B2B-Projekte für Finanz- und Versicherungsbranche Mag. Günter Wagner
Counter / Zähler
Direkt zum Seiteninhalt

Womit beschäftigte sich die Behörde? Verfahren? Urteile?

B2B-Newsletter > 2018 - Archiv > NL 10/18
Kennen Sie das Urteil der DSB zur maximalen Speicherdauer?
 
Die Datenschutzbehörde, DSB legte ein interessantes Urteil zur maximalen Speicherdauer personenbezogener Daten vor. Doch was bedeutet dieses Urteil für Ihre tägliche Praxis, wenn es allgemeine Gültigkeit erlangt?  

Mag. Stephan Novotny, Foto Stephan HugerUm das zu klären, baten wir den auf Versicherungsrecht und die DSGVO spezialisierten Rechtsanwalt Mag. Novotny um seine rechtliche Einschätzung. Wie sollten Sie sich künftig verhalten? Sollte für die Finanz- und Versicherungsbranche eine andere Speicherdauer gelten? Seinen Input finden Sie unten anbei.
 
Womit beschäftigte sich die Datenschutzbehörde in den ersten 6 Monaten sonst noch?
Es sollen rund 900 Verfahren bei der DSB eingeleitet worden sein. Zu welchen Verfehlungen? Mit welchen Strafen? Mehr dazu unten anbei.

Ein ergänzender Nachschlage-Tipp:
Praxishandbuch „Das österreichische Versicherungsvermittlerrecht“
Im Sommer in 10. Auflage erschienen.
Die Umsetzung der DSGVO im Finanz- und Versicherungsmarkt nimmt darin einen großen Raum ein. Details dazu finden Sie hier…
Das Inhaltsverzeichnis können Sie hier herunterladen…
Vorige Woche schlagzeilte DER STANDARD „Bislang vier Strafen wegen DSGVO-Verstößen seit Mai. 59 Prozent aller heimischen Unternehmen sollen immer noch bei der Umsetzung hinterherhinken.“
 
Wer nur die Überschrift las, hat sich wohl entspannt in den Sessel zurück fallen lassen und sich bestätigt gefühlt, das Thema zu ignorieren. Motto: Steht sich doch nicht dafür, dass ich mich mit dem Thema weiterhin beschäftige. Diese Einschätzung wird auch dadurch bestärkt, dass Österreich in seiner nationalen Umsetzung der DSGVO die Strafdrohungen merklich entschärft hat (wir erinnern uns an das Motto: „Mahnen statt strafen“). Zwar halten namhafte Juristen diese Vorgehensweise als bedenklich / für unzulässig und ein EU-Verfahren steht im Raum. Was aber durch die langsam mahlenden (EU-) Mühlen noch ein wenig dauern wird.
 
Also zurücklehnen? Nein, keinesfalls.
Vergessen Sie nicht, die DSGVO ist das erste EU-GESETZ überhaupt. Bisherige EU-Vorgaben waren EU-RICHTLINIEN, wo der EU-Gesetzgeber eine Mindestvorgabe definiert. In solchen Fällen kann der nationale Gesetzgeber die Umsetzung landesspezifisch gestalten, so lang er nicht die Mindestvorgaben verletzt.
 
Die DSGVO dagegen ist – nach einer 2-jährigen Übergangsfrist bis 25.5.2018 – sofort und unverändert in allen EU-Ländern anzuwenden. Und dort findet sich nichts von einem Ansatz „Mahnen statt strafen“, sondern das genaue Gegenteil. Es wurden ganz bewusst horrende Strafen von bis zu 20 Mio. Euro oder 4 % des Konzern-Umsatzes definiert, um die Ernsthaftigkeit des Anliegens und Wichtigkeit des Datenschutzes zu unterstreichen. Selbst wenn nur niedrigere Strafen zur Anwendung kommen würden, wäre dies für den Großteil der österreichischen Firmen durchaus existenzbedrohend.
 
Vergessen Sie weiters nicht, dass die Finanz- und Versicherungsbranche sehr viele personenbezogene und auch so manche heikle, sensible Daten der Kunden abspeichert (Gesundheitsdaten!). Es ist also nur eine Frage der Zeit, bis die Datenschutzbehörde DSB hier Detail-Prüfungen vor Ort vornehmen wird – auch wenn sich vielleicht noch kein Kunde beschwert hat.
 
Doch warum gab es in den ersten 6 Monaten erst so wenige (und noch dazu so geringe) Strafen?
Die geringe Höhe ist rasch erklärt. Es wurden bisher keine großen Verfahren mit gravierenden Verfehlungen beendet und die Bestraften haben aktiv mit der Behörde kooperiert, was sich positiv auf die Strafhöhe auswirkte. Daher wurden lediglich Strafen von 300 bis 4.800 Euro verhängt. Die bisher abgewickelten Verfahren haben sich hauptsächlich mit dem Themenkreis „unzulässige Videoüberwachung“ beschäftigt und dieses Vergehen wurde „human bestraft“.
 
Bevor wir auf ein sehr interessantes Urteil zur Begrenzung der Speicherdauer eingeben, noch ein paar weitere Fakten zu den Verfahren bei der DSB.
 
Die DSGVO ist nun seit 6 Monaten in Kraft. Die DSB hat in dieser Zeit rund 900 Beschwerden erhalten (Quelle: DER STANDARD) und muss nun diese Verstöße überprüfen. Da es im gesamten Jahr 2017 laut Andrea Jelinek, Leiterin der Datenschutzbehörde, nur 530 Meldungen potenzieller Verstöße gegeben hat (laut TREND-Bericht) bedeutet das immerhin eine gute Verdreifachung der Beschwerden. Dass es nicht viel mehr sind, liegt auch daran, dass die Regierung im Begleitgesetz zur DSGVO verhindert hat, dass private Datenschutzorganisationen für Dritte Schadenersatz bei etwaigen Verstößen vor Gericht einklagen können. Viele sehen das als Maßnahme gegen den Noyb-Verein, den der österreichische Datenschützer Max Schrems gegründet hat (noyb steht für none of your business, auf Deutsch „Das geht sie nichts an“ – gemeint sind natürlich die persönlichen Daten). Daher konzentriert sich Noyb jetzt auf die großen Datenkraken und hat Beschwerden gegen Google (max. Strafhöhe 3,7 Mrd. €), Instagram (1,3 Mrd. €), WhatsApp (1,3 Mrd. €) und Facebook (1,3 Mrd. €) eingebracht. Details dazu unter www.noyb.eu. Klar ist, JEDES Urteil wird neue Klarstellungen bringen, die auch die Klein- und Mittelbetriebe berücksichtigen müssen.
 
Sehr bedenklich ist auch der zweite Teil der Überschrift des STANDARDS, wonach 59 % der österreichischen Unternehmer die DSGVO noch nicht (vollständig) umgesetzt hätten (das teilte der Gläubigerschutzverband KSV1870 in einer Aussendung kürzlich mit).
 
Fakt ist, dass Vieles nach wie vor nicht ganz klar ist, trotzdem die DSGVO seit 25.5.18 gilt. Das aber als Ausrede herzunehmen, um nicht oder nur im geringen Maße die DSGVO umzusetzen ist unserer Ansicht nach grob fahrlässig. Denken Sie nur an die Möglichkeit, dass ein unzufriedener Kunde eine (berechtigte oder auch nicht berechtigte) Beschwerde bei der DSB einbringen kann und diese dann als Anlass nimmt, um Sie zu überprüfen!
 
Und die noch bestehenden Unklarheiten werden in den nächsten Monaten, Jahren durch sukzessive Klarstellungen der Datenschutzbehörde DSB (was ist erlaubt, wie hat Umsetzung auszusehen, was geht keinesfalls, etc.) oder durch Gerichtsurteile beseitigt werden.

 
Daher werden wir Sie, werte Leserin, werter Leser auch in den nächsten Monaten immer wieder auf derartige Klärungen hinweisen, damit Sie überprüfen können, ob dieses Urteil, diese DSB-Entscheidung auch für Ihr Unternehmen zutrifft und Sie womöglich Ihr Vorgehen ändern müssen.
 
Urteil der DSB zur maximalen Speicherdauer von personenbezogenen Daten

  • Was steht genau in dem Urteil und unter welchen Voraussetzungen wurde es getroffen?
  •  
  • Warum ist es für unsere Branchen sehr bedenklich, man könnte auch sagen gefährlich?
  •  
  • Was bedeutet es nun für Ihre tägliche Praxis? Wie sollten Sie sich künftig verhalten?
    Dazu haben wir mit Mag. Stephan Novotny gesprochen. Mehr dazu
    erfahren Sie hier…


 
Quellen: Mag. Stephan Novotny (Fachanwalt für Versicherungsrecht und DSGVO, Mag. Günter Wagner, B2B-Projekte für Finanz- und Versicherungsbranche, Der Standard, DER TREND
Zurück zum Seiteninhalt