Menu Search

Die Datenschutzbehörde 2018 in Zahlen

von Dr. Axel Anderl, LL.M., Mag. Dominik Schelling, Mag. Nino Tlapak, LL.M.

 

Die Österreichische Datenschutzbehörde hat kürzlich ihren Tätigkeitsbericht für das Jahr 2018 veröffentlicht. Darin finden sich neben einigen Angaben zur Behördenstruktur und einer übersichtlichen Zusammenfassung der wichtigsten Entscheidungen zur Datenschutz-Grundverordnung (DSGVO) und zum österreichischen Datenschutzgesetz (DSG) auch einige interessante Details zu den Verfahren vor der Datenschutzbehörde und ihren Tätigkeitsschwerpunkten:

Mit Anwendbarkeit der DSGVO zum 25.5.2018 hat sich der Zuständigkeits- und Tätigkeitsbereich der Datenschutzbehörde enorm vergrößert. Die wichtigsten Änderungen waren
- die Übernahme anhängiger Verwaltungsstrafverfahren von den Bezirksverwaltungsbehörden,
- die Fortführung bereits anhängiger Verfahren nach dem früheren DSG 2000 und
- die Einbindung von Partnerbehörden anderer EU-Mitgliedstaaten in grenzüberschreitenden Fällen.

Da sich der Gesamtaufwand der Behörde dadurch fast verdreifacht hat, erhöhte sie bis Ende 2018 ihre Mitarbeiterzahl auf 34 (davon sind insgesamt 21 Juristen). Die Datenschutzbehörde ist damit noch immer personell überschaubar aufgestellt. Allerdings ist der Zuwachs insbesondere deshalb beachtlich, da die früheren Melde- und Genehmigungsverfahren (die Haupttätigkeiten der Behörde vor Mai 2018) gänzlich weggefallen sind. Aufgrund der stetig zunehmenden Data Breach Notifications und Verwaltungs(straf)verfahren ist aber für 2019 eine weitere Erhöhung des Personalstands geplant. Die Behörde ist also weiterhin sehr aktiv.

Das zeigt sich auch in den veröffentlichten Zahlen zu den Verfahren:

Die Anzahl der Beschwerden ist 2018 im Vergleich zu 2017 von 156 auf 1036 angestiegen. Es gab daher letztes Jahr – wie aufgrund der starken medialen Berichterstattung rund um die DSGVO zu erwarten war – beinahe zehnmal so viele Beschwerden als noch 2017. Die Beschwerdeverfahren drehen sich dabei vor allem um die Rechte auf Auskunft, Geheimhaltung, Berichtigung bzw. Löschung und Widerspruch. Unternehmen sind daher angehalten, bei der Wahrung der Betroffenenrechte besondere Sorgfalt walten zu lassen und hier mit entsprechender Gewissenhaftigkeit vorzugehen, um Beschwerden der Betroffenen möglichst zu vermeiden. Die Hälfte aller Beschwerden wurde bereits im Jahr 2018 durch die Behörde erledigt, wobei 169 Verfahren eingestellt wurden. Die Verfahren werden dabei grundsätzlich als Verwaltungsverfahren nach dem Allgemeinen Verwaltungsverfahrensgesetz (AVG) geführt und von einem eventuell anschließenden (oder gegebenenfalls parallelen) Verwaltungsstrafverfahren nach dem Verwaltungsstrafgesetz (VStG) getrennt.

Seit 25.5.2018 führte die Behörde insgesamt 134 Verwaltungsstrafverfahren. Etwa die Hälfte davon wurde von der Behörde amtswegig eingeleitet. Auch darin zeigt sich das aktuell besonders aktive und starke Auftreten der Datenschutzbehörde. Schließlich wird sie nicht nur auf Grundlage von Beschwerden, sondern sehr häufig auch aus eigenem Antrieb aktiv. Bisher drehten sich die meisten Verwaltungsstrafverfahren um (unzulässige) Videoüberwachungen. Die höchste, bisher verhängte, Geldstrafe von der Behörde belief sich dabei auf EUR 4.800,- (also knapp 10 % der potentiellen Höchststrafe von EUR 50.000,- nach der Sonderbestimmung in § 62 DSG).

Zusätzlich zu den Verwaltungs- und Verwaltungsstrafverfahren hat die Datenschutzbehörde im Jahr 2018 außerdem 129 amtswegige Prüfverfahren geführt. 95 davon wurden im Berichtszeitraum auch abgeschlossen. Diese Verfahren wurden teilweise auch aufgrund von anonymen Eingaben aus der Bevölkerung oder Eingaben durch andere Behörden eingeleitet und dienten wiederum überwiegend der Überprüfung der Rechtmäßigkeit von Videoüberwachungen.

Außerdem fokussiert die Datenschutzbehörde ihre Tätigkeiten und Überprüfungen regelmäßig auf bestimmte Sektoren oder Geschäftsbereiche. Die seit 2014 jährlich durchgeführten Schwerpunktverfahren zur Überprüfung bestimmter Branchen sind aber im Jahr 2018 aufgrund der Umsetzung der DSGVO ausgeblieben. Obwohl ein Schwerpunkt für 2019 geplant ist, wurde dieser bisher noch nicht offiziell kommuniziert. Vor Anwendbarkeit der DSGVO wurden aber bereits die Banken-, Versicherungs-, Energie-, Gesundheits- und Telekomsektoren als Schwerpunkte angekündigt. Die aktuellen Verfahrenszahlen zeigen, dass die Frage nicht ist, ob, sondern wann die Behörde eine Überprüfung in diesen Bereichen einleitet.

Außerdem sind seit dem DSGVO-Stichtag bei der Behörde 501 Data Breach Notifications eingegangen; davon wurden auch bereits 344 erledigt. Erwähnenswert ist auch, dass die Behörde im Rahmen der Prüfung der gemeldeten Datenschutzverletzung vom Verantwortlichen teilweise verlangt, die Betroffenen ebenfalls nachträglich von einem Verstoß zu informieren.

Trotz der enormen Erweiterung des Tätigkeitsbereiches der Datenschutzbehörde geht die Systematik der DSGVO selbstverständlich von einer Selbstverantwortung der Verantwortlichen und einer erst nachgelagerten Prüfung der Datenschutzkonformität durch die Datenschutzbehörde aus. Insbesondere mit der Schaffung von Verhaltensregeln soll eine Selbstregulierung eingeführt werden. Die ersten und einzigen Verhaltensregeln wurden durch die ISPA (Internet Service Providers Austria) eingereicht und von der Behörde am 19.11.2018 genehmigt. Diese sollen Leitlinien einer guten Datenschutzpraxis darstellen und die Verhaltensweise von Verantwortlichen und Auftragsverarbeitern einer bestimmen Branche standardisieren. Aus diesem Grund plant die Behörde das Verfahren rund um die Genehmigung näher auszuarbeiten und die Antragslegitimierten aus weiteren Sektoren zur Antragstellung anzuregen.

Weiters erteilte die Datenschutzbehörde im Jahr 2018 rund 4.000 Rechtsauskünfte, was fast doppelt so viel war, wie in den Jahren zuvor. Der Tätigkeitsbericht der Datenschutzbehörde gibt zudem einen guten Überblick über die wichtigsten Verfahren und Entscheidungen des vergangenen Jahres.

 

Fazit:

Der Tätigkeitsbericht lässt erkennen, dass die Datenschutzbehörde trotz ihres personellen Engpasses sehr aktiv ist und ihre erweiterten Kompetenzen schon im Jahr 2018 spürbar eingesetzt hat. Insbesondere vor dem Hintergrund, dass die Behörde allen Beschwerden und (vermuteten) Datenschutzverletzungen im Detail nachgeht, Schwerpunktüberprüfungen für dieses Jahr angekündigt hat und die oft auslegungsbedürftige DSGVO laufend durch neue Entscheidungen konkretisiert, ist es umso mehr erforderlich, die eigene Datenschutz-Compliance laufend zu überprüfen und bei Bedarf anzupassen.



Sie wollen sich zum Thema Datenschutz weiterbilden?

Dann scrollen Sie doch durch unser umfassendes Seminarangebot! 

Unsere ARS-Referenten Dr. Axel Anderl, LL.M., Mag. Dominik Schelling & Mag. Nino Tlapak, LL.M. stellen sich kurz vor:

RA Dr. Axel Anderl, LL.M. ist Partner bei der DORDA Rechtsanwälte GmbH und Leiter des IT/IP Desk; Tätigkeitsschwerpunkte: E-Commerce, Softwareverträge, Outsourcing, Datenschutz und Werbungs- bzw. Wettbewerbsrecht; ausgewiesener IT-Experte mit langjähriger Praxiserfahrung; Autor zahlreicher Fachpublikationen und einschlägige Lehrtätigkeit; u. a. Co-Autor der Kommentierung des § 2 UWG im großen Manz'schen UWG-Kommentar (2. Auflage, Hrsg. Wiebe/G. Kodek). 

>>> zu den aktuellen Seminaren von Herrn RA Dr. Anderl, LL.M.

RAA Mag. Dominik Schelling ist Rechtsanwaltsanwärter bei DORDA Rechtsanwälte GmbH im IP/IT/Datenschutz-Team; fachliche Schwerpunkte: Datenschutzrecht, Outsourcing, IT-Recht und E-Commerce, Immaterialgüterrechte (Marken, Muster, Patente und Urheberrecht), Medienrecht und Social Media sowie Lauterkeitsrecht (UWG); zahlreiche Publikationen im Bereich Datenschutzrecht, IP, IT und E-Commerce; regelmäßiger Vortragender bei Fachseminaren und Konferenzen. 

>>> zu den aktuellen Seminaren von RAA Mag. Dominik Schelling

Mag. Nino Tlapak, LL.M. ist Rechtsanwalt im IT/IP und Datenschutz-Desk von Axel Anderl bei DORDA Rechtsanwälte GmbH; Tätigkeitsschwerpunkte: Datenschutz, IT-Verträge, Outsourcing, E-Commerce.

>>> zu den aktuellen Seminaren von Mag. Nino Tlapak, LL.M.

Nach oben