Mittwoch, 27.3.2019, 17:00 UhrKwr-SeMinar 194

FalScheS GUtachten -waS nUn?

reFerent:

Dr. thoMaS FraD (Kwr)

Die KWR-Seminare sind kostenlosund finden in unserer Kanzlei statt.

Anmeldungen erbeten bis 3 Werktage vor dem Seminar.

T +43 1 24500E office@kwr.at

Fleischmarkt 1A-1010 Wien

www.kwr.at

BEZ AHLTE ANZEIGE

nen Unternehmen feststellte und Knyrim Trieb Rechtsanwälte.

In einem Allergiezentrum kamen nach zwei Datensicherheitsverletzungen schwere Schutzversäumnisse zutage. [ Feature: Getty Images ]

M en Worten eröffnete Patrick Henry,Vorsitzender des CCBE Menschenrechtsausschusses

am 19.2.2019 im Europäischen Parlament seine Rede. „Siewerden verfolgt, bedroht, verhaftet, eingesperrt, gefoltertund ermordet, wenn ein Tyrann seine Pläne durch sie

„Rechtsanwältesind in Gefahr!“

Mit dieseVorsitze

Dr. Elisabeth Rech

14 Verstöße bei einem UnternehmenBescheid. Datenschutzbehörde räumt acht Wochen Umsetzungsfrist ein.

behindert sieht.“Unter dem Motto „Defend the Defenders“ trafen sichRechtsanwälte und Rechtsanwältinnen aus der ganzenWelt, um das ständige Anwachsen von Gewalt gegenRechtsanwälte in immer mehr Staaten aufzuzeigen unddie Europäische Union aufzufordern, dagegen vehementanzukämpfen und Rechtsanwälte auf der ganzen Welt zuverteidigen.

Europa hatte bereits auf diese schreckliche Entwicklungmit einem ersten Schritt reagiert. Am 24. Jänner 2018verabschiedete das Europäische Parlament die Empfehlungzu einem Europäischen Abkommen zum ThemaRechtsanwälte, unter besonderem Hinweis darauf, esbestünde Gefahr, dass Angriffe gegen diese Berufsgruppeauch in EU Mitgliedstaaten auftreten und in manchenweiter ansteigen.

Tatsächlich ist die Zahl der Beschwerden, Rechtsanwältewürden mit ihren Klienten gleichgesetzt, Angriffe aufsie würden immer häufiger, ständig steigen. Besondersbetroffen sind weltweit Anwälte in politischen undmenschenrechtlichen Verfahren. Nach den Journalisten(36%) sind sie (28%) die meistgefährdete Berufsgruppe.Patrick Henry am 19.2.2019: „Rechtsanwälte kämpfenfür die Würde ihrer Mandanten, ihre Profession ist derInbegriff der Menschenrechte. Sie setzen diese Rechtedurch. Dadurch stehen sie jenen im Weg, die ihre Machtmissbrauchen, ihre Untergebenen unterdrücken unddabei keinen Widerstand dulden.“

Wir Rechtsanwälte und Rechtsanwältinnen sind berufendazu, andere zu verteidigen. Vergessen wir nie, uns selbstund andere unserer Profession zu verteidigen.

Wien. Die Datenschutzbehörde hatim amtswegigen Prüfverfahren ge-gen ein Unternehmen, eine Aller-gie-Tagesklinik, 14 Pflichtverlet-zungen festgestellt. Die Daten-schutz-Grundverordnung wurde infolgenden Punkten verletzt(DSB-D213.692/0001-DSB/2018):

Einwilligung. Das Unternehmen hatBetroffene mit seiner Einwilli-gungserklärung zu einer gesetz-widrigen Einwilligung verpflichtet.Denn a) erfasst die Erklärung Tat-bestände, die keiner Einwilligungunterliegen, jedoch den Anscheinerwecken, dass hierfür eine Ein-willigung zu erteilen ist, und b)war ihr nicht mit hinreichenderKlarheit zu entnehmen, für welcheDatenverarbeitungen die Einwilli-gung die Rechtsgrundlage ist.

Informationspflichten. Das Unterneh-men hat gegen die Informations-pflichten verstoßen, da es im „In-formationsblatt zum Datenschutz“bzw. online a) nicht deutlich un-terschieden hat, ob die Informatio-nen nach Art 13 oder nach Art 14DSGVO erteilt werden, b) den Na-men und die Kontaktdaten einesnicht bestellten Datenschutzbe-auftragten angegeben hat, c) dieRechtsgrundlagen für die Verar-beitung unvollständig angeführthat, d) nicht angeführt hat, worindie berechtigten Interessen, dievon der Verantwortlichen verfolgtwerden, bestehen, e) nicht ange-

führt hat, dass die Einwilligung je-derzeit widerrufen werden kann,ohne dass dadurch die Rechtmä-ßigkeit der aufgrund der Einwilli-gung bis zum Widerruf erfolgtenVerarbeitung berührt wird.

Datenschutz-Folgenabschätzung. DasUnternehmen hat gegen die Pflichtzur Prüfung der Notwendigkeiteiner Durchführung von Daten-schutz-Folgenabschätzungen be-treffend folgende sechs Verarbei-tungstätigkeiten verstoßen, indemes in unzutreffender Weise davonausging, dass jedenfalls keine Da-tenschutz-Folgenabschätzungendurchzuführen sind: a) Patienten-akten (Adress-, Rechnungs- undMeldedaten), b) Abrechnung (Ab-rechnung mit der Sozialversiche-rung), c) Befundanforderung/Be-fundübermittlung (Übermittlungund Offenlegung), d) Untersu-chung von Proben (Untersuchungund Versand von Proben, Blut, Se-kret etc.), e) Verwaltung von Re-zepten (Speicherung, welche Re-zepte Patienten benötigen), f)Hausapotheke (Betrieb, Verwal-tung, Abrechnung und Organisa-tion der Hausapotheke).

Datenschutzbeauftragter. Das Unter-nehmen hat gegen die Pflicht zurBestellung eines Datenschutzbe-auftragten verstoßen.

Konsequenz. Als Konsequenz trugdie Datenschutzbehörde dem Un-

ternehmen auf, innerhalb einerFrist von acht Wochen bei sonsti-ger Exekution einen Datenschutz-beauftragten zu bestellen und derDatenschutzbehörde zu meldenund ihre Einwilligungserklärungsowie ihr „Informationsblatt zumDatenschutz“ bzw. die Informa-tion auf der Website rechtskon-form zu gestalten und zu prüfen,ob eine Datenschutz-Folgenab-schätzung durchzuführen ist undeine diesbezügliche Meldung andie Behörde zu erstatten. (kny)

Befunde per Mail?Keine Frage derEinwilligungDatenschutz. Behörde verlangt von Ärzten undUnternehmen wesentlich größere Sorgfalt.

VON RAINER KNYRIM

Wien. Im Stress rund um die Ein-führung der Datenschutz-Grund-verordnung haben viele Unterneh-men versucht, in kürzester Zeit diedatenschutzrechtlichen Anforde-rungen „irgendwie“ hinzubekom-men. Ohne sich eingehender mitder Materie auseinanderzusetzen,wurden Informationstexte für dieeigenen Homepages und Einwilli-gungen für Kunden nach zirkulie-renden Texten erstellt, Informatio-nen und Muster der eigenen Kam-mern unreflektiert übernommenund vermeintliche „Patentlösun-gen“ eingeführt. Die Braut wurdefür den 25. Mai herausgeputzt, oft-mals ohne dass viel dahinter stand.

Was dabei herauskommt, zeigtein Bescheid der Datenschutzbe-hörde, der vorige Woche imRechtsinformationssystem veröf-fentlicht wurde: Der Datenschutz-Koordinator eines Allergie-Tages-zentrums meldete bei der Behördezweimal (verpflichtend) Sicher-heitsverletzungen ein; der Behördefiel offensichtlich auf, dass laut derDatenschutzinformation auf derHomepage des Allergiezentrumsaber ein Datenschutzbeauftragterbestellt war, den es anscheinendaber nicht gab. Darauf leitete dieDatenschutzbehörde ein amtswe-giges Prüfverfahren gegen das Al-lergiezentrum ein. Denn ein „Da-tenschutz-Koordinator“ ist begriff-lich jemand, der sich im Unterneh-men um Datenschutzrecht „küm-mert“; ein „Datenschutzbeauftrag-ter“ hat hingegen eine gesetzlichgenau definierte Kontroll- und Be-

ratungsfunktion und muss in be-stimmten Fällen verpflichtend be-stellt werden, etwa dann, wenn dieKerntätigkeit des Unternehmens inder umfangreichen Verarbeitungvon Gesundheitsdaten besteht.

Langes SündenregisterDie Datenschutzbehörde sah sichdie Datenschutzinformationen aufder Webseite an, ebenso die Ein-willigungserklärung der Patienten.Sie stellte einige Fragen, ließ sichdas Verarbeitungsverzeichnis schi-cken und konnte dadurch zahlrei-che Unverträglichkeiten mit demDatenschutzrecht feststellen. DasErgebnis war ein Bescheid, dernicht weniger als vierzehn einzel-ne Mängel auflistet (siehe unten).

Der Inhalt betrifft zunächstsämtliche Ärzte und Ärztegemein-schaften: Die Datenschutzbehördeerklärte die mittlerweile sehr ver-breitete Methode für gesetzwidrig:Statt ihre technischen Sicherheits-maßnahmen bei der Datenüber-mittlung zu erhöhen und E-Mailszu verschlüsseln, lassen Ärzte diePatienten eine Einwilligungserklä-rung unterschreiben, dass sie einerunverschlüsselten Übermittlungihrer Befunde zustimmen. Die Fra-ge, ob eine Übermittlung ver-schlüsselt oder unverschlüsselt er-folgt, ist aber laut rechtskräftigemBescheid eine Datensicherheits-maßnahme nach Art 32 DSGVOund somit allein vom Verantwortli-chen zu beurteilen und keiner Ein-willigung zugänglich.

Die Entscheidung ist für jedesUnternehmen – auch kleine, dasAllergiezentrum hat nur rund 30

Mitarbeiter – eine deutliche War-nung, dass es sich im Detail mitden verschiedenen Pflichten desDatenschutzrechts befassen muss.All jene, die gehofft hatten, dassOberflächlichkeit reicht und dieDatenschutzbehörde sie im Ernst-fall schon beraten werde, ent-täuscht die Datenschutzbehörde:Auf deren Frage, warum das Aller-giezentrum keinen Datenschutz-beauftragten bestellt habe, antwor-tet dieses mit der Feststellung, dassman eine vor dem 25. Mai 2018 er-folgte Information der Ärztekam-mer und der WKO so verstandenhabe, dass man keinen brauche,sich aufgrund einer neuen Infor-mation aber nun nicht mehr sichersei und die Behörde um eine„Empfehlung“ bitte.

Datenschutzbeauftragter fehltDie Behörde „empfiehlt“ in demBescheid aber nichts, sondernstellt sehr trocken fest, dass das Al-lergiezentrum die Pflicht zur Be-stellung eines Datenschutzbeauf-tragten verletzt habe und binnenacht Wochen einen zu bestellenhabe. Sie weist in der Begründungdarauf hin, dass das Allergiezent-rum durch Studium von (aller-dings nicht verbindlichen und ju-ristisch durchaus komplexen) Leit-

linien der europäischen Daten-schutzbehörden zu dieser Frageselbst hätte zu dem Schluss kom-men müssen, dass ein Daten-schutzbeauftragter zu bestellen ge-wesen sei. Dasselbe tut die Daten-schutzbehörde bei der Feststel-lung, dass die Pflicht zur Durch-führung einer Notwendigkeitsprü-fung für eine Datenschutz-Folgen-abschätzung gleich bei sechs (!)Datenanwendungen, die das Un-ternehmen betreibt, verletzt wur-de, und die Pflicht auch aus derDSGVO „klar hervorgehe“; die Be-hörde verwies wieder auf die Leitli-nien der europäischen Daten-schutzbehörden.

Der Bescheid ist angesichts derMannigfaltigkeit der Rechtsverstö-ße, die die Behörde bei einem klei-

der Direktheit, mit der die Nichtbe-fassung mit Datenschutzrecht vor-geworfen wird, geradezu spektaku-lär. Ob im Anschluss an das Prüf-verfahren ein Verwaltungsstrafver-fahren zur Verhängung einer Geld-strafe eingeleitet wurde, geht ausdem vorliegenden Bescheid nichthervor. Das Unternehmen wird mitder Umsetzung der aufgetragenenPflichten binnen der gesetzten achtWochen aber ohnehin schon er-heblichen Aufwand haben. Daten-schutz-Allergiker seien vor der Lek-türe der unten stehenden Zusam-menfassung des Bescheidspruchsgewarnt: Nebenwirkungen sindnicht auszuschließen, eine Thera-pie wird dringend empfohlen.

Dr. Rainer Knyrim ist Gründungspartner von

MONTAG, 18. MÄRZ 2019 RECHTSPANORAMA 15