Dieser Artikel wurde Ihnen von einem unserer Abonnenten zur Verfügung gestellt. Mit einem Abonnement der RdW erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Nachdem sich nun die Nervosität um den zeitgerechten Umstieg auf die neue Rechtslage etwas gelegt hat, scheint es angebracht, innezuhalten und anhand einiger wichtiger Themen - ausgewählt nach ihrer Relevanz für den wirtschaftlichen Bereich - zu rekapitulieren, wie sich die neue Rechtslage im Datenschutz in Österreich darstellt und ob und welche der jüngst zu beobachtenden Aktionen in diesem Bereich tatsächlich rechtlich geboten waren.
Ein Thema, das sich aufdrängt, sind die zahlreichen, mit elektronischer Post zugesandten Aufforderungen, Einwilligungserklärungen zur Verwendung von E-Mail-Adressen für werbliche Kontakte abzugeben.
Zunächst muss klargestellt werden, dass das Wirksamwerden der Datenschutz-Grundverordnung1 , 2 (DSGVO) die geltenden Regelungen über "unerbetene Nachrichten" im elektronischen Kommunikationsverkehr (§ 107 TKG 2003)3 nicht verändert hat. Diese Regelungen beruhen auf Art 13 der e-Privacy-Richtlinie,4 die neben der DSGVO bestehen bleibt,5 was dazu führt, dass auch ihre Umsetzung in Österreich neben der DSGVO weiter gilt und als "lex specialis" vorrangig zu beachten ist.6 Dies gilt auch hinsichtlich der Zuständigkeit für die Verhängung von Strafen bei Übertretung dieser Regelungen.7 Die plötzliche Bereitschaft zu Nachbesserungen früherer Versäumnisse in diesem Bereich ist daher nicht durch die neuen Regelungen in der DSGVO verursacht.
Die Zulässigkeit der Verwendung von elektronischen Kontaktadressen für Werbezwecke ist von größter wirtschaftlicher Bedeutung, weshalb die diesbezügliche Rechtslage eine kurze Betrachtung verdient: Zusammenfassend stellt sich die in Umsetzung des Art 13 der e-privacy-Richtlinie geschaffene geltende österreichische Rechtslage so dar, dass
| - | Telefonanrufe (ebenso wie Fax-Zusendungen) für Werbezwecke nie ohne vorherige Zustimmung der Betroffenen vorgenommen werden dürfen,8 |
| - | die Verwendung von E-Mail-Adressen9 für Werbekommunikationen ebenfalls der vorherigen Zustimmung bedarf,10 allerdings mit einer wichtigen Ausnahme:11 Gegenüber "Kunden"12 dürfen E-Mail-Adressen bei Vorliegen bestimmter Voraussetzungen13 für werbliche Kontakte auch ohne vorherige Zustimmung verwendet werden, sofern nur "der Empfänger klar und deutlich die Möglichkeit erhalten hat, eine solche Nutzung der elektronischen Kontaktinformation bei deren Erhebung und zusätzlich bei jeder Übertragung kostenfrei und problemlos abzulehnen". Aus diesen Bestimmungen ergibt sich, dass die Zulässigkeitsvoraussetzungen, nämlich Zustimmung oder - bei "Kunden" - die Möglichkeit eines Widerspruchs, bereits Datenschutz - eine Standortbestimmung (Teil I) - Anfang Seite 480 vor der ersten Verwendung der Kontaktadressen für die Zusendung einer "Werbung" vorliegen müssen. Der Begriff "Direktwerbung" ist weit auszulegen,14 als "Werbung" gilt jede Aktivität, die den Absatz von Waren oder Dienstleistungen fördern soll, daher auch eine Kontaktaufnahme mit dem Betroffenen, die die Zulässigkeitsvoraussetzungen für die Zusendung von Werbung schaffen soll. Nach in Österreich herrschender Ansicht15 folgt daraus, dass ein Telefonanruf oder ein E-Mail, mit dem um die Zustimmung zur künftigen Übersendung von Werbebotschaften ersucht wird, unzulässig ist, da dies bereits die erste Werbeaktivität darstellt, für die aber noch die Zulässigkeitsvoraussetzungen fehlen. |
Vor diesem rechtlichen Hintergrund waren die erwähnten Ersuchen um Zustimmung zur weiteren Verwendung von elektronischen Kontaktadressen für Werbeaktivitäten größtenteils überflüssig und/oder sogar unzulässig: Wenn die Kontaktadresse bisher aufgrund einer bestehenden Kunden- (oder Interessenten)Beziehung verwendet wurde, war und ist keine Zustimmung erforderlich; diesfalls ist - so wie bisher - nur vorzusorgen, dass bei jedem Kontakt die Möglichkeit eines Widerrufs klar und deutlich vorhanden ist. Bei E-Mail-Adressen, die nicht aus einer Kunden-(und Interessen)beziehung stammen, war und ist ein E-Mail, mit dem die Zustimmung zu Werbekontakten eingeholt werden soll, hingegen ein Verstoß gegen § 107 TKG 2003: Eine Zustimmung zur Verwendung von Telefon oder E-Mail für Werbezwecke muss auf anderem Wege als mit Telefon oder E-Mail eingeholt werden, um rechtlich erlaubt zu sein, also zB im Wege eines mit der Post zugestellten Schreibens. Ein gangbarer Weg ist auch eine entsprechende Information bei der Ermittlung von Daten (zB bei einem Website-Besuch mit Registrierung von E-Mail-Adressen oder bei der Vorbereitung oder beim Abschluss eines Vertrages), dass diese Daten für eigene Werbezwecke weiterverwendet werden, falls der Betroffene nicht - an einer unmittelbar zugänglichen Adresse - Widerspruch erhebt.
Was die Gründe betrifft, aus welchen personenbezogene Daten im Wirtschaftsbereich zulässigerweise verarbeitet werden dürfen, kann ganz allgemein festgehalten werden, dass sich diesbezüglich nichts Wesentliches geändert hat gegenüber der Rechtslage vor dem 25. Mai 2018. Die große Leistung des 1995 in Kraft getretenen EU-Datenschutzrechtes gegenüber früher geschaffenen Datenschutzsystemen, wie etwa der Europaratskonvention 108,16 war die abschließende und relativ konkrete Definition jener Gründe, aus welchen die Verwendung personenbezogener Daten zulässig sein sollte. Dieser Art 7 der Datenschutz-Richtlinie 95/46/EG (DS-RL) hat sich in seiner Treffsicherheit und Brauchbarkeit bewährt und wurde nahezu wortgleich in die Datenschutz-Grundverordnung (Art 6 Abs 1) übernommen. Gegenüber § 8 DSG 2000,17 der Art 7 der DS-RL umsetzte, bringt daher Art 6 Abs 1 DSGVO keine wesentlichen inhaltlichen Änderungen, weshalb davon ausgegangen werden darf, dass eine Datenverarbeitung, die unter dem DSG 2000 zulässig war, mit allerhöchster Wahrscheinlichkeit auch nach der DSGVO zulässig ist.
Dennoch seien einige Hinweise auf Details erlaubt, die gegenüber der Rechtslage nach dem DSG 2000 erwähnenswert erscheinen:
2.1. Hinsichtlich der Voraussetzungen für die Gültigkeit einer Zustimmung - nach der DSGVO "Einwilligung" - hat sich insofern nichts geändert, als Elemente, die nunmehr in Art 7 DSGVO ausdrücklich genannt sind, nach der hL und Judikatur auch schon unter der Datenschutz-Richtlinie 95/46/EG (und daher auch nach dem DSG 2000) für die Gültigkeit einer Zustimmung bedeutsam waren, so zB der Umstand, dass Stillschweigen nicht als Zustimmung gedeutet werden darf:18 Im Voraus angekreuzte tick-boxes können keine gültige Einwilligung erzeugen.
Auch das Koppelungsverbot war immer schon eine intensiv diskutierte Rechtsfigur im Datenschutzrecht. Nun beschäftigt sich Art 7 Abs 4 DSGVO mit diesem Verbot - wenn auch ohne Verwendung dieser Bezeichnung - und zwar im Zusammenhang mit dem Erfordernis der Freiwilligkeit einer Einwilligung. Das datenschutzrechtliche Koppelungsverbot hängt zusammen mit dem Umstand, dass im Falle eines Vertrages mit dem Betroffenen die Verwendung seiner Daten nach EU-Datenschutzrecht immer nur so weit erlaubt ist, als sie zur Vertragserfüllung erforderlich ist. Bei Anerkennung eines Koppelungsverbots darf ein Vertrag daher keine Klausel enthalten, wonach der Betroffene durch den Vertragsabschluss - quasi "automatisch" - einer Weiterverwendung seiner Daten für vertragsfremde Zwecke zustimmt. Nach der Formulierung des Erwägungsgrund 43 zur DSGVO besteht ein allgemeines datenschutzrechtliches Koppelungsverbot: "Die Einwilligung gilt nicht als freiwillig erteilt, wenn ... die Erfüllung eines Vertrages ... von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist." Art 7 Abs 4 DSGVO ist demgegenüber weniger klar formuliert, kommt aber wohl zum selben Schluss, dass an einen Vertragsabschluss gekoppelte Einwilligungen nicht als "freiwillig" anzusehen sind:
"Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen
Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind."
Daraus folgt, dass
| 1. | eine Einwilligung in die Verwendung von Daten für Zwecke, die im Zusammenhang mit der Abwicklung eines Vertrages erforderlich sind,19 überflüssig ist, weil eine ausreichende Rechtsgrundlage bereits in Form des Vertrags besteht, und dass |
| 2. | eine Vertragsklausel, die die Einwilligung in die Verwendung von Daten für Zwecke enthält, die für die Vertragserfüllung nicht erforderlich sind, ungültig ist. |
2.2. Auch die Generalklausel des Art 6 Abs 1 lit f, betreffend "berechtigte Interessen des Verantwortlichen oder eines Dritten", bedarf einer Erläuterung hinsichtlich allfälliger Unterschiede zu der bisher geltenden Parallelbestimmung im DSG 2000, wonach ein "überwiegendes berechtigtes Interesse" an der Verarbeitung vorhanden sein musste. Durch den Nachsatz in Art 6 Abs 1 lit f, wonach dem berechtigten Interesse an der Verarbeitung keine überwiegenden Schutzinteressen der Betroffenen entgegenstehen dürfen, kommt man auch nach der DSGVO letztlich zum selben Ergebnis wie nach dem bisherigen § 8 Abs 1 Z 4 DSG 2000, weil nach beiden Vorschriften eine Interessensabwägung zwischen den berechtigten Verwendungsinteressen und den berechtigten Schutzinteressen vorgenommen werden muss und sodann entschieden werden muss, welches (berechtigte) Interesse bei einer konkreten Sachlage als überwiegend anzusehen ist.
Ein Unterschied, der in der Praxis ins Gewicht fallen könnte, liegt allerdings im Widerspruchsrecht nach Art 21 DSGVO. Wohl war dieses - in Umsetzung des Art 14 lit a der DS-RL - auch in Art 28 Abs 1 DSG 2000 vorgesehen, doch hat es vor dem Hintergrund des DSG 2000 keine praktische Bedeutung erlangt. Nunmehr, bei alleiniger Geltung der DSGVO, ergibt sich aus der Formulierung des Art 21 DSGVO jedoch eine Beweislastregel zu Ungunsten des Verantwortlichen: Er muss beweisen, dass keine Schutzinteressen verletzt werden, die wichtiger sind als die Verwendungsinteressen. Es wird daher ratsam sein, sich vor der Aufnahme einer auf Art 6 Abs 1 lit f gestützten Datenverarbeitung zu vergewissern, dass tatsächlich Verwendungsinteressen vorliegen, die die Schutzinteressen der Betroffenen nicht verletzen und insgesamt als überwiegend gegenüber den Datenschutzinteressen der Betroffenen einzustufen sind.
2.3. Ein weiterer wesentlicher Unterschied zur bisherigen Rechtslage ergibt sich aus Art 6 Abs 4 DSGVO, dem keine Bestimmung in der Datenschutz-Richtlinie 95/46/EG oder im DSG 2000 entsprach. Art 6 Abs 4 behandelt die Voraussetzungen für die Zulässigkeit der Weiterverarbeitung von Daten für einen anderen Zweck als den ursprünglichen Ermittlungszweck.
Das Zweckbindungsprinzip, niedergelegt in Art 6 Abs 1 lit b der Datenschutz-Richtlinie 95/46/EG und nunmehr in Art 5 Abs 1 lit b DSGVO, besagt, dass die Verarbeitung von Daten (grundsätzlich nur) für den ursprünglich als Ermittlungszweck angegebenen Zweck erfolgen darf und dass eine Weiterverarbeitung "in einer mit diesem Zweck nicht zu vereinbarenden Weise"20 unzulässig ist. Die Vereinbarkeit (Kompatibilität) mit dem originären Ermittlungszweck entscheidet also über die Zulässigkeit einer allfälligen Weiterverwendung von personenbezogenen Daten. Als wichtige Folge von Kompatibilität bezeichnet Erwägungsgrund 50 zur DSGVO den Umstand, dass "keine andere gesonderte Rechtsgrundlage erforderlich (ist) als diejenige für die Erhebung der personenbezogenen Daten".
Abgesehen von der praesumptio juris ac de jure, dass die Weiterverwendung personenbezogener Daten für Wissenschaft und Statistik21 immer als "kompatibel" anzusehen ist, enthielt die bisherige Rechtslage keine weiteren Anhaltspunkte für das Vorliegen von "Kompatibilität". Art 6 Abs 4 DSGVO enthält nun erstmals Kriterien dafür, wann von Kompatibilität bzw Inkompatibilität einer Weiterverarbeitung auszugehen ist. Einer Stellungnahme der Artikel-29-Gruppe zum Zweckbindungsprinzip22 folgend, wird in der DSGVO nunmehr auf die "Verbindung zwischen den Zwecken", auf den "Zusammenhang, in welchem die Daten erhoben wurden"23 und "insbesondere (auf) die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, in Bezug auf die weitere Verwendung dieser Daten"24 verwiesen. Etwas einfacher könnte man auch sagen, dass es darauf ankommt, was an Weiterverarbeitungen im Zusammenhang mit einem benannten Ermittlungszweck und einer bestimmten Ermittlungssituation üblicherweise Hand in Hand geht und daher nach der Verkehrsauffassung ("vernünftigerweise") zu erwarten ist. Als weiteres wesentliches Kriterium für Inkompatibilität wird in Art 6 Abs 4 der Umstand bezeichnet, dass sich durch die Weiterverwendung ein signifikant höheres Risiko für den Schutz der Rechte und Freiheiten der Betroffenen ergibt, das durch besondere Maßnahmen nicht zur Gänze neutralisiert werden kann.25
Darüber hinaus enthält Art 6 Abs 4 aber noch eine weitere äußerst wichtige Klarstellung: Während sich nämlich eine kompatible Weiterverwendung auf die für die Ermittlung vorhandene Rechtsgrundlage stützen darf, war es nie ganz klar, ob eine inkompatible Weiterverwendung zulässig ist, wenn eine neue Rechtsgrundlage
vorgewiesen werden kann und ob jede der in Art 7 der Datenschutz-Richtlinie genannten Rechtsgrundlagen tauglich wäre. Diese Frage ist durch die ersten drei Halbsätze des Art 6 Abs 4 nunmehr dahin gehend geklärt, dass eine inkompatible Weiterverwendung von Daten nur auf Grundlage einer Einwilligung der Betroffenen oder einer besonderen Rechtsvorschrift zulässig ist, die die Weiterverwendung erlaubt. Daraus folgt, dass vor allem berechtigte Interessen des Verantwortlichen nach Art 6 Abs 1 lit f DSGVO keine taugliche Rechtsgrundlage für eine inkompatible Weiterverwendung von personenbezogenen Daten darstellen können.
3.1. Die Zuschreibung von datenschutzrechtlicher Verantwortung für eine Datenverarbeitung, also die Abgrenzung der Rollen des Verantwortlichen von jener eines Auftragsverarbeiters, ist ein weiteres Thema, das in der Praxis neuerdings größere Schwierigkeiten hervorruft. Die Definitionen dieser Rollen sind gegenüber der Datenschutz-Richtlinie 95/46/EG gleich geblieben, doch wird in der DSGVO die rechtliche Beziehung zwischen diesen beiden Funktionen "intensiviert": Die Pflicht des Verantwortlichen zur Kontrolle seiner Auftragsverarbeiter wird umfangreicher und eingehender geregelt26 und den Auftragsverarbeitern wird eine erhöhte Pflicht zur Unterstützung des Verantwortlichen bei der Befolgung der DSGVO auferlegt.27 Eine Verletzung dieser Pflichten ist überdies durch hohe Strafen sanktioniert. Angesichts der Komplexität heutiger Kooperationsmöglichkeiten in der Besorgung wirtschaftlicher Aufgaben und in der Datenverarbeitung insb, ist die richtige Zuordnung von datenschutzrechtlichen Rollen oft nicht einfach, angesichts der Folgen falscher Einschätzung aber umso dringlicher.
Die Definition des "Verantwortlichen" als desjenigen, der die Entscheidung trifft, dass personenbezogene Daten verarbeitet werden sollen, indem er "über Zweck und Mittel der Verarbeitung" entscheidet, hat sich als brauchbar erwiesen, allerdings mit der Einschränkung, dass die Entscheidung "über die Mittel" der Verarbeitung nicht denselben Stellenwert hat, wie die Entscheidung über den Zweck, da die Entscheidung über die Mittel der Verarbeitung offenbar weitgehend (an den oftmals viel sachverständigeren Auftragsverarbeiter) delegiert werden kann. Festzuhalten ist, dass sich die Verantwortlichen-Eigenschaft aus einem rein faktischen Verhalten ergibt. Davon ist die Frage, ob dieses Verhalten auch zulässigerweise gesetzt wird, streng zu trennen. Diese Trennung in der Begrifflichkeit wird freilich nicht immer mit der notwendigen Klarheit vorgenommen. Auch in der Definition des Verantwortlichen in Art 4 Z 7 DSGVO wird im zweiten Satz der Definition - ohne besonderen Hinweis - der Blickwinkel geändert und erwähnt, dass durch Unionsrecht oder Recht eines Mitgliedstaats festgelegt werden kann, wer "Verantwortlicher" für eine bestimmte (Kategorie von) Datenverarbeitung(en) ist. Dies kann aber nur heißen, dass festgelegt werden kann, wer "rechtmäßiger Verantwortlicher" ist, denn jeder andere, der sich anmaßt, Daten für diesen Zweck zu verarbeiten, ist aufgrund seiner Entscheidung, Daten zu verarbeiten, trotzdem "Verantwortlicher"; er läuft allerdings Gefahr, bestraft zu werden wegen unzulässiger Datenverarbeitung.
Die Frage, wer für eine bestimmte Datenverarbeitung "rechtmäßiger Verantwortlicher" ist, stellt sich vor allem dann, wenn sich bei einer "Gemengelage" von Beteiligten alle rechtmäßig verhalten wollen, und daher die richtige Zuschreibung der Rollen treffen wollen. Bei der Umstellung auf die neue Rechtslage hat sich diesbezüglich große Unsicherheit ergeben, vor allem im Zusammenhang damit, wer mit wem einen Vertrag nach Art 28 DSGVO in welcher Rolle abschließen muss, dh, wer als "rechtmäßiger Verantwortlicher" und wer als "Auftragsverarbeiter" in einer bestimmten Konstellation anzusehen ist.
Rechtmäßiger Verantwortlicher für eine bestimmte Datenverarbeitung ist derjenige, dem nach seinen eigenen Rechtsgrundlagen (zB aus gewerberechtlichen oder sonstigen berufsrechtlichen Berechtigungen) der Zweck der Datenverarbeitung zuzurechnen ist. Rechtmäßiger Verantwortlicher gegenüber einem Auftragsverarbeiter kann nur sein, wer befugt wäre, die bedungene (Verarbeitungs-)Tätigkeit auch selbst vorzunehmen. Der Auftragsverarbeiter hingegen hat zu den Betroffenen der von ihm durchgeführten Verarbeitung keine Rechtsbeziehung, die ihm die Verarbeitung ihrer Daten selbstständig erlauben würde - er stützt sich auf die beim (rechtmäßigen) Verantwortlichen vorhandene Rechtsgrundlage der Datenverarbeitung. So kann zB das Rechtsverhältnis zwischen einem Arbeitgeber und der für seine Arbeitnehmer ausgewählten betrieblichen Vorsorgekasse kein Auftragsverarbeitungsverhältnis mit dem Arbeitgeber als Verantwortlichem sein, weil der Arbeitgeber (im Normalfall) keine Berechtigung besitzt, das Geschäft einer Vorsorgekasse auszuüben - die Vorsorgekasse ist vielmehr "Dritter".28
Sollte ein "Auftragsverarbeiter" im Zuge seiner Tätigkeit die Aufträge des Verantwortlichen überschreiten, hat er diesbezüglich die selbstständige Entscheidung gefasst, Daten zu verarbeiten, was ihn insoweit zum Verantwortlichen macht,29 freilich zu einem, dem voraussichtlich die Rechtsgrundlage für seine Verarbeitung fehlt.
3.2. Abgrenzungsprobleme ergeben sich weiters auch hinsichtlich der Begriffe "Auftragsverarbeiter" und "Dritter":30 Während der Auftragsverarbeiter unter der Aufsicht des Verantwortlichen Daten verarbeitet, sodass seine Verarbeitungsaktivitäten dem Verantwortlichen zugerechnet werden, ist der "Dritte" für die Verarbeitung der ihm zur Verfügung gestellten Daten allein verantwortlich: Er ist ein "weiterer Verantwortlicher" in der Kette der Datenverwendungsvorgänge.
Wenn ein Unternehmen ein anderes Unternehmen zB zur Mitwirkung bei der Erfüllung eines Vertrags mit dem Betroffenen heranzieht und im Zuge dessen Daten des Betroffenen an dieses andere Unternehmen weitergibt, stellt sich die Frage, ob das zweite Unternehmen "Auftragsverarbeiter" oder "Dritter" ist. In Österreich wurde diese Diskussion schon unter dem ersten Datenschutzgesetz von 1980 geführt und im DSG 2000 bei der Definition des "Auftraggebers" in § 4 Z 4 auch berücksichtigt: Im letzten Halbsatz dieser Bestimmung fand sich die Aussage, dass jemand auch dann als Verantwortlicher31 - und daher als "Dritter" - gelte, wenn "der Beauftragte ... auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung (von Daten) eigenverantwortlich zu entscheiden" hat. Dabei wurde vor allem an Berufsgruppen wie Rechtsanwälte, Steuerberater, Wirtschaftsprüfer etc gedacht. Im Vordergrund der bedungenen Leistung steht bei diesen Konstellationen nicht die technische Verarbeitung der Daten, sondern eine Leistung wie zB die Führung eines Prozesses oder die Prüfung einer Bilanz, für die die allfällige Verarbeitung der übermittelten Daten nur ein Hilfsmittel ist. Weiters ist der für das Auftragsverarbeitungsverhältnis typische durchgängige Weisungszusammenhang bei diesen Berufsgruppen infolge ihres Expertencharakters nicht gegeben. Wenn der Lieferant der Daten zusätzlich auch gar nicht befugt wäre, die bedungene Leistung selbst durchzuführen, dann kann der Datenempfänger schon aus diesem Grund nicht Auftragsverarbeiter sein, weil man in der Rolle eines Auftragsverarbeiters nur solche Aufgaben erfüllen kann, die der Verantwortliche an sich auch selbst vornehmen könnte.32
Derartige Abgrenzungsfragen stellen sich jedoch nicht nur hinsichtlich der genannten Berufsgruppen, sondern viel allgemeiner, was an Beispielen gezeigt werden soll: Wenn eine gekaufte Ware laut Kaufvertrag vom Verkäufer an den Käufer zuzustellen ist, erhebt sich bei der Heranziehung eines Spediteurs die Frage, ob dieser "Auftragsverarbeiter" hinsichtlich der übermittelten Lieferdaten ist oder "Dritter". Dasselbe gilt zB für die Durchführung von Zahlungen eines Unternehmens an eine natürliche Person (zB die Mitarbeiter) im Wege eines Kreditinstituts. Vieles spricht dafür, dass der Spediteur oder das Kreditinstitut als "Dritter" zu sehen ist, da im Mittelpunkt der bedungenen Leistung nicht die Verarbeitung von Daten, sondern Transport und Zustellung der Ware oder Transfer von Geldmitteln steht. Auch ist es wohl absolut unüblich, dass sich der Versender in die Art und Weise der Datenverarbeitung für die Transportlogistik oder den Geldtransfer einmischt - käme den Kunden der Post oder einer Bank eine Überwachungspflicht iSd Art 28 DSGVO zu, würde sie dies vor einige Probleme stellen. Diese Überlegungen führen zu dem Schluss, dass das gewichtigste Argument für die Entscheidung, ob ein "Auftragsverarbeiter" oder ein "Dritter" herangezogen wird, doch im Gegenstand des aufgetragenen Werkes liegt. Wenn die Verarbeitung von personenbezogenen Daten nicht im Vordergrund des Auftrags steht und/oder keinen umfangreichen Teil der Leistung des Beauftragten ausmacht, wird davon auszugehen sein, dass die Mitwirkung eines "Dritten" vorliegt und nicht "Auftragsverarbeitung".
Diese Schlussfolgerung bedarf jedoch noch einer kurzen Auseinandersetzung mit der Rechtsgrundlage für die Zulässigkeit der Heranziehung eines Auftragsverarbeiters einerseits und eines Dritten andererseits.
In der DSGVO findet sich ebenso wenig wie seinerzeit in der Datenschutz-Richtlinie eine ausdrückliche Aussage darüber, dass der Verantwortliche Daten an einen Auftragsverarbeiter überlassen darf. Die Zulässigkeit dieser Datenweitergabe ist vielmehr aus dem Zweckbindungsgrundsatz33 abzuleiten: Da der Auftragsverarbeiter die Daten für genau den Zweck verarbeitet, für den sie ermittelt wurden, sind seine Verarbeitungstätigkeiten durch die Rechtsgrundlage der Datenermittlung mitumfasst.
Was die Zulässigkeit der Datenverwendung durch einen "Dritten" betrifft, der vom Erst-Verantwortlichen zur Mithilfe bei der Erfüllung eines Vertrags mit dem Betroffenen herangezogen wird, muss ebenfalls auf das Zweckbindungsprinzip zurückgegriffen werden: Soweit die Mitwirkung Dritter bei der Vertragsabwicklung eine konkludente Weiterverarbeitung von Daten iSd Art 6 Abs 4 DSGVO darstellt, ist eine zusätzliche Rechtsgrundlage für die Weitergabe der Daten an den Dritten nicht erforderlich. Dies trifft für Standardfälle wie Zahlungsverkehr, Rechtsverfolgung, Transportlogistik etc sicherlich zu, sodass sich im Hinblick auf die notwendige Rechtsgrundlage im Endeffekt kein Unterschied daraus ergibt, ob die Meinung vertreten wird, dass ein "Auftragsverarbeiter" oder ein "Dritter" herangezogen wird. Wesentliche Konsequenzen hat die Unterscheidung allerdings hinsichtlich der Überwachungspflichten des Verantwortlichen, die nur gegenüber dem Auftragsverarbeiter bestehen. Im Sinne des Grundsatzes von Treu und Glauben34 wird die Heranziehung eines "Dritten" freilich auch nicht von jeglicher Verantwortung befreien: Ein gewisses Mindestausmaß an Verantwortung für die Auswahl des Dritten wird dem Verantwortlichen jedenfalls anzulasten sein und wenn auch kein Vertrag nach Art 28 abzuschließen ist, wird eine vertragliche Absicherung der zweckgemäßen Verwendung der übergebenen Daten durch den Dritten ratsam sein.
Auch das Verhältnis zwischen der betroffenen Person und dem Verantwortlichen bedarf einer kurzen Betrachtung, insb im Hinblick auf die Rechte, die die betroffene Person gegenüber dem Verantwortlichen - und nur gegenüber diesem und nicht etwa auch gegenüber einem Auftragsverarbeiter - in Anspruch nehmen kann.
4.1. Was die Art und Weise der Geltendmachung der Betroffenenrechte nach der DSGVO betrifft, hat sich keine grundsätzliche Änderung gegenüber der bisherigen Rechtslage ergeben. Für die österreichische Situation ist allerdings wichtig, dass die Beantwortungsfrist für Betroffenenbegehren von acht Wochen auf die
Hälfte verkürzt wurde, nämlich auf ein Monat ab Einlangen des Begehrens beim Verantwortlichen. Diese Frist kann wegen Komplexität der Bearbeitung des Begehrens auf maximal insgesamt drei Monate erstreckt werden, was dem Betroffenen aber innerhalb des ersten Monats begründet mitzuteilen ist.
Im Fall "begründeter Zweifel an der Identität" des Antragsstellers "kann" der Verantwortliche gem Art 12 Abs 6 DSGVO "zusätzliche Informationen anfordern". Die Verwendung des Wortes "kann" scheint nicht ganz adäquat, da es ein voluntaristisches Element enthält, das hier sicher nicht angebracht ist. Gemeint ist wohl eher, dass der Verantwortliche bei ungeklärter Identität zusätzliche Informationen anfordern darf (und muss!), obwohl die Verpflichtung zur umgehenden Behandlung von Betroffenenbegehren besteht.35 Dass die Einforderung eines Identitätsnachweises nicht missbraucht werden darf zur Hinauszögerung der Beantwortung, ergibt sich aus dem Grundsatz von Treu und Glauben, der das angemessene Verhalten der Verantwortlichen gegenüber den betroffenen Personen beherrscht.
4.2. Die DSGVO enthält zwei neue Betroffenenrechte, das "Recht auf Datenübertragbarkeit"36 und das "Recht auf Einschränkung der Verarbeitung",37 die in der Folge näher betrachtet werden sollen:
4.2.1. Im Verhältnis zwischen dem Betroffenen und dem Verantwortlichen haben sich in den letzten Jahren insofern Verschiebungen ergeben, als der Betroffene heute, im App-Zeitalter, sehr oft nicht mehr "Objekt" der Datenverarbeitung durch einen anderen ist, sondern oft die treibende Kraft: Als Nutzer von Diensten der Informationsgesellschaft38 ist es der Betroffene, der seine eigenen Daten, aber oft auch die Daten von anderen (zB seinen Kommunikationspartnern) verarbeitet haben will. Dies würde den Betroffenen eigentlich zum datenschutzrechtlich Verantwortlichen und den Diensteanbieter39 zum "Auftragsverarbeiter" des Betroffenen machen, doch hat eine solche Sichtweise keinen Eingang in das EU-Datenschutzrecht gefunden, wohl auch deshalb, weil die häufig gegebene wirtschaftliche Übermacht des Diensteanbieters die Ausübung einer Verantwortlichen-Rolle durch den Nutzer illusorisch macht (soweit sie nicht schon infolge der "Haushaltsausnahme"40 im Anwendungsbereich der DSGVO gar nicht zum Tragen käme). Im System der DSGVO ist diese Konstellation auf der Rechtsgrundlage des Vertrages nach Art 6 Abs 1 lit b abzuhandeln, wobei der Diensteanbieter als Verantwortlicher angesehen wird, der die Daten, die der Betroffene verarbeitet haben will, grundsätzlich nur für Zwecke der Vertragserfüllung verwenden darf (Koppelungsverbot).41
Zu dem Schutz des Betroffenen durch das Koppelungsverbot treten durch Art 20 DSGVO nunmehr auch verbesserte Wettbewerbsvoraussetzungen als zusätzlicher Schutzfaktor hinzu: Diensteanbieter müssen ihren Nutzern in Hinkunft auf Verlangen die zur Verarbeitung überantworteten Daten ausfolgen und zwar "in einem strukturierten, gängigen und maschinlesbaren Format", sodass ein Nutzer seinen Diensteanbieter wechseln kann, ohne einen Datenverlust in Kauf nehmen zu müssen. Dies sollte dazu beitragen, dass der Nutzer vom Wettbewerb zwischen Diensteanbietern auch hinsichtlich der Einhaltung von Datenschutzregeln leichter Gebrauch machen kann.
Die Reichweite dieses Rechts auf Datenübertragbarkeit muss aber im Lichte der obigen Ausführungen verstanden werden, um eine sinnvolle Abgrenzung zu ermöglichen: Sie ist auf die geschilderten auftragsverarbeiterähnlichen Konstellationen beschränkt, dh auf eine Situation, in der der Betroffene die Verarbeitung von personenbezogenen Daten wünscht und sie zu diesem Zweck einem anderen innerhalb eines Vertragsverhältnisses übergibt. Dass ihm diesfalls seine Daten in verarbeiteter Form zurückzugeben sind, damit er seinen Diensteanbieter auch wechseln kann, wenn er dies wünscht, ist bei diesem Grundverständnis nur konsequent. Ob eine Einschränkung des Rechts auf Datenübertragbarkeit auf Konstellationen besteht, in welchen die Verarbeitung von Daten als bedungene Leistung im Vordergrund steht, wird durch die Judikatur zu klären sein.42 Kein Recht auf "Datenübertragbarkeit" gibt es jedenfalls dann, wenn der Grund der Verarbeitung von Daten eines Betroffenen etwa auf der Erfüllung einer gesetzlichen Verpflichtung43 oder auf einem berechtigten Interesse des Verantwortlichen (oder eines Dritten)44 beruht.
4.2.2. Eine weitere Neuheit ist das Recht auf Einschränkung der Verarbeitung nach Art 18 DSGVO, das es dem Betroffenen erleichtern soll, im Streitfall ein "Einfrieren" des Status quo zur Vermeidung weiteren Schadens und zur Beweissicherung zu erreichen.
§ 22 Abs 4 DSG45 enthält die notwendigen Verfahrensbestimmungen zur Umsetzung dieses Rechts: Wenn der Verantwortliche nicht binnen eines Monats dem Begehren des Betroffenen entspricht, hat der Betroffene die Möglichkeit, bei der Datenschutzbehörde die Erlassung eines Bescheides gem § 57 Abs 1 AVG,46 eines sogenannten Mandatsbescheides, zu beantragen, mit dem
dem Verantwortlichen die umgehende Einschränkung der Verarbeitung aufgetragen wird, was auch durch Verhängung von Sanktionen nach Art 83 Abs 5 DSGVO erzwungen werden kann.
Das Verfahren nach § 57 AVG ist ausgerichtet auf Abhilfe bei Gefahr im Verzug und bietet die Möglichkeit, unaufschiebbare Maßnahmen beschleunigt anzuordnen, da die Behörde berechtigt ist, einen Bescheid auch ohne vorausgegangenes Ermittlungsverfahren zu erlassen.
Gegen einen Mandatsbescheid, der die Einschränkung der Verarbeitung anordnet, kann der für die Datenverarbeitung Verantwortliche binnen zwei Wochen Vorstellung erheben. Diese hat zwar keine aufschiebende Wirkung, dh, dass die Einschränkung der Verarbeitung trotz Erhebung der Vorstellung aufrechtzuerhalten ist, hat aber zur Folge, dass nunmehr innerhalb von zwei Wochen das Ermittlungsverfahren eingeleitet werden muss, widrigenfalls die Vorstellung außer Kraft tritt (und damit die Einschränkung der Verarbeitung hinfällig ist). Für die Entscheidung aufgrund des eingeleiteten Ermittlungsverfahrens besteht die gesetzliche Frist von sechs Monaten.
Fortsetzung folgt.
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung).
Die Datenschutz-Grundverordnung ist am 25. Mai 2016 in Kraft getreten, allerdings mit einer Legisvakanz von zwei Jahren, sodass sie erst am 25. 5. 2018 wirksam wurde.
Telekommunikationsgesetz 2003, BGBl I 2003/70 idgF.
Richtlinie 2002/58/EG des Europäischen Parlaments und des Rates vom 12. Juli 2002 über die Verarbeitung personenbezogener Daten und den Schutz der Privatsphäre in der elektronischen Kommunikation (Datenschutzrichtlinie für elektronische Kommunikation).
Vgl auch Art 95 DSGVO.
Eine Erneuerung der dem § 107 TKG zugrundeliegenden EU-rechtlichen Vorschriften wird im Zuge der Ausarbeitung einer neuen EU "e-privacy-Verordnung" behandelt.
Verletzungen des § 107 TKG 2003 werden vom örtlich zuständigen Fernmeldebüro, einer Unterbehörde des BM für Verkehr, Information und Technologie (BMVIT) als Oberste Fernmeldebehörde, geahndet.
§ 107 Abs 1 TKG 2003.
§ 107 Abs 2 Z 1.
§ 107 Abs 3.
Der "Kunden"-Begriff wurde in der österreichischen Rechtspraxis bisher weit verstanden: Auch eine Person, die nur Vorbereitungshandlungen für den Erwerb einer Ware oder Dienstleistung gesetzt hat, also ein "Interessent", wurde datenschutzrechtlich hinsichtlich der Zulässigkeit der Verwendung ihrer Kontaktdaten für Werbezwecke dem Erwerber einer Ware oder Dienstleistung gleichgestellt, wie insb der Standard- und Musterverordnung 2004 zu entnehmen war. (Vgl die Standardverarbeitung "SA022 Kundenbetreuung und Marketing für eigene Zwecke", in der die Betroffenenkreise als "eigene Kunden; Interessenten, die an den Auftraggeber selbst herangetreten sind" definiert wurden.) Dies scheint auch nicht unangebracht, wenn bedacht wird, dass in Art 6 Abs 1 lit b DSGVO die Berechtigung zur Datenermittlung nicht nur aus dem Bestehen eines Vertrages abgeleitet wird, sondern auch aus einem vorvertraglichen Verhältnis zum Betroffenen, sofern die Datenverwendung vom Betroffenen angestoßen wird, zB durch eine Anfrage.
Das sind: Herkunft der Daten aus den Angaben des Kunden oder Interessenten im Rahmen der Kunden- oder Interessentenbeziehung, weiters Werbung für "eigene ähnliche Produkte oder Dienstleistungen", und keine Eintragung in die bei der RTR GmbH geführte "ECG-Liste" ("e-Robinson-Liste").
Vgl hiezu zB VwSlg 18.762 A/2013 und OGH 30. 9. 2009, 7 Ob 168/09w.
Diese Rechtsansicht wird zB auch von der Wirtschaftskammer Österreich in der Erklärung des Inhalts von § 107 TKG 2003 auf ihrer Homepage ausdrücklich vertreten (siehe https://www.wko.at/service/wirtschaftsrecht-gewerberecht/E-Mail-Fax-Telefonwerbung-Telekommunikationsgesetz-Detail.html).
Europarat, Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten, ETS Nr 108.
Bundesgesetz über den Schutz personenbezogener Daten, Stammfassung BGBl I 1999/165.
So zB schon die Stellungnahme 15/2011 der Art-29-Gruppe "Zur Definition der Einwilligung", WP 187, S 12.
Vielfach wird die Auffassung vertreten, dass der Begriff der Vertragserfüllung durchaus weitherzig verstanden werden darf und alle Schritte und Verwendungsphasen umfasst, die mit der Anwendung und Verwaltung eines Vertrages verbunden sind, also etwa die Vorschreibung und Verrechnung der Gegenleistung, die Rechtsverfolgung, die Einbringung der Forderung aus dem Vertrag etc; so zB Albers, Artikel 6 Rechtmäßigkeit der Verarbeitung, in S. Brink/H. A. Wolff (Hrsg), BeckOK Datenschutzrecht23 (München 2018) Rz 31. Wenn einer so weitherzigen Auslegung nicht gefolgt wird, muss aber zugestanden werden, dass die genannten Weiterverwendungszweck kompatibel und daher - ohne zusätzliche Rechtsgrundlage - zulässig sind (zu diesem Themenbereich siehe Pkt 2.3. des vorliegenden Beitrags).
Art 5 Abs 1 lit b DSGVO.
Genauer: "für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke".
Stellungnahme 03/2013, WP 203, insb Annex 4.
Art 6 Abs 4 lit a und b.
Erwägungsgrund 50 zur DSGVO.
Art 6 Abs 4 lit c-e.
Vgl Art 28, insb Abs 3 lit h.
Vgl Art 28, insb Abs 3 lit e und f.
Näheres zur Frage, wann jemand "Dritter" ist, siehe weiter unten Pkt 3.2.
So nunmehr auch ausdrücklich Art 28 Abs 10 DSGVO.
Art 4 Z 10 DSGVO: "Dritter" (ist) eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.
Im Originaltext: "Auftraggeber".
Siehe die Ausführungen unter Pkt. 3.1.
Art 5 Abs 1 lit b DSGVO.
Art 5 Abs 1 lit a DSGVO.
Auf die ständige Judikatur der Datenschutzkommission (K121.525/0004-DSK/2009, K120.881/010-DSK/2003, K120.905/0008-DSK/2004, GZ K120.980/0008-DSK/2004 uam) sei hingewiesen, wonach ein gültiges Auskunftsbegehren erst nach Erbringung eines allenfalls verlangten Identitätsnachweise vorliegt, sodass auch die Frist zur Beantwortung erst mit diesem Zeitpunkt zu laufen beginnt.
Art 20 DSGVO.
Art 18 DSGVO.
E-Commerce-Gesetz, BGBl I 2001/152, § 3 Z 1.
Die Verarbeitung von personenbezogenen Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ist durch Art 2 Abs 2 lit c DSGVO von der Anwendung der DSGVO überhaupt ausgeschlossen.
Zum Koppelungsverbot siehe die Ausführungen unter Pkt 2.1., zu den Grenzen kompatibler Weiterverarbeitung Pkt 2.3.
Die Art-29-Gruppe sieht ein weites Anwendungsfeld für das neue Recht in ihrer Stellungnahme zum Recht auf Datenportabilität, WP 242, 13. 12. 2016.
Art 6 Abs 1 lit c.
Art 6 Abs 1 lit f.
Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz - DSG): Es handelt sich dabei um das DSG 2000, BGBl I 1999/165, dessen am 24. Mai 2018 geltende Fassung durch die Novellen BGBl I 2017/120, BGBl I 2018/23 und BGBl I 2018/24 mit 25. Mai 2018 geändert wurde.
Allgemeines Verwaltungsverfahrensgesetz 1991 - AVG, BGBl 1991/51 (WV) idgF.
