Am 14.04.2020 hat die DSB den aktuellen Newsletter per E-Mail versandt.
Auf der Website der DSB wird er in Kürze verfügbar sein. Hier unsere Anmerkungen dazu.
Folgende Themen werden behandelt:
1.Verwarnung statt Strafen?
Unter dem Titel „Die Anwendbarkeit des § 11 DSG – Muss die Datenschutzbehörde bei erstmaligen Verstößen verwarnen statt strafen“ stellt Mag. Ali Zanjani die Rechtslage dar und verweist auch auf eine aktuelle Entscheidung des BVwG.
Sowohl die DSB als auch das BVwG (nicht rechtskräftig, W2217212-1/9E, nicht veröffentlicht) kommen zum Schluss, dass durch § 11 DSG die Befugnisse der DSB, die sich aus Art 58 Abs 2 lit b DSGVO ergeben, und darin münden, dass der Aufsichtsbehörde Ermessen in Bezug auf die Verhängung von Sanktionen und auch Geldstrafen eingeräumt wird, nicht im Sinne eines „gebundenen Ermessens“ durch § 11 DSG beschränkt wird.
Die DSB ist in der Ausübung des Ermessens nicht gebunden. Auch bei erstmaligen Verstößen kann eine Geldstrafe verhängt werden. Die DSB hat von diesem Ermessen auch bereits Gebrauch gemacht.
2.Judikatur der DSB
2.1. Frei zugänglicher Patientenbogen mit Diagnose/Medikation verletzt das Recht auf Geheimhaltung (DSB 16.01.2020, DSB-D213.815/0002-DSB/2019)
Ein Patient füllte ein Patientenblatt mit Angaben zum Gesundheitszustand und Medikation bei einem Arzt aus. Einige Tage späte wurde er von einem Kollegen informiert, dass das Patientenblatt „offen herumliegen“ würde. Im Verfahren bei der DSB stellte sich heraus, dass eine Mitarbeiterin des Arztes Unterlagen, und damit auch das Patientenblatte des Beschwerdeführers so auf ihrem Schreibtisch liegen hatte lassen, dass es anderen (unbefugten) Personen möglich war, diese Unterlage zu lesen.
Ein Zugang (Zugriff) unbefugter Personen führte daher zur Offenlegung von besonders geschützten Daten, nämlich Gesundheitsdaten des Beschwerdeführers. Die „Daten“ waren nicht zugangsbeschränkt, denn die Mitarbeiterin des Arztes hatte - bei kurzfristiger Abwesenheit vom Arbeitsplatz – nicht dafür gesorgt, dass die Unterlagen nicht einsehbar waren.
Datenschutz beginnt nicht dann, wenn Daten in elektronischer Form verarbeitet oder verfügbar sind. Auch Daten, die auf Ausdrucken stehen, sind vor den Blicken unbefugter Personen zu schützen. Die „Zugriffskontrolle“, die in den technischen und organisatorischen Maßnahmen (siehe auch Art 32 DSGVO oder in § 54 DSG, der zwar auf die „private Datenverarbeitung“ keine Anwendung findet, aber eine gute Guideline darstellt) definiert wird, betrifft nicht nur die mittels Automatisierung verarbeiteten Daten, sondern auch „Papierdaten“, die „herumliegen“.
Auch bei Papierdaten ist die „Ablage“ so zu strukturieren, dass unbefugte Personen keinen Zugriff darauf haben; die Einsichtnahme von unbefugten Personen in Papierdaten, die personenbezogene Daten beinhalten, führt zu einer Verletzung des Rechts auf Geheimhaltung (§ 1 DSG).
2.2. Posten von Bildmaterial von Polizisten bei einer Amtshandlung
In einer (nicht rechtskräftigen) Entscheidung der DSB vom 28.02.2020 (DSB-D123.685/0009-DSB/2019) befasste sich die DSB mit Bilddaten, die von Amtshandlungen von Polizisten auf Sozialen Medien veröffentlicht wurden.
Das Recht auf freie Meinungsäußerung und das Recht auf Geheimhaltung mussten abgewogen werden. Organe des Öffentlichen Sicherheitsdienstes wurden während einer Amtshandlung gefilmt, und das Bildmaterial in Sozialen Medien veröffentlicht.
Die Beschwerdegegner hatten es im konkreten Fall „übertrieben“, denn sie stellten nicht nur einem Film der Amtshandlung online (freie Meinungsäußerung), sondern stellten auch eine Polizistin mittels eines Filters mit Hasenohren und Hasennase dar. Das Bild wurde mit anzüglichem Text und sexualisierten Emojis versehen. Diese Veröffentlichung stellte daher keinen geeigneten Beitrag zu einer Debatte von öffentlichem Interesse dar.
2.3. Führerschein und Bankomatkarte per What´s App versendet
Eine weitere (nicht rechtskräftige) Entscheidung vom 3.1.2020 (DSB-D124.0190/0005-DSB/2019) thematisierte die DSB den Messenger-Dienst What´s App.
Eine betroffene Person hatte nicht genug Bargeld dabei, um das Taxi zu bezahlen. Der Taxiunternehmer fertige (ohne Einwilligung) der betroffenen Person ein Foto vom Führerschein und der Bankomatkarte an. Dabei leitete er die Fotos zumindest an eine Person per Whats´s App weiter.
Weder das Anfertigen des Fotos noch die Datenübermittlung waren rechtmäßig.
Die Verarbeitung hätte einer Rechtsgrundlage bedurft. Eine Einwilligung lag nicht vor und die Verarbeitung erfolgte auch nicht im lebenswichtigen Interesse des Betroffenen. Die DSB verneinte auch eine Verarbeitung im (überwiegenden) berechtigten Interesse (Art 6 Abs 1 lit f DSGVO) des Taxiunternehmers, da nach ihrer Ansicht das Anfertigen des Fotos und das Weiterleiten unverhältnismäßig war. Es lag ein Verstoß gegen den Grundsatz der Datenminierung (Art 5 Abs 1 lit c DSGVO) vor.
Kommentar von dataprotect:
Die Entscheidung ist noch nicht rechtskräftig und auch unveröffentlicht.
- Es ist wohl anzunehmen, dass die DSB auf dem Standpunkt steht, dass auch „gelindere Mittel“ hätten angewendet werden können, zB hätte der Taxiunternehmer den Namen und die Adresse der betroffenen Person sowie die Kontoverbindung auf einem Zettel notieren können; einer Verarbeitung als Bild (Foto) hat es nicht bedurft, um das angestrebte Ziel zu erreichen.
- Die „Herausgabe“ der Bankomatkarte und des Führerscheins an den Taxiunternehmer, die mit großer Wahrscheinlichkeit freiwillig von der betroffenen Person erfolgte, stellt offensichtlich keine ausreichend „Einwilligung“ iSd Art 7 DSGVO dar.
2.4. Datenweitergabe von Mieterdaten durch Hausverwaltung
Eine (für die Immobilienbranche) erfreuliche Entscheidung der DSB vom 20.02.2020 (DSB-2020-0.059.515 (D124.1579)) betrifft die Frage, ob eine Hausverwaltung Daten über Mieter weitergeben darf. Die DSB ist erfreulicherweise der Ansicht, dass dies zulässig sein kann.
Eine Hausverwaltung gab Daten eines Mieters an einen Subdienstleister zur Durchführung von Konfliktlösungsmaßnahme weiter; dieser Mieter, der die Beschwerde über ein ungebührliches Verhalten eines anderen Mieter bei der Hausverwaltung gemeldet hatte, war davon informiert, sprach sich aber dagegen aus, dass seine Daten.
Die Hausverwaltung gab die Daten weiter. Der Sub-Dienstleister (Konfliktlöser) kontaktierte den Mieter, der den Vorfall gemeldet hatte, und der Mieter beschwerte sich bei der DSB und erachtete sich in seinem Recht auf Geheimhaltung verletzt.
Die Weitergabe der Daten war gesetzlich gedeckt. In einem Landesgesetz ist geregelt, dass die Hausverwaltung und der Subdienstleister für die Erhebung eines Sachverhaltes bezüglich der Gewährleistung des friedlichen Zusammenlebens und der raschen Konfliktlösung berechtigt sind, einander Auskünfte zu erteilen bzw. in diesem Zusammenhang personenbezogene Daten der Mieterinnen und Mieter auszutauschen.
Kommentar von dataprotect:
Die Entscheidung ist noch nicht rechtskräftig und auch unveröffentlicht.
Aus dem Newsletter der DSB ist nicht konkret ersichtlich, in welchem Bundesland sich der Sachverhalt abgespielt hat. Unsere Recherchen haben ergeben, dass zB im Wiener Wohnungssicherungsgesetz eine Regelung enthalten ist, die einen derartigen Datenaustausch bei der Hausverwaltung „Wiener Wohnen“ erlaubt.
3.Entscheidungen von Gerichten
Die DSB erwähnt im Newsletter auch die Entscheidung des OLG Innsbruck zum Schadenersatzanspruch gegen die Österreichische Post AG, die im dataprotect-Blog bereits behandelt wurde.
Nach dieser Entscheidung steht dem Kläger kein Schadenersatz gegen die Post zu, obwohl diese die Parteiaffinitäten des Klägers ohne Rechtsgrundlage verarbeitet hatte.
14.04.2020, Autor:
Michael Schweiger, zert DSBA
Kommentar schreiben