FONDS professionell Österreich, Ausgabe 2/2018

mert hat, dann wird man wohl kaum mit einer Verwarnung durchkommen. Dies wäre meiner Meinung nach etwa der Fall, wenn man bei einer Prüfung nicht einmal ein Verwendungs- verzeichnis vorweisen kann.“  Geschäftsgeheimnisse Der Gesetzgeber hat übrigens nicht nur hin- sichtlich der Strafen bei DSGVO-Vergehen Augenmaß bewiesen, auch andere Punkte sind nun praxisgerechter geregelt. Ein Beispiel ist der Schutz von Geschäfts- und Betriebs- geheimnissen: Das Recht auf Auskunft der betroffenen Person besteht unbeschadet ande- rer gesetzlicher Beschränkungen nicht, wenn durch die Erteilung dieser Auskunft ein Ge- schäfts- oder Betriebsgeheimnis des Verant- wortlichen beziehungsweise Dritter gefährdet würde. Dieser Passus dürfte juristischen Inter- pretationsspielraum bieten. Und Rechtsexperte Aichinger bestätigt: „In der Tat eröffnet die Möglichkeit, sich auf Betriebs- und Geschäfts- geheimnisse zu beziehen, um gewisse Daten vom Auskunftsersuchen auszunehmen, eini- ges an Argumentationsspielraum. Zum Bei- spiel könnte argumentiert werden, das Sco- ring-Modell einer Bank zur Bonitätsbeur- teilung sei ein Geschäftsgeheimnis.“ Dieser Grundsatz ist laut Aichinger aber in Wahrheit nichts Neues, da bereits im Erwägungsgrund 41 zur Datenschutzrichtlinie 95/46/EG (natio- nale Umsetzung im DSG 2000) ausgeführt wurde, dass das Auskunftsrecht keinesfalls das Recht auf Wahrung des Geschäftsgeheim- nisses berühren darf. Günstigere Rechtslage Ein weiterer erfreulicher Punkt im Daten- schutz-Deregulierungs-Gesetz 2018 betrifft die rückwirkende Anwendung. Auf einen strafbaren Tatbestand, der vor dem 25.5.2018 verwirklicht wurde, ist nun die für den Verur- sacher günstigere Rechtslage anzuwenden. Im Klartext könnte dies bedeuten, dass Unterneh- men die angekündigten drakonischen Strafen aufgrund ihrer alten nicht-DSGVO-konfor- men Datensammlungen wohl nicht zu be- fürchten haben. Allerdings relativiert Aichin- ger: „Unternehmen sind meines Erachtens gut beraten, die DSGVO-Konformität herzustel- len, anstatt zu argumentieren, dass die aktuelle Rechtsverletzung ja bereits zu einem Zeit- punkt vor Anwendbarkeit der DSGVO und des DSG 2018 gegeben war.“ Klagloshaltung Zu guter Letzt weist der Hello-Bank-Jurist noch auf einen bislang eher wenig beachteten, dafür umso wichtigeren Umstand hin. So sieht Paragraf 24 DSG, der die Beschwerde des Betroffenen behandelt, während des laufen- den Verfahrens explizit die Möglichkeit der Klagloshaltung des Betroffenen vor. Im Gesetz heißt es dazu: „Ein Beschwer- degegner kann bis zumAbschluss des Verfah- rens vor der Datenschutzbehörde die behaup- tete Rechtsverletzung nachträglich beseitigen, indem er den Anträgen des Beschwerdefüh- rers entspricht. Erscheint der Datenschutz- behörde die Beschwerde insofern als gegen- standslos, so hat sie den Beschwerdeführer dazu zu hören. Gleichzeitig ist er darauf aufmerksam zu machen, dass die Daten- schutzbehörde das Verfahren formlos ein- stellen wird, wenn er nicht innerhalb einer angemessenen Frist begründet, warum er die ursprünglich behauptete Rechtsverletzung zumindest teilweise nach wie vor als nicht beseitigt erachtet.“ In diesem Zusammenhang erklärt auch Compliance-Experte Dolezal: „Allein das Ein- reichen einer Beschwerde wird keineswegs ei- ne einfache Sache sein, da braucht man schon einen Juristen. Man kann also nicht einfach so von jemandem denunziert werden, diese Angst ist nicht begründet.“ GEORG PANKL | FP Andreas Dolezal, Unternehmensberater: „Die Unternehmen haben jetzt quasi einen Freischaden.“ Mag. Matthias Aichinger, Hello Bank: „Die Behörde kann auch weiterhin sofort eine Geldbuße verhängen.“ Abhilfebefugnisse der Aufsichtsbehörde gemäß Artikel 58 DSGVO Abhilfebefugnisse der Aufsichtsbehörde gemäß Artikel 58 DSGVO sind: 1. einen Verantwortlichen oder einen Auftragsverarbeiter zu warnen, dass beabsichtigte Verarbeitungsvorgänge voraussichtlich gegen diese Verordnung verstoßen 2. einen Verantwortlichen oder einen Auftragsverarbeiter zu verwarnen, wenn er mit Verarbeitungsvorgängen ge- gen diese Verordnung verstoßen hat 3. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, den Anträgen der betroffenen Person auf Ausübung der ihr nach dieser Verordnung zustehenden Rechte zu entsprechen 4. den Verantwortlichen oder den Auftragsverarbeiter anzuweisen, Verarbeitungsvorgänge gegebenenfalls auf bestimmte Weise und innerhalb eines bestimmten Zeitraums in Einklang mit dieser Verordnung zu bringen 5. den Verantwortlichen anzuweisen, die von einer Ver- letzung des Schutzes personenbezogener Daten be- troffenen Person entsprechend zu benachrichtigen 6. eine vorübergehende oder endgültige Beschränkung der Verarbeitung, einschließlich eines Verbots, zu verhängen 7. die Berichtigung oder Löschung von personenbezo- genen Daten oder die Einschränkung der Verarbeitung gemäß den Artikeln 16, 17 und 18 und die Unterrich- tung der Empfänger, an die diese personenbezogenen Daten gemäß Artikel 17 Absatz 2 und Artikel 19 offen- gelegt wurden, über solche Maßnahmen anzuordnen 8. eine Zertifizierung zu widerrufen oder die Zertifizie- rungsstelle anzuweisen, eine gemäß der Artikel 42 und 43 erteilte Zertifizierung zu widerrufen, oder die Zerti- fizierungsstelle anzuweisen, keine Zertifizierung zu er- teilen, wenn die Voraussetzungen für die Zertifizierung nicht oder nicht mehr erfüllt werden 9. eine Geldbuße gemäß Artikel 83 zu verhängen, zusätz- lich zu oder anstelle von in diesem Absatz genannten Maßnahmen, je nach den Umständen des Einzelfalls 10. die Aussetzung der Übermittlung von Daten an einen Empfänger in einem Drittland oder an eine interna- tionale Organisation anzuordnen. Foto: © Dolezal, Aichinger 222 www.fondsprofessionell.at | 2/2018 steuer & recht I dsgvo