Sehr geehrte Damen und Herren!
Liebe Datenschutz-Interessierte!

Zwei aktuelle Entscheidungen der Datenschutzbehörde und zwei Empfehlungen des Europäischen Datenschutzausschusses möchte ich Ihnen mit dieser Ausgabe des Datenschutzbriefes näher bringen. Sie betreffen die rechtskonforme Einholung von Einwilligungen, das Recht auf Datenschutz für juristische Personen sowie das schwierige Dauerthema des DSGVO-konformen Datenexports in Drittstaaten und insbesondere die USA.

Einwilligungen: Datenschutzbehörde prüft Kundenbindungsprogramme

In ihrem Newsletter 4/2020 berichtet die Österreichische Datenschutzbehörde über eine amtswegige Datenschutzüberprüfung von Kundenbindungsprogrammen. Im Rahmen der Anmeldung an das Bonusprogramm wurde um eine Einwilligung zum Zwecke der personalisierten Werbung (also Profiling) sowie zu weiteren Analysezwecken ersucht. Die Datenschutzbehörde hat diese Ersuchen um Einwilligung sowie die jeweiligen Kanäle überprüft. Und dabei den Anmeldeprozess via Webseite, HandyApp und Flyer genauer analysiert. Hierbei wurde besonders auf die Erfüllung der Kriterien von Art 4 Z 11  und Art 7 DSGVO geachtet, welche hohe Anforderungen an Einwilligungen stellen. Details zur Prüfung finden Sie im ersten Beitrag des Newsletters.

Einzig der Einwilligungsprozess der App entsprach den Anforderungen der DSGVO. Bei Webseite und Flyer kam die Behörde zu folgendem Schluss:

"Da die Ersuchen um Einwilligung nicht den Anforderungen der Verordnung entsprechen, sind diese gemäß Art. 7 Abs. 1 DSGVO unverbindlich und können nicht als Rechtsgrundlage für das Profiling (und mehr) herangezogen werden. Ein nachträgliches „Ändern“ der Rechtsgrundlage – insbesondere auf berechtigte Interessen – kommt nach Auffassung der Datenschutzbehörde nicht in Betracht."

Weiters wird festgehalten, „dass man sich bei der Überprüfung datenschutzrechtlicher Einwilligungserklärungen in die Rolle eines durchschnittlichen Betroffenen versetzen muss, der den Anmeldeprozess mit durchschnittlicher Aufmerksamkeit durchläuft und der über keine juristischen oder technischen Kenntnisse verfügt. Dies ergibt sich sowohl aus den einschlägigen Leitlinien der ehemaligen Art. 29-Datenschutzgruppe (vgl. WP259 rev.01, 17/DE, S. 16, Volltext für Abonnenten im Datenschutzhandbuch verfügbar), als auch aus der Judikatur des EuGH zum Verbraucherschutzrecht (…), die auf datenschutzrechtliche Einwilligungserklärungen übertragbar ist …“

Die Behörde stellte bescheidmäßig fest, dass die herangezogenen Ersuchen um Einwilligung in dieser Form nicht mehr verwendet werden mögen und erklärte die bis dato erfolgte Datenverarbeitung (auf Grundlage der unzulässigen Einwilligungsersuchen) für unrechtmäßig. Den Verantwortlichen wurde eine Frist zur Anpassung ihrer entsprechenden Datenprozesse eingeräumt. Gegen beide Bescheide wurde Beschwerde erhoben. Die Bescheide sind somit nicht rechtskräftig und werden daher vorerst nicht veröffentlicht.

Totgesagte leben länger: Datenschutz für juristische Personen

Von Vielen bereits für tot erklärt, erfährt das Grundrecht auf Datenschutz für juristische Personen gemäß § 1 DSG  neuen Aufwind. Anlässlich eines aktuellen Verfahrens kommt die Datenschutzbehörde zu dem Ergebnis, dass sich das beschwerdeführende Unternehmen auf den Schutzumfang des § 1 DSG in seiner Gesamtheit berufen kann und ihm darüber hinaus auch der Weg der Beschwerde gem. § 24 DSG  an die Datenschutzbehörde offensteht.

Juristischen Personen stehen nach dieser Rechtsauffassung der Datenschutzbehörde somit die Rechte auf Auskunft, Berichtigung und Löschung ihrer personenbezogenen Daten zu. Die übrigen Betroffenenrechte gemäß Kapitel III DSGVO, wie z.B. das Recht auf Datenübertragbarkeit, bleiben natürlichen Personen vorbehalten.
Nähere Informationen dazu finden Sie in unserem Blogbeitrag zum Thema

Datenexport: EU Datenschutzausschuss beschließt Empfehlungen                                                             

Wie bereits vor dem Sommer und im letzten Datenschutzbrief berichtet, hat der EuGH im sogenannten Schrems II-Urteil das EU – US Privacy Shield-Abkommen zum Transfer personenbezogener Daten in die USA aufgehoben.

Darüber hinaus stellte der EuGH fest, dass es bei Datenexporten in Drittstaaten in der Verantwortung jedes einzelnen Verantwortlichen liege, geeignete zusätzliche Schutzmaßnahmen zu ergreifen, um ein angemessenes Datenschutzniveau zu erreichen. Im Falle eines Exports in die USA müsste somit ein besserer Schutz erreicht werden, als ihn das Privacy Shield bisher geboten hat.

Welche Anforderungen an solche zusätzlichen Schutzmaßnahmen in der Praxis gestellt werden, beschreibt eine Empfehlung des Europäischen Datenschutzausschusses (EDSA), die gestern veröffentlicht wurde.

Diese Empfehlung beinhaltet eine Aufstellung der erforderlichen Schritte, die Datenexporteure setzen müssen, um festzustellen, ob und welche Zusatzmaßnahmen sie ergreifen müssen, um Daten rechtskonform außerhalb des EWR exportieren zu können. Darüber hinaus beinhaltet sie auch eine – natürlich nicht abschließende – Liste an möglichen Maßnahmen und an erforderlichen Rahmenbedingungen, die gegeben sein müssen, damit diese Maßnahmen effektiv eingesetzt werden können.

Eine ergänzende Empfehlung zu europäischen grundlegenden Garantien für Überwachungsmaßnahmen bietet Datenexporteuren Elemente, anhand derer festgestellt werden kann, ob der rechtliche Rahmen für den Zugang von Behörden zu Daten zu Überwachungszwecken in Drittländern als gerechtfertigter Eingriff in die Rechte auf Privatsphäre und den Schutz personenbezogener Daten angesehen werden kann.

Eine ausführlichere Behandlung des EuGH-Urteils finden Sie in diesem Blogbeitrag auf unserer Webseite. Die beiden genannten Empfehlungen des EDSA werden wir in den nächsten Tagen im Detail analysieren und Sie im Anschluss daran über unseren Blog bzw. mit dem nächsten Datenschutzbrief entsprechend auf dem Laufenden halten.

Für Ihre Fragen zum Datenschutz und Ihr Feedback zum Datenschutzbrief stehe ich Ihnen wie immer gerne zur Verfügung und freue mich darauf, von Ihnen zu hören.

Mit datenschutzfreundlichen Grüßen,


Andreas Krisch