DSGVO-Bericht Österreich: Beschwerden um über 200 Prozent gestiegen

Der Tätigkeitsbericht 2019 der Österreichischen Datenschutzbehörde zeigt, dass die Zahl der Beschwerden massiv gestiegen ist, ebenso wie die amtswegigen Prüfverfahren. Wir zeigen Ihnen die Statistiken im Detail. [...]

Österreichs Datenschutzbehörde arbeitet schnell (c) CW
Österreichs Datenschutzbehörde arbeitet schnell (c) CW

Die Österreichische Datenschutzbehörde hat trotz der Corona-Ereignisse im März ihren Tätigkeitsbericht für das Jahr 2019  veröffentlicht. Das Zahlenmaterial wurde von den Autoren wie folgt aufgearbeitet und gibt einen spannenden Überblick über das Tätigkeitsprofil der Behörde. 

Abb  1: Zusammenfassung der Tätigkeits-Statistik

Individual-Beschwerden verdoppelt

Wie von vielen Kennern der Szene vorhergesagt und nicht zuletzt wegen der breiten medialen Berichterstattung ist die Anzahl der Beschwerden bei der Datenschutzbehörde drastisch angestiegen. Während 2018 „nur“ 1.036 Beschwerden bei der Behörde eingegangen sind, waren es 2019 bereits 2.102. Das entspricht einer Steigerung um 202%, also einer Verdoppelung! 

Themen-Schwerpunkte der Beschwerden waren Recht auf Auskunft, Geheimhaltung, Berichtigung/Löschung und Widerspruch. 

Abb  2: blau: eingegangene Beschwerden; rot: abgeschlossen (Auswertung: DSB)

Interessant ist, dass 1.405 Beschwerden erledigt wurden, 828 davon mittels Bescheides. 577 Beschwerden wurden eingestellt.

Das Beschwerdeverfahren nach § 24 DSG iVm Art. 77 DSGVO ist das wichtigste Rechtsschutzverfahren zur Durchsetzung von Betroffenenrechten. Es handelt es sich dabei um ein Zwei- oder Mehrparteienverfahren, in dem die Seiten gegensätzliche Standpunkte vertreten (= kontradiktorisches Verfahren). Die Parteien werden als Beschwerdeführer und Beschwerdegegner bezeichnet.

„Das in § 1 DSG normierte nationale Grundrecht auf Geheimhaltung bildet in der Praxis dabei den Rahmen, innerhalb dessen die „Grundsätze“ gemäß Kapitel II der DSGVO wie ausdrückliche Betroffenenrechte gemäß Kapitel III der DSGVO geltend gemacht werden können. Die in Kapitel III der DSGVO geregelten Rechte auf Einschränkung (Art. 18 DSGVO), Datenübertragbarkeit (Art. 20 DSGVO) und Unterlassung automatisierter Einzelfallentscheidungen (Art. 22 DSGVO) waren im Berichtszeitraum kein Gegenstand berichtenswerter Entscheidungen“ Zitat Tätigkeitsbericht der DSB).

Rasche Erledigung

Nach Angaben der Behörde wurde die Hälfte der 1.036 Beschwerden bereits im Jahr 2019 erledigt (dazu zählen auch die 169 eingestellten Verfahren). Von den 129 amtswegigen Prüfverfahren wurden 95 im Berichtszeitraum abgeschlossen. 

215 Amtswegige Prüfverfahren

2019 hat die Behörde in 215 Fällen von sich aus Prüfverfahren eingeleitet. Das bedeutet eine Steigerung um 67%.  Auslöser für diese Verfahren waren anonyme Eingaben oder andere Behörden.

Abb  3: blau: neue Prüfverfahren; rot: Erledigte Verfahren (Auswertung: DSB)

124 Verwaltungsstrafverfahren

Die Anzahl der Verwaltungsstrafverfahren ist mit 124 gegenüber 2018 annähernd gleich hoch geblieben.

Abb  4: blau: neue Prüfverfahren; rot: Erledigte Verfahren (Auswertung: DSB)

Bundesverwaltungsgericht in Verwaltungsstrafsachen 

Seitdem in Geltung treten der Datenschutz-Grundverordnung wurden 11 Beschwerden gegen Straferkenntnisse der Datenschutzbehörde erhoben. Details dazu werden im Tätigkeitsbericht aufgelistet.

Data Breach Notifications (Art. 33) fast verdoppelt

2019 wurden der Behörde 923 Datenschutzverletzungen gemeldet, 2018 waren es 501 Vorfälle ab 25.05.2018. Wie nicht anders zu erwarten, wurden alle Vorfälle prompt erledigt (Gefahr im Verzug).

Abb  5: blau: gemeldete Datenschutzvorfälle; rot: Erledigte Datenschutzvorfälle (Auswertung: DSB)

92 inländische, 11 grenzüberschreitende sowie 71 Sicherheitsverletzungen, die bei ausländischen Aufsichtsbehörden eingelangt sind, wurden der Datenschutzbehörde im Berichtszeitraum gemeldet. Darüber hinaus haben Betreiber öffentlicher Kommunikationsdienste 44 Meldungen gem. § 95a TKG 2003 erstattet. Bei den gemeldeten Sicherheitsverletzungen handelte es sich häufig um Fälle menschlichen Versagens („Versenden von E-Mails an einen falschen Adressaten“, „Versenden von E-Mails im offenen statt im geschlossenen Verteiler“ etc.), verlorener oder gestohlener Geräte (insbesondere Notebooks und Handys) oder um sog. „Ransomware“ (Verschlüsselung von Daten durch Schadsoftware).

Rechtsauskünfte

Die Datenschutzbehörde beantwortet allgemeine Anfragen zum geltenden Datenschutzrecht schriftlich (telefonische Rechtsauskünfte werden nicht erteilt). 

Im Rahmen der Beantwortung von Anfragen erfolgt grundsätzlich keine Vorabprüfung hinsichtlich der Unzulässigkeit/Zulässigkeit einer bestimmten Datenverwendung, der Anwendung bzw. Auslegung rechtlicher Bestimmungen oder einer sonstigen inhaltlichen Anfrage.

Abb  6: blau: eingegangene Anfrage; rot: beantwortete Anfragen (Auswertung: DSB)

Von den im Jahr 2019 eingebrachten 4.384 Anfragen wurden 3.974 beantwortet, das entspricht einer Quote von 91%.

Mitarbeiter aufgestockt

Gleichlaufend mit dem Anstieg des Arbeitsanfalls – siehe Beschwerden – wurde die Zahl der Mitarbeiter bis Ende 2019 um 2 auf 36 erhöht, 23 davon sind Juristen. 

Die Behörde weist darauf hin, dass u.a. die Bearbeitung der ersten nationalen und internationalen Beschwerden nach der Datenschutzgrundverordnung, die Verfahren betreffend die Data Breach Notifications sowie die Führung der Verwaltungsstrafverfahren deutlich machen, dass die Datenschutzbehörde auch 2020 zusätzlichen Personalbedarf hat. 

Resümee

  • Die Verdoppelung der Beschwerden war vorherzusehen – ebenso wie die Verdoppelung der Datenschutz-Vorfälle (dabei ist jedoch zu beachten, dass 2018 ein Rumpfjahr war). 
  • Die Steigerung bei der Anzahl der amtswegigen Prüfverfahren um 67% zeigt, dass die Behörde Datenschutz ernst nimmt!
  • Von den bearbeiteten 1.405 Individualbeschwerden wurden 577 – das sind 41% – verworfen, 828 Bescheide wurden ausgestellt.
  • Die Behörde arbeitet rasch, das Verhältnis eingegangene Beschwerden zu erledigten Beschwerden beträgt 91%. Das ist beachtlich. Dass praktisch alle Meldungen über Data Breach prompt bearbeitet wurden ist zu erwarten.

Autoren

DI Wolfgang Fiala und DI Dr. Peter Gelber sind Geschäftsführer der DSGVO Datenschutz Ziviltechniker GmbH.


Mehr Artikel

News

Große Sprachmodelle und Data Security: Sicherheitsfragen rund um LLMs

Bei der Entwicklung von Strategien zur Verbesserung der Datensicherheit in KI-Workloads ist es entscheidend, die Perspektive zu ändern und KI als eine Person zu betrachten, die anfällig für Social-Engineering-Angriffe ist. Diese Analogie kann Unternehmen helfen, die Schwachstellen und Bedrohungen, denen KI-Systeme ausgesetzt sind, besser zu verstehen und robustere Sicherheitsmaßnahmen zu entwickeln. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*