austria of my intention to withdraw my consent.
und argumentierte dann im Verfahren dann „dass die Verarbeitung der verlangten personenbezogenen Daten aus organisatorischen, insbesondere aber auch aus sicherheitspolizeilichen Gründen zwingend erforderlich sei.“
Einwilligung vor Verarbeitungsbeginn und in informierter Weise
Die Einwilligung muss vor Beginn der Verarbeitung eingeholt werden und die betroffene Person muss vor derselben über die Konsequenzen derselben informiert werden, wobei sich inhaltlich der Verantwortliche an den Art 12 ff. DSGVO bezüglich der Einwilligung orientieren kann.
„Die rechtliche Wirksamkeit einer datenschutzrechtlichen Einwilligung hängt u.a. davon ab, dass diese vor Beginn der Verarbeitung der personenbezogenen Daten, für die die Einwilligung benötigt wird, durch den Verantwortlichen eingeholt wird (vgl. u.a. Knyrim, DatKomm, Art. 7, Rz 16, mwN). Damit der Betroffene die Konsequenzen seines Handelns absehen kann, muss die Einwilligung informiert erfolgen (vgl. Art. 4 Z 11 leg. cit.). Daraus folgt, dass der Verantwortliche den Einwilligenden vor der Einwilligung umfassend über diese und dessen Auswirkungen aufzuklären hat. Der Inhalt der Information muss sich am Einzelfall orientieren und dem Nutzer alle für ihn diesbezüglich relevanten Informationen offenbaren. Inhaltlich kann sich der Verantwortliche allgemein an den in Art. 12 ff. genannten Vorgaben der Informationspflichten orientieren. Insbesondere die Informationsvorgaben aus Art. 13, 14 DSGVO sind für eine hinreichend transparente Informierung für den Betroffenen bereitzuhalten (vgl. Ehmann/Selmayr, aaO, Art. 7, Rz. 40).“
Eine Einwilligung hat freiwillig zu erfolgen, sonst ist diese nicht wirksam bzw. ungültig, und kann nicht als Rechtsgrundlage herangezogen werden. Die Wahlfreiheit der betroffenen Person ist beachtlich, wobei insbes. bei Behörden von einem Ungleichgewicht zwischen den Beteiligten (Behörde und natürliche Personen) auszugehen ist.
Wenn eine betroffene Person keine echte Wahl hat, und in die Verarbeitung der Daten „einwilligen muss“, damit sie eine Leistung in Anspruch nehmen kann, dann ist die Einwilligung nicht freiwillig.
Die DSB drückt dies wie folgt aus:
„Darüber hinaus ist das Bestehen einer Wahlfreiheit zu prüfen, wobei diese dann zu verneinen ist, wenn in Anbetracht aller Umstände des Einzelfalls nicht anzunehmen ist, dass die Einwilligung freiwillig gegeben wurde. Besaß der Betroffene keine echte Wahl, da er anderenfalls Nachteile zu befürchten hatte, stellt die Einwilligung keine gültige Grundlage für die Datenverarbeitung dar. Eine Wahlfreiheit ist beispielsweise nicht anzunehmen, wenn zu verschiedenen Verarbeitungsvorgängen nur die Möglichkeit einer pauschalen Einwilligungserteilung und nicht die Möglichkeit gesonderter Einwilligungen besteht, obwohl dies im Einzelfall angebracht wäre.“
Da die betroffene Person nicht in Kenntnis aller Umstände der Verarbeitung der Daten war, insbes. auch weil die Daten bereits vor der Einwilligung verarbeitet werden, wurde die Einwilligung von der DSB als ungültig eingestuft.
Auch wurde die betroffene Person vor der Einwilligung nicht vollständig iSd Art 13 DSGVO informiert. „Insbesondere bei der Ersteingabe der personenbezogenen Daten, die zur Zusendung des Registrierungslinks geführt haben, konnte dem Beschwerdeführer zu diesem Zeitpunkt der Umfang und die Tragweite seiner (allenfalls konkludenten) Einwilligung nicht bewusst sein.“
Die DSB kommt daher zum Schluss, dass keine gültige Einwilligung vorliegt, und die Daten unrechtmäßig verarbeitet werden.
Kann sich der Verantwortliche hilfsweise auf eine gesetzliche Grundlage stützen?
Der Verantwortliche stütze sich auch auf sicherheitspolitische (gesetzliche) Grundlagen für die Datenverarbeitung. In diesem Zusammenhang verweist die DSB darauf, dass die Daten für den Zweck erforderlich sein müssen, und sich der Verantwortliche auf das notwendige Maß beschränken muss und die Daten nicht über den Zweck hinaus verarbeiten darf (Zweckbindung im engeren Sinn).
Die DSB kommt zum Schluss, dass der Verantwortliche mehr Daten verarbeitet hat, als für den Zweck erforderlich waren. „Im Akkreditierungssystem wurde kein Unterschied gemacht, ob es sich um Veranstaltungen mit oder ohne Sicherheitsüberprüfung handelt. Unabhängig davon, dass der Beschwerdegegner die Rechtmäßigkeit der Datenverarbeitung daher primär auf die Einwilligung des Beschwerdeführers gestützt hat, konnte auch aus einer allfällig gesetzlichen Ermächtigungsgrundlage die Rechtmäßigkeit der Datenverarbeitung nicht abgeleitet werden.“
Fazit:
Nicht nur die Auswahl der Rechtsgrundlage ist eine kritische Entscheidung für jeden Verantwortlichen, sondern insbes. dann, wenn sich der Verantwortliche auf die (freiwillige, informierte, vor der Verarbeitung abzugebende, jederzeit widerrufliche) Einwilligung verlassen will, muss er den betroffenen Personen die notwendigen Informationen zur Verfügung stellen, damit diese erkennen können, welche Konsequenz die Einwilligung haben wird.
2.8.2019, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben