B2B-Projekte für Finanz- und Versicherungsbranche Mag. Günter Wagner
Counter / Zähler
Direkt zum Seiteninhalt

Bleiben Sie am Laufenden, um die DSGVO rechtskonform umzusetzen!

B2B-Newsletter > 2018 - Archiv > NL 9/18
Datenschutz-Grundverordnung: Präzisierung nimmt Fahrt auf:
Urteil zur Datenspeicherung, Gebühr erlaubt & Wer muss (k)eine Folgenabschätzung machen.

Die erste Aufregung hat sich gelegt. Bis zum 25.5. waren alle damit beschäftigt, „irgendwie“ die DSGVO rechtzeitig zu meistern. In vielen Bereichen war unklar, wie die DSGVO korrekt umzusetzen ist. Daher warten nun alle auf Konkretisierungen durch die Datenschutzbehörde DSB bzw. Entscheidungen von Gerichtsseite, die die Auslegung der DSGVO und des österreichischen Datenschutzgesetzes präzisieren werden.

Wir werden in den nächsten Monaten sehr aufmerksam die DSB bzw. Gerichtsurteile verfolgen und Ihnen werte Leserin, werter Leser in regelmäßigen Abständen über die Neuheiten berichten. Damit Sie am Letztstand sind und Ihre praktische Handhabung der DSGVO in Ihrem Unternehmen rechtskonform ist und bleibt.

Heute berichten wir über ein Urteil zur Datenspeicherung und der Frage, darf man für alte Unterlagen nachträglich eine Gebühr verlangen?
Und berichten über eine Präzisierung der Datenschutzbehörde DSB, wer (k)eine Datenschutzfolgenabschätzung machen muss.

Dies ist ein Beitrag aus dem aktuellen BAV-Newsletter.
Diesen können Sie hier nachlesen und herunterladen...

Die weiteren Beiträge beschäftigen sich mit:
Fixkosten in Pension stark unterschätzt; Praxis-Tipp: Watchlist Internet; Weiterempfehlungsmarketing: Wie bekommen Sie Kundenkontakte?; BAV-Praxisdialog.

Sie interessieren sich für den BAV-Bereich?

Dann könnte Sie unser BAV-Praxishandbuch interessieren: Details hier...
a) Datenschutz-Folgenabschätzung: DSB erstellt Whitelist
 
Da es nach wie vor „viele“ Unklarheiten gibt, wird in den nächsten Monaten die Datenschutzbehörde sogenannte Whitelisten (was ist erlaubt) und Blacklisten (was ist verboten) heraus geben, um den Beaufsichtigten klarere Hinweise für die praktische Umsetzung zu geben.

Eine erste Whitelist betrifft die Frage, wann eine Datenschutz-Folgenabschätzung nötig bzw. nicht nötig ist!

Insgesamt wurden
22 Verarbeitungen bzw. Bereich definiert, die keine Folgenabschätzung machen müssen.
Juristisch umgesetzt wurde die Whitelist in Form einer Verordnung der Datenschutzbehörde, diese können Sie hier als PDF näher ansehen und nachlesen, was genau alles unter die Begriffe fällt.
 
Für unseren Bereich könnte interessant sein, dass für folgende Datenverarbeitungen KEINE Folgenabschätzung nötig ist(Anmerkung in der Klammer durch die Redaktion):
 
  • DSFA-A01: Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
  • DSFA-A02: Personalverwaltung für privatrechtliche und öffentlich-rechtliche Dienstverhältnisse (Anmerkung: inkludiert auch Lohn- und Gehaltsverrechnung)
  • DSFA-A03: Mitgliederverwaltung (inkl. Aufzeichnung von Förderbeiträgen)
  • DSFA-A04: Kundenbetreuung und Marketing für eigene Zwecke (gilt für eigene und zugekaufte Daten zum Zwecke der Geschäftsanbahnung, Newsletter-Versand, etc.)
  • DSFA-A05: Sach-und Inventarverwaltung (inkl. Anschaffungskosten, Lieferanten, etc.)
  • DSFA-A07: Zugriffsverwaltung für EDV-Systeme (inkl. Benutzernamen, Passwörter, Zugriffsprotokollierung, etc.)
  • DSFA-A08: Zutrittskontrollsysteme (aber nur, wenn keine biometrischen Daten – Fingerabdruck, etc. – verarbeitet werden)
  • DSFA-A09: Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken – Videoüberwachung! (Achtung: gilt nur für „Örtlichkeiten, über die der Verantwortliche verfügungsbefugt ist“, Speicherdauer max. 72 Stunden, Kennzeichnungspflicht! Nicht im „höchstpersönlichen Lebensbereich von Personen“).
  • DSFA-A10: Bild-und Akustikdatenverarbeitung in Echtzeit (gemeint ist KEINE Aufzeichnung; Einschränkungen wie bei Punkt 9 beschrieben).
  • DSFA-A11: Bild-und Akustikverarbeitungen zu Dokumentationszwecken (darf nicht auf identifizierbare Erfassung unbeteiligter Personen abzielen)
 
 
b) Urteil zu Speicherdauer – Darf man für alte Kontoauszüge Geld verlangen?

Der erste Bescheid der Datenschutzbehörde (DSB) nach dem 25.5. beschäftigte sich genau mit obiger Frage. Zwar betraf der Anlass-Fall eine Bank, könnte aber genauso auf die Versicherungsbranche zutreffen. Denn es geht um die Frage, kann ein Unternehmen für die nachträgliche Aushändigung von Daten Geld verlangen oder fällt das unter das Auskunftsrecht, das die DSGVO dem Einzelnen nun ausdrücklich einräumt.
 
Wie schon oben angerissen, wird die DSB im Laufe der nächsten Jahre viele Unklarheiten in der Auslegung der DSGVO klarstellen. Dazu werden Anlassfälle aus der täglichen Praxis heran gezogen werden. Diese wird die DSB prüfen, sich darüber ein Urteil bilden und ihre Erkenntnisse in Bescheiden festlegen.
 
Solche Entscheidungen sollte man nicht ignorieren, sondern nutzen, um zu prüfen, ob das bisher eigene Vorgehen richtig war und falls nein, dieses adaptieren.
 
Und noch etwas kann man aus diesem Fall lernen, nämlich, dass man Kundenanfragen keinesfalls ignorieren sollte. Denn verärgerte Kunden beschweren sich daraufhin bei der DSB und der Fall kommt ins Rollen, wie wir gleich lesen werden.

Worum genau ging es beim Anlassfall?
Es begann harmlos, in dem der Kunde offensichtlich alte Kontoauszüge nachgedruckt haben wollte, wofür die Bank aber 30 Euro pro Jahr verlangte. Darüber verärgert, stellte der Kunde ein
Auskunftsbegehren nach der DSGVO UND ERHIELT KEINE ANTWORT.
 
Tipp: Von so einem Vorgehen können wir nur ABRATEN, wenn Sie Auskunfts- und Löschanfragen erhalten. Denn die Folge war, dass sich der Auskunftswerber bei der Datenschutzbehörde DSB beschwerte.
 
Nach Prüfung des Sachverhalts entschied die DSB, dass es sich hier um eine Verletzung des Rechts auf Auskunft handle. Die Bank müsse „die ersuchten Kontoauszüge innerhalb einer Frist von zwei Wochen zur Verfügung stellen – und künftig kostenlos Auskunft erteilen, wenn von dem Recht Gebrauch gemacht wird“ so wird aus dem Urteil im STANDARD zitiert.
Und weiter: Alle Kontoauszüge zu verlangen sei nicht exzessiv!

Der
Argumentation der Bank, dass personelle Ressourcen und damit Kosten entstehen würden, folgte die Behörde nicht. Die Bank muss also kostenlos Auskunft erteilen und auch historische Kontoauszüge zur Verfügung stellen.
 
Da uns der Bescheid nicht im Wortlaut vorliegt, können wir nur mutmaßen, ob neben dem Recht auf Auskunft nicht auch das Recht auf Übertragbarkeit bei der Urteilsfindung eine Rolle spielte. Da über das letztgenannte Recht erst ganz selten zu lesen war, möchten wir dieses in Erinnerung rufen, denn es könnte etwa bei uns dann eine Rolle spielen, wenn ein Kunde seine Versicherung wechselt.
 
Zur Erinnerung: Die DSGVO brachte bzw. verschärfte die Rechte der Betroffenen.
Es gibt das Recht auf Information (beim Erheben der Daten), auf Auskunft, auf Berichtigung, auf Löschen und des Vergessenwerdens. Weiters ein Recht auf Einschränkung der Verarbeitung (wenn sich das Löschen nicht sofort umsetzen lässt) und ein Recht auf Datenübertragbarkeit (etwa, um Daten von einer Versicherung zu einer anderen mitzunehmen).
 
Im nächsten BAV-Newsletter berichten wir dann über ein Urteil, das klarstellt, ob/wann die DSGVO auch für Papier-Unterlagen gilt und ein Urteil zur Speicherdauer bei Telekoms und Co und möglichen weiteren Klarstellungen! Ich prognostiziere: Die Arbeit wird uns nicht ausgehen!

 
Recherche-Quellen: Mag. Günter Wagner, B2B-Projekte und RA Mag. Stephan Novotny (Spezialgebiet Versicherungen & Datenschutz-Grundverordnung), Praxishandbuch „Das österreichische Versicherungsvermittlerrecht“ (wurde gerade auf Stand 2018 und bekam ein umfangreiches Kapitel zur DSGVO-Umsetzung - Details hier...), Der Standard, homepage der Datenschutzbehörde.
 
 
Foto: Thorben Wengert, Pixelio.de
Zurück zum Seiteninhalt