MeineBerater

Österreich: DSGVO-Strafe von BVwG halbiert

Posted 30. September 2020 by Birgit von Maurnböck

Benötigen Sie einen Datenschutzbeauftragten? Haben Sie auch tatsächlich einen ernannt? In diesem Beitrag lesen Sie über eine Strafe, die wegen Nicht-Ernennung eines solchen sowie aufgrund weiterer DSGVO-Verstöße verhängt wurde. Außerdem: Wieso wurde diese Strafe anschließend vom BVwG halbiert?

Ambulanz bekommt DSGVO-Strafe

Bereits Ende 2019 wurde von der Österreichischen Datenschutzbehörde eine Strafe über 50.000 Euro gegen eine Allergie-Ambulanz verhängt. Die Gründe dafür waren, zum einen, dass trotz 17 beschäftigter Ärzte kein Datenschutzbeauftragter ernannt worden war. Weiters wurde von den Patienten eine unwiderrufliche Zustimmung aufgrund unklarer Informationen sowie für ein niedriges Datenschutzniveau verlangt. Beispielsweise wurden medizinische Daten durch unverschlüsselte Emails übermittelt.
Bei der Angabe der Rechtsgrundlage für die Datenverarbeitungen wurde zudem die Tatsache ignoriert, dass es sich bei den Gesundheitsdaten um sensible Daten handelte. Diesen kommt gemäß DSGVO ein besonderer Schutz zu. Eine Datenschutz-Folgenabschätzung für unterschiedliche Verarbeitungen wurde auch nicht vorschriftsgemäß durchgeführt.

Anfechtung der DSGVO-Strafe

Die verantwortliche Allergie-Klinik erhob anschließend Beschwerde gegen die Entscheidung der Datenschutzbehörde.

Diese wurde folgendermaßen begründet:

Die fehlerhaften Informationen und Einwilligungserklärungen seien nur eine kurze Zeit online gewesen und nur von einer geringen Zahl von betroffenen Personen gesehen worden.
Es habe zwar keine Datenschutzfolgenabschätzungen gegeben, wohl aber Leitlinien für die Organisation und Technik.
Die Klinik habe sich in Bezug auf die Nichtbestellung eines Datenschutzbeauftragten bei der Ärztekammer als Standesvertretung erkundigt.

Das Bundesverwaltungsgericht (BVwG) erkennt die Tatsache an, dass der Verantwortliche die Verstöße beseitigt hat, und verweist auf dessen bisherige Unbescholtenheit. Auf diese Aspekte wurde besonders Bedacht genommen. Weiters kommt hinzu, dass von keiner Gefahr der Tatwiederholung ausgegangen wird.

Als Folge dessen wurde die von der Datenschutzbehörde verhängte Strafe von 50.000 Euro vom BVwG auf 25.000 Euro herabgesetzt.

Unsere Praxistipps

Achten Sie darauf, dass es in Ihrem Unternehmen eine Person gibt, die für den Datenschutz zuständig ist. Die nötige Weiterbildung und Auffrischung finden Sie in unserer Akademie.
Für weitere Informationen und Hilfestellungen kontaktieren Sie uns jederzeit.

Kontaktverfolgung zur COVID-19-Bekämpfung

Posted 30. September 2020 by Birgit von Maurnböck

Führen Sie Gästelisten, um zur COVID-19-Bekämpfung gegebenenfalls Besucher-, Mitarbeiter- oder Kundenkontakte zurückverfolgen zu können? Lesen Sie in diesem Beitrag, ob eine solche Liste verpflichtend sein darf bzw. muss.

Die COVID-19-Bekämpfung hat in diesem Jahr auch uns Datenschützer vor einige Fragen gestellt. Wie weit dürfen Personen überwacht und ihre Handlungen zurückverfolgt werden, um die Ausbreitung einer weltweiten Pandemie einzudämmen?

Maßnahmen zur COVID-19-Bekämpfung

In Deutschland ist es schon seit Monaten verpflichtend, sich bei Besuchen in Restaurants oder Betrieben in Gästelisten samt Kontaktdaten, wie etwa Adresse, Telefonnummer oder Email Adresse, einzutragen.

In Österreich beruhte dies jedoch bis jetzt auf freiwilliger Basis. Neuerdings ist es in einigen Bundesländern und Städten jedoch auch hierzulande verpflichtend. Durch eine Änderung im Epidemie-Gesetz wurde nun eine gesetzliche Grundlage für das sogenannte „Contact-Tracing“ geschaffen. In Wien müssen sich Restaurantgäste bereits seit letzter Woche vor dem Besuch registrieren.

Wie sieht diese Änderung genau aus und was bedeutet Sie für verantwortliche Unternehmen? Wann müssen Sie Gästelisten vorgeben und wie setzen Sie den Vorgang datenschutzsicher um?

Neues Epidemie-Gesetz zu COVID-19-Bekämpfung

Der neue Absatz im Epidemie-Gesetz schreibt vor, dass Betriebe, Veranstalter und Vereine dazu verpflichtet sind, personenbezogene Kontaktdaten von Gästen, Besuchern, Kunden und Mitarbeitenden für eine Dauer von 28 Tagen aufzubewahren.

Für wen gilt nun diese Verpflichtung zur Aufzeichnung? Für alle Betriebe, Veranstalter und Vereine, deren Betriebsgelände, Lokal oder Gebäude von dritten Personen betreten wird.

Achtung: Selbstverständlich gilt auch hier die Informationspflicht! Das heißt also: Der Verantwortliche (Betrieb, Veranstalter oder Verein) muss die betroffenen Personen (Gäste, Besucher, Kunden und Mitarbeiter) über die Erhebung der Kontaktdaten, den Zweck sowie auch die Rechtsgrundlage informieren.

Wie wird die Registrierung durchgeführt? Ob ein Kontaktformular elektronisch oder händisch auszufüllen ist, wird im Gesetz nicht definiert. ACHTUNG: Es dürfen jedoch NIEMALS Gästelisten offen ausgelegt werden! Somit würden schließlich anderen Besuchern und Gästen die privaten Kontaktdaten zugänglich gemacht. Das wäre selbstverständlich eine schwere Datenpanne! In Deutschland konnten wir in den vergangenen Wochen selbst Zeugen eines solchen Vorfalls werden.

Unser Fazit

Geschäftsführerin Birgit von Maurnböck ist COVID-19-Beauftragte für Veranstaltungen. Sollten Sie eine Veranstaltungen mit über 50 Personen planen, ist ein COVID-19-Beauftragter verpflichtend zu ernennen.
Kontaktieren Sie uns auch hierzu sehr gerne. Genauere Informationen können Sie in diesem Beitrag nachlesen.

Archive for September 30th, 2020