1 253 Table of Contents 255 260

FONDS professionell Österreich, Ausgabe 1/2019

Foto: © fergregory | stock.adobe.com, Studio Hugo S eit der Gesetzgeber erkannt hat, dass Daten ein „Rohstoff“ sind, mit dem man Geld verdienen kann, dominieren beim Thema Datenschutz die Extrema. Einer- seits stellen täglich Millionen Menschen prak- tisch ihr gesamtes Privatleben auf diversen sozialen Netzwerken selbst online, anderer- seits werden Unternehmen gezwungen, selbst so harmlose Daten wie Name und Anschrift, die seit Jahrzehnten im Telefonbuch zu finden waren, mit derselben Sorgfalt zu verwalten wie Informationen des Zahlungsverkehrs. Und mit der seit Mai 2018 gültigen EU-Richt- linie Datenschutz-Grundverordnung (DSGVO) haben die Datenschutzwächter ein äußerst mächtiges Instrument, um vermeintliche oder tatsächliche Datenschutzverletzungen streng zu verfolgen. Wie streng, zeigte jüngst die französische Datenschutzbehörde CNIL, als sie über den IT-Riesen Google eine Strafe von 50 Millionen Euro verhängte. Interessantes Detail: Dem Google-Schuld- spruch lagen zwei Beschwerden zugrunde, die vom österreichischen Verein noyb gemeinsam mit der französischen NGO „La Quadrature du Net“ eingebracht wurden. Dass ausgerech- net eine österreichische Organisation mit der DSGVO derart schnell Sanktionen erwirkt, entbehrt nicht einer gewissen Ironie. Denn hierzulande wurde die Verordnung so umge- setzt, dass die Datenschutzbehörde gemäß § 11 Datenschutzgesetz zuerst warnt, bevor sie straft – und diese Großzügigkeit wider- spricht eigentlich der Vorschrift. Die EU- Kommission hat sich in einem Brief an die Regierung darüber auch bereits beschwert. Unionsrechtlich gedeckt oder nicht: Es dürfte im Gerechtigkeitsempfinden vieler verunsi- cherter Unternehmer wie eine Wohltat er- scheinen, dass die gefürchtete DSGVO an ers- ter Stelle multinationale Datensammler trifft – und nicht Gewerbetreibende oder Industrien, deren Geschäftsgegenstand nicht der Handel mit Daten ist. Die Google auferlegte Strafe war die höchste, die jemals in Europa für Datenschutzverletzungen ausgesprochen wur- de. Das muss aber nicht so bleiben, denn auch gegen Instagram, Whatsapp oder Facebook laufen bereits Verfahren mit Strafrahmen in Milliardenhöhe. Die österreichische Datenschutzbehörde ließ hingegen seit Inkrafttreten der DSGVO im Mai des Vorjahres mit einer maximalen Geldbuße von 4.800 Euro eindeutig Milde walten (Stand Ende Jänner 2019). Das ist die eine Seite. Wenn es nämlich um die Qualität der gesprochenen Urteile geht, war die DSB keineswegs moderat, finden viele. Speichern nur bei Klagsdrohung? „Das erste Urteil der DSB auf Grundlage der DSGVO zur Dauer der Datenspeicherung war sehr streng“, kritisiert Stephan Novotny, Anwalt mit Expertise für Versicherungsrecht und DSGVO. Das Urteil, das Novotny an- spricht, betraf eine Telekom-Firma. Unter an- derem entschied die Datenschutzbehörde (DSB): Das Unternehmen darf Daten nicht mit der Begründung speichern, dass später ein Verfahren drohen könnte. Würde die DSB dieses Urteil auf Banken, Versicherungen, Wertpapierfirmen, Berater und Vermittler um- legen, hätte das unerfreuliche Konsequenzen. In dem konkreten Fall reichte eine Ex-Kun- din im Juli 2017 Beschwerde bei der DSB ein, weil ihr ehemaliger Telekom-Anbieter nach Vertragskündigung (2015) noch umfang- reiche Informationen über sie gespeichert hat- Die DSGVO sorgt übernational für erste beeindruckende Sanktionen. In Österreich alarmiert ein eher unscheinbares Urteil die Finanzdienstleister. Die Speicher fragen Die Datenschutz-Grundverordnung DSGVO ist seit 25. Mai 2018 in Kraft. Erste beachtenswerte Urteile sind gesprochen. Die Finanzdienstleister können nur hoffen, dass eine Entscheidung zur Speicherbegrenzung nicht auch sie trifft. » Das erste Urteil der österreichi- schen DSB auf Grundlage der DSGVO zur Dauer der Datenspei- cherung war sehr streng. « Stephan Novotny, Anwalt Die DSGVO – darum geht es • Die DSGVO (EU) 2016/679 trat am 25. 5. 2018 EU-weit in Kraft. • Sie soll Bürgern eine bessere Kontrolle über ihre per- sonenbezogenen Daten ermöglichen. Die Verordnung beinhaltet unter anderem das „Recht auf Vergessen- werden “ oder bei Hacking informiert zu werden. • Unternehmen mit Geschäft in mehreren Ländern profi- tieren zwar durch Vereinheitlichung, die vielen Vor- schriften wie das Führen von Verzeichnissen sind aber komplex, und es gibt noch immer Unklarheiten. • Die englische Abkürzung ist GDPR (General Data Protection Regulation), die französische RGPD . 254 www.fondsprofessionell.at | 1/2019 steuer & recht I dsgvo

RkJQdWJsaXNoZXIy ODI5NTI=