Bescheid der Datenschutzbehörde nach einem amtswegigen Prüfverfahren – Teil 1: Bestellung eines Datenschutzbeauftragten

21.05.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

In dieser Reihe zeigen wir Ihnen anhand eines tatsächlich ausgestellten Bescheides auf, wie Sie datenschutzrechtliche Vorgaben in Ihrem eigenen Unternehmen oder Verein umsetzen können, um bei einer behördlichen Überprüfung zu bestehen.

Die österreichische Datenschutzbehörde leitete ein Prüfverfahren gegen eine Tagesklinik ein, nachdem sie eine Meldung von dortigen datenschutzrechtlichen Sicherheitsverletzungen erreichte. Diese stellte mit rechtskräftigem Bescheid vom 16.11.2018 mehrere Verstöße gegen die DSGVO fest.

Dieser erste Teil beschäftigt sich mit der ersten Pflichtverletzung, die lautete:

Die Bestellung eines Datenschutzbeauftragen ist nicht in jedem Fall notwendig, sondern in Österreich, anders als in Deutschland, nur dann, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sogenannter „sensibler Daten“ besteht. Darunter fallen zum Beispiel Krankenanstalten. Sensible Daten sind etwa Gesundheitsdaten, biometrische Daten zur eindeutigen Identifizierung einer Person oder Daten der sexuellen Orientierung. Solche Daten sollen besonders geschützt werden und unterliegen daher strengeren Regelungen, um überhaupt einer Verarbeitung zugänglich zu sein.

Ab wann eine Tätigkeit mit „umfangreicher“ Verarbeitung vorliegt, ist nicht ganz eindeutig, da auch die DSGVO keine Definition liefert. Es wird nach folgenden Kriterien beurteilt, die im Einzelfall zu unterschiedlichen Ergebnissen führen können:

  • die Zahl der Betroffenen
  • die verarbeitete Datenmenge
  • die Dauer der Datenverarbeitung
  • das geografische Ausmaß der Datenverarbeitung

Des Weiteren sind Unternehmen zu nennen, die zwar nicht nur sensible Daten, aber Daten im Allgemeinen systematisch und regelmäßig verarbeiten, wie beispielsweise Banken, Versicherungen oder Berufsdetekteien. In Deutschland muss ein Datenschutzbeauftragter hingegen immer schon dann bestellt werden, wenn im Unternehmen oder Verein mehr als zehn Personen mit der Datenverarbeitung beschäftigt sind. Auch in Österreich gibt es datenschutzrechtliche Experten, die eine Regelung wie in unserem Nachbarland bevorzugen würden. Der österreichische Gesetzgeber entschied sich allerdings nicht für diese zusätzliche Bedingung.

Es muss zwar immer im Einzelfall geprüft werden, ob die Pflicht zur Bestellung eines Datenschutzbeauftragen vorliegt, in den meisten Unternehmen wird dies allerdings nicht notwendig sein.