Datenschutzinformation – DSB und Gerichte verlangen konkrete Informationen statt abstrakter Umschreibungen

Beitrag verfasst von Dr. Rainer Knyrim und Mag. Stephan Varga, BSc – KTR-Newsletter Dezember 2023

Seit der Anwendbarkeit der DSGVO haben die zuständigen Datenschutzbehörden und Gerichte die Pflichten aus Art 13f zur Information über die Datenverarbeitung konkretisiert. Diese Konkretisierungen führen häufig zu zusätzlichen Anforderungen an die Datenschutzinformation, die auch über den Wortlaut der DSGVO-Bestimmungen hinausgehen. Wir geben daher einen kurzen Überblick über die wichtigsten Konkretisierungen in diesem Bereich:

Leitlinien für Transparenz der Artikel-29-Datenschutzgruppe (WP 260, zuletzt vom 11. April 2018) und Entscheidungen der DSB
Die Leitlinien der früheren Artikel-29-Datenschutzgruppe (nunmehr: Europäischer Datenschutzausschuss) sind auch heute noch relevant, da die Datenschutzbehörde (DSB) sie regelmäßig in ihren Entscheidungen heranzieht (ohne sie jedoch explizit anzuführen). So verlangen die Leitlinien, dass aufgrund des Transparenzgrundsatzes die konkreten Empfänger der Daten und nicht bloß die abstrakten Empfängerkategorien anzuführen sind. Bei der Datenübermittlung in Drittländer sollten aus Transparenzgründen die Drittländer namentlich genannt werden; zudem ist die rechtliche Grundlage anzuführen, nach der diese Übermittlung zulässig ist und es müssen Informationen bereitgestellt werden, wo und wie auf das entsprechende Dokument zugegriffen werden kann. Auch die Speicherfrist ist so anzugeben, dass die betroffene Person die Möglichkeit hat, ausgehend von ihrer konkreten Situation einzuschätzen, welche Frist für bestimmte Daten und Zwecke gilt. Ein allgemeiner Verweis auf die für die Zwecke der Verarbeitung notwendige Dauer ist nicht ausreichend. Teilweise gibt die DSB auch strengere Anforderungen als die Leitlinien vor. So ist nach der Entscheidung DSB 16.11.2018, DSB-D213.692/0001-DSB/2018) die Rechtsgrundlage für jede Datenverarbeitungstätigkeit konkret zu nennen, wobei die Datenverarbeitungstätigkeit den Datenverarbeitungsvorgang und den Datenverarbeitungszweck umfasst. Auch die konkreten berechtigten Interessen, auf die sich der Verantwortliche oder ein Dritter stützt, sind anzuführen.

OGH-Klauselkontrolle
Verbraucherschutzverbände haben nach § 28 Abs 1 KSchG eine Klagebefugnis, welche ihnen auch bezüglich Informationen über die Datenverarbeitung zusteht, die über einen Hinweischarakter hinausgehen und den Charakter einer Zustimmungserklärung haben (vgl. z.B. OLG Wien 31.8.2022, 5R168/20t). Dies ist z.B. dann der Fall, wenn die Datenschutzinformationen zur Kenntnis genommen werden müssen (OGH 23.11.2022, 7Ob112/22d). Aber auch eine augenscheinlich reine Informationsklausel kann der Inhaltskontrolle durch Verbraucherschutzverbände unterliegen und kann eine Intransparenz im Sinne des KSchG oder der DSGVO indizieren, wenn die Klausel geeignet ist, den Vertragspartner des Verwenders von der Durchsetzung seiner Rechte abzuhalten, da durch die Klausel ein unrichtiges Bild der Rechtslage vermittelt wird (OGH 28.6.2023, 6Ob215/22v). Nach dem OGH liegt bei Datenschutzinformationen, die den Charakter einer Zustimmungserklärung haben, eine wirksame Zustimmung nur dann vor, wenn die betroffene Person weiß, welche ihrer Daten zu welchem Zweck für welchen Zeitraum verwendet werden sollen. Bei einer Übermittlung umfasst dies auch die Angabe, welchen konkreten Dritten welche konkreten Daten zu welchen Zwecken weitergegeben werden. Formulierungen wie z.B. „Datenübermittlung an andere Unternehmen des Konzerns“, „Datenübermittlung zu Werbezwecken an Dritte“ oder „Weitergabe an Gläubigerschutzverbände“ sind zu unbestimmt und daher konsumentenschutz- und datenschutzwidrig.

Falls Sie an weiteren Informationen interessiert sind, kontaktieren Sie uns! Wir senden Ihnen auf Anfrage ein zweiseitiges Informationsblatt zu diesem Thema zu und stehen für eine Aktualisierung Ihrer Datenschutzinformation zur Verfügung.

Artikel drucken

Beiträge

Newsletter Dezember 2023

Wichtige Entscheidungen von EuGH und OGH zu DSGVO-Auskunftsrechten

Fragestellungen zum Auskunftsrecht beschäftigten die Gerichte im Jahr 2023 mehrfach. Zwei EuGH-Entscheidungen in Vorabentscheidungsverfahren und, beispielhaft, eine OGH-Entscheidung brachten wichtige Klarstellungen. In welchen Fällen sind Empfänger oder nur Empfängerkategorien zu beauskunften? Wann gilt ein Auskunftsbegehren möglicherweise als exzessiv? Sind unternehmensinterne Zugriffe für eine DSGVO-Auskunft relevant?

EuGH zur Frage, was eine „Kopie“ ist

Im Zusammenhang mit dem Auskunftsrecht des Art 15 DSGVO hatten und haben sich die Gerichte oftmals auch mit der korrekten Auslegung des Begriffs „Kopie“ auseinandergesetzt. Eine EuGH-Entscheidung brachte dazu eine (gewisse) Klarstellung; die Vorabentscheidungsfragen waren vom österreichischen BVwG vorgelegt worden.

Datenschutz-Wissen für 2024

Informieren Sie sich über unsere bewährten Ausbildungen, Seminare und Tagungen im Datenschutzrecht im Frühjahr 2024! Aktuell besonders wichtig: Die neuen Digitalisierungsrechtsakte der EU mit Data Act, Digital Markets Act, Data Governance Act und AI-Act. Für das regelmäßige Wissens-Update empfehlen wir unser Abonnement „Datenschutz-Infoservice“.

Ist die Übergabe einer Visitenkarte eine konkludente Zustimmung zum Erhalt von Werbung?

Werbung ist nicht immer erwünscht! Das zeigte auch ein Verfahren vor dem BVwG, das mit einer Geldstrafe endete. Wann eine Einwilligung von potentiellen Interessenten vorliegt, ist rechtlich durchaus heikel. Mit entsprechendem Bewusstsein und den richtigen Prozessen können Unternehmen potentiellen Fallstricken entgehen!

Kommentierung zum internationalen Datenverkehr aktualisiert

Internationaler Datenverkehr, vor allem zwischen EU und USA, ist ein datenschutzrechtlicher Dauerbrenner! Seit Juli 2023 kann das neue EU-U.S. DPF für rechtskonforme Transfers herangezogen werden. Was ist zu beachten? „Der DatKomm“ im Verlag MANZ bietet eine kürzlich erschienene Neukommentierung des Themas, verfasst von Dr. Rainer Knyrim und Mag. Marek Gerhalter, LL.M.

Datenschutzinformation – DSB und Gerichte verlangen konkrete Informationen statt abstrakter Umschreibungen

Datenschutzinformationen enthalten häufig abstrakte Umschreibungen wie z.B. „Wir übermitteln Daten zu Werbezwecken an Dritte.“ Die Rechtsprechung der DSB und der österreichischen Gerichte ist jedoch eindeutig: Datenschutzinformationen sollen konkrete Informationen liefern. Wir geben einen kurzen Überblick über die bisherige Rechtsprechung, inklusive der bereits im letzten Newsletter behandelten OGH-Rechtsprechung zur Klauselkontrolle.

EU-Digitalisierungsrechtsakte – Sonderausgaben im MANZ Verlag

Die ganz neuen und kompakten Sonderausgaben von Dr. Rainer Knyrim erleichtern den Einstieg und die juristische Arbeit mit den EU-Digitalisierungsrechtsakten.

Knyrim Trieb tritt PrivacyRules bei

„PrivacyRules“ vernetzt Datenschutzkanzleien aus allen Kontinenten. Knyrim Trieb Rechtsanwälte sind dem Netzwerk, das nicht nur auf Internationalität, sondern auch auf Interdisziplinarität besonderen Wert legt, im Herbst 2023 beigetreten.