Aktuelle Fragen zur EU-Datenschutz-Grundverordnung

Antworten auf die wichtigsten Fragen

Lesedauer: 8 Minuten

1. "Personalisierte Werbung auf Instagram und Facebook nur nach vorheriger Einwilligung"  

Der Europäische Datenschutzausschuss (EDSA) hat entschieden, dass personalisierte Werbung auf Facebook und Instagram ("Meta") nur mehr auf Basis einer Einwilligung der betroffenen Nutzer:innen erfolgen darf. Meta hatte bislang damit argumentiert, personalisierte Werbung auf Basis der Nutzungsbedingungen anzeigen zu dürfen. Dagegen hatte sich die Non-Profit Organisation NOYB – European Center for Digital Rights bei der irischen Datenschutzbehörde beschwert. 

Was ist das Problem?

Personalisierte Werbung basiert auf der Verarbeitung von personenbezogenen Daten der Nutzer:innen. Personenbezogene Daten und weitere Informationen über die Nutzer:innen werden ausgewertet um diesen für sie relevante Werbung auf Basis ihrer Interessen individuell anzeigen zu können. Diese Verarbeitung muss eine datenschutzrechtliche Grundlage haben. Meta hat bislang argumentiert, dass diese aufgrund der Zustimmung zu den Nutzungsbedingungen vorliegt. Der EDSA hat dem aber eine Absage erteilt.  

Wie geht es weiter?

Der Europäische Datenschutzausschuss (EDSA) ist nicht die letzte Datenschutz-Instanz, das letzte Wort hat immer noch der Europäische Gerichtshof (EuGH). Dennoch kann bei Auslegungsfragen der DSGVO der EDSA für die einheitliche Auslegung durch verschiedene Datenschutz-Aufsichtsbehörden in den Mitgliedstaaten zuständig sein. Seine Entscheidung muss nun von der irischen Aufsichtsbehörde umgesetzt werden. Es ist recht sicher, dass Meta dagegen vorgehen wird (es sind außerdem auch noch zwei ähnliche Verfahren beim EuGH offen). Mit einer endgültigen Klärung ist daher noch nicht so schnell zu rechnen.  

Empfehlungen?

Meta ist ein weltweit agierender Konzern, dessen Kerngeschäft die Verarbeitung personenbezogener Daten ist. Es gibt daher im Moment auch einige datenschutzrechtliche Baustellen, die bei den Behörden und Gerichten in der EU anhängig sind. Jedes Unternehmen, das auf Facebook oder Instagram Accounts ("Fanpages") anlegt und/ oder personalisierte Werbung schaltet, muss sich bewusst sein, dass datenschutzrechtliche Probleme bestehen und man mit dem Konzern mitverantwortlich ist. Es sollte daher unbedingt eine informierte, ganzheitliche, betriebswirtschaftliche Entscheidung getroffen werden, ob man daran festhalten möchte oder nicht (z.B. generiere ich wirklich Klicks und Kontakt über die Plattformen oder habe ich den Auftritt nur, damit er da ist?). 

Was kann passieren?

Wie unter "Wie geht es weiter?" beschrieben, gibt es noch keine endgültige Entscheidung. Dennoch gibt es akute Problemfelder. Es ist einerseits möglich, dass eine "Abmahnung" erfolgt, d.h. Mitbewerber:innen, Kund:innen oder andere Organisationen schicken (kostenpflichtige) Schreiben aus. Andererseits könnten Verfahren bei der Datenschutzbehörde (Geldstrafen) oder den Zivilgerichten (Schadenersatzforderungen) drohen. Es ist aus derzeitiger Sicht wahrscheinlich, dass der Meinung des EDSA gefolgt wird.  

Was gilt für Agenturen und IT-Dienstleister?

Werden Fanpages für Kund:innen erstellt und betreut, empfehlen wir auf diese Problematik hinzuweisen. Eine Haftung von Berater:innen, welche die Seiten bereits erstellt haben und betreuen, liegt unserer Meinung nach noch nicht vor. Es handelt sich um das erste Verfahren in dieser Sache, das noch nicht rechtskräftig ist, d.h. Berater:innen konnten noch nichts von einer allfälligen Datenschutzverletzung wissen. Informieren die Berater:innen ihre Kund:innen jetzt über die Situation, sind die Kund:innen in der Lage, informierte Entscheidungen zu treffen.

Wichtig:
Ob die Werbung / die Seite weiterhin betrieben wird, ist die Entscheidung der Kund:innen.  

Achtung:
Folgendes muss auf Unternehmensseiten jedenfalls geachtet werden:

  • es muss ein Impressum auf der FB-Seite angeführt werden,
  • es muss eine DS-Erklärung des eigenen Unternehmens ausgewiesen werden,
  • in der DS-Erklärung sollte jedenfalls und nach wie vor über die Datenverarbeitung via Facebook informiert werden (bspw.      muss auch auf die gemeinsame Verantwortlichkeit nach Art. 26 DSGVO hingewiesen werden inkl. Verweis bzw. Verlinkung auf das Page Controller Addendum / Informationen zu Seiten-Insights) 

Weitere Infos:

2. Wenn jemand meinen Newsletter nicht mehr will (z.B. ist dieser abbestellt worden), was muss ich tun?

Sie dürfen in einem solchen Fall dem jeweiligen Empfänger keine elektronischen Nachrichten zu Werbezwecken mehr schicken, d.h. Sie müssen sicherstellen, dass er bei der nächsten Newsletter-Aussendung nicht mehr in Ihrem Mailverteiler aufscheint.

Ob Sie die E-Mail-Adresse generell löschen müssen, hängt davon ab, ob Sie diese noch aus anderen Gründen (nicht mehr Newsletter-Versand) benötigen (z.B. um einen Vertrag erfüllen zu können). Wenn das nicht der Fall ist, sollten Sie die E-Mail-Adresse auch löschen.

3. Wohnhausanlage – Namensschilder bei Gegensprechanlage 

Gemeindewohnungen in Wien werden aufgrund einer Datenschutz-Beschwerde eines Mieters, dessen Namensschild an der Türklingel bei der Gegensprechanlage ausgewiesen wurde, alle Klingelschilder gegen Türnummern austauschen. Diese Entscheidung wurde von der zuständigen Magistratsabteilung der Stadt Wien getroffen. Eine Entscheidung der Datenschutzbehörde selbst ist offenbar nicht getroffen bzw. gar verlangt worden (so im Ö1 Mittagsjournal vom 12. Oktober).

Datenschutz gibt es nicht erst seit dem 25. Mai 2018, auch zuvor bestanden schon (strenge) datenschutzrechtliche Regelungen in Österreich. Namensschilder bei Türen wurden teilweise aufgrund von ausdrücklichen Einwilligungen (Ankreuzmöglichkeit beim Mietvertrag / separate Unterschrift), schlüssigen Einwilligungen oder auch aufgrund von "berechtigten Interessen" angebracht. Auch mit der EU-Datenschutz-Grundverordnung (DSGVO) hat sich hier keine Änderung ergeben. D.h. sofern nicht die Interessen der betroffenen Person überwiegen, ist es nach wie vor möglich, mit berechtigten Interessen des Datenschutz-Verantwortlichen oder von Dritten zu argumentieren. Auch Einwilligungen (ausdrücklich oder schlüssig) sind nach wie vor zulässig.

Es liegt noch keine anderslautende Entscheidung der Datenschutzbehörde vor. "Berechtigte Interessen" könnten im Fall Türschilder mit verschiedenen Beispielen argumentiert werden, z.B. Einsatzfahrzeuge müssen rasch und oftmals in akuten Notsituationen Wohnungen auch mit möglicherweise schlechterer Adressbeschreibung aufsuchen; Post- oder Paketzusteller erhalten fehlerhafte Adressen, etc. Es kommt nach der DSGVO darauf an, was Personen vernünftigerweise erwarten können. Im Rahmen eines Mietvertrags- aber auch Verwaltervertragsverhältnis wird üblicherweise auch bisher davon ausgegangen worden sein, dass Namen der Bewohner auch bei Türschildern oder Klingelanlagen angebracht werden. Nach der Gewerbeordnung müssen Gewerbetreibende sogar zur äußeren Kennzeichnung der Betriebsstätte den Namen anführen.

Es wäre aber möglich, dass sich eine betroffene Person an den Verantwortlichen wendet und einen Widerruf ihrer Einwilligung oder einen Widerspruch wegen "höherwertiger" Interessen einlegt, d.h. verlangt, dass die Daten nicht (mehr) offengelegt werden. Das ist offensichtlich im Fall der Gemeindewohnungen passiert. Der Betreiber hat sich daher nun dazu entschlossen, eine einheitliche Lösung zu finden und sich für diesen Weg entschieden. Die Mieter haben laut Presseberichten nach wie vor die Möglichkeit, selbst das Schild gegen ein Namensschild einzutauschen. Diese Lösung ist risikolos, jedoch nicht die einzig gangbare. Wer sich nicht mit Interessenabwägungen ("berechtigte Interessen") befassen und auf Nummer sichergehen will, kann sich z.B. auch bei Mietvertragsabschlüssen bestätigen lassen, was am Klingelschild ausgewiesen sein soll (z.B. separates Kästchen im Mietvertrag). Möglich wäre auch, die Mieter/ Eigentümer anzuschreiben und um Einwilligung ("bis zum…") zu fragen – wenn diese bis zum Stichtag nicht erhalten wird, sollte das Türschild aber abmontiert werden (Schweigen gilt nicht als Einwilligung). 

4. Warum gilt der Steuerberater nicht mehr als Auftragsverarbeiter?

Das ist eine gute Frage. Wir haben uns als WKO immer auf eine bereits ergangene Entscheidung der Datenschutzbehörde gestützt, ebenso wie auf die Stellungnahme der Artikel 29 Gruppe zu Auftragsverarbeitern und Verantwortlichen aus 2010 (wp169 DE Verantwortlicher Auftragsverarbeiter). Nun gibt es seit Jänner (veröffentlicht im April) eine neue Entscheidung der DSB zu diesem Thema (DSB-D122.767/0001-DSB/2018). Diese Entscheidung argumentierte neu und ließ den bisherigen Bescheid aus 2005 (K120.862/0011-DSK/2005) unkommentiert. Da es sich um eine neue Entscheidung handelt, wird auch diese im Moment zitiert und übernommen.

Achtung:
Auch diese Information könnte jederzeit wieder "alt" sein, da wie bereits erwähnt, es sich lediglich um eine Entscheidung in der 1. Instanz handelt. Es gibt zu dieser Problematik noch keine Entscheidung der österreichischen Verwaltungsgerichte und noch keine des Europäischen Gerichtshofs. Datenschutz ist kein starres Thema ("Der 25. Mai ist vorbei, jetzt ist alles fertig"), es wird sich ständig Neues ergeben, auf das geachtet werden muss. Meinungen/Auslegungen können auch revidiert werden!

Der Europäische Datenschutzausschuss (EDSA) hat sich nach den "Dark Patterns" bei Benutzeroberflächen von Social-Media-Plattformen nun auch die Gestaltung von Cookie-Banner auf allgemeinen Webseiten (Webseiten, Webshops, Apps etc.) näher angesehen. Im "Draft Report of the work undertaken by the Cookie Banner Taskforce" zeigen die Vertreter:innen der europäischen Datenschutzbehörden, auf welche grafischen und gestalterischen Elemente besonders Acht gegeben werden muss. Die wichtigsten Punkte sind: 

  • Es muss einen "Zustimmen"- und einen "Ablehnen"-Button auf der ersten Ebene des Banners geben. Es sollen möglichst eindeutige Begriffe verwendet werden ("Einstellungen speichern" anstelle von Ablehnen kann irreführend sein).
  • Es dürfen keine "vorabgehakten" Kästchen verwendet werden. Nutzer:innen müssen eine aktive Zustimmung geben (No-Go: "Mit dem Weitersurfen akzeptieren Sie…").
  • Bei der Gestaltung darf keine täuschende Farbgebung oder Größe verwendet werden (z.B. roter, großer "Zustimmen"-Button und grau hinterlegter "Ablehnen"-Button).
  • Der Widerruf der Einwilligung (ein nachträgliches "Ablehnen") muss ähnlich einfach wie das "Zustimmen" jederzeit möglich sein (z.B. ein Button mit "Ablehnen" in der Datenschutzerklärung oder Cookie-Policy). 

6. Achtung bei der Datenschutzerklärung!

Mit Datenschutzerklärungen (DSE) erfüllen Unternehmen die rechtlichen Informationspflichten aus der DSGVO, d.h. sie unterliegen hohen Anforderungen. Aber auch angesichts neuer konsumentenschutzrechtlicher Entscheidungen in Österreich muss bei den DSE besonders vorsichtig vorgegangen werden: 

  • DSE NICHT in Allgemeinen Geschäftsbedingungen oder sonstigen Vertragstexten verstecken,
  • DSE nicht bestätigen oder unterschreiben lassen (z.B.      kein Abhaken einer Checkbox im Onlineshop, keine Unterschrift auf einem ausgedruckten Dokument, kein „Ich nehme die Datenschutzerklärung zur Kenntnis“), sondern
  • DSE mit einem simplen Verweis "Unsere Datenschutzerklärung finden Sie hier … (Link)" oder "Unsere Informationen zum Schutz Ihrer personenbezogenen Daten finden Sie unter … (Link)" zur Info anführen (ohne Checkbox, ohne Unterschrift).
  • DSE als eigenes Dokument / als eigene Landingpage auf der Webseite anbieten,
  • DSE so verständlich, eindeutig und deutlich wie möglich formulieren (nicht zu juristisch, keine chaotische Gliederungen oder generische Begriffe wie z.B. beispielhafte Aufzählungen, unklare Begriffe,..).
  • Tipp: Die DSE sollte für alle im Unternehmen verständlich sein. 

Weitere Infos finden Sie unter:

EU-Datenschutz-Grundverordnung (DSGVO): Datenschutzerklärung / Informationspflichten

7. Neues Datenschutzabkommen EU-USA

Seit 10. Juli 2023 gibt es wieder eine neue Übermittlungsmöglichkeit personenbezogener Daten in die USA: Die "Adequacy decision for the EU-US Data Privacy Framework" oder kurz "TDPF".

US-Unternehmen, denen personenbezogene Daten transferiert werden sollen, müssen sich in die die Data Privacy Framework List beim US Handelsministerium eintragen und garantieren, die Datenschutzgrundsätze des Abkommens (z.B. Speicherbegrenzung, Zweckbindung, Datensicherheit, etc.) einzuhalten. Werden personenbezogene Daten an diese zertifizierten, in die Liste eingetragenen US-Unternehmen übermittelt, sind keine weiteren Maßnahmen mehr nötig.

Wichtig: Die US-Unternehmen müssen nachweislich in der Liste eingetragen sein! Sind sie nicht eingetragen, ist das Abkommen nicht anwendbar und muss weiterhin mit Standarddatenschutzklauseln und begleitende Maßnahmen oÄ gearbeitet werden.

Stand: 14.08.2023

Weitere interessante Artikel
  • Weißer Schriftzug DSGVO mit Paragraphenzeichen vor einer weißen Wand
    EU-Datenschutz-Grundverordnung (DSGVO): Die wichtigsten Fragen und Antworten
    Weiterlesen