Bericht der Datenschutzbehörde für 2020: Neue Herausforderungen durch COVID-19

Wien (PK) – Seit Wirksamwerden der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 war die Zahl der Individualbeschwerden auch im Vorjahr unverändert hoch. Der Bericht (III-275 d.B.) der Datenschutzbehörde (DSB) für 2020, den das Justizministerium dem Nationalrat übermittelt hat, weist mit insgesamt 1603 Individualbeschwerden zwar einen Rückgang um etwa 24% im Vergleich zum "Rekord"-Jahr 2019 auf, dennoch wird ein Einpendeln auf dieses hohe Niveau auch für 2021 erwartet.

Die Beschwerdeverfahren konzentrierten sich vorrangig auf das Recht auf Auskunft, Geheimhaltung, Berichtigung bzw. Löschung und Widerspruch. Aus dem Ausland wurden 219 grenzüberschreitende Fälle eingebracht.

Insgesamt war die DSB seit 25. Mai 2018 bis Ende 2020 in 29 Verfahren als federführende Aufsichtsbehörde gegenüber einem Verantwortlichen tätig. Die Statistik weist weiter aus, dass die DSB 2020 65 Mal von der gegenseitigen Amtshilfe im Rahmen der grenzüberschreitenden Zusammenarbeit Gebrauch machte und selbst in 242 Fällen von anderen Aufsichtsbehörden kontaktiert wurde. Insgesamt wurden von allen Aufsichtsbehörden 173 Beschlussentwürfe gemäß DSGVO vorgelegt, die in 168 finalen Beschlüssen mündeten.

Viele der anhängigen Verfahren betreffen nach wie vor Beschwerdeverfahren gegen die Österreichische Post AG im Zusammenhang mit der 2019 bekannt gewordenen Verarbeitung personenbezogener Daten betreffend die statistische Errechnung der vermeintlichen politischen Affinität.

Zudem war 2020 von einer Verdoppelung der Verfahren vor dem Bundesverwaltungsgericht sowie einem deutlichen Anstieg der Entscheidungen des Bundesverwaltungsgerichtes geprägt, die teilweise Revisionsverfahren vor dem Verwaltungsgerichtshof nach sich zogen.

Bewertung und Überprüfung der DSGVO

Im Vorjahr wurde der erste Bericht der Europäischen Kommission zur Bewertung und Überprüfung der DSGVO vorgelegt. Die Kommission bezeichnete die DSGVO als wesentlichen Meilenstein zur Gewährleistung des Schutzes personenbezogener Daten, ortete aber teilweise noch eine zu starke Fragmentierung in den Rechtsordnungen der Mitgliedstaaten. Sie sah noch genügend Potential, die Zusammenarbeit zwischen den Aufsichtsbehörden stärker auszubauen. Eine allfällige Novelle der DSGVO sei jedoch aufgrund der noch unzureichenden Erfahrungslage zu früh, so die EU-Kommission.

Corona: Rechtliche Fragestellungen und Entscheidungen der Datenschutzbehörde

Die DSGVO stellt dem Bericht zufolge durch Art. 9 kein Hindernis bei der Bekämpfung einer Pandemie dar. Dort wird die Verarbeitung von Gesundheitsdaten geregelt und im Abs. 2 weitreichende und großzügige Ausnahmen vom grundsätzlichen Verbot der Datenverarbeitung geboten.

COVID-19 werfe nicht nur medizinische, sondern auch datenschutzrechtliche Fragestellungen auf. Zu klären sei beispielsweise, ob und unter welchen Voraussetzungen Informationspflichten über eine Erkrankung gegenüber dem Dienstgeber bestehen, ob ein Dienstgeber andere Dienstnehmer über einen Infektionsfall informieren darf oder was bei Homeoffice zu beachten ist. Die DSGVO bilde den Rahmen, innerhalb dessen sich Verantwortliche und Auftragsverarbeiter bewegen dürfen.

In einigen Bundesländern seien Gastronomen zum Contact-Tracing verpflichtet oder ermächtigt worden, bestimmte Daten ihrer Gäste zu erheben und sie auf Anfrage den Gesundheitsbehörden zur Verfügung zu stellen, um im Fall einer Infektion mögliche Kontaktpersonen rasch nachverfolgen zu können, so der Bericht. Eine betroffene Person brachte diesbezüglich Beschwerde bei der Datenschutzbehörde ein. Dieser Beschwerde wurde stattgegeben, weil die entsprechende Verordnung zum gegebenen Zeitpunkt nach Ansicht der Datenschutzbehörde keine Deckung im Epidemiegesetz fand. In der Zwischenzeit sei das Epidemiegesetz entsprechend novelliert worden.

Europäische Zusammenarbeit

Der Europäische Datenschutzausschuss (EDSA) trat 2020, bedingt durch die datenschutzrechtlichen Problemstellungen der COVID-19-Pandemie statt wie geplant elf Mal 27 Mal zusammen. Zwei Treffen fanden vor Ort in Brüssel statt, die restlichen 25 Plenarsitzungen wurden via Videokonferenz abgehalten. Insgesamt wurden dem Bericht zufolge 31 Stellungnahmen abgegeben. (Schluss) ibe