Ihr Premium Partner für Informationssicherheits-, Datenschutz- und Risikomanagementberatung
NEWS 03.12.2018
Aktueller Bescheid der Datenschutzbehörde -
Natürliche Personen haben kein subjektives Recht auf bestimmte Datensicherheitsmaßnahmen
03.Dezember 2018
DSB-D123.070/0005-DSB/2018, 13.09.2018 rk
Datum: 13.09.2018
Gegenstand der Beschwerde:
Eine betroffene Person hat bei zwei Behörden ersucht, dass ihre Daten pseudonymisiert werden, da ihrer Ansicht nach die Gefahr bestünde, dass es zur möglichen Offenlegung ihrer personenbezogenen Daten kommen könnte.
Die betroffene Person sah in der Unterlassung der Pseudonymisierung ihrer personenbezogenen Daten, eine Verletzung des Grundrechts auf Datenschutz gem. § 1 DSG. Sie führte dazu aus, dass dies einen unverhältnismäßigen Eingriff in das Recht auf Datenschutz darstelle und zudem nicht mit dem öffentlichen Interesse gem. Art 6 Abs 1 lit e DSGVO argumentierbar ist.
Des Weiteren führte die Beschwerdeführerin aus, dass aus der DSGVO abzuleiten ist, dass für die Aufbewahrung von personenbezogenen Daten umfassende Datenschutzmaßnahmen zu treffen sind. Außerdem wäre für die ordnungsgemäße Einhaltung des Art 5 Abs 1 lit c DSGVO die Pseudonymisierung gem. Art 25 Abs 1 DSGVO durchzuführen.
Die Beschwerdeführerin sieht in der nicht ordnungsgemäßen Umsetzung der Datensicherheitsmaßnahmen, eine Verletzung des Grundrechts auf Datenschutz.
Nach Rechtsansicht des VfGH muss für die weiterführende Aufbewahrung von sensiblen Daten eine aktuelle und konkrete Notwendigkeit bestehen. (Verweis auf VfGH vom 12.12.2018, Zl. E3249/2016)
Entscheidung der Datenschutzbehörde:
Die österreichische Datenschutzbehörde entschied, dass die Beschwerdeführerin nicht in ihrem Recht auf Datenschutz verletzt wurde, da eine betroffene Person kein Recht hat, eine Pseudonymisierung von einem Verantwortlichen zu verlangen.
Hierzu erklärte die Datenschutzbehörde: „aus der DSGVO ist kein subjektives Recht abzuleiten, wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Art 32 DSGVO von einem Verantwortlichen verlangen könnte. Ebenso wenig kann eine betroffene Person vom Verantwortlichen verlangen, dass dieser bestimmte Maßnahmen zur Datenminimierung iSv Art 5 Abs 1 lit c DSGVO umsetzen muss.“
Zusätzlich führte die Datenschutzbehörde noch aus, dass es natürlich möglich ist, dass eine betroffene Person in ihrem Grundrecht auf Datenschutz verletzt wird, wenn die Datensicherheitsmaßnahmen von einem Verantwortlichen nicht ordnungsgemäß umgesetzt wurden, jedoch muss die Verletzung bereits eingetreten sein, damit sich die betroffene Person darüber beschweren kann. Dies wäre dann der Fall, wenn ein Datenmissbrauch (z.B. Verlust der Vertraulichkeit) eingetreten ist und die erforderlichen technischen und organisatorischen Maßnahmen zur Eindämmung der Gefährdung nicht vorhanden sind. Auch in diesem Fall besteht jedoch kein subjektives Recht der betroffenen Person, dass eine bestimmte technische oder organisatorische Maßnahme durch den Verantwortlichen gesetzt wird.
Diese Ansicht wird auch durch die Strukturierung der Datenschutz-Grundverordnung bestätigt, da die Betroffenenrechte im Kapitel III und die Verpflichtungen zur Setzung angemessener technischen und organisatorischen Maßnahmen (Pseudonymisierung etc.) in Kapitel IV geregelt sind. Im vorliegenden Bescheid stützte sich die Datenschutzbehörde auf vergangene Bescheide der Datenschutzkommission; auch aus diesen kommt hervor, dass die Verantwortung zur Setzung angemessener technischer und organisatorischer Maßnahmen nur eine Verpflichtung des Verantwortlichen ist.
Ein subjektiver Rechtsanspruch von betroffenen Personen ist nicht ableitbar. (Bescheid der DSK vom 2. August 2005, GZ: K121.038/0006-DSK/2005). Diese Rechtsansicht wird auch vom Bundesverwaltungsgericht vertreten (vgl. die Erkenntnisse des BVwG vom 11. Juli 2017, Zl. W214 2117640-1 sowie vom 20. April 2017, Zl. W214 2007810-1).
Conclusio:
Der Bescheid stellt fest, dass einer natürlichen Person kein durchsetzbares Recht zusteht, vom Verantwortlichen zu verlangen, bestimmte technische und organisatorische Maßnahmen umzusetzen.
Möglichkeiten die der betroffenen Person zustehen:
-
Schadenersatz gem. Art 82 DSGVO
Die betroffene Person kann nach Schadenseintritt gegen den Verantwortlichen Schadensersatzansprüche für materielle wie auch immaterielle Schäden geltend machen, wenn dieser nicht wie in Art 32 DSGVO geboten, erforderliche technische wie auch organisatorische Maßnahmen umgesetzt hat. Hierbei gilt die Beweislastumkehr.
Bedeutet: der Verantwortliche muss beweisen, dass er für die Herbeiführung des Schadens nicht verantwortlich ist. (gem. Art 82 Abs 3 DSGVO)
-
Anzeige des Fehlverhaltens bei der Datenschutzbehörde
Es steht jeder Person frei, einen Verantwortlichen bei der Aufsichtsbehörde (Datenschutzbehörde) anzuzeigen, wenn die Person der Auffassung ist, dass dieser die Bestimmungen der Datenschutz-Grundverordnung verletzt. Die Datenschutzbehörde hat dann im amtswegigen Verfahren gem. Art 58 DSGVO die Möglichkeit tätig zu werden. (amtswegiges Prüfverfahren, Weisungen etc.)
Charakteristisch für ein amtswegiges Verfahren ist, dass die anzeigende Person keine Parteistellung im Verfahren hat.