Aktuelles zum Datenschutzrecht


 

Beispiel für Datenverarbeitung im Beschäftigungskontext (03.07.2017):

Wer kennt das nicht?

Geburtstagslisten auf dem Schwarzen Brett im Buffet

Hochzeitsgratulation in der Betriebszeitung

Foto des Neugeborenen der Kollegin im Intranet

 

 

Nahezu in jeder Organisation sind Geburtstagslisten beliebt; oft gibt es mehrere Version dieser netten Möglichkeit, über die persönlichen Verhältnisse der anderen MitarbeiterInnen informiert zu werden. Auch die „Information“ – z.B. durch den Betriebsrat in periodisch erscheinenden Zeitungen oder Newslettern – darüber, dass ein Mitarbeiter oder eine Mitarbeiterin geheiratet, ein Baby bekommen hat oder über andere Ereignisse im Privatleben ist in vielen Organisationen gang und gäbe.   

 

Manchmal werden die Listen oder Informationen am Schwarzen Brett ausgehängt oder im Intranet veröffentlicht, um allen die Kenntnisnahme zu ermöglichen. Es kommt auch vor, dass die Listen zentral von der Personalabteilung oder vom Sekretariat ohne Wissen der betroffenen MitarbeiterInnen erstellt werden.

 

 

 

Erhebung und Verwendung von personenbezogenen MitarbeiterInnendaten

 

Aus datenschutzrechtlicher Sicht stellt die Erhebung von personenbezogenen Daten und Verwendung dieser „Geburtstagslisten“ oder Informationen über andere persönliche Verhältnisse eine Verwendung von Daten von MitarbeiterInnen dar.

 

 

 

Datenübermittlung vom Verantwortlichen an andere Empfänger

 

Werden diese Listen so verwendet, z.B. ausgehängt, dass diese auch von Personen außerhalb der eigenen Organisation gesehen werden können, dann kommt es zu einer Datenübermittlung und zwar sogar an einen unbestimmten Personenkreis.

 

 

 

Anwendung der gesetzlichen Reglungen bei der Beurteilung der Zulässigkeit

 

Zweck der Datenverarbeitung

 

Der Zweck der Geburtstagsliste oder einer sonstigen derartigen Liste ist, dass die MitarbeiterInnen im Unternehmen über den Geburtstag und andere private Ereignisse ihrer Kolleginnen und Kollegen informiert werden. Es stellt sich daher die Frage, ob dies ein legitimer Zweck bei der Verarbeitung von personenbezogenen Daten im Beschäftigungskontext sein kann.

 

ErwG 155 DSGVO sowie Art 88 DSGVO beziehen sich auf Datenverarbeitung im Beschäftigungskontext  beschreiben u.a. die Zwecke der Verarbeitung von Daten im Beschäftigungskontext u.a. wie folgt:

 

·         Einstellung & Erfüllung des Arbeitsvertrags

 

·         Erfüllung von durch Rechtsvorschriften oder Kollektivvereinbarungen festgelegten Pflichten

 

·         Managements, der Planung und der Organisation der Arbeit

 

·         Gleichheit und Diversität am Arbeitsplatz

 

·         Gesundheit und Sicherheit am Arbeitsplatz

 

·         Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen

 

·         Beendigung des Beschäftigungsverhältnisses.

 

In diese Kategorien der von der DSGVO vorgesehenen Zwecke der Datenverarbeitung im Beschäftigungskontext wird eine „Geburtstagsliste“ oder sonstige Information über private Ereignisse der MitarbeiterInnen wohl nicht fallen, sodass diese Listen wohl nicht der notwendigen angemessenen Zweckdefinition iSd DSGVO entsprechen werden, und derartige Listen keine Datenverarbeitung von Beschäftigungsdaten nach Treu und Glauben darstellen.

 

 

 

Grundlage für die Rechtmäßigkeit iSd Art. 6 (1) lit a bis f DSGVO

 

Wenn man davon ausgeht, dass die Verwendung derartiger Geburtstagslisten in die angemessene Datenverarbeitung aufgrund eines möglichen notwendigen Zusammenhangs mit dem Arbeitsverhältnis fallen könnte, ist (überdies) eine Grundlage für die Rechtmäßigkeit für die Verarbeitung zu finden, wobei hier die Möglichkeiten des Art 6 (1) lit a bis f DSGVO genutzt werden könnten.  

 

Einen Möglichkeit für die Rechtmäßigkeit könnte die Einwilligung der MitarbeiterInnen gem. Art. 6 (1) lit a DSGVO in die Verwendung der Geburtstagsliste bieten. In diesem Zusammenhang ist darauf hinzuweisen, dass auch die Art. 29 Datenschutzgruppe davon ausgeht, dass die Freiwilligkeit, die für die Einwilligung gefordert wird (siehe ErwG 32, 42, 43 und Art. 4 Z 11, Art. 7 (4) DSGVO) im Arbeitsverhältnis nur sehr schwer erzielt werden kann.   

 

Die anderen Gründe, z.B. Vertragserfüllung, lebenswichtige Interessen der betroffenen Person, Erfüllung einer Rechtspflicht, Erfüllung einer Aufgabe im öffentlichen Interesse oder überwiegend berechtigtes Interesse des Verantwortlichen oder eines Dritten werden für die Realisierung des konkreten Zweckes dieser Listen nicht in Frage kommen.

 

Das Bayerische Landesamt für Datenschutzaufsicht beurteilte derartige Geburtstagslisten (siehe auch 2. Tätigkeitsbericht im Jahr 2014) als unzulässig.

 

 

 

Wie könnte es dennoch gehen, diese Listen zu verwenden?

 

Freiwillige Einwilligung – wie kann diese Vorgabe umgesetzt werden?

 

Ein „workaround“ wäre wohl, dass von der Organisation eine nicht vorausgefüllte Geburtstagsliste oder Zustimmungserklärung zur Bekanntgabe von privaten Ereignissen mit beispielhafter Anführung der Ereignisse (Hochzeit, Geburt eines Kindes …) zur Verfügung gestellt wird. Diese Information bei der Datenerhebung müsste mit einem Hinweis auf die Freiwilligkeit der Zustimmung versehen werden, und es sollte sichergestellt werden, dass die MitarbeiterInnen frei und ohne Sanktionen befürchten zu müssen, entscheiden können, ob sie möchten, dass die konkreten personenbezogenenn Daten im Unternehmen für den konkreten Zweck verwendet (und insbes. anderen MitarbeiterInnen zugänglich gemacht) werden.

 

Die MitarbeiterInnen, die zustimmen möchten, dass ihre Daten verwendet werden, können die Daten eintragen. Es wäre damit sichergestellt, dass eine freiwillige Einwilligung in die Verwendung des personenbezogenen Datums „Geburtstag“ oder der anderen Ereignisse im Privatleben der MitarbeiterInnen durch die natürlichen Personen erfolgt.

 

 

 

Informierte Einwilligung – wie kann das erfolgen?

 

Den MitarbeiterInnen muss auch die Möglichkeit gegeben werden, dass sie sich wieder von der Liste entfernen (lassen) (Widerrufsmöglichkeit) und sie müssen iSd Art. 13 DSGVO u.a. auch über die konkrete Verwendung der Daten (Zweck) informiert werden, und zwar bei der Datenerhebung.

 

Art. 13 DSGVO schreibt vor, dass bei der Erhebung der Daten (dh bei der Eintragung in die „Geburtstagsliste“ oder „Liste privater Ereignisse“ die betroffenen Personen über folgende Sachverhalte zu informieren sind, sofern sie über diese Informationen nicht schon verfügen (Art 13 (4) DSGVO), damit die betroffene Person eine informierte Einwilligung erteilen kann:

 

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personen­bezogenen Daten;
  5. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  6. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  7. wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  8. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  9. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

 

 

 

Wenn Sie noch Fragen zu Verwendung derartiger „Geburtstagslisten“ oder „Listen über Jubiläen und private Ereignisse“ haben, kontaktieren Sie uns; wir beraten Sie gerne bei Fragen des Datenschutz- und Informationstechnologierechts.

 

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.



Videoüberwachung und Beschäftigte - drohen ab 25.05.2018 Geldbußen und Schadenersatz?

 

 

Ob eine Videoüberwachung, bei der auch Bilddaten von Beschäftigten (unbewusst) erfasst werden, einer Betriebsvereinbarung bedarf, ist eine Vorfrage, die von der Datenschutzbehörde im Rahmen des Registrierungsverfahrens (Vorabkontrolle einer Videoüberwachung) zu klären ist.

 

 

 

Hat dies auch nach der DSGVO Auswirkungen auf Videoüberwachungen in Betrieben?

 

 

 

Der VwGH am 23.10.2017: […]obliegt es ausgehend vom dargestellten Zusammenhang der Datenschutzbehörde (bzw. im Beschwerdeverfahren: dem Verwaltungsgericht), im Wege der Vorfragenbeurteilung zu prüfen, ob die gemeldete Datenanwendung gemäß § 96a Abs. 1 ArbVG der Zustimmung des Betriebsrates bedarf und demnach eine Betriebsvereinbarung abzuschließen - und somit auch vorzulegen - ist.

 

 

 

Bilddaten wie etwa Videoaufnahmen sind vom Begriff der personenbezogenen Daten umfasst.

 

 

 

§ 96a Abs. 1 Z 1 ArbVG regelt, dass folgende Maßnahme der Zustimmung des Betriebsrates (im Sinne einer Betriebsvereinbarung) bedarf:

 

 

Die Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen. Eine Zustimmung ist nicht erforderlich, soweit die tatsächliche oder vorgesehene Verwendung dieser Daten über die Erfüllung von Verpflichtungen nicht hinausgeht, die sich aus Gesetz, Normen der kollektiven Rechtsgestaltung oder Arbeitsvertrag ergeben;

Diese Bestimmung stellt nicht auf einen bestimmten, vom Arbeitgeber verfolgten Kontrollzweck der Datenanwendung abstellt. Vielmehr ist auf die objektive Eignung der Anwendung abzustellen. Die nur beiläufige oder zufällige Erfassung von Mitarbeiterdaten als „Nebeneffekt“ der Videoüberwachung verhindert nicht, dass § 96a Abs 1 Z 1 ArbVG anzuwenden ist.

 

 

 

Auch bei den Standardanwendungen SA032 der StMV 2004 muss einen Betriebsvereinbarung iSd § 96 a Abs 1 Z 1 ArbVG um die Rechtmäßigkeit der Videoüberwachung zu gewährleisten.

 

Bemerkenswert ist in diesem Zusammenhang, dass der VwGH nicht auf die Bestimmung des § 96 Abs 1 Z 3 ArbVG eingeht, die wie folgt lautet:

 

 

§ 96. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates:

   

 

 

3.

die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren;

 

 

Dabei geht es ebenfalls um technische System zur Kontrolle der Arbeitnehmer, die die Menschenwürde berühren; bei einer erheblichen Kontrollintensität ist davon auszugehen, dass die Menschenwürde berührt wird, und daher aus diesem Grund eine zwingende Betriebsvereinbarung erforderlich ist.

 

Wenn in einem Betrieb kein Betriebsrat bestehen sollte, dann kann die Notwendigkeit der Betriebsvereinbarung darauf gestützt werden, dass eine Einzelvereinbarung mit den Beschäftigten gem. § 10 Abs 1 AVRAG getroffen wird.

 

 

Was sind die Auswirkungen nach der DSGVO und nach DSG ab dem 25.05.2018?

 

Ab 25.05.2018 ist das Datenverarbeitungsregister, und damit auch die Meldung und Vorabkontrolle von Videoüberwachungen durch die Datenschutzbehörde Geschichte. Die Organisationen trifft eine umfassende Selbstverpflichtung, und es sind sämtliche notwendigen Voraussetzungen nach der DSGVO zu erfüllen und deren Erfüllung auch zu dokumentieren.

 

Der Zweck einer Videoüberwachung ist der Eigentumsschutz.

 

Nach Art 88 DSGVO ist die Datenverarbeitung im Beschäftigungskontext zulässig. Die Mitgliedsstaaten können durch Rechtsvorschriften (Gesetz oder Verordnung) oder Kollektivvereinbarungen (Kollektivverträge oder auch Betriebsvereinbarungen; siehe insbes. ErwG 155) spezifischere Vorschriften als die DSGVO vorsehen.  

 

In Österreich findet sich im (neuen) Datenschutzgesetz folgende Bestimmung:

 

 

Verarbeitung personenbezogener Daten im Beschäftigungskontext

 

§ 11. Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.

 

Sofern daher eine Betriebsvereinbarung iSd ArbVG (und zwar gleichgültig, ob wegen "Berührung der Menschenwürde" gem. § 96 Abs 1 Z 3 ArbVG oder weil die Menschenwürde nicht berührt erscheint gem. § 96a Abs 1 Z 1 ArbVG) nicht vorliegt, ist die Verarbeitung der personenbezogenen Daten der Beschäftigten nicht rechtmäßig, da eine spezifischere Norm der kollektiven Rechtssetzung in Bezug auf die Datenverarbeitung im Beschäftigungskontext verletzt ist.

 

Die Datenverarbeitung ist nicht unzulässig, da sie gegen die Bestimmungen des ArbVG verstößt und im DSG (§ 11) auf das ArbVG verwiesen wird.

 

Weiters sind ab 25.05.2018 die Bestimmungen § 12 f DSG zu beachten, die die Bildverarbeitung regeln, und auch auf den Beschäftigungskontext anzuwenden sind:

 

Bildverarbeitung

Zulässigkeit der Bildaufnahme

§ 12. (1) Eine Bildaufnahme im Sinne dieses Abschnittes bezeichnet die durch Verwendung technischer Einrichtungen zur Bildverarbeitung vorgenommene Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken. Zur Bildaufnahme gehören auch dabei mitverarbeitete akustische Informationen. Für eine derartige Bildaufnahme gilt dieser Abschnitt, soweit nicht durch andere Gesetze Besonderes bestimmt ist.

 

(2) Eine Bildaufnahme ist unter Berücksichtigung der Vorgaben gemäß § 13 zulässig, wenn

1.

sie im lebenswichtigen Interesse einer Person erforderlich ist,

2.

die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat,

3.

sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder

4.

im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.

 

(3) Eine Bildaufnahme ist gemäß Abs. 2 Z 4 insbesondere dann zulässig, wenn

 

1.

sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,

2.

sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder

3.

sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.

 

(4) Unzulässig ist

1.

eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichen Lebensbereich,

2.

eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern,

3.

der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten oder

4.

die Auswertung von mittels Bildaufnahmen gewonnenen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium.

 

(5) Im Wege einer zulässigen Bildaufnahme ermittelte personenbezogene Daten dürfen im erforderlichen Ausmaß übermittelt werden, wenn für die Übermittlung eine der Voraussetzungen des Abs. 2 Z 1 bis 4 gegeben ist. Abs. 4 gilt sinngemäß.

 

 

Besondere Datensicherheitsmaßnahmen und Kennzeichnung

 

§ 13. (1) Der Verantwortliche hat dem Risiko des Eingriffs angepasste geeignete Datensicherheitsmaßnahmen zu ergreifen und dafür zu sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung derselben durch Unbefugte ausgeschlossen ist.

 

(2) Der Verantwortliche hat – außer in den Fällen einer Echtzeitüberwachung – jeden Verarbeitungsvorgang zu protokollieren.

 

(3) Aufgenommene personenbezogene Daten sind vom Verantwortlichen zu löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzlich vorgesehene Aufbewahrungspflicht besteht. Eine länger als 72 Stunden andauernde Aufbewahrung muss verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen.

 

(4) Die Abs. 1 bis 3 finden keine Anwendung auf Bildaufnahmen nach § 12 Abs. 3 Z 3.

 

(5) Der Verantwortliche einer Bildaufnahme hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen, es sei denn, dieser ist den betroffenen Personen nach den Umständen des Falles bereits bekannt.

 

(6) Die Kennzeichnungspflicht gilt nicht in den Fällen des § 12 Abs. 3 Z 3 und für zeitlich strikt zu begrenzende Verarbeitungen im Einzelfall, deren Zweck ausschließlich mittels einer verdeckten Ermittlung erreicht werden kann, unter der Bedingung, dass der Verantwortliche ausreichende Garantien zur Wahrung der Betroffeneninteressen vorsieht, insbesondere durch eine nachträgliche Information der betroffenen Personen.

 

(7) Werden entgegen Abs. 5 keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der Auskunft nach Art. 15 DSGVO gleichzuhalten.

 

 

 

Die Folge eine Videoüberwachung ohne Betriebsvereinbarungen oder Einzelvereinbarung mit den betroffenen Beschäftigten iSd § 10 (1) AVRAG  ist

 

 

Prüfungsarbeiten und Auskunftsrecht

 

Einsicht in Prüfungsergebnisse – Umfang des Auskunftsrechtes nach der DatenschutzRL (RL 95/46) – Entscheidung des EuGH vom 20.12.2017, RS C-434/16

 

 

 

 

 

Die Antworten eines Prüflings und die Anmerkungen des Prüfers stellen personenbezogenen Daten dar, und sind daher im Rahmen des Rechts auf Auskunft zu beauskunften.

 

 

 

 

In dieser Entscheidung nahm der EuGH auch auf die DSGVO Bezug wie folgt:

 

 

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1) gilt ausweislich ihres Art. 99 Abs. 2 ab dem 25. Mai 2018. Gemäß Art. 94 Abs. 1 dieser Verordnung wird die Richtlinie 95/46 mit Wirkung von diesem Datum aufgehoben.

 

Die Verordnung 2016/679 sieht in ihrem Art. 15 („Auskunftsrecht der betroffenen Person“) Folgendes vor:

 

„(1)      Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten …

 

 

(3)      Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …

 

(4)      Das Recht auf Erhalt einer Kopie gemäß Absatz [3] darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“

 

In Art. 23 („Beschränkungen“) der Verordnung 2016/679 heißt es:

 

„(1)      Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 … im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

 

 

e)      den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

 

 

i)      den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

 

…“

Der Sachverhalt vor dem EuGH

 

Herr Nowak war Trainee Accountant (Wirtschaftsprüfer/Steuerberater in Ausbildung) und hatte die Prüfungen des Institute of Chartered Accountants of Ireland […] mit Erfolg abgelegt. Er fiel jedoch durch die Prüfung „Strategic Finance und Management Accounting“ durch. […]

 

Nachdem Herr Nowak im Herbst 2009 zum vierten Mal durch diese Prüfung durchgefallen war, reichte er zunächst eine Beschwerde ein, um ihr Ergebnis anzufechten. Nachdem diese Beschwerde im März 2010 zurückgewiesen worden war, stellte er im Mai 2010 gemäß Section 4 des Datenschutzgesetzes einen Antrag auf Auskunft, der sich auf sämtliche ihn betreffenden und im Besitz der CAI befindlichen personenbezogenen Daten bezog.

 

Die Prüfungsstelle verweigerte die Herausgabe der Prüfungsarbeit, und Herr Nowak wandte sich an den Datenschutzbeauftragten, und auch dieser vertrat die Ansicht, dass die Prüfungsarbeit keine personenbezogenen Daten beinhalte. Herr Nowak wandte sich an das Gericht, aber auch dies war derselben Ansicht und Herr Nowak ging durch alle Instanzen bis zum Supreme Court, der u.a. die folgenden Frage dem EuGH vorlegte:

 

Können Informationen, die von einem Prüfling in einer berufsbezogenen Prüfung in seiner Antwort bzw. als Antwort aufgezeichnet wurden, personenbezogene Daten im Sinne der Richtlinie 95/46 darstellen?

 


Die Rechtsansicht des EuGH:

 

Es stellt sich die Frage, ob im Rahmen der DS-RL (RL 95/46) „die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu „personenbezogene Daten“ […] darstellen.

 

Die Frage vor dem EuGH war, ob die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 darstellen. Durch die Verwendung des Ausdruckes „alle Informationen“ ist klargestellt, dass der Begriff „weit“ auszulegen ist. Der Begriff ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Es ist ausreichen, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist.

 

Der EuGH kommt zum Schluss, dass „die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung Informationen darstellen, die aufgrund ihres Inhalts, ihres Zwecks und ihrer Auswirkungen Informationen über diesen Prüfling darstellen.“ Auch „die Anmerkungen des Prüfers zu den Antworten des Prüflings“ sind „Informationen über den betreffenden Prüfling“, wobei es keinen Unterschied macht, dass „diese Anmerkungen zugleich Informationen über den Prüfer darstellen.“

 

Der EuGH hat erklärt, dass das Recht auf Auskunft und Berichtigung auch in Bezug auf die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu gerechtfertigt sein können.

 

Der EuGH hat Weiters festgehalten, dass die Rechte auf Auskunft und Berichtigung nach Art. 12 Buchst. a und b der Richtlinie 95/46 nicht auf Prüfungsfragen erstrecken, die als solche keine personenbezogenen Daten des Prüflings darstellen.        

 

 

 

noyb.eu

 

Investieren Sie in Datenschutz - unterstützen Sie noyb.eu mit Sach- oder Geldspenden ...

 

 

 

Datenschutz in der digitalen Welt und auch außerhalb davon wird immer wichtiger.

 

Die DSGVO allein und die Handhabung durch die Organisationen kann uns nicht schützen, auch wenn darin hohe Anforderungen an Dokumentation und Compliance gestellt werden, und bei Verletzungen Geldbußen und auch Schadenersatz drohen.

 

Max Schrems hat gemeinsam mit Petra Leupold, Christof Tschohl und einigen anderen Personen einen Verein gegründet, der sich um die Durchsetzung von digitalen Rechten der Menschen in der EU kümmern wird. Der Verein ist international vernetzt, und wird nicht nur in Österreich tätig werden. 

 

Die Finanzierung erfolgt über Spenden, und jede/r kann die Tätigkeit von noyb.eu unterstützen. Das Finanzierungsziel von EUR 250.000,-- ist bis dato (Ende Dezember 2017) noch nicht erreicht. 

 

Investieren Sie in Datenschutz --- Invest in Privacy --- www.noyb.eu