4 minute read
DATENSCHUTZ
DATEN? SCHUTZ!
Das Thema Datenschutz bewegt seit dem Inkrafttreten der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 nach wie vor viele Menschen, obwohl es bereits seit 1978 ein Datenschutzgesetz in Österreich gibt.
Advertisement
Am augenfälligsten ist der Datenschutz, wenn man beim Öffnen einer Internetseite zunächst einen „Cookie-Banner“ überwinden muss oder zu Schulbeginn gefühlt 100 Formulare pro Kind zum Thema Datenschutz ausfüllen muss. Datenschutz im Internet und in der Schule sind vermeintlich völlig unterschiedliche Dinge, tatsächlich sind sie sich näher, als man denkt. Geregelt ist der Datenschutz in Österreich einerseits im Datenschutzgesetz (DSG), andererseits in der Datenschutzgrundverordnung (DSGVO). Manche Sachverhalte sind nur nach einer der beiden Bestimmungen zu beurteilen, andere nach beiden, die sich sogar noch widersprechen können. Kein Wunder also, dass Verwirrung und teilweise geradezu groteske
bis hysterische Übererfüllung von echten oder nur vermeintlichen Vorschriften vorherrschen und die Diskussionen befeuern.
WER SOLL GESCHÜTZT WERDEN? Das DSG schützte in seiner Ursprungsversion explizit auch juristische Personen. § 1 DSG in der geltenden Fassung besagt: Jedermann hat, insbesondere auch im Hinblick
auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das Bestehen eines solchen Interesses ist ausgeschlossen, wenn Daten infolge ihrer allgemeinen Verfügbarkeit oder wegen ihrer mangelnden Rückführbarkeit auf den Betroffenen einem Geheimhaltungsanspruch nicht zugänglich sind. In der heute geltenden Fassung sind sohin juristische Personen nicht mehr ausdrücklich erfasst, allerdings hat die Datenschutzbehörde bereits in jüngsten Entscheidungen auch juristischen Personen grundsätzlich das Recht auf Datenschutz im Sinne des § 1 DSG zuerkannt. Die DSGVO stellt hingegen ausschließlich die Verarbeitung personenbezogener Daten natürlicher Personen unter ihren Schutz.
Zweck der DSGVO ist verkürzt dargestellt die Harmonisierung des gemeinsamen virtuellen Marktes. Das heißt, es sollen in der gesamten EU Unternehmen die gleichen Pflichten und deren Kunden die gleichen Schutzrechte genießen. Die Verordnung hat den Anspruch, für alle Wirtschaftsteilnehmer Rechtssicherheit und Transparenz zu schaffen, natürliche Personen in allen Mitgliedstaaten mit demselben Niveau an durchsetzbaren Rechten auszustatten, dieselben Pflichten und Zuständigkeiten für die Verantwortlichen und Auftragsverarbeiter vorzusehen und eine gleichmäßige Kontrolle der Verarbeitung personenbezogener Daten und gleichwertige Sanktionen in allen Mitgliedstaaten sowie eine wirksame Zusammenarbeit zwischen den Aufsichtsbehörden der einzelnen Mitgliedstaaten zu gewährleisten.
Gemäß Artikel 4 Z 1 DSGVO sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Daten werden aber natürlich nicht nur im Internet durch aktive Bekanntgabe wei-
tergegeben, sondern auch durch passives Verhalten, etwa durch das Anklicken bestimmter Inhalte – im Hintergrund erkennt der Seitenbetreiber die IP-Adresse des Nutzers und kann zum Beispiel bestimmte Werbeinhalte einblenden. Wer sich wundert, warum er auf einer Zeitungsseite Werbung für Küchenmaschinen zu sehen bekommt, die er drei Tage zuvor gegoogelt hat, hat die Cookie-Banner ohne nachzudenken oder eine Auswahl zu treffen weggeklickt. Cookies werden automatisch gesetzt und sind zum Teil technisch notwendig, um die Anwendung der Seite für den Nutzer möglich zu machen. Zum großen Teil aber dienen sie der Erhebung von Daten zu Marketingzwecken. Gemäß der Rechtsprechung des Europäischen Gerichtshofes ist es nicht zulässig, diese Cookies ohne Einwilligung des Seitennutzers zu setzen. Sie dürfen im Cookie-Banner nicht bereits in den Voreinstellungen „angekreuzt“ sein, sondern müssen vom Nutzer aktiv gesetzt werden, die Zustimmung zum Setzen der Marketing- und Statistik-Cookies muss also aktiv eingeholt werden. Nicht jedes Unternehmen hält sich allerdings an diese Vorgaben und nicht jeder Internetnutzer ist sich der Folgen bewusst, wenn „der Einfachheit halber“ allen Cookie-Funktionen zugestimmt wird.
DATEN IM „ECHTEN LEBEN“ Wie ist es aber im realen Leben, wo beginnt hier der Datenschutz? Die Datenverarbeitung muss entgegen der landläufigen Einschätzung nicht zwingend elektronisch (automationsunterstützt, wie es im Gesetz heißt) erfolgen, um unter das Datenschutzgesetz zu fallen. Es reicht eine manuelle Verarbeitung personenbezogener Daten. Nach Maßgabe gesetzlicher Bestimmungen hat jedermann das Recht auf Auskunft darüber zu erhalten, wer welche Daten über ihn verarbeitet, woher die Daten stammen und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden, sowie das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten.
Zulässig werden Daten verarbeitet, wenn der Verarbeiter die Einwilligung dazu erhalten hat. Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, einer mündlichen Erklärung oder durch konkludente Zustimmung.
Zu Beweiszwecken ist es aber – wie so oft – ratsam, sich schriftlicher Einwilligungserklärungen zu bedienen. Diese müssen auch die Möglichkeit des Widerrufs der Einwilligung aufweisen. In der Einwilligungserklärung ist vom Datenverarbeiter auch der konkrete Zweck der Verarbeitung anzugeben, für den die Einwilligung eingeholt wird. Relevant ist dies insbesondere auch für Vereine und Verbände, die anlässlich von Veranstaltungen Fotos anfertigen und diese später auf ihrer Homepage veröffentlichen. Um unliebsamen Überraschungen, wie etwa Beschwerden bei der Datenschutzbehörde, vorzubeugen, empfiehlt es sich, bei datenschutzrelevanten Sachverhalten den Rechtsanwalt Ihres Vertrauens beizuziehen.
© BLICKFANG PHOTOGRAPHIE
