Öffentliche Daten fallen unter Geheimhaltung
Richtungsweisende Entscheidung der Datenschutzbehörde (DSB) - aus für Facebook-Stöberfahndung - veröffentlichte Daten dürfen nicht beliebig verwendet werden - DSGVO verlangt klare Zweckbestimmung - Position der ARGE DATEN bestätigt - ISO-zertifiziertes Datenschutzmanagement wichtiger den je
Sachverhalt
Ein Händler, spezialisiert auf Wasserspender, kontaktierte potentielle Interessenten per Telefon. Die Telefonnummer wurde aus einer öffentlich zugänglichen Webseite ermittelt. Die Telefonnummer sei - laut dem Händler - keiner bestimmten Person zugeordnet gewesen, daher würde das Verbot der Telefonwerbung, das natürliche Personen schützt, nicht zutreffen.
Gegen den Anruf wurde Beschwerde bei der Datenschutzbehörde wegen rechtswidriger Verwendung persönlicher Daten erhoben. Der Betroffene war Obmann eines Berufsverbandes und die Telefonnummer war auf der Website des Berufsverbandes veröffentlicht.
Richtungsweisende Entscheidung der Datenschutzbehörde
Grundsätzlich hält die Entscheidung fest, dass unerlaubte Telefonwerbung gemäß Telekommunikationsgesetz (TKG 2003) verboten ist und jeder Betroffene Anzeige beim Fernmeldebüro erstatten kann.
Die Fernmeldebüros verhängen jährlich einige hundert Verwaltungsstrafen, in der Regel zwischen 100 und 300 Euro. Nachteil dieser Verfahren für die Betroffenen: sie haben keinen Anspruch auf Information über das Ergebnis, sie werden bestenfalls als Zeugen befragt.
Der Betroffene argumentierte bei der DSB, die veröffentliche Telefonnummer sei sehr wohl seiner Person zuzuordnen. Dies gehe aus den Gesamtzusammenhang der Veröffentlichung auf der Website hervor.
Weiters wurden die Kontaktdaten zu einem ganz konkreten Grund veröffentlicht. Sie sollen der Kontaktaufnahme der Mitglieder des Verbandes dienen. Damit ist die Verwendung zu Werbzwecken ausgeschlossen.
Die Datenschutzbehörde schließt sich im Bescheid DSB-D123.076/0003-DSB/2018 den Argumenten des Betroffenen vollinhaltlich an und stellt sowohl eine Verletzung der Geheimhaltung (§ 1 DSG), als auch eine Verletzung der Informationspflichten (DSGVO Art. 14) fest.
Aus für Facebook-Stöberfahndung
Dem beliebten Stöbern in Facebook-Daten durch Arbeitgeber, Vermieter, Versicherungen und Co wird damit ein Riegel vorgeschoben. Ist der private Charakter eines Faceook-Postings oder eines Bildes erkennbar, dann dürfen diese Daten nicht ohne ausdrückliche Zustimmung des Betroffenen verwertet werden.
Selbst dann nicht, wenn sie allgemein zugänglich sind, also für jeden Facebook-Nutzer abrufbar sind.
Konsequenzen für den betroffenen Händler
Grundsätzlich hätte die Datenschutzbehörde neben der Feststellung der Verletzung von Datenschutzbestimmungen auch eine Datenschutzstrafe verhängen können. Dies erfolgte im konkreten Fall nicht.
Der Betroffene hat zusätzlich das Recht auf immateriellen Schadenersatz gemäß Art. 82 DSGVO. Zuständig dazu sind die Gerichte. Entscheidungen genau zu diesem Sachverhalt sind in naher Zukunft zu erwarten.
Hans G. Zeger, Obmann ARGE DATEN: "Im konkreten Fall sind die Chancen für Schadenersatz hoch. Schon vor der DSGVO haben österreichische Gerichte bei Datenschutzverletzungen Schadenersatz in der Höhe von etwa 1.000,- Euro zugesprochen, auch wenn kein direkter materieller Schaden entstanden ist. Die Bestimmungen der DSGVO sind jedoch wesentlich strenger auszulegen."
Zusätzlich droht dem Händler auch ein Verwaltungsverfahren nach TKG 2003 § 107 wegen unerwünschter Werbung.
Wann dürfen veröffentlichte Daten verwendet werden?
Die DSB-Entscheidung schränkt die Verwendung veröffentlichter Daten drastisch ein, lässt trotzdem genügend Spielraum für rechtmäßige Verwendung.
Öffentliche persönliche Daten dürfen jedenfalls zur (zweckgerichteten) Berichterstattung verwendet werden. Die ARGE DATEN hatte vor einiger Zeit im Zusammenhang mit Beschwerden zur "Robinsonliste" die Telefonnummer des zuständigen WK-Spartenobmanns veröffentlicht. Ergänzt wurde die Veröffentlichung mit dem Hinweis, wenn Einträge in die "Robinsonliste" nicht funktionieren, dann könne man sich beim Spartenobmann beschweren.
Offenbar hatten sich viele Betroffene beschwert. Der Spartenobmann verlangte per Gericht eine Löschung seiner - zuvor von ihm selbst veröffentlichten - Telefonnummer. Am Ende gab der OGH (6 Ob 167/06m) der Position der ARGE DATEN recht. Die Verwendung persönlicher Daten in einem sachlich korrekten Zusammenhang ist auch ohne Zustimmung des Betroffenen zulässig.
Die DSGVO hat zusätzliche Verwendungsmöglichkeiten sogar ausgeweitet. Art. 6 Abs. 4 DSGVO erlaubt es Datenverarbeitern Daten auch zu völlig anderen Zwecken zu verwenden, als sie ursprünglich ermittelt bzw. veröffentlicht wurden.
Die DSGVO verlangt dazu eine umfassende Risikobewertung, die folgende Punkte beachtet:
- jede Verbindung zwischen den Zwecken, für die die personenbezogenen Daten erhoben wurden, und den Zwecken der beabsichtigten Weiterverarbeitung
- den Zusammenhang, in dem die personenbezogenen Daten erhoben wurden, insbesondere hinsichtlich des Verhältnisses zwischen den betroffenen Personen und dem Verantwortlichen
- die Art der personenbezogenen Daten, insbesondere ob sensible Daten verarbeitet werden
- die möglichen Folgen der beabsichtigten Weiterverarbeitung für die betroffenen Personen (inklusive Beachtung gesetzlicher Beschränkungen)
- das Vorhandensein geeigneter Garantien zur Datensicherheit
Im konkreten Fall hat der Händler diese Bewertung unterlassen. Hätte er die Analyse durchgeführt, wäre er zwangsläufig zum Ergebnis gekommen, den Betroffenen nicht anzurufen. Es wäre aber zulässig gewesen den Berufsverband auf dem Postweg zu kontaktieren. Hätte er das Schreiben "an die Geschäftsführung" gerichtet, wäre er sogar komplett aus dem Datenschutzregime gefallen. Er hätte sich damit wohl viel Zeit, Ärger und Kosten erspart.
ISO-zertifiziertes Datenschutzmanagement wichtiger den je
Die DSB-Entscheidung zeigt in dramatischer Weise eine der vielen Fallen der DSGVO. In Summe können Datenverarbeiter mehr als bisher persönliche Daten verwerten, sie benötigen jeodch ein umfassendes Datenschutzmanagement, mit korrekter Zweckbindung, Verarbeitungsanalyse, Risikobewertung und Datenschutzfolgenabschätzung.
Werden die von der DSGVO vorgesehenen Mechanismen ignoriert, dann drohen den Verarbeitern Strafen und Verurteilungen. Noch schwerer wiegt jedoch der Wettbewerbsnachteil. Unternehmen, die die neuen Möglichkeiten der Verarbeitung persönlicher Daten NICHT nutzen werden bald hoffungslos von ihren Mitbewerbern abgehängt werden. Die ersten Kandidaten den Anschluss endgültig zu verlieren sind Unternehmen der Online-Werbung.
Die ARGE DATEN bietet für ein modernes Datenschutzmanagement umfassende Unterstützung an. Am 9. April 2019 startet ein Lehrgang zum ISO-zertifizierten Datenschutzbeauftragten. Am 8. Mai 2019 ein Datenschutz-Crash-Kurs für alle, die zur DSGVO auf den neuesten Stand kommen wollen. Am 15. Mai 2019 werden in einem Intensiv-Seminar die anerkannten Methoden zur Datenschutzfolgenabschätzung präsentiert.
mehr --> Online-Registrierung Crash-Kurs DSGVO und DSG 8. Mai 2019
mehr --> Online-Registrierung Intensivseminar Datenschutz-Folgeabschätzung 15. Mai 2019
Archiv --> Welche Rechte hat ein Betroffener bei Datenschutzverletzung?
Archiv --> Welche Informationspflichten bestehen durch die Datenschutz-Gr...
Archiv --> Wann ist eine Datenverarbeitung gemäß DSGVO erlaubt?
mehr --> Crashkurs: Datenschutz gemäß DSGVO und DSG
mehr --> Intensivseminar: Datenschutz-Folgenabschätzung
mehr --> Online-Registrierung Ausbildungsreihe "ISO-zertifizierter Datenschutzbeauftragter" 2019
mehr --> Lehrgang ISO-zertifizierter Datenschutzbeauftragter
Archiv --> Wann ist eine Datenschutz-Folgenabschätzung durchzuführen?
Archiv --> Schadenersatz und Strafen für Datenschutzverletzungen
artikel - red/public 2019/02/28 update vor 1118d 12h 41min
|