Dr. Mag. Thomas Schweiger, LL.M., CIPP/E

zertifizierter Datenschutzbeauftragter (DATB, TÜV, Austrian Standards)

Rechtsanwalt, Partner der Kanzlei SMP Schweiger Mohr & Partner Rechtsanwälte OG (Linz)


·   CIPP/E, zertifizierter Datenschutzbeauftragter (DATB, TÜV, Austrian Standards)

      Certified International Privacy Professional Europe - IAPP (International Arbitration of Privacy Professionals)
zertifizierter Datenschutzbeauftragter (DATB) - WIFI
zertifizierter Datenschutzbeauftragter (TÜV)
zertifizierter Datenschutzbeauftragter (Austrian Standards)

 

·   Fachanwalt Informationstechnologierecht / Deutsche Anwaltakademie

      2007: Lehrgang Fachanwalt Informationstechnologierecht (Fachanwalt IT-Recht); da die Tätigkeit nicht in D ausgeübt wird kann der Titel nicht geführt werden

·    Dr. Iur./ Johannes Kepler Universität Linz
Doktoratsstudium der Rechtswissenschaften Dr. Iuris: 27. April 2006 Thema: „Die Regeln der Internationalen Schiedsgerichte in Wien, Bratislava, Budapest und Prag im Rechtsvergleich“ in englischer Sprache

·    Master of Laws/ Duke University School of Law, Durham, North Carolina, U.S.A.
Teilnahme am LL.M. Programm im Studienjahr 1995/96 Graduierung: am 8. Mai 1996

·   Course-Participant / Summer Institute in Transnational Law, Brüssel, Belgien
Duke University & Universite Libre Bruxelles
(Vergleichendes Wettbewerbsrecht, Gesellschaftsrecht, Verhandlungsführung und Schlichtungswesen)

·    Rechtsanwaltsanwärter
Wirtschaftsanwaltskanzlei in Linz

·    Praktikum
ICON Wirtschaftstreuhand GmbH im Bereich der Wirtschaftsprüfung und Steuerberatung
(Absolvierung des Buchprüferkurses, Steuererklärungen, Umgründungsbegleitung, Wirtschaftsprüfung)

 

·    Rechtspraktikant / Gerichtsjahr (Nov 1993 bis Juli 1994)
Bezirksgericht (Abteilung Zivilsachen) und Landesgericht Linz (Arbeits- und Sozialgericht

 

·    Mag. Iur. / Johannes Kepler Universität Linz

      WS 1990/91 bis WS 1993/94, Diplomstudium Rechtswissenschaften Studienbeginn Oktober 1990, Sponsion zum Mag. Iur. am 19. November 1993 (nach 6 Semestern)

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.



Entscheidung der DSB

 

 

Die Datenschutzbehörde hat in einem Verfahren, das vor dem 25.05.2018 begonnen wurde, ein Auskunftsrecht gem. Art 15 DSGVO bejaht, und das DSG (idF ab 25.05.2018) sowie die DSGVO angewendet.

 

 

 

 

 

Mit erstinstanzlichem Bescheid (soweit überblickbar nicht rechtskräftig) vom 21.6.2018 hat die DSB eine erste Entscheidung zum Auskunftsbegehren gefällt.

 

 

 

1. Anwendbarkeit der DSGVO

 

Die DSB hat trotz der Tatsache, dass sich der Sachverhalt vor dem Geltungsbeginn der DSGVO ereignet hat, und die Auskunftsanfrage des Beschwerdeführers bereits im Jahr 2017 an die Bank gestellt wurde, und auch das Verfahren vor der DSB vor dem 25.05.2018 begonnen hatte, die Entscheidung auf Basis der DSGVO, insbes. des Art 15 DSGVO gefällt.

 

Nach Ansicht der DSB ist – mangels Übergangsfrist in § 69 DSG – die Rechtslage zum Zeitpunkt der Entscheidung anzuwenden. Die DSB verweist darauf, dass sowohl nach der Rechtslage vor dem 25.05.2018 als auch nach der Rechtslage nach dem 25.05.2018 dem Beschwerdegegner die Möglichkeit gegeben gewesen wäre, die Auskunft bis zum Ende des Verfahrens „nachzuholen“, und es nicht darauf ankommt, was an einem bestimmten Stichtag oder in einem konkreten Zeitraum rechtens war.

 

„Die Berufungsbehörde hat zwar im Allgemeinen das im Zeitpunkt der Erlassung ihres Bescheides geltende Recht anzuwenden. Eine andere Betrachtungsweise wird aber insbesondere dann Platz zu greifen haben, wenn darüber abzusprechen ist, was an einem bestimmten Stichtag oder in einem konkreten Zeitraum rechtens war. Im vorliegenden Fall kommt es auf die Abgabe einer Prozesserklärung in einer bestimmten Lage des Baubewilligungsverfahrens an. Um die Wirkungen der Präklusion zu verhindern, hatten die Berufungswerber die für ihre Parteistellung im Baubewilligungsverfahren maßgeblichen materiell-rechtlichen und formalrechtlichen Bestimmungen zu beachten. Für die Beurteilung der Frage, ob den Berufungswerbern im vorliegenden Fall Parteistellung und damit die Legitimation zur Erhebung einer Berufung zukam, hatte die Berufungsbehörde demnach von der im Zeitpunkt der Bauverhandlung geltenden Rechtslage auszugehen (vgl. zum Ganzen VwGH 26.4.2000, 99/05/0239, mwN).“ (RS Fe 2016/06/0001)

 

 

 

Diese Meinung der DSB teile ich nicht. Die Rechtslage nach § 26 DSG und nach Art 15 DSGVO sind mE doch unterschiedlich.

 

Art 15 Abs 3 DSGVO normiert ein Recht auf Datenkopie, und nach der Rspr. der DSB ergibt sich aus § 26 Abs 1 DSG 2000 „kein Recht auf Einsicht in Daten, sondern immer nur ein Recht auf schriftliche Auskunft über eine Person betreffende Daten (VwGH, E 23.05.2005, 2003/06/0021 RS1).

 

Diese Unterscheidung kann mE auch für den vorliegenden Sachverhalt wesentlich sein, denn eine Information darüber, dass bestimmte Dateninhalte und auch Datenarten von einem Auftraggeber (iSd DSG 2000) verarbeitet werden/wurden, und ein Anspruch auf Erhalt einer Kopie der Daten (eingeschränkt um die Rechte und Freiheiten anderer Personen (Art 15 Abs 4 DSGVO) kann unterschiedlich zu beurteilen sein.

 

 

 

2. Subsidiarität des Auskunftsbegehrens

 

Die DSB legt dar, dass in Art 15 DSGVO keine dem § 26 Abs 6 DSG 2000 vergleichbare Bestimmung enthalten ist. Eine etwaige Einschränkung des Auskunftsrechtes ist daher ausschließlich im Rahmen des Art 23 DSGVO zulässig und in dessen Rahmen zu beurteilen. Die DSB geht (erfreulicherweise) davon aus, dass allgemeine Einschränkungen von Betroffenenrechten möglich sind, kommt aber zum Ergebnis, dass das ZaDiG 2018 das Auskunftsrecht nicht beschränkt, da im ZaDiG kein spezielles Auskunftsrecht normiert ist.

 

 

 

3. Umfang der datenschutzrechtlichen Auskunft

 

Die DSB kommt zu folgender differenzierten Schlussfolgerungen:

 

„Der Beschwerdeführer kann das Recht auf Auskunft geltend machen, um die ihn betreffende Datenverarbeitung zu überprüfen.

 

Da Zahlungsbelege üblicherweise weit mehr als personenbezogene Daten der betroffenen Person, in diesem Fall des Beschwerdeführers, beinhalten, kann das datenschutzrechtliche Auskunftsrecht auch nur so weit gehen, als, dass es dem Zweck der Überprüfung der Rechtmäßigkeit der Datenverarbeitung entspricht (vgl. das Urteil des EuGH vom 17. Juli 2014 in den verbundenen Rechtssachen C-141/12 und C-372/12).

 

Die Beschwerdegegnerin hat daher den Beschwerdeführer betreffende personenbezogene Daten dem Auskunftsbegehren folgend, unter Berücksichtigung der Einschränkung des Art. 15 Abs. 4 DSGVO, offenzulegen.“

 

Ein „absolutes“ Recht, eine Datenkopie zu erhalten, und im konkreten Fall Zahlungsbelege „zu beauskunften“ gibt es nicht.

 

Es geht ausschließlich um die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung und die Grenze sind die Rechte und Freiheiten anderer Personen iSd Art 15 Abs 4 DSGVO. Das Auskunftsrecht geht nur so weit, als es dem Zweck der Überprüfung der Rechtmäßigkeit der Datenverarbeitung entspricht (vgl. das Urteil des EuGH vom 17. Juli 2014 in den verbundenen Rechtssachen C-141/12 und C-372/12).

 

Es wird daher mE ausreichend sein, zu beschreiben, welche konkreten Daten in den Zahlungsbelegen verarbeitet werden, und zwar in Bezug auf die Daten der betroffenen Personen.

 

 

 

4. Schikaneverbot / Exzessivität

 

Die DSB beschäftigt sich mit der Exzessivität eines Auskunftsersuchens, und bezieht sich dabei ausschließlich auf eine „zeitliche“ Komponente und Art 12 Abs 5 lit a und b DSGVO und die Möglichkeit bei offensichtlich unbegründeten und exzessiven Auskunftsersuchen Kosten vorzuschreiben und/oder die Auskunft zu verweigern.

 

Nach Ansicht der DSB muss eine „gewisse Intensität“ vorliegen, die es unzumutbar machen würde, das Auskunftsrecht gegen sich gelten lassen zu müssen.

 

Beim erstmaligen Auskunftsersuchen und Verlangen um Auskunft bezüglich Daten, die für den Auskunftswerber im ELBA nicht mehr einsichtig sind, wurde die Exzessivität von der DSB verneint.

 

 

 

Diese Entscheidung der DSB ist in unterschiedlicher Hinsicht bedeutsam, und zwar insbes in Bezug auf die zeitliche Komponente (siehe oben 1.), wobei ich mit der Meinung der DSB über die Anwendung der DSGVO auf den vorliegenden Sachverhalt, der sich vor Geltungsbeginn der DSGVO ereignet hat, nicht konform gehe, insbes da es sich auch um Daten handelt, die vor dem Geltungsbeginn der DSGVO liegen (letzten fünf Jahre vor Auskunftsersuchen). Die Rechtslage ist nicht identisch, sodass die Aussage der DSB, die letztendlich darauf abzielt, dass es keinen Unterschied macht, ob ein Auskunftsersuchen nach dem DSG 2000 oder nach dem DSG bzw. der DSGVO zu beurteilen ist, mE nicht richtig ist.

 

Bedeutsam ist auch, dass mE klargestellt wurde, dass es keinen absoluten Auskunftsanspruch auf Zahlungsbelege gibt, sondern dieser jedenfalls durch Art 15 Abs 4 DSGVO sowie auch den Zweck des Auskunftsanspruches (Überprüfung der Rechtmäßigkeit der Datenverarbeitung) eingeschränkt wird.

 

Insbes ist mE auch die Judikatur der DSB zu berücksichtigen, die judiziert, die unter Bezugnahme auf den Verwaltungsgerichtshof:

 

Aus § 26 Abs. 1 DSG 2000 ergibt sich kein Recht auf Einsicht in Daten, sondern immer nur ein Recht auf schriftliche Auskunft über eine Person betreffende Daten (VwGH, E 23.05.2005, 2003/06/0021 RS1).

 

 

 

mehr lesen

Ärzte & Informationspflicht

 

 

Ärzte müssen Patienten nicht nach Art 13 und 14 DSGVO informieren.

 

 

§ 3b Abs 2 ÄrzteG idF des 2. Materien-Datenschutz-Anpassungsgesetz (BGBl I 37/2018 vom 14.06.2018) legt u.a. fest, dass Ärzte ihre Patienten nicht iSd  Art 13 und 14 DSGVO zu informieren haben.

 

mehr lesen

CRM-Systeme: nicht nur ein Thema des Jahres 2018

mehr lesen