Die Österreichische Datenschutzbehörde hat kürzlich ihren Tätigkeitsbericht für das Jahr 2018 veröffentlicht. Wir haben die interessantesten Aspekte für Sie kurz zusammengefasst:
Mit der Umsetzung der DSGVO hat sich der Zuständigkeits- und Tätigkeitsbereich der Datenschutzbehörde enorm vergrößert. Die wichtigsten Änderungen waren (i) die Übernahme anhängiger Verwaltungsstrafverfahren von den Bezirksverwaltungsbehörden, (ii) die Fortführung bereits anhängiger Verfahren nach dem DSG 2000 und (iii) die Einbindung von Partnerbehörden in grenzüberschreitenden Fällen. Da sich der Gesamtaufwand der Behörde dadurch fast verdreifacht hat, erhöhte die Behörde bis Ende 2018 ihre Mitarbeiterzahl auf 34, wovon 21 Juristen sind. Dies obwohl die bisherigen Melde- und Genehmigungsverfahren gänzlich weggefallen sind. Aufgrund der stetig zunehmenden Data Breach Notifications und Verwaltungs(straf)verfahren ist aber für 2019 eine weitere Erhöhung des Personalstands geplant. Die Behörde ist also weiterhin sehr aktiv. Das zeigt sich auch in den veröffentlichten Zahlen:
Die Anzahl der Beschwerden ist 2018 im Vergleich zu 2017 von 156 auf 1036 angestiegen. Es gab daher letztes Jahr – wie aufgrund der starken medialen Berichterstattung rund um die DSGVO zu erwarten war – beinahe zehnmal mehr Beschwerden als noch 2017. Die Beschwerdeverfahren drehen sich dabei vor allem um die Rechte auf Auskunft, Geheimhaltung, Berichtigung/Löschung und Widerspruch. Die Hälfte aller Beschwerden wurde bereits im Jahr 2018 durch die Behörde erledigt, wobei 169 Verfahren eingestellt wurden. Die Verfahren werden grundsätzlich als Verwaltungsverfahren nach dem AVG geführt und von einem eventuell anschließenden (oder gegebenenfalls parallelen) Verwaltungsstrafverfahren nach dem VStG getrennt. Seit 25.5.2018 führte die Behörde 134 Verwaltungsstrafverfahren. Etwa die Hälfte davon wurde von der Behörde amtswegig eingeleitet, wobei es sich beim Großteil um Fälle von Videoüberwachungen gehandelt hat. Die höchste von der Behörde bisher verhängte Strafe belief sich dabei auf EUR 4.800,- (also knapp 10 % der potentiellen Höchststrafe von EUR 50.000).
Zusätzlich zu den Verwaltungs- und Verwaltungsstrafverfahren hat die Behörde im Jahr 2018 129 amtswegige Prüfverfahren geführt. 95 davon wurden im Berichtszeitraum auch abgeschlossen. Die Verfahren wurden aufgrund von anonymen Eingaben oder Eingaben durch Behörden eingeleitet und dienten wiederum überwiegend der Überprüfung der Rechtmäßigkeit von Videoüberwachungen. Die seit 2014 jährlich durchgeführten Schwerpunktverfahren zur Überprüfung bestimmter Sektoren sind aber im Jahr 2018 aufgrund der Umsetzung der DSGVO ausgeblieben. Obwohl ein Schwerpunkt für 2019 geplant ist, wurde dieser noch nicht offiziell kommuniziert. Vor Anwendbarkeit der DSGVO wurden aber bereits die Banken-, Versicherungs-, Energie-, Gesundheits- und Telekomsektoren als Schwerpunkte angekündigt. Die aktuellen Verfahrenszahlen zeigen, dass die Frage nicht ist, ob, sondern wann die Behörde eine Überprüfung in diesen Bereichen einleitet.
Seit dem DSGVO-Stichtag sind bei der Behörde außerdem 501 Data Breach Notifications eingegangen; davon wurden 344 erledigt. Zusätzlich ist die Behörde auch mit grenzüberschreitenden Verletzungen und Verletzungen gemäß § 95a TKG konfrontiert. Erwähnenswert ist auch, dass die Behörde im Rahmen der Prüfung teilweise verlangt, die Betroffenen ebenfalls nachträglich von einem Verstoß zu informieren.
Trotz der Erweiterung des Tätigkeitsbereiches geht die Systematik der DSGVO von einer Selbstverantwortung der Verantwortlichen aus. Insbesondere mit der Schaffung von Verhaltensregeln soll eine Selbstregulierung eingeführt werden. Die ersten und einzigen Verhaltensregeln wurden durch die ISPA (Internet Service Providers Austria) eingereicht und von der Behörde am 19.11.2019 genehmigt. Diese sollen Leitlinien einer guten Datenschutzpraxis darstellen und die Verhaltensweise von Verantwortlichen und Auftragsverarbeitern einer bestimmen Branche standardisieren. Aus diesem Grund plant die Behörde das Verfahren rund um die Genehmigung näher auszuarbeiten und die Antragslegitimierten aus weiteren Branchen zur Antragstellung anzuregen. Aktuell werden die Verhaltensregeln mit Bescheid genehmigt und auf der Website der DSB und im RIS veröffentlicht.
Weiters erteilte die Datenschutzbehörde rund 4.000 Rechtsauskünfte, was fast doppelt so viel war, wie in den Jahren zuvor. Der Bericht der Datenschutzbehörde gibt zudem einen guten Überblick über die wichtigsten Verfahren und Entscheidungen des vergangenen Jahres. Darüber haben wir unseren Mandanten bereits in unserem Datenschutz-Newsletter und im Zuge der Clarity Talks ausführlich berichtet.
Fazit: Der Tätigkeitsbericht lässt erkennen, dass die Datenschutzbehörde trotz ihres personellen Engpasses sehr aktiv ist und ihre erweiterten Kompetenzen schon im Jahr 2018 spürbar eingesetzt hat. Insbesondere vor dem Hintergrund, dass die Behörde allen Beschwerden im Detail nachgeht, Schwerpunktüberprüfungen für dieses Jahr angekündigt hat und die oft auslegungsbedürftige DSGVO laufend durch neue Entscheidungen konkretisiert, ist es umso mehr erforderlich, die eigene Datenschutz-Compliance laufend zu überprüfen und bei Bedarf anzupassen.