Wann sind Daten rechtmäßig veröffentlicht?
DSGVO Art 5-6, 19, 82-83 DSG §§ 22, 24
Bei strenger Auslegung des Schutzes der Privatsphäre sind viele Veröffentlichungen persönlicher Daten im Internet unrechtmäßig
Geben Sie einen beliebigen Familien- und Vornamen im Internet ein und Sie werden jede Menge von Listen mit persönlichen Daten erhalten.
Egal ob Telefonbucheinträge, Lebensläufe, Klassen- oder Studienlisten, Ergebnislisten bei Sportveranstaltungen, Veranstaltungsteilnamen, Biographien und Zitiersammlungen, Lehrer- und Schülerbewertungen, Bewerberlisten, Mitarbeiterdaten oder Abrechnungen von Hausverwaltungen.
Warnlisten über Personen und Unternehmen finden sich genauso darunter, wie Listen von Globalisierungskritikern, Teilnehmern an internen eGovernment-Seminaren oder Einladungslisten von Pfarrkränzchen.
Weblogs mit fragwürdigen Inhalten oder die Kaffeehaus-Webcam runden das alltägliche Bild vom privaten Lauschangriff und Datenmissbrauch ab.
Meist sind es nur winzige Informationssplitter über eine Person, nicht geeignet für systematische Überwachungen, aber oft ausreichend, um Einblicke in persönliche Meinungen und Privatleben von einzelnen Menschen zu erhalten.
Oft unrechtmäßige Veröffentlichungen
Eine rechtmäßige Veröffentlichung im Internet gemäß DSGVO liegt nur dann vor, wenn der Grundsatz der Zweckbindung erfüllt ist und ein Rechtfertigungsgrund oder eine Einwilligungserklärung gegeben ist. Fehlt eine, dann ist die Veröffentlichung unrechtmäßig.
Rechtfertigungsgrund oder Einwilligungserklärung
Die DSGVO verlangt zumindest einen der folgenden Rechtfertigungsgründe für die rechtmäßige Datenverarbeitung, sofern keine Einwilligungserklärung für einen oder mehrere bestimmte Zwecke vorliegt (Art 6 Abs 1 DSGVO):
(1) Die Veröffentlich ist für die Erfüllung eines Vertrags, dessen Vertragspartei der Betroffene ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage des Betroffenen erfolgen.
(2) Die Veröffentlichung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
(3) Die Veröffentlichung schützt lebenswichtige Interessen des Betroffenen oder eines Dritten.
(4) Die Veröffentlichung schützt überwiegende berechtigte Interessen des Kindes.
(5) Die Veröffentlichung schützt berechtigte Interessen des Verantwortlichen oder eines Dritten.
(6) Die Veröffentlichung dient öffentlichen Interessen.
Einwilligung des Betroffenen
Wer keine Rechtfertigung für eine Aufnahme vorweisen kann, braucht die Einwilligung der betroffenen Person. Diese muss der Veröffentlichung ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zustimmen und zudem über Zweck und Umfang der Veröffentlichung aufgeklärt sein. Generaleinwilligungserklärungen gab es nie und gibt es mit der DSGVO gleich gar nicht.
Selbst wenn die Veröffentlichung einem berechtigten Zweck folgen würde bedarf die Veröffentlichung im Internet der Einwilligung durch den Betroffenen (Art 6 Abs 1 lit a DSGVO). Eine Einwilligung, die ausdrücklich zu erteilen ist, jederzeit widerrufen werden kann und nicht bloß konkludent - etwa durch Teilnahme an einer Veranstaltung - erfolgen kann. Niemand muss damit rechnen, dass er, nur weil er an einer Sportveranstaltung oder einem Bildungsangebot teilgenommen hat, im Internet veröffentlicht wird. Eine derartige Einwilligung muss "in Kenntnis der Sachlage und frei von jedem Zwang" erfolgen.
Berechtigter Zweck
Jede Veröffentlichung muss gemäß Art 5 Abs 1 lit b DSGVO einem berechtigten Zweck (Zweckbindungsgrundsatz) verfolgen, etwa die Information von Teilnehmern untereinander oder die Information der Öffentlichkeit über bestimmte Ergebnisse (etwa bei Sportveranstaltungen). Ein derartiger berechtigter Zweck ist aber in vielen Fällen nicht gegeben. Wenn etwa die Teilnahme an einem Seminar dokumentiert wird, interessiert dies, abgesehen von den Teilnehmern, niemand. Ganz im Gegenteil besteht für die Teilnehmer ein Schutzanspruch, dass nicht jeder von der Teilnahme erfährt, und sei es nur um unerwünschte Werbung zu verhindern. Zur bloß internen Kommunikation untereinander ist aber eine frei zugängliche Liste unzulässig, hier wären nur interne, passwortgesicherte Listen erlaubt.
Datenschutzverletzungen sind den meisten Menschen nicht bekannt
Tatsächlich sind die meisten Internet-Datenschutzverletzungen den Betroffenen nicht bekannt. Sie rechnen schlicht und einfach nicht damit mit ihrem Namen im Internet aufzuscheinen.
DSGVO verlangt Aufsicht durch nationale Datenschutzbehörde
Obwohl der Schutz der Privatsphäre eine höchstpersönliche Angelegenheit ist, kann der Bürger auch darauf vertrauen, dass sein Schutz durch Behörden wahrgenommen wird.
Aus diesem Grund verlangt die DSGVO (http://ftp.freenet.at/privacy/ds-at/dsg2018-aktuell.pdf) eine nationale unabhängige Datenschutzbehörde, die die Einhaltung der allgemeinen Datenschutzregeln verlangt. In Österreich wäre dies nach dem DSG zwar die Datenschutzbehörde, diese hätte auch gemäß §§ 22 und 24 DSG das Recht der Überprüfung von Datenverarbeitern auf Einhaltung der Datenschutzbestimmungen. Dies geschieht jedoch gerade im Zusammenhang mit Veröffentlichungen im Internet praktisch nie. Sollte es an Kapazität mangeln stellt die ARGE DATEN gern eine Liste von Links zur Verfügung, bei denen die Rechtmäßigkeit der Veröffentlichung persönlicher Daten zumindest zweifelhaft und jedenfalls prüfwürdig ist.
Verständigungspflicht bei Berichtigung und Löschung
Wie soll sich jedoch ein Internetnutzer korrekt verhalten? Daten die rechtmäßig veröffentlicht sind, darf er zu seinen berechtigten Zwecken nutzen, unrechtmäßig veröffentlichte Daten darf er weder nutzen, noch weitergeben, er darf sie strenggenommen, gar nicht "zur Kenntnis nehmen".
Alle rechtswidrigen Veröffentlichungen sind unverzüglich zu löschen. Weiters müssen Verantwortliche alle Empfänger, an den er die rechtswidrig veröffentlichten Daten weitergegeben haben, über die Löschung informieren (Art 19 DSGVO). Die DSGVO normiert damit auch eine umfassende Mitteilungspflicht.
Geldstrafe und Schadenersatz droht
Verstöße gegen die Datenschutz-Grundsätze und die unrechtmäßige Datenverarbeitung personenbezogener Daten können eine Geldstrafe von bis zu 20 Mio. Euro oder bei Unternehmen von bis zu 4 % des letzten weltweiten Jahresumsatzes verhängt werden (Art 83 Abs 5 DSGVO). Die Datenschutzbehörde ist für die Verhängung der Geldstrafe zuständig. Weiters können Betroffene bei materiellen oder immateriellen Schäden Schadenersatz geltend machen (Art 82 DSGVO). Die Zivilgerichte (NICHT die Datenschutzbehörde) sind zuständig für Schadenersatzklagen.
mehr --> Welche Rechte hat ein Betroffener bei Datenschutzverletzung?
mehr --> Was ist eine gültige Einwilligung (Zustimmung) gemäß DSGVO?
mehr --> Welche Konsequenz hat es, wenn E-Mails so verschickt werden, d...
mehr --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> http://ftp.freenet.at/privacy/ds-eu/eu-ds-gvo-aktuell.pdf
mehr --> http://ftp.freenet.at/privacy/ds-at/dsg2018-aktuell.pdf
|
