Newsletter der Knyrim Trieb Rechtsanwälte OG
Oktober 2018

Sehr geehrte Damen und Herren! Liebe Datenschutzinteressierte!

Das Jahr 2018 steht für Facebook unter keinem guten Stern. Die Aufarbeitung des Skandals um Cambridge Analytica, die kürzlich bekannt gewordene Sicherheitspanne mit über 30 Millionen betroffenen Nutzern sowie die politische Diskussion um eine mögliche Zerschlagung des Internetkonzerns sind nur ein Auszug aus einer Serie von negativen Schlagzeilen. Weitreichende Folgen – nicht nur für Facebook, sondern auch für Ihren Facebook-Auftritt – hat auch das Urteil des EuGH vom 5. Juni 2018 in der Rechtssache C-210/16, Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein/Wirtschaftsakademie Schleswig Holstein GmbH.

Frau Mag. Claudia Gabauer, LL.M., Rechtsanwaltsanwärterin in unserer Kanzlei, hat für diesen und den nächsten Newsletter eine Zusammenfassung der Fanpage-Problematik erstellt:

Gemeinsame Verantwortlichkeit bei Facebook-Fanpages – EuGH 5. 6. 2018, C-210/16

Die Entscheidung bezieht sich auf die Auslegung des Begriffs „für die Verarbeitung Verantwortliche“ im Sinne der Datenschutz-Richtlinie 95/46/EG sowie auf die Qualifikation von Betreibern einer Fanpage auf Facebook. Fanpages sind Benutzerkonten, die bei Facebook von Privatpersonen oder Unternehmen eingerichtet werden können. Facebook stellt Fanpage-Betreibern die Funktion „Facebook Insights“ zur Verfügung, die mit Hilfe von Cookies Daten von registrierten und nicht-registrierten Besuchern der Fanpage erhebt und anschließend statistisch auswertet. Im Zusammenhang mit dieser Datenverarbeitung bejahte der EuGH eine gemeinsame Verantwortlichkeit von Facebook und den Betreibern von Fanpages. An dieser Qualifikation ändert auch der Umstand nichts, dass der Fanpage-Betreiber die Besucherstatistiken lediglich in anonymisierter Form erhält, da eine gemeinsame Verantwortlichkeit nicht voraussetzt, dass jeder Verantwortliche Zugang zu den betreffenden personenbezogenen Daten hat. Gleichzeitig stellte der EuGH klar, dass diese gemeinsame Verantwortlichkeit nicht zwangsläufig eine gleichwertige Verantwortlichkeit der verschiedenen Akteure zur Folge hat, sondern der Grad der Verantwortlichkeit eines jeden Verantwortlichen unter Berücksichtigung aller maßgeblichen Umstände des Einzelfalls zu beurteilen ist.

Auswirkungen der Entscheidung

Obwohl sich diese Entscheidung auf die Datenschutz-Richtlinie bezieht, ist diese insbesondere auch für die DSGVO von besonderer Relevanz. Art 26 DSGVO normiert für den Fall einer gemeinsamen Verantwortlichkeit, dass die Verantwortlichen in einer Vereinbarung in transparenter Form festlegen müssen, wer von ihnen welche Verpflichtungen nach der DSGVO erfüllt, insbesondere wer für die Wahrnehmung der Betroffenenrechte und für die Erteilung der Informationspflichten nach Art 13 f DSGVO zuständig ist (sog. „Joint-Controller-Vertrag“). Auch wenn die endgültigen Konsequenzen der Entscheidung noch nicht restlos geklärt sind, ist zum jetzigen Zeitpunkt von einer gemeinsamen Verantwortung von Facebook und den Betreibern einer Fanpage auszugehen.
Die Konferenz der unabhängigen Datenschutzaufsichtsbehörden in Deutschland wies bereits einen Tag nach der Entscheidung auf den „dringenden Handlungsbedarf“ für Fanpage-Betreiber hin und fasste drei Monate später einen Beschluss, wonach „ohne Vereinbarung nach Art 26 DSGVO […] der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig“ sei. Kurz nach diesem Beschluss der Datenschutzkonferenz kündigte Facebook ein „Page Insights Controller Addendum“ bzw. „Seiten-Insights-Ergänzung“ an, mit der die Anforderungen an einen Joint-Controller-Vertrag erfüllt werden sollen. Ob die Ergänzung diesem Anspruch tatsächlich gerecht wird und ob der Betrieb von Fanpages dadurch DSGVO-konform ist, soll im nächsten Newsletter untersucht werden.

Strategieforum Datenschutzrecht, Cyber Security – mit Referentenrabatt besuchen!

PriSec – 3. Strategieforum für Entscheider aus Datenschutzrecht und Cyber Security
Forum – 20./21. November 2018, Rust

Im November findet zum 3. Mal die „PriSec“, die Privacy & Security Konferenz von BusinessCircle, unter meiner fachlichen Leitung statt.

Die Schwerpunkte in diesem Jahr sind: A Life after GDPR? Erfahrungen von Behörden und Unternehmen; Privacy in Zeiten von Cambridge Analytica und Cyber Security Trends und Innovationen.

Keynotes und Impulsvorträge wird es uA von Dr. Andrea Jelinek, Leiterin der Datenschutzbehörde und Vorsitzende des Europäischen Datenschutzausschusses, zu den ersten Erfahrungen der Behörde mit Prüfungen nach der DSGVO geben, weiters von Prof. Bart Preneel zur Zukunft von Sicherheit und Datenschutz; von Michael Mrak, Head of Compliance & Information Security der Casinos Austria und Franz Hoheiser-Pförtner, Vorstandsmitglied von Cyber Security Austria zu Cyber Security & Privacy als Unternehmensstrategie; von Cem Karakay von IPA München zur menschlichen Firewall und deren Löcher; von Prof. Nikolaus Forgó zu informationsrechtlichen Anforderungen in der DSGVO sowie von mir einen Rückblick auf sechs Monate DSGVO und Ausblick auf die Zukunft der Arbeit mit der DSGVO.

Wir konnten weiters für eine Podiumsdiskussion zur Frage, wie Unternehmen mit Cyber Security und der DSGVO umgehen, Alfred Luger, CFO von Runtastic; Frau Sandra Heissenberger, CISO der Stadt Wien sowie Johannes Mariel, Leiter Sicherheit und Qualität, BRZ und Anna Pouliou, Head of Privacy bei Chanel gewinnen. Wie jedes Jahr gibt es auch zahlreiche Parallelsessions, die ua von meinem Kanzleipartner Dr. Gerald Trieb, Mag. Judith Leschanz von A1, Joe Pichlmayr, dem CEO von Ikarus Software und Vinzenz Heußler, Bundeskanzleramt moderiert werden.

Ich würde mich freuen, Sie wieder oder erstmals zu sehen und vor allem auch: um nach all den Vorträgen am ersten Abend gemütlich ein (oder zwei) Bier zu trinken und über das Leben mit der DSGVO zu plaudern…

Ich kann voraussichtlich eine sehr vergünstigte Gastkarte vergeben, bei Interesse bitte an kt@kt.at schreiben.

Wenn Sie mit Referenz auf mich buchen, erhalten Sie EUR 100,– Rabatt!

Mehr zur Veranstaltung und zur Online-Buchung

Die geplante Urheberrechtsreform auf den Punkt gebracht

Die geplante Urheberrechtsreform, das ist – frei nach Helmut Qualtinger – „brutal wie Simmering gegen Kapfenberg…“. Ein Kampf Innovationen versus Kommunikationsfreiheit im Internet. Unser ständiger Kooperationspartner RA Dr. Tobias Tretzmüller, LL.M. hat die wichtigsten Punkte der geplanten Urheberrechtsreform kompakt für Sie zusammengefasst:

Wer ist angesprochen?

Die Urheberrechtsnovelle betrifft all diejenigen, die mit ihrer Geisteskraft ein Werk „eigentümlicher geistiger Schöpfung“ im Sinne des § 1 Urheberrechtsgesetz erschaffen. Sie betrifft daher den Kaffeehausliteraten ebenso wie den „Nerd“, der eine neue Software entwickelt hat. Sie betrifft den (Hobby-)Fotografen genauso wie den Journalisten oder den Rechtsanwalt, der eine geniale Klage ausgearbeitet hat.

Was behandelt die Urheberrechtsreform?

Es ist ein Gebot der Zeit, dass der Schutz geistigen Eigentums immer schwerer fällt. Rasend schnell verbreitet sich das über Jahre mühsam geschaffene Geisteswerk im World Wide Web – und damit auch die Möglichkeit, Kompensation für seine Errungenschaft zu erlangen. Diesem Trend versucht die EU mit der Urheberrechtsreform Einhalt zu gebieten. Doch zu welchem Preis? Der schnelle Zugang zu Informationen ist aus unserer Gesellschaft nicht mehr wegzudenken.

Eine weitere – äußerst bedauerliche, aber auch gefährliche – Entwicklung ist der Rückgang von Qualitätsjournalismus. Was in mühevoller Kleinarbeit investigativ an das Tageslicht gebracht wird, wird von Trittbrettfahren zum eigenen Zweck, nämlich für – im wahrsten Sinne des Wortes – billige Schlagzeilen ausgenutzt. Qualitätsjournalismus amortisiert sich dadurch nicht mehr. Auch diesen Kampf will die Urheberrechtsreform aufnehmen. Es sollen nun die „entsprechenden zukunftstauglichen Rechtsvorschriften geschaffen werden, damit die technologische Entwicklung nicht behindert wird.“

Wie soll dieses Vorhaben umgesetzt werden?

Die zumeist US-amerikanischen „Over-the-top-Player“ wie „Youtube“ oder „Google“ sind auf interessanten „Content“ angewiesen und profitieren als gigantische Marketingmaschinen auch davon. Im Ausgleich dazu sollen diese „Anbieter von Online-Inhaltsweitergabediensten“ (wie sie in der Urheberrechtsnovelle charmant [freilich indirekt] bezeichnet werden) dafür eine angemessene Lizenzgebühr zu entrichten haben. Ob dies für die genannten Giganten tatsächlich ein Störfaktor ist oder eher eine weitere Eintrittsbarriere für neue Suchmaschinenbetreiber darstellt, sei hier nur dahingestellt.

Wer über das Internet denunziert oder seiner Werknutzungsrechte beraubt wird, hat zuweilen gegen einen harten Gegenwind anzukämpfen. Die Urheberrechtsnovelle soll den Zugang zum Recht nun erleichtern. Die Mitgliedsstaaten müssen „wirksame und zügige Beschwerde- und Rechtsbehelfmechanismen zur Verfügung stellen“, um sich gegen eine Urheberrechtverletzung rechtlich zur Wehr setzen zu können.

Wenn von der Urheberrechtsnovelle die Rede ist, dann meist auch vom „Upload-Filter“, welcher viele offenbar an die metternichschen Bespitzelungszeiten erinnert. Tatsächlich findet der Upload-Filter im derzeitigen Entwurf mit keinem Wort Erwähnung. Weil aber bisherige Haftungsprivilegien für Suchmaschinenbetreiber entfallen, sind diese aber de facto zu einem proaktiven Filtern des hochzuladenden Inhalts genötigt. Mit anderen Worten werden die „Anbieter von Online-Inhaltsweitergabediensten“ den auf ihren Plattformen dargestellten Inhalt auf etwaige Rechtswidrigkeiten zu überprüfen haben. Dies führt freilich zu einem massiven Mehraufwand – den sich wiederum nur einige wenige leisten werden können. In diesem Zusammenhang soll auf eine – noch nicht rechtskräftige – Entscheidung des Handelsgerichts Wien vom 4.6.2018, 1 Cg 65/14t hingewiesen werden. Bereits nach derzeitiger Rechtslage wurde einem Unterlassungsbegehren gegen Youtube stattgegeben, weil Youtube nicht mehr als „bloßer“ Vermittler agiert und daher nicht mehr in den Genuss der Haftungsprivilegien nach § 16 und § 18 ECG gelangt.

Wie geht es weiter?

Der Entwurf zur Urheberrechtsnovelle wurde vom EU-Parlament mit 66 % der abgegebenen Stimmen gebilligt. Der nächste Schritt sind nun die sogenannten Trilog-Gespräche mit dem Rat und der Kommission. Große Änderungen dürften aber offenbar nicht mehr zu erwarten sein. Nachdem es sich um eine Richtlinie handelt, werden die Mitgliedsstaaten in der Folge nationale Gesetze zu erlassen haben, mit welchen sie die Urheberrechtsnovelle umsetzen werden.

Der DatKomm, der neue Manz-Kommentar zum Datenschutzrecht, ist erschienen

Fast genau auf den Tag 40 Jahre nachdem im österreichischen Parlament das erste Datenschutzgesetz beschlossen wurde, fand am 15. Oktober in der Albert Hall in Wien die Präsentation des DatKomm statt. 33 Autoren arbeiten unter meiner Herausgeberschaft an diesem Werk, die Grundlieferung des Werkes umfasst bereits über 1000 Seiten Kommentierung zu DSGVO und DSG, Erweiterungen bzw. Aktualisierungen werden in regelmäßigen Abständen folgen.

Einen kurzen Bericht über die Präsentation finden Sie im News-Bereich unserer Webseite.

Der Kommentar kann Online auf der Webseite von Manz bestellt werden.

Ich selbst habe im DatKomm die Art 44-50 zum internationalen Datenverkehr kommentiert und habe diesen Teil als Heftchen gedruckt ein paar Mal zum Weitergeben. Wenn Sie Interesse an dieser Kostprobe aus dem Kommentar haben, schreiben Sie bitte an kt@kt.at.

Aktuelle Entscheidungen

1. Speicherdauer von Bewerberdaten

Im letzten Newsletter habe ich über einen Bescheid der Datenschutzbehörde zu Speicherfristen berichtet. Nun gibt es einen weiteren, vor wenigen Tagen publizierten Bescheid der Datenschutzbehörde vom 27.8.2018 (GZ: DSB-D123.085/0003-DSB/2018) zur Speicherdauer von Bewerberdaten, den Frau RA Mag. Claudia Gabauer, LL.M. zusammengefasst hat:

Ein Unternehmen speicherte Bewerberdaten über den Abschluss des Bewerbungsverfahren hinaus und lehnte ein vorzeitige Löschung der Daten eines abgelehnten Bewerbers ab. Da Bewerberdaten als Entscheidungsgrundlage für die Begründung von Arbeitsverhältnissen dienen, gestand die Datenschutzbehöde in dieser Entscheidung die weitere Speicherung dieser Daten zur Verteidigung gegen einen Anspruch gemäß § 26 Abs 1 GlBG nach Art 17 Abs 3 lit e DSGVO als notwendig zu. Im vorliegenden Fall benannte die Beschwerdegegnerin einen konkreten Zeitpunkt, ab wann sie die Bewerberdaten löschen werde, nämlich sieben Monate nach Bewerbungseingang. Für den Beschwerdeführer war somit klar erkennbar, ab welchem Zeitpunkt seine Bewerberdaten gelöscht werden. Darüber hinaus erklärte sich die Beschwerdegegnerin auch bereit, die Bewerberdaten zum ehest möglichen Zeitpunkt (also nach Ablauf der Frist von § 29 Abs 1 GlBG) zu löschen sowie die Bewerberdaten zwecks Verteidigung gegen einen Ersatzanspruch nach dem GlbG aufzubewahren und diese nicht mehr für die Besetzung etwaiger Stellen heranzuziehen.

Die Datenschutzbehörde begründete dies damit, dass nach § 29 Abs 1 GlBG kann ein Ersatzanspruch gemäß § 26 Abs 1 GlBG innerhalb einer Frist von sechs Monaten geltend gemacht werden kann. Die Beschwerdegegnerin bezog sich im Verfahren unter Berufung auf diese gesetzliche Bestimmung daher nicht allgemein auf ein potenziell zukünftiges Verfahren, sondern benannte einen konkreten Anspruch, der ihr gegenüber innerhalb eines konkreten Zeitraumes geltend gemacht werden könnte. Da Bewerberdaten naturgemäß als Entscheidungsgrundlage für die Begründung von Arbeitsverhältnissen dienen, sei die weitere Speicherung dieser Daten zur Verteidigung gegen einen Anspruch gemäß § 26 Abs 1 GlBG nach Art 17 Abs 3 lit e DSGVO notwendig.

Der vom Unternehmen zusätzlich berechnete Monat zu der sechsmonatigen Frist nach § 29 Abs 1 GlBG, um einen potenziellen Klageweg einzuberechnen, somit in Summe eine Speicherdauer von sieben Monaten ab Bewerbungseingang, sei laut Datenschutzbehörde angemessen und nicht unverhältnismäßig lange.

Angesichts des ersten Bescheids der DSB vom 28.5.2018, bei dem die DSB eine sehr restriktive Ansicht betreffend die Speicherdauer von Daten nach dem TKG 2003 vertrat, ist der gegenständliche Bescheid aus unternehmerischer Sicht sehr zu begrüßen.

Die Anknüpfung der siebenmonatigen Speicherfrist an den Eingang der Bewerbung könnte jedoch dazu führen, dass im Fall eines längeren Bewerbungsprozesses und einer späten Ablehnung des Bewerbers, die möglichen Risiken eines Verfahrens nach dem GlBG nicht gebührend berücksichtigt werden und die zur Verteidigung gegen die Rechtsansprüche erforderlichen Daten eventuell verfrüht gelöscht werden müssten. Das GlBG knüpft beim Fristenlauf für Klagen an das Datum der negativen Entscheidung des potentiellen Arbeitgebers, nicht an das Datum des Eingangs der Bewerbung – dies wurde in der Entscheidung der Datenschutzbehörde nicht berücksichtigt.

2. Kein Löschungsrecht ohne Löschungsantrag!

Mit der ebenfalls gerade im RIS publizierten Entscheidung der Datenschutzbehörde vom 2.8.2018 (GZ: DSB-D130.006/0002-DSB/2018) hat diese eine Beschwerde abgewiesen, mit der ein Betroffene sein „Recht auf Löschung betreffend ein automatische Vervollständigung seines Namens bei Suchen in einer Suchmaschine“ verlangt hatte. Der Beschwerdeführer hatte seiner Beschwerde bei der Datenschutzbehörde aber keine Kopie des ursprünglichen Antrages an den Suchmaschinenbetreiber vorgelegt und konnte diesen auch im Rahmen eines Mangelbehebungsantrages nicht vorlegen. Dies schlicht deshalb, weil er sein Löschansuchen über ein Web-Formular des Suchmaschinenbetreibers gestellt hatte und daher naturgemäß keinen „schriftlichen“ Antrag hatte (und sich offensichtlich auch keine Bildschirmkopie des Antrages gemacht hatte).

Den Verweis, dass sich der Inhalt des Antrages aus der Korrespondenz mit dem Suchmaschinenbetreiber ergebe, ließ die Datenschutzbehörde nicht gelten, sondern sah den nach §24 Abs 3 DSG gesetzlich gebotenen Mindestinhalt einer Beschwerde als nicht gegeben an und wies diese daher zurück.

Pech für den Betroffenen. Unternehmen werden daraus lernen, dass sich der Aufwand eines Webformulares lohnen kann…

Mit freundlichen Grüßen
Dr. Rainer Knyrim