MANZ Verlag folgen

DSGVO: "Für Handlungsbedarf bei Unternehmen bleibt gesorgt!" - MANZ im Interview mit Datenschutzexperte Gerald Trieb

Blog-Eintrag   •   Apr 09, 2019 09:00 CEST

Dr. Gerald Trieb, LL.M. ist Rechtsanwalt und Gründer der Kanzlei Knyrim Trieb Rechtsanwälte. Er ist ausgewiesener Datenschutzexperte und Leiter der „Jahrestagung Datenschutzrecht“, die am 21. 5. 2019 in Wien stattfinden wird. © StudioHuger

MANZ: Wir blicken nun auf fast ein Jahr Geltung der DSGVO zurück. Die ersten Entscheidungen der Datenschutzbehörde liegen vor. Welche Lehren haben sich dabei herauskristallisiert?

Trieb: Die wichtigsten Lehren ganz allgemein sind, dass die Einhaltung der Pflichten der DSGVO immer aufwendiger erscheint, je länger und intensiver man sich mit ihren Regelungen und deren Auswirkungen beschäftigt. Insbesondere vor dem Hintergrund der Rechenschaftspflicht und der sich daraus ergebenden Dokumentationspflicht. Die ersten Verfahren haben gezeigt, dass die Datenschutzbehörde die Dokumentation – also Verarbeitungsverzeichnis, Datenschutz-Folgenabschätzung etc. – auch tatsächlich detailliert prüft. Der Dokumentation datenschutzkonformen Handelns kann daher nicht genug Bedeutung beigemessen werden: Ohne Dokumentation ist kein Nachweis möglich. Zudem neigt die Behörde in ihren bisherigen Entscheidungen dazu, die DSGVO tendenziell wörtlich und recht streng auszulegen. Das konnte man gleich in einer der ersten Entscheidungen am 28. 5. 2018 sehen, in der sie die Zulässigkeit der Speicherdauer auf vorhandene gesetzliche Aufbewahrungsdauern beschränkte. In einer nachfolgenden Entscheidung hat sie ihre Ansicht aber auch punktuell abgeändert: Sie hat die Speicherung von Bewerberdaten bis zum Ablauf der Frist zur Einbringung einer Klage für zulässig erklärt. Grund: Verletzung des Gleichbehandlungsgrundsatzes. Noch am 28. 5.2018 hatte sie einer Orientierung an Klags- und Verjährungsfristen eine Absage erteilt.

MANZ: Von drakonischen Strafen bei Verstößen war im Vorfeld die Rede. Die Verunsicherung bei den Unternehmen war groß. Hat sich diese Angst als begründet erwiesen?

Trieb: Bislang noch nicht. Das ist aber kein Indikator für die Zukunft! Drakonische Strafen hat es europaweit erst in wenigen Fällen gegeben. So wurde etwa über Google in Frankreich eine Strafe von EUR 50 Mio verhängt. Ein portugiesisches Krankenhaus musste eine Geldbuße von EUR 400.000,– zahlen. Weitere drakonische Strafen werden aber in den nächsten Monaten vermutlich folgen. Es sind nämlich zahlreiche Verfahren gegen weitere große IT-Unternehmen bei den Behörden anhängig und stehen vor dem Abschluss. Wir gehen auch davon aus, dass in Österreich noch deutlich höhere Strafen als wie bisher von maximal EUR 4.800,– für die Verletzung von Verstößen gegen die Bildverarbeitung (Videoüberwachung) verhängt werden. Das ist wohl bloß eine Frage der Zeit. Die bisherigen Strafen erinnern aber eher an jene, die noch unter der alten Rechtslage von den Bezirksverwaltungsbehörden verhängt wurden. Dies ist aber auch nicht verwunderlich, weil die Datenschutzbehörde am 25. 5. 2018 zahlreiche Verwaltungsstrafverfahren von den Bezirksverwaltungsbehörden übernommen hat und nun zu Ende führt.

MANZ: Das Thema Bildverarbeitung hat die Behörden in den vergangenen Monaten besonders häufig beschäftigt. Wo liegen die Probleme bei der rechtskonformen Verarbeitung?

Trieb: Die Probleme liegen in der Beurteilung der Kombination der zulässigen Erhebung und Verwendung von Fotos und Videos. Geschieht dies etwa bloß für Archivzwecke oder sollen sie in den verschiedensten Kanälen veröffentlicht werden? Eine zulässige Aufnahme bedeutet nicht gleichzeitig, dass man mit den Bildern und Videos alles machen darf, was man möchte. Manche Verwendungszwecke können freilich im berechtigten Interesse des Aufnehmenden oder Verwertenden liegen. Für andere Zwecke, wie etwa der Veröffentlichung in Sozialen Netzwerken, wird wohl in den allermeisten Fällen die Einwilligung der abgebildeten Personen erforderlich sein. Auch die Beurteilung der Zulässigkeit der Anfertigung und Verwendung von Fotos von Mitarbeitern ist in der Praxis schwierig. Ob noch die Interessen des Arbeitgebers überwiegen oder doch die Einwilligung des Mitarbeiters eingeholt werden muss, hängt oft von der Position und den Aufgaben des konkreten Mitarbeiters und der beabsichtigten Verwendung ab. Manche Unternehmen sind dazu übergegangen, „Modelverträge“ mit ihren Mitarbeitern abzuschließen, um die Bilder rechtssicher verarbeiten zu können und auch einen Widerruf einer Einwilligungserklärung nicht mehr fürchten zu müssen.

MANZ: Was kommt im Datenschutzrecht noch auf uns zu? Was folgt auf die DSGVO?

Trieb: Im Datenschutzrecht erwarten wir für die nächsten Jahre viele wegweisende Entscheidungen der Datenschutzbehörden und Urteile des EuGH. Sie werden hoffentlich einige unklare Bestimmungen der DSGVO präzisieren. Spannend wird es auch sein, das weitere Schicksal der in Verhandlung befindlichen e-Privacy-VO zu verfolgen: Die jüngsten Meldungen deuten darauf hin, dass wir vielleicht schon Ende dieses Jahres wieder eine datenschutzrechtliche europäische Verordnung als „Weihnachtgeschenk“ erhalten könnten. Anwendbar wird sie aber sicher nicht vor 2020 oder gar 2021 sein. Die Verordnung wird beispielsweise die Zulässigkeit von Online-Werbung regeln, ebenso die Analyse des Nutzungsverhaltens von Webseitenbesuchern über die sogenannten „Cookies“. Außerdem wird sie Verstöße dagegen dem Sanktionensystem der DSGVO und der Strafkompetenz der Datenschutzbehörde unterstellen. Für Handlungsbedarf bei den Unternehmen bleibt also gesorgt! 

Kommentare (0)

Kommentar hinzufügen

Kommentar

Durch das Absenden Ihres Kommentars akzeptieren Sie, dass Ihre persönlichen Daten Mynewsdesks Datenschutzerklärung entsprechend verarbeitet werden.