Klienteninfo Ausgabe 10 / Jänner 2020
Inhalt:
- Deutschland, Österreich, Italien: Wer muss einen Datenschutzbeauftragten haben?
- Vorsicht: Totok und TicToc spionieren!
13.01.2020
Herzogbirbaum 110
2002 Großmugl
Deutschland, Österreich, Italien: Wer muss einen Datenschutzbeauftragten haben?
Die Datenschutz-Grundverordnung (DSGVO) schreibt im Art. 37 (1) lit a öffentlichen Stellen vor, dass sie jedenfalls einen Datenschutzbeauftragten bestellen müssen.
Nicht-öffentliche Stellen müssen – kurz gesagt - einen Datenschutzbeauftragten gem. DSGVO Art. 37 (1) lit b und c bestellen, wenn
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen, regelmäßigen und systematischen Überwachung von (physischen) Personen besteht ODER
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung von besonderen Kategorien von Daten (Art. 9 DSGVO) oder Daten über strafrechtliche Verurteilungen (Art. 10 DSGVO) besteht.
Ob eine der beiden Voraussetzungen zutrifft, sollte sich für den Verantwortlichen bereits zeigen, wenn er für sein Unternehmen das Verzeichnis der Verarbeitungstätigkeiten erstellt, das gem. Art 30 DSGVO verpflichtend ist.
Jedoch: Die Bestimmungen der DSGVO enthalten unbestimmte Rechtsbegriffe. Was muss man sich bspw. unter einer „umfangreichen Verarbeitung“ vorstellen? Was ist als "Kerntätigkeit" zu bezeichnen? Vorerst gibt es dazu nur Annahmen. Die Frage wird sich erst nach und nach beantworten lassen, sobald es dazu Entscheidungen der Behörden und Gerichte gibt.
Herzogbirbaum 110
2002 Großmugl
Wie löst man das Problem in der Praxis?
Deutschland
Mit der jüngsten Novelle des Bundes-Datenschutzgesetzes (BDSG) vom November 2019 wurde die ursprüngliche Grenze von 10 Mitarbeitern aus wettbewerbspolitischen Überlegungen auf 20 angehoben. Das heißt: Zusätzlich zu den von der DSGVO genannten Kriterien (s.o.) ist gem § 38 (1) BDSG jedenfalls ein Datenschutzbeauftragter zu bestellen wenn entweder
- 20 oder mehr Personen eines Betriebes ständig mit der automatisierten Verarbeitung personenbezogener Daten (also mit Computer!) beschäftigt sind ODER
- wenn sich herausstellt, dass eine Datenschutz-Folgenabschätzung (DSFA) gem. Art. 35 DSGVO erforderlich ist. Das BDSG schreibt eine Datenschutz-Folgenabschätzung vor, sobald „eine erhebliche Gefahr für die Rechtsgüter betroffener Personen“ erkennbar wird. Die DSGVO verlangt sie hingegen bei einem „hohen Risiko für die Rechte und Freiheiten natürlicher Personen“. Nach den Auslegungsregeln muss die "erhebliche Gefahr" des BDSG das Niveau des "hohen Risikos" der DSGVO haben oder sogar noch darunter liegen, denn der nationalen Gesetzgebung ist im Rahmen der Öffnungsklausel lediglich die Vorgabe strengerer Maßstäbe erlaubt. In diesem Fall heißt das, dass nach BDSG die Verpflichtung zur Benennung eines Datenschutzbeauftragten greifen müsste, BEVOR das Gefahrenniveau der DSGVO erreicht wird.
Zusätzlich sind für alle Staaten der EU auch die "Whitelists" und "Blacklists" der Datenschutzbehörden als Entscheidungsgrundlagen für die Frage heranzuziehen, ob eine DSFA erforderlich ist. Dazu wurden Grundzüge bereits in der Klienteninfo Nr. 8 beschrieben.
Österreich
Hinsichtlich der Bestellung eines Datenschutzbeauftragten für nicht-öffentliche Stellen bleibt vieles offen, weil die von der DSGVO verwendeten Kernbegriffe ohne Vorliegen konkreter Entscheidungen unbestimmt sind. Im Gegensatz zu Deutschland, wo zusätzlich zur DSGVO einschlägige Bestimmungen des BDSG hilfreich sind, gibt das österreichische DSG keine weiteren Hinweise. Für Berufsdedektive etwa und den "Jö-Bonusclub" wird man wohl von einer Verpflichtung zur Bestellung eines Datenschutzbeauftragten ausgehen müssen (Art. 37 Abs.1 lit b), weil zweifelsfrei Profiling betrieben wird.
Interpretiert man die Formulierung des Art. 37 (1) lit c der DSGVO eng, wonach die Kerntätigkeit des Verantwortlichen in der umfangreichen Verarbeitung einer bestimmten Art von Daten bestehen muss, um eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten zu begründen, so werden wohl hauptsächlich nur IT-Unternehmen gemeint sein können. Denn beispielsweise besteht in einem Spital, das mit „besonderen Kategorien von Daten“ gem. Art. 9 DSGVO zu tun hat und vielleicht sogar eine "umfangreiche" Datenverarbeitung betreibt, die Kerntätigkeit wohl kaum in der Datenverarbeitung, sondern in der Behandlung von Patienten. Die Aufsichtbehörden und die Gerichte werden daher die Frage nach der Bedeutung des Begriffes „Kerntätigkeit“ beantworten und die untere Grenze der "umfangreichen Verarbeitung" bestimmen müssen.
Fazit: Für Österreich wird man also für nicht-öffentliche Stellen - abgesehen von Profiling (wie oben beschrieben) - in der Mehrzahl der Fälle derzeit von der Bestellung eines Datenschutzbeauftragten absehen können.
Italien
Die Problemstellung in Italien ist der in Österreich sehr ähnlich:
Für den "Responsabile per la protezione dei dati" (Datenschutzbeauftragter) sind im nationalen italienischen Datenschutzgesetz genau so, wie in Österreich, keine zusätzlichen Bestimmungen aufzufinden, die über jene des "Regolamento" (DSGVO) hinausgehen. Auch die Rechtsprechung läßt den Rechtsanwender mit seinen Fragen alleine. Es findet sich lediglich eine Entscheidung des Verwaltungsgerichtes Triest, wonach öffentliche Auftraggeber die Funktion des Datenschutzbeauftragten im Rahmen einer Ausschreibung vergeben müssen und die freihändige Vergabe nicht zulässig ist*. Auf den Umstand, dass der "Responsabile per la protezione dei dati" ausdrücklich nicht die Verantwortung des "Titolare del trattamento" (Verantwortlicher der Datenverarbeitung) oder des "Responsabile del trattamento" (Auftragsverarbeiter) übernimmt, sei besonders hingewiesen, weil die Wahl der Bezeichnung zu anderen Vermutungen führen könnte.
Denkanstoß
Ungeachtet der Frage, ob nun in einem konkreten Fall eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht oder nicht, wird es zweckmäßig sein, den Gedankengang der Erwägungsgründe der DSGVO zu berücksichtigen: Der Verantwortliche einer Datenverarbeitung hat in der Regel andere Aufgaben, als sich primär um den Datenschutz zu kümmern. Deshalb sollte er von einer einschlägig vorgebildeten Person unterstützt werden, die sich vorrangig mit Fragen des Datenschutzes beschäftigt und auf diesem Gebiet den letzten Stand der technischen und juristischen Entwicklung kennt und den Verantwortlichen fachkundig berät. Auf diese Weise kann sichergestellt werden, dass die Management-Aufgabe des Datenschutzes effizient und effektiv wahrgenommen wird.
Quellen und Unterlagen:
Österreich:
Whitelist BGBl. II Nr. 108/2018; Blacklist BGBl. II Nr. 278/2018; die dazugehörigen Erläuterungen sind in allfällige Analysen mit einzubeziehen (https://www.dsb.gv.at/verordnungen-in-osterreich 30.12.2019)
Muster für DSFA für Patienten- und Honorarverwaltung von Ärzten https://www.aekwien.at/datenschutzgrundverordnung (30.12.2019)
Deutschland:
Anpassungsgesetz zum BDSG: https://www.haerting.de/neuigkeit/betrieblicher-datenschutzbeauftragter-erst-ab-20-personen-das-zweite-datenschutz (28.12.2019)
https://www.datenschutz.org/bdsg-neu/ (28.12.2019)
https://brands-consulting.eu/zweiter-entwurf-des-dsanpug-eu-bestellung-eines-datenschutzbeauftragten (28.12.2019)
https://www.datenschutzbeauftragter-info.de/datenschutzbeauftragter-und-das-neue-bdsg-weiterhin-verpflichtend/ (31.12.2019)
Checklist für DSFA: https://www.datenschutz.org/wp-content/uploads/datenschutz-folgenabschaetzung-checkliste.pdf (30.12.2019, © VFR Verlag für Rechtsjournalismus GmbH, Berlin)
Italien:
Codice della Privacy (Datenschutzgesetz) https://www.altalex.com/documents/codici-altalex/2014/02/10/codice-della-privacy
[cf. Capo IV Art. 2-sexiesdecies] (28.12.2019)
Garante per la protezione dei dati personali (Datenschutzbehörde) https://www.garanteprivacy.it/ (7.1.2020)
*) T.A.R. Trieste, (Friuli-Venezia Giulia) sez. I, 18/07/2018, n.252 zitiert nach https://www.laleggepertutti.it/290591_protezione-dei-dati-personali-ultime-sentenze#Affidamento_del_servizio_di_responsabile_della_protezione_dei_dati_personali (3.1.2020)
Herzogbirbaum 110
2002 Großmugl
Vorsicht: Totok und TicToc spionieren!
Eigentlich sollte es schon zum Allgemeinwissen gehören: Viele Softwarehersteller und vorallem Hersteller von Apps, die auf Mobiltelefonen laufen, wollen ihren Kunden nahe sein und möglichst viel über deren Leben in Erfahrung bringen. Unabhängig davon, wie viel der Anwender zahlt: sein Vertrauen wird - offen oder versteckt - mißbraucht. In einem Interview für die Tageszeitung "La Repubblica" vom 27. Dezember 2019 meint der Präsident der italienischen Datenschutzbehörde, Antonello Soro, dass auf jedem durchschnittlichen Mobiltelefon 80 Anwendungen spionieren. Als unverdächtig haben sich lediglich "open-source-Lösungen" erwiesen, die ihren Code offen legen. Gerade diese Anwendungen werden von verschiedenen Seiten unter Druck gebracht, u.a. deswegen, weil sie das einträgliche, verdeckte Geschäft mit den Nutzerdaten stören. Aus völlig anderen Motiven beteiligen sich an diesem "Abzocken" auch staatliche Einrichtungen, mit der Behauptung, konsequenter, robuster Datenschutz sei ein Sicherheitsrisiko. Nicht wenige Staaten wenden unter diesem Motto die gleichen zwielichtigen Methoden an, wie die Kriminellen, für deren Verfolgung sie diese Methoden angeblich benötigen.
Die unter Teenagern gehypte Anwendung TicToc, die von einem chinesischen Hersteller verbreitet wird, steht unter massivem Verdacht, für die chinesische Regierung Nutzerdaten "einzusammeln". Zwar hat der Hersteller kurz von Weihnachten 2019 beteuert, außerhalb von China eine "sichere" Version einzusetzen. Trotzdem ist extreme Vorsicht geboten, denn TicToc speichert neben den Kontakt- und Anmeldedaten auch den Standort der Nutzer sowie die mit der App geteilten Bilder und Videos. Die Installation auf beruflich genutzen IT-Geräten (Handies, Computer, Tablets) ist daher unzulässig.
Eine überraschende Entdeckung wurde von der New York Times veröffentlicht: Die Vereinigten Arabischen Emirate (VAE) setzen die mit israelischer Hilfe entwickelte Chat-App Totok zu Spionagezwecken ein. Die Lösung ist zwar Ende-zu-Ende verschlüsselt, gewährt aber den Betreibern auch Zugriff auf Fotos und Standortinformationen. Mittlerweile wurde das Produkt aus den App Stores von Google und Apple entfernt. Der Anfangsverdacht war aufgekommen, weil Totok - im Gegensatz zu WhatsApp und Skype - in den VAE problemlos funktioniert. Wer die App noch immer installiert hat, sollte sie rasch löschen!
Quellen:
https://www.orf.at/stories/3145625/ (28.11.2019)
https://www.derstandard.at/story/2000112606283/totok-vermeintlich-harmlose-chat-app-stellt-sich-als-spionagetool-heraus (23.12.2019)
https://www.garanteprivacy.it/web/guest/home/docweb/-/docweb-display/docweb/9232501 (10.1.2020)
Herzogbirbaum 110
2002 Großmugl