Wirtschaft

Datenschutz: Übereifer kann nach hinten losgehen

Klassenfotos, auf denen einzelne Gesichter mit schwarzen Balken unkenntlich gemacht sind. Einzelhandelsfirmen, die ihren Kunden für das Bonusprogramm plötzlich elendslange Einwilligungs-Formulare vorlegen. Ärzte, die vor der Behandlung vom Patienten extra Einwilligungen einfordern: Die Praxis der Datenschutz-Grundverordnung (kurz DSGVO) hat seltsame Auswüchse getrieben.

Dieser Übereifer ist nicht nur überflüssig, sondern vielfach sogar riskant. „Oftmals werden Menschen gewissermaßen genötigt, datenschutzrechtliche Erklärungen zu unterschreiben, wo gar keine nötig sind. Dabei gäbe es andere Rechtfertigungsgründe, die eine Datenverarbeitung ermöglichen würden“, sagt Gernot Fritz, Experte der Anwaltskanzlei Freshfields.

Freiwilligkeit braucht Alternativen

Der Schuss kann nach hinten losgehen. „Wenn beispielsweise Eltern angedroht wird, dass ihre Kinder auf dem Schulfoto mit schwarzen Balken versehen werden, spießt sich das, weil die Einwilligung nicht mehr freiwillig erfolgt und somit ungültig ist.“ Dem Kunden muss auch bei einer Ablehnung zumindest eine gleichwertige Alternative angeboten werden.

Dabei sei die Verteilung von Fotos an Mitschüler oder Veröffentlichung im Jahresbericht auch mit dem „überwiegenden berechtigten Interesse“ zu rechtfertigen.

Wird aber Druck ausgeübt, ist die Einwilligung hinfällig. Dann hat die Schule über den falschen Rechtfertigungsgrund informiert und einen Verstoß gegen die DSGVO begangen. Und riskiert somit ein Verfahren vor der Datenschutzbehörde.

Alle Inhalte anzeigen

Problematische Muster

Das ist auch für viele kleinere Unternehmen relevant, die zwar bemüht, aber überfordert sind. „Es herrscht der Irrglaube, dass ich besonders ‚compliant‘ (rechtskonform, Anm.) bin, wenn ich auf jeden Fall eine Zustimmung einhole.“ Dabei schaffe das oft sogar mehr Probleme, weil der Kunde wegen des Wegfalls der Einwilligung dann gar nicht oder falsch über seine Rechte aufgeklärt wurde.

Ähnliche Probleme gibt es mit den online kursierenden Mustererklärungen von Kammern, Interessenvertretungen oder Beratungsstellen, sagt Fritz: „Gerade kleinere Unternehmen und öffentliche Organisationen sind auf solche Muster angewiesen. Sie können sie aber gar nicht rechtskonform auf den betreffenden Einzelfall anwenden.“

Die drohende Geldbuße sei zumeist nicht einmal die härteste Sanktion, noch empfindlicher seien allfällige Schadenersatzklagen. Oder der Aufwand, der entsteht, wenn Hunderte Betroffene gleichzeitig Auskunftsbegehren stellen. Und auch der Imageschaden könne für Firmen problematisch sein.

Alle Inhalte anzeigen

„Gratwanderung“

Bei der Wirtschaftskammer ist man sich bewusst, dass Muster-Formulare nie alle Eventualitäten abdecken. „Es ist eine Gratwanderung“, sagt WKO-Expertin Ursula Illibauer.

Die Nachfrage danach sei überaus groß gewesen, man weise aber explizit und prominent darauf hin, dass die Texte notfalls mithilfe von Juristen auf den Einzelfall abgestimmt werden müssen. Auch die WKO selbst stehe für Auskünfte zur Verfügung. „Bisher sind unsere Muster-Erklärungen nicht angefochten worden“, so Illibauer.

Beide Experten beobachten unterdessen, dass die Datenschutzbehörde in Österreich sehr wohl honoriert, wenn Unternehmen bemüht sind, die Auflagen einzuhalten. Von Geldbußen werde oftmals abgesehen; bei erstmaligen Verstößen bleibe es meist bei der Aufforderung, den Missstand zu beheben.

Aus Fritz' Praxis betreffen die häufigsten Fälle vor der Datenschutzbehörde tatsächlich falsche Rechtfertigungsgründe und ungültige Einwilligungen sowie verspätete oder unvollständige Beantwortungen von Betroffenenbegehren.

In manchen Fällen stoße die Behörde allerdings auch durch „Data Breach“-Notifikationen, also die Meldung von Datenpannen, auf unzureichende technische oder organisatorische Maßnahmen.

Fingern verbrannt mit Cookies

Wie kompliziert das Thema ist, zeigte eine Erhebung in Bayern, wo die Cookie-Einwilligungserklärungen von 40 Unternehmen unter die Lupe genommen wurden. Kein einziges hatte alle Anforderungen rechtskonform erfüllt.

Entweder es wurde nicht informiert, dass schon vor der Einwilligung Cookies angelegt wurden. Oder die Aufklärung der User über die Cookie-Politik war nicht ausreichend. Oder die Einwilligung erfolgte nicht freiwillig, weil dem User bei einer Ablehnung keine gleichwertige Alternative angeboten wurde.

Kompliziert ist und bleibt das Thema wohl noch länger. Zwar gibt es schon einzelne Fälle von Rechtssprechung zu Graubereichen. Bis der Europäische Gerichtshof über die unklaren Rechtsbegriffe, welche die Handhabe so schwierig machen, bindend entscheidet, wird es aber noch mindestens ein bis zwei Jahre dauern.