Im Schatten der durch das Coronavirus bewirkten Krise hat sich das Datenschutzrecht weiterentwickelt. Mit bemerkenswerten Neuerungen.

Als der Datenschutz vor zwei Jahren grundlegend reformiert wurde, gab es kaum einen Unternehmer, der nicht darüber sprach, der nicht davon betroffen war. Inzwischen ist es ruhig geworden um das Thema, das nicht nur viele aus der Wirtschaft irgendwann als leidig empfunden haben. Auch wenn die befürchteten Abmahn- und Klagewellen bislang ausgeblieben sind: Jüngste Entscheidungen der Datenschutzbehörde zeigen, dass dennoch Grund zur Vorsicht geboten ist.

Verwarnen statt strafen – oder etwa doch nicht?

Plötzlich war doch alles nicht ganz so tragisch. „Jetzt müssen sie uns erst einmal verwarnen, bevor sie uns strafen können“, witzelte manch Unternehmer als die österreichische Regierung 2018, kurz vor Inkrafttreten der europäischen Datenschutzgrundverordnung (DSGVO), die Befugnisse der Datenschutzbehörde (DSB) massiv beschränkte. Damals wurde im nationalen Datenschutzgesetz eine Regelung vorgesehen, wonach die Behörde Verstöße zunächst verwarnen muss – eine Entscheidung, die über die Landesgrenzen hinweg für politischen Zündstoff sorgte. Schon damals fragten sich viele Juristen: Geht das überhaupt? Lässt sich das Unionsrecht durch nationale Regelungen beugen? Nunmehr hat sich die Datenschutzbehörde selbst dazu geäußert. Sie steht auf dem Standpunkt, dass aufgrund des Anwendungsvorranges des Unionsrechtes Strafen auch bei erstmaligen Verstößen verhängt werden dürfen. Die DSB fühlt sich also an die Einschränkung im österreichischen Datenschutzgesetz nicht gebunden. Noch bleibt abzuwarten, was die Gerichte dazu sagen werden.

Neue Einschätzung zu Dash-Cams

Bislang waren sogenannte Dash-Cams, also Videokameras, die während einer Autofahrt frontal oder rückseitig aufzeichnen, unzulässig, weil dadurch der öffentliche Raum überwacht wurde, was grundsätzlich den Sicherheitsbehörden vorbehalten ist. Diese Rechtsansicht hat die DSB inzwischen relativiert, nachdem das Bundesverwaltungsgericht die Vorgaben zur Bildverarbeitung präzisiert hat: Eine Nutzung von Dash-Cams kann jetzt datenschutzrechtlich erlaubt sein, sofern gewisse Voraussetzungen vorliegen, die einzelfallbezogen zu prüfen sind: Wesentlich ist, ob die Datenverarbeitung ausschließlich zum Zweck der Dokumentation eines Unfallherganges erfolgte und ob die Aufnahme des öffentlichen Raumes auf das erforderliche Maß beschränkt wurde. Weiters dürfen die Aufnahmen nur solange gespeichert werden, wie dies unbedingt nötig ist, also beispielsweise eine Minute vor dem Unfallgeschehen bis wenige Sekunden danach. Zudem müssen die Daten kontinuierlich überschrieben werden, wenn es zu keinem Unfall gekommen ist. Eine zeitlich unbeschränkte Speicherung wäre jedenfalls unzureichend. Beim Speichern und Überschreiben der Daten muss es sich um einen automatisierten Prozess handeln, der nicht etwa durch das manuelle Betätigen eines Speicherknopfes oder durch das Entfernen einer SD-Karte beeinflusst werden kann. Entsprechende Verschlüsselungstechniken und Zugriffsbeschränkungen sollen darüber hinaus die erforderlichen datenschutzrechtlichen Standards gewährleisten. Sind diese Kriterien erfüllt, dürfen Dash-Cams künftig eingesetzt werden.

Immer Ärger mit Messaging-Diensten

Dass das Versenden personenbezogener Daten über Messaging-Dienste wie WhatsApp rechtlich problematisch sein kann, ist zwar nicht neu. Viele scheint das dennoch nicht abzuschrecken. Noch immer wird die – zugegeben praktische – Kommunikationsmethode des Instant-Messaging genutzt, um berufliche oder sensible Daten zu versenden. Das kann rechtliche Konsequenzen nach sich ziehen. Erst unlängst verhängte die DSB eine Strafe, weil ein Arbeitgeber die Arbeitsunfähigkeitsmeldung eines Mitarbeiters in einer WhatsApp-Gruppe geteilt hatte. Zwar befand sich auf der Krankmeldung kein konkreter Grund für die Arbeitsunfähigkeit, es war aber der Zeitraum der Arbeitsunfähigkeit ersichtlich – nämlich der Beginn der Arbeitsunfähigkeit und der Termin für die Wiederbestellung beim behandelnden Arzt. Aus Sicht der Behörde handelt es sich dabei um „Gesundheitsdaten“, die Informationen zum körperlichen oder geistigen Gesundheitszustand einer Person geben. Für die Offenlegung solcher Daten gab es keinen Grund, keine Rechtfertigung. Der Arbeitgeber wurde daher bestraft. Auch ein weiterer Fall betraf die unzulässige Verarbeitung personenbezogener Daten durch die Nutzung von WhatsApp: Ein Taxi-Fahrgast bezahlte den Fuhrlohn nicht, weil er nicht genügend Bargeld bei sich hatte. Daraufhin fertigte der Taxifahrer ohne Einwilligung des Gastes Fotos von dessen Führerschein und Bankomatkarte an, welche er per WhatsApp an andere Personen weiterleitete. Nach Ansicht der Behörde war weder die Datenerhebung, das Fotografieren, noch die Datenübermittlung bei WhatsApp, rechtmäßig.

Doppelt hält besser

Wer sich im Internet für einen Newsletter anmeldet, erhält regelmäßig eine Bestätigungsmail mit einem Aktivierungslink. Erst wenn der Link angeklickt wird, erhält der Nutzer Werbenachrichten. Zumindest seit 2018 ist dieses System weit verbreitet. Man spricht dabei von „doppelter Zustimmung“ oder vom „Double-Opt-In-Verfahren“. Ohne ein solches Sicherheitsmaßnahme ist das Versenden von Newslettern höchst riskant, weil der Empfänger dann jederzeit behaupten kann, er habe sich für den Newsletter nicht angemeldet, jemand anderes müsse das gewesen sein. Unternehmer bringt das zwangsläufig in Argumentations- und Beweisschwierigkeiten. Dennoch verzichten noch immer viele Firmen auf das System der doppelten Zustimmung. Einer Dating-Plattform wurde das zum Verhängnis: Auf der Plattform konnten sich Nutzer mit einer beliebigen E-Mail-Adresse anmelden, um die Services zu nutzen. Weil es kein „Double-Opt-In-Verfahren“ gab, konnte sich eine Person mit einer fremden E-Mail-Adresse anmelden. Der wahre Inhaber der E-Mail-Adresse erhielt dann in weiterer Folge Sex-Spam-Nachrichten, ohne sich jemals auf dem Onlinedating-Portal angemeldet zu haben. Die DSB ortete darin eine Verletzung des Rechtes auf Geheimhaltung.

Schadenersatz nach Datenschutz-Verstoß?

Höchst interessant ist auch eine gerichtliche Entscheidung zur Frage, inwieweit Schadenersatz nach einem Verstoß gegen das Datenschutzrecht gelten gemacht werden kann und unter welchen Voraussetzungen ein ideeller Schaden zusteht – also ein solcher Schaden, der nicht in Geld bezifferbar ist und durch Gefühle von Ärger, Ungemach und Kontrollverlust entsteht. Im vorliegenden Fall ging es um die Verarbeitung von Daten zur „Parteiaffinität“ durch die Österreichische Post. Ein Betroffener hatte auf Schadenersatz geklagt und vom Erstgericht einen Betrag in Höhe von 800 Euro zugesprochen bekommen. Das Berufungsgericht, das in der nächsten Instanz entschied, wies die Klage hingegen ab. Ein ideeller Schadenersatzanspruch sei zwar grundsätzlich möglich, es müssen aber der Eintritt und die Höhe des Schadens nachgewiesen werden – die bloße Behauptung eines Verstoßes gegen Datenschutzrechtsbestimmungen ist nicht ausreichend für einen Anspruch auf Schadenersatz. Zudem muss der Verstoß mehr als nur „negative Gefühle“ bewirkt haben, konkret ein Mindestmaß an persönlicher Beeinträchtigung. Eine solche Auswirkung hatte der Kläger weder behauptet noch bewiesen.

STEPHAN KLIEMSTEIN