Schadenersatz und Strafen für Datenschutzverletzungen
DSGVO 79, 82-83; DSG §§ 27, 29;
Nach Einschätzung der ARGE DATEN wird die Schadenersatzfrage in Zukunft von großer Bedeutung sein und daher die Zahl der zivilrechtlichen Schadenersatzklagen aufgrund von Datenschutzverletzungen zunehmen - materieller und immaterieller Schadenersatz möglich - Musterbeispiele bei denen Schadenersatz eingeklagt werden kann - Beschwerderecht bei Datenschutzbehörde - Bemessung der Höhe von Datenschutzstrafen
Zivilgerichtliches Klagerecht auf Schadenersatz
Jeder Betroffene hat gemäß Art 82 DSGVO iVm § 29 DSG das Recht auf Schadenersatz, wenn ein materieller oder immaterieller Schaden wegen eines Verstoßes gegen die Bestimmungen der DSGVO und des DSG entstanden ist. Die allgemeinen Bestimmungen des bürgerlichen Rechts (ABGB) finden Anwendung.
Der Anspruch auf Schadenersatz setzt voraus:
- eine DATENSCHUTZVERLETZUNG iSd DSGVO und DSG bei der Verarbeitung von personenbezogenen Daten,
- verursacht als rechtswidrige Handlung des Verantwortlichen oder des Auftragsverarbeiters (RECHTSWIDRIGKEIT),
- ein VERSCHULDEN (vorsätzliches oder fahrlässiges Handeln) des Verantwortlichen oder des Auftragsverarbeiters und
- einen materiellen und/oder immateriellen SCHADEN.
Betroffene können tatsächlich entstandenen materiellen und/oder immateriellen Schaden aufgrund einer Datenschutzverletzung geltend machen. Materieller Schaden entsteht, wenn ein Betroffener unmittelbare finanzielle Verluste erfährt (Vermögensschaden). Der Betroffene muss beweisen, dass die Datenschutzverletzung ursächlich für den Vermögensschaden war.
Weiters können Betroffene auch immaterielle Schäden begehren. Immaterielle Schäden entstehen durch die Beeinträchtigung des Persönlichkeitsrechts. Wenn beispielsweise persönliche Daten Unberechtigten zugänglich gemacht werden, aber dabei kein Vermögensschaden entstanden ist.
Fallbeispiele
Anhand von praktischen Fallbeispielen wird veranschaulicht, wann ein materieller und/oder immaterieller Schadenersatzanspruch entstehen kann.
Fall 1 - unerwünschte Zusendung per eMail
Ein Betroffener erhält unaufgefordert eine Werbezusendung per eMail (DATENSCHUTZVERLETZUNG). Es handelt sich um eine eMail-Zusendung mit einem großen Dateianhang. Dies führte dazu, dass die betroffene Person keine weiteren eMails mehr erhalten konnte, denn sein eMail-Konto war ausgelastet. Schließlich konnte eine wichtige eMail nicht zugestellt werden. Deshalb konnte eine Zahlungsaufforderung nicht fristgerecht nachgekommen werden und Spesen in Höhe von 20,- Euro sind angefallen.
Die Werbezusendung erfolgte ohne Einwilligung der betroffenen Person, weil seine persönlichen Daten von einer dritten Quelle unrechtmäßig herbeigeschafft wurden. Eine Werbezusendung an Betroffene ohne Rechtsgrundlage ist datenschutzrechtlich unzulässig (RECHTSWIDRIGKEIT).
Verantwortlich ist das Unternehmen, dass die Mails verschickt hat. Ein sorgfältiges Unternehmen hätte persönliche Daten von Betroffenen, die auf illegalem Wege herbeigeschafft wurden, nicht für eigene Zwecke verarbeitet (VERSCHULDEN).
Im vorliegenden Fall liegt ein materieller Schaden (SCHADEN) in Höhe von 20,- Euro vor. Der Betroffene kann den Ersatz des materiellen Schadens geltend machen. Darüber hinaus ist auch an einen immateriellen Schaden zu denken. Die betroffene Person hat die Kontrolle über seine Daten verloren, denn es erfolgt eine unberechtigte Datenverarbeitung durch ein fremdes Unternehmen (immaterieller SCHADEN).
Ein immaterieller Schadenersatzanspruch in Höhe ab 1.000,- Euro wäre im konkreten Fall angemessen und ist gegenüber dem Unternehmen geltend zu machen, dass die eMails verschickt hat. Falls das Unternehmen die Schadenersatzleistung ablehnt, dann kann der Betroffene seinen Schadenersatzanspruch im Klageweg durchsetzen.
Darüber hinaus können Betroffene auch eine Beschwerde bei der Fernmeldebehörde einbringen. Weitere Informationen siehe dazu den Artikel "rechtliche Schritte gegen Spam" unter http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=65142iko.
Fall 2 - Verlust von Daten, die der ärztlichen Verschwiegenheit unterliegen
Ein Arzt lagert Ordner mit Daten seiner Patienten in einem unversperrten Raum neben der Toilette. Patienten, Besucher sowie Lieferanten können während der Ordinationszeit unbemerkt den Raum betreten und in die Patientenakte einsehen sowie diese persönlichen Dokumente entnehmen. Es werden Dokumente eines Patienten entwendet (DATENSCHUTZVERLETZUNG).
Infolgedessen gelangt der Gesundheitszustand eines Patienten an die Öffentlichkeit und behindert diesen bei der Jobsuche. Der Arzt hat die Gesundheitsdaten seiner Patienten nicht gemäß den datenschutzrechtlichen Sicherheitsvorgaben aufbewahrt (RECHTSWIDRIGKEIT).
Die Patientenakte war in einem unversperrten Raum gelagert, dadurch hat der Arzt sorglos gehandelt. Ein sorgfältiger Arzt hätte die sichere Verwahrung der Gesundheitsakte veranlasst. Daher liegt im vorliegenden Fall ein verschuldetes Verhalten des Arztes vor (VERSCHULDEN).
Wenn die Bewerbung für eine konkrete Arbeitsstelle ohne Erfolg ausgeht, so wäre ein Anspruch auf Ersatz des materiellen Schadens (entgangener Lohn) gegen den Arzt denkbar. Allerdings wäre es für die betroffene Person eine große praktische Herausforderung zu beweisen, dass der materielle Schaden tatsächlich durch diese Datenschutzverletzung verursacht wurde. Der Patient müsste beweisen, dass er die Arbeitsstelle bekommen hätte, wenn es nicht zur Veröffentlichung der Gesundheitsdaten gekommen wäre. Dieser Beweis ist fast unmöglich zu erbringen, es bleibt nur das Recht auf Ersatz des immateriellen Schadens. Im vorliegenden Fall wäre ein Anspruch auf den immateriellen Schaden denkbar, weil der Patient die Kontrolle über seine Daten verloren hat (SCHADEN).
Bei den rechtswidrig verarbeiteten Daten handelt es sich um besondere Kategorien von Daten (Gesundheitsdaten, daher ist ein Schadenersatzanspruch in Höhe ab 2.000,- Euro angemessen und ist gegenüber dem Arzt geltend zu machen. Falls der Arzt die Schadenersatzleistung ablehnt, dann kann der Patient seinen Schadenersatzanspruch im Klageweg durchsetzen.
Fall 3 - unsicherer Kommunikationsweg zwischen Bank und Kunde
Bei einer Bank ist es üblich das ihre Kunden eMails erhalten die auch Rechtschreibfehler enthalten und deren Authentizität nicht eindeutig erkennbar ist.
Eines Tages verschickt ein Betrüger an Kunden dieser Bank eine eMail, worin zum Datenabgleich aufgerufen wird. Die vom Betrüger zugestellte eMail enthält sowohl Rechtsschreibfehler als auch mangelhafte Angaben über die Authentizität und ähnelt stark einem offiziellen eMail der Bank. Folgt man der Anweisung, landet man auf einer Webseite und Kunden werden aufgefordert sich einzuloggen und Daten zu bestätigen. Mehrere Bankkunden folgten der Anweisung, weil die betrügerische eMail einer echten eMail der Bank zum Verwechseln ähnelt und wurden daher zum Opfer des Betrugs. Die unsichere eMail-Kommunikation der Bank war die Ursache für die irrige Annahme der Kunden, die eMail stammt tatsächlich von einer echten Bank (DATENSCHUTZVERLETZUNG).
Die von der Bank an seine Kunden übermittelten eMails enthalten einerseits Rechtsschreibfehler und andererseits lässt sich die Authentizität der eMails nicht eindeutig nachweisen. Die eMails werden so erstellt, dass die Kunden nicht erkennen können, ob sie tatsächlich von der Bank stammten. Deshalb entstand bei den Kunden eine Verwechslungsgefahr, die durch die Bank zurechenbarer Weise gefördert wurde. Das rechtswidrige Verhalten der Bank liegt im Verstoß gegen das Transparenzprinzip vor. Die Kunden müssen klar und eindeutig erkennen können, wer der Urheber der eMail ist (RECHTSWIDRIGKEIT).
Die digitale Signatur wäre eine sichere Kommunikationsmethode zwischen Bank und Kunde. Mit Hilfe von digitaler Signatur können Banken ihre Kunden vor Verwechslungsgefahren schützen. Eine pflichtbewusste Bank hätte seine Identität vollständig offengelegt bzw. auf die unsichere Form der eMail-Kommunikation verzichtet, um die Kunden vor Missbrauchsgefahren umfassend zu schützen. Es liegt ein verschuldetes Verhalten der Bank vor (VERSCHULDEN).
Im vorliegenden Fall gibt es keinen Anhaltspunkt für materiellen Schaden). In diesem Fall war der Kunde nur der Gefahr der Kontrollverlust über seine persönlichen Daten ausgesetzt (immaterieller SCHADEN).
Ein Schadenersatzanspruch in Höhe ab 1.000,- Euro wäre im konkreten Fall angemessen und ist gegenüber der Bank geltend zu machen. Falls die Bank die Schadenersatzleistung ablehnt, dann kann der Kunde seinen Schadenersatzanspruch im Klageweg durchsetzen.
Fall 4 - Offenlegung von Kundendaten
Im Zuge einer Anmeldung zum Führerscheinerwerb in einer Fahrschule erhalten Kunden Benutzernamen und ein Passwort vom Fahrschul-Unternehmen, um eine Registrierung auf der Fahrschul-App zu gewährleisten. Damit können Kunden ihre persönlichen Daten ändern, ihr Wissen anhand von Fragen kontrollieren, die offizielle Theorie-Prüfung ablegen sowie die offiziellen Prüfungsergebnisse abrufen.
Eine auf dieser Fahrschul-App veröffentlichen Liste, die auch von anderen Kunden der Fahrschule eingesehen werden kann, offenbart, dass ein Kunde schon den letzten Antritt zur offiziellen Theorieprüfung vor sich hat (DATENSCHUTZVERLETZUNG).
Diese Information wird von einem anderen Kunden auf einer anderen Social-Media gepostet und der betroffene Kunde wird gemobbt.
Der Kunde hat keine Einwilligung in die Veröffentlichung der Information über die Anzahl der Prüfungsantritte in der App erteilt. Daher war die Offenlegung der Information des Betroffenen rechtswidrig (RECHTSWIDRIGKEIT).
Das Unternehmen hätte im vorliegenden Fall eine individuelle Beauskunftung über die Prüfungsteilnahme ihrer Kunden durchführen müssen. In der App muss sichergestellt sein, dass alle Prüfungsteilnehmer nur jeweils über ihr persönlichen Informationen unterrichtet werden. Damit ist von einem verschuldeten Verhalten des Fahrschul-Unternehmen auszugehen (VERSCHULDEN).
Der Kunde hat die Kontrolle über seine Daten verloren, denn seine persönlichen Information wurden unrechtmäßig publiziert (immaterieller SCHADEN). Mobbing-Opfer haben zusätzlich Recht auf Schadenersatz, im vorliegenden Fall kann der Kunde einen zusätzlichen Anspruch auf Schadenersatz geltend machen.
Ein immaterieller Schadenersatzanspruch in Höhe ab 3.000,- Euro für die Offenlegung wäre im konkreten Fall angemessen und ist gegenüber dem Fahrschul-Unternehmen geltend zu machen. Falls das Unternehmen die Schadenersatzleistung ablehnt, dann kann der Kunde seinen Schadenersatzanspruch im Klageweg durchsetzen.
Neben den Schadenersatzansprüchen können Betroffene in Cybermobbing-Fällen auch strafrechtlich vorgehen. Weitere Informationen siehe Artikel: „Cybermobbing als Straftatbestand“ http://www.argedaten.at/php/cms_monitor.php?q=PUB&s=99927xyw.
Fall 5 - Schule veröffentlich Fotos ihrer Schüler
Anlässlich eines Schwimmunterrichtes einer Volksschule werden Fotos von teilnehmenden Schülern auf der Schulwebseite veröffentlicht. Eltern wurden über die Veröffentlichung der Fotos nicht unterrichtet und die Einwilligung der Eltern liegt auch nicht vor (DATENSCHUTZVERLETZUNG).
Nur mit der Einwilligungserklärung der Eltern wäre hier ein rechtmäßiger Umgang mit Schülerdaten gewährleistet gewesen. In Österreich müssen bei Kindern unter 14 Jahren die Eltern für eine datenschutzkonforme Verarbeitung von Kinderdaten einwilligen. Derartige Fotoaufnahmen der Kinder werden in der Regel nicht für die Erfüllung der Erziehungsaufgabe durch die Lehrer erforderlich sein. Folglich ist die Veröffentlichung von Schülerfotos eine rechtswidrige Handlung (RECHTSWIDRIGKEIT).
Eine pflichtbewusste Schule hätte die Eltern über den Wunsch der Veröffentlichung von Schülerfotos unterrichtet und dabei die Einwilligungserklärungen angefordert. Daher ist von einem verschuldeten Verhalten der Schule auszugehen (VERSCHULDEN).
Im vorliegenden Fall gibt es keine Anhaltspunkte für einen materiellen Schaden, aber es besteht ein immaterieller Schaden: Kinderdaten wurden ohne Rechtsgrundlage verarbeitet (SCHADEN).
Allein die unzulässige Datenverarbeitung von Kinderdaten berechtigt auf Schadenersatz. Ein Schadenersatzanspruch in Höhe ab 1.000,- Euro wäre im konkreten Fall angemessen und ist gegenüber der Schule (bzw. dem Schulerhalter) geltend zu machen. Falls der Schulerhalter die Schadenersatzleistung ablehnt, dann können die Eltern bzw die Schüler (falls schon volljährig) ihren Schadenersatzanspruch im Klageweg durchsetzen.
Erfahren die Schüler, wegen ihres Aussehens oder ihrer Mode (Badebekleidung) einer Ausgrenzung, Erniedrigung oder werden auf andere Weise gemobbt, kann sicher Schadenersatz wesentlich erhöhen (3.000,- Euro und mehr). Neben den Schadenersatzansprüchen können Betroffene in Cybermobbing-Fällen auch strafgerichtlich vorgehen.
Fall 6 - Unzureichende Anonymisierung durch Street-View-Dienst
Eine betroffene Person stellt fest, dass er gemeinsam mit seinem Auto vor seinem Einfamilienhaus durch einen Street-View-Dienst abgebildet und im Internet veröffentlicht wurde. In der Bildaufnahme sind er, sein Fahrzeug, sein Haus sowie die Wohnadresse erkennbar (DATENSCHUTZVERLETZUNG).
Alle Bildaufnahmen sind im Rahmen eines Bearbeitungsprozesses soweit unkenntlich zu machen, dass eine betroffene Person nicht identifiziert werden kann. Das betrifft nicht nur das unkenntlich machen von Personen sondern auch Fahrzeugkennzeichnen sowie Häuser dann vollständig unkenntlich zu machen, wenn sich Bilder von Fahrzeugen oder Häusern der Wohnadresse einer bestimmten Person zuordnen lassen.
Im beschriebenen Fall ist die betroffene Person auch nach Bearbeitung identifizierbar. der betreiber des Street-View-Dienstes ist verpflichtet die betroffenen Person unkenntlich zu machen. Es liegt keine Einwilligung des Betroffenen für die Veröffentlichung der Bildaufnahme vor. Folglich liegt hier eine rechtswidrige Handlung vor (RECHTSWIDRIGKEIT).
Der Bertreiber hätte eine vollständige Anonymisierung durchführen müssen, bevor die Bildaufnahmen im Internet veröffentlicht wurden. Daher liegt verschuldetes Verhalten vor (VERSCHULDEN).
Laut Sachverhalt gibt es keine Indizien für einen materiellen Schadenersatzanspruch. Hingegen ist ein immaterieller Schaden erfüllt, denn die betroffene Person hat durch die Veröffentlichung der Bilder seine Kontrolle über die persönlichen Daten verloren (SCHADEN).
Auf Grund der großen Verbreitung des Street-View-Dienstes ist ein immaterieller Schadenersatzanspruch in Höhe ab 5.000,- Euro angemessen und ist gegenüber Street-View-Dienst geltend zu machen. Der Anspruch kann noch höher sein, wenn sich aus der Veröffentlichung eine erhöhte Gefährdung der Person ergeben kann, zB bei einer prominenten Person, bei einem teuren Autor oder einem besonders luxurös erscheinenden Haus.
Falls der Street-View-Dienst die Schadenersatzleistung ablehnt, dann kann der Betroffene seinen Schadenersatzanspruch im Klageweg durchsetzen.
Fall 7 - Online Dating Plattform verletzt Löschungspflicht
Ein Wiener registrierte sich vor Jahren auf einer Online Dating Plattform. Die Suche nach einer Frau verlief Dank des Online Dating Plattform erfolgreich. Er verliebte sich in eine Tirolerin und heiratet sie. Im Zuge der Heiratsvorbereitungen beendete der Wiener die Registrierung und verlangte die Löschung seines Online Dating Accounts.
Jahre später registriert sich die beste Freundin der Tirolerin auf derselben Online Dating Plattform. Im Zuge ihrer Suche nach dem Traummann stellte die Freundin überraschenderweise fest, dass der frisch verheiratete Wiener ihrer Freundin weiterhin auf der Online Dating Plattform registriert war.
Die Löschung der Daten des Wieners wurden nicht durchgeführt, weil es Policy des Betreibers ist, Bezahl-Accounts auf Gratis-Accounts zu wechseln und der Betreiber auch nicht ausreichendes Personal zur Wartung der Daten hatte (DATENSCHUTZVERLETZUNG).
Sein Benutzerprofil wurde anderen Online Dating Plattform Nutzern weiterhin vorgeschlagen. Die Betreiber des Online Dating Plattform haben gegen die Löschpflicht verstoßen. Daher erfolgte die Datenverarbeitung des Wieners rechtswidrig (RECHTSWIDRIGKEIT).
Ein Online Dating Plattform muss dafür sorgen, dass im Unternehmen entsprechendes Personal eingestellt ist, um alle rechtlichen Pflichten nachgehen zu können. Infolgedessen liegt ein verschuldetes Verhalten des Unternehmens vor (VERSCHULDEN).
Durch die Verletzung der Löschungspflicht des Unternehmens hat der Wiener die Kontrolle über seine Daten verloren (immaterieller SCHADEN). Ein Schadenersatzanspruch in Höhe ab 1.000,- Euro wäre im konkreten Fall angemessen und ist gegenüber dem Betreiber des Online Dating Plattform geltend zu machen. Entwickelen sich aus der Verletzung der Löschpflicht weitreichende Nachteile, etwa weil die Ehefrau verunsichert geworden eine Paartherapie verlangt oder ähnliches, dann ist auch ein höherer Schadenersatzanspruch denkbar.
Falls der Betreiber die Schadenersatzleistung ablehnt, dann kann der Betroffene seinen Schadenersatzanspruch im Klageweg durchsetzen.
Solidarhaftung und Regress
Grundsätzlich ist gemäß DSGVO von einem Verschulden des Verantwortlichen und des Auftragsverarbeiters auszugehen. Datenschutzrechtlich sind Verantwortlicher oder Auftragsverarbeiter nur dann von der Haftung befreit, wenn sie nachweisen, dass sie in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich sind.
Verantwortliche und Auftragsverarbeiter haften gemäß Art 82 Abs 4 DSGVO dem Verletzten solidarisch für den gesamten Schaden, sofern sie an derselben Datenverarbeitung beteiligt sind. Wenn ein Verantwortlicher gemeinsam mit einem zweiten Verantwortlichen oder einem Auftragsverarbeiter die Datenschutzverletzung verschuldet haben, so kann der Geschädigte auswählen, wenn er für den gesamten Schaden haftbar macht. Art 82 Abs 5 DSGVO regelt einen Regressanspruch für denjenigen, der den vollen Schadenersatz geleistet hat. Im Innenverhältnis können sie also gegeneinander Regress nehmen.
Verjährung von Schadenersatzansprüchen
Die Schadenersatzansprüche aufgrund von Datenschutzverletzungen verjähren binnen drei Jahren ab Kenntnis von Schaden und Schädiger. Damit ist eine Geltendmachung des Schadenersatzanspruches nach Ablauf dieser Frist nicht mehr möglich.
Zuständigkeit für Schadenersatzansprüche
Gemäß Art 79 DSGVO iVm Art 82 DSGVO und § 29 DSG hat der Betroffene das Recht auf Schadenersatz wegen einer Datenschutzverletzung. Ist aus der Verletzung der Betroffenenrechte auch ein materieller und / oder immaterieller Schaden entstanden, sind gemäß § 29 DSG die Zivilgerichte (http://www.justiz.gv.at) anzurufen. Somit kann der Betroffene neben der Beschwerde (getrennt voneinander) auch zivilgerichtlich gegen den Verantwortlichen bzw. Auftragsverarbeiter vorgehen.
Zuständig ist jenes Zivilgericht, "in dessen Sprengel der Betroffene seinen gewöhnlichen Aufenthalt oder Sitz hat". Trifft dies nicht zu, etwa bei Ausländern die einen österreichischen Datenverarbeiter klagen wollen, dann können auch Klagen bei jenem Gericht eingebracht werden "in dessen Sprengel der verantwortliche Verarbeiter seinen gewöhnlichen Aufenthalt, Sitz oder eine Niederlassung hat".
Beschwerde wegen Datenschutzverletzung
Unabhängig vom Schadenersatzanspruch hat jeder Betroffene das Recht bei vermuteter Datenschutzverletzung eine Beschwerde bei der Datenschutzbehörde einzubringen. Diese beschwerden sind kostenlos möglich und können dazu dienen vor einer Schadenersatzklage die Wahrscheinlichkeit der Rechtswidrigkeit einer Datenschutzverletzung feststellen zu lassen.
Zu bedenken ist jedoch, dass Gerichte in der Beurteilung der Rechtswidrigkeit einer Datenschutzverletzung NICHT an die Beurteilung der Datenschutzbehörde gebunden sind, sich aber in der Regel deren Beurteilungen anschließen werden.
Die Beschwerde setzt voraus, dass die Verarbeitung personenbezogenen Daten gegen die Datenschutz-Grundverordnung (DSGVO) oder die ersten beiden Hauptstücke des österreichischen Datenschutzgesetzes (DSG) verstößt. Beschwerden sind binnen eines Jahres ab Kenntnis des Beschwerdevorfalls, aber in jedem Fall innerhalb der nächsten drei Jahre nach dem der behauptete Vorfall stattgefunden hat, eingebracht werden (Verjährungsfrist).
Geldstrafen drohen
Das Datenschutzrecht sieht Geldstrafen als Verwaltungsstrafe vor. Eine Verhängung der Geldstrafe kommt bei Datenschutzverstößen bzw. -übertretungen in Betracht.
Die DSGVO sieht zwei Obergrenzen für Geldstrafen vor: Gemäß DSGVO werden schwerwiegende Datenschutzverstöße werden mit einer Geldstrafe von bis zu 20 Mio. Euro (keine Mindeststrafe) oder bei Unternehmen bis zu 4 % des letzten weltweiten Jahresumsatzes, je nachdem welche der Beträge höher ist, geahndet. Weiters sind für weniger schwere Verstöße eine Geldstrafe in Höhe bis zu 10 Mio. Euro (keine Mindeststrafe) oder bei Unternehmen bis zu 2 % des letzten weltweiten Jahresumsatzes zu verhängen, je nach dem welcher Betrag höher ist.
Beispiele für Verstöße gemäß Art 83 Abs 4 DSGVO:
- Fehlende Bestellung eines verpflichtenden Datenschutzbeauftragten
- Mangelhafte Datensicherheitsmaßnahmen
- Keine Zusammenarbeit mit der Datenschutzbehörde
- Fehlende Elterneinwilligung
- Fehlendes oder mangelhaftes Verzeichnis von Verarbeitungstätigkeiten oder einer Datenschutzfolgenabschätzung, trotz Vorliegen der datenschutzrechtlichen Verpflichtung
Beispiele für Verstöße gemäß Art 83 Abs 5 DSGVO:
- Verwendung von unrechtmäßigen Einwilligungserklärungen
- Missachtung eines Bescheids der Datenschutzbehörde
- Verletzung der Datenschutzgrundsätze (unerwünschte Offenlegung an Dritte oder innerhalb einer Einrichtung)
- Unzulässige Datenübermittlung in einen Drittstaat
- Durchführung von Datenverarbeitungen ohne Rechtsgrundlage
- Unrechtmäßige Speicherung von persönlichen Daten
- Verletzung der Betroffenenrechte (Informationspflicht wird (teilweise) unterlassen, Datenportierung und Löschungswunsch wird verweigert, keine oder mangelhafte Beauskunftung, ...)
Weiters darf die Datenschutzbehörde gemäß § 62 DSG eine Geldstrafe von bis zu 50.000 Euro für bestimmte Datenschutzverstöße verhängen. § 62 DSG wird nur dann angewendet, sofern kein Tatbestand des Art 83 DSGVO erfüllt ist wie zum Beispiel die Verweigerung der Einschau durch die Datenschutzbehörde oder das vorsätzliche Verschaffen eines widerrechtlichen Zugangs zu einer Datenverarbeitung, Daten durch vorsätzlichen Bruch des Datengeheimnisses übermittelt oder der gesetzwidrigen Bildverarbeitung. Die Datenschutzbehörde ist zuständig für die Verhängung von Geldstrafen.
Das österreichische Datenschutzgesetz sieht auch für die vorsätzliche Datenverarbeitung in Gewinn- oder Schädigungsabsicht eine gerichtliche Freiheitsstrafe bzw. eine Geldstrafe von bis zu 720 Tagessätzen vor.
Bemessung der Höhe von Geldstrafen
Für die Bemessung der tatsächlichen Höhe der Geldstrafe durch die Datenschutzbehörde sind folgenden Faktoren maßgebend (nicht abschließende Aufzählung):
- Art, Schwere und Dauer des Verstoßes
- die Zahl der Betroffenen und das Ausmaß des entstandenen Schadens
- ob ein vorsätzliches oder bloß fahrlässiges handeln des Verantwortlichen bzw. Auftragsverarbeiters vorliegt
- vom Verantwortlichen bzw. Auftragsverarbeiter getroffene Maßnahmen zur Minderung und Behebung des Schadens für die Betroffenen
- Grad der Verantwortung, unter Berücksichtigung der getroffenen Maßnahmen zur Datensicherheit, um Datenschutzverstoße zur verhindern
- ob frühere einschlägige Datenschutzverstöße vorliegen (handelt es sich beim Verantwortlichen bzw. Auftragsverarbeiter um einen Wiederholungstäter)
- ob eine Zusammenarbeit zwischen dem Verantwortlichen bzw. Auftragsverarbeiter und der Datenschutzbehörde gegeben hat, um die drohenden Folgen des Verstoßes zu beseitigen
- ob eine Selbstanzeige bei der Datenschutzbehörde des Verantwortlichen bzw. des Auftragsverarbeiters vorliegt
Zuständigkeit für Datenschutzbeschwerden
Bei Verstößen gegen die DSGVO oder das Grundrecht auf Datenschutz ist die Datenschutzbehörde befugt Geldstrafen gegen Verantwortliche und Auftragsverarbeiter zu verhängen.
Die Datenschutzbehörde ist zuständig für die Ahndung von Rechtsverletzungen in Österreich, wenn der Verantwortliche oder Auftragsverarbeiter seinen Sitz im Bundesgebiet hat oder es sich um eine Behörde oder einen beliehenen Rechtsträger des EU-Mitgliedstaates handelt oder eine Datenverarbeitung von einem Verantwortlichen oder Auftragsverarbeiter mit Sitz in einem Drittstaat betrieben wird und die Datenverarbeitung auf Betroffene im eigenen Staatsgebiet abzielt.
|
