Verarbeitung von Daten in verschiedenen Geschäftsbereichen
DSGVO Art 5, 17, 82-83
DSGVO erlaubt keine generelle Datenverarbeitung - persönliche Daten dürfen nur für definierte Zwecke verarbeitet werden - Verarbeitung für ganz unterschiedliche Bereiche ist so zu behandeln, wie eine Datenübermittlung zwischen Unternehmen - Conclusio
Datenschutz-Grundverordnung (DSGVO) erlaubt keine generelle Datenverarbeitung
Ein weit verbreiteter Irrtum bei der Anwendung von Datenschutzbestimmungen ist, dass Unternehmen glauben einmal rechtmäßig ermittelte Daten für beliebige unternehmenseigene Zwecke verarbeiten zu dürfen.
Tatsächlich werden Daten jedoch immer nur für einen bestimmten Zweck ermittelt, etwa Kundendaten zur Abwicklung einer Bestellung und Lieferung einer Ware, Bewerberdaten zur Prüfung der Qualifikation für eine Anstellung, Mitarbeiterdaten zur Organisation der innerbetrieblichen Tätigkeiten, Patientendaten zu Diagnose- und Heilzwecken usw. (Art 5 Abs 1 lit b DSGVO). Nach Erfüllung des Zweckes müssen die Daten gelöscht werden (Art 17 DSGVO). Nur im Falle einer Einwilligung des Betroffenen oder bei Vorliegen rechtlicher Vorgaben dürfen die Daten weiter verwendet werden.
Bei den meisten Unternehmen bereitet diese Zweckbindung in der Regel keine Schwierigkeit. Kein seriöses Unternehmen kommt auf die Idee Bewerber zu Interessenten zu machen und zu versuchen ihnen statt sie anzustellen die eigenen Produkte zu verkaufen. Kein Arzt wird mit den Patientendaten Handel treiben und sie der meistbietenden Privatversicherung verkaufen wollen, usw.
Schon 1992 hatte der Oberste Gerichtshof (OGH) in einem richtungweisenden Urteil (im Zusammenhang mit der Bausparkasse der Volksbanken) festgestellt, dass etwa Girokontodaten nicht für einen anderen Geschäftsbereich (hier Anbahnung von Bausparverträgen) verarbeitet werden dürfen (alte Rechtslage bis 25.05.2018).
So hatte der OGH zweifelsfrei festgestellt: "Es ist nicht zulässig, Kundendaten einem Dritten zum Zweck eines Datenvergleiches zu übermitteln, um herauszufinden, wer von den eigenen Kunden noch nicht Kunde des Dritten ist." (Rechtssache1992/02/25 4Ob114/91)
Mischunternehmen oft an der Grenze des Datenschutzrechts
Wesentlich differenzierter ist die Situation bei sogenannten Mischunternehmen, die zu mehreren völlig verschiedenen Geschäftsbereichen Gewerbeberechtigungen haben. So ist es mittlerweile üblich geworden, dass Versandhäuser und Telekomunternehmen auch Bank- und Versicherungskonzessionen haben, als Reisebüros, Speditionen und Adressenverlage agieren und Inkassodienste anbieten. Alles unterschiedliche Gewerbeberechtigungen, die mit dem ursprünglichen Kerngeschäft nichts zu tun haben und oft den Umfang des Kerngeschäfts übertreffen.
Bestellt nun ein Interessent bei einem derartigen Versandhaus eine Ware, dann kann er gemäß DSGVO darauf vertrauen, dass seine Daten nicht in der Reisebürosparte oder Versicherungseinheit landen.
Erfolgt eine derartige Weitergabe ohne sachliche Begründung durch die ursprüngliche Bestellung, dann handelt es sich genauso um einen Datenmissbrauch, als ob die Daten illegal von Dritten beschafft worden wären.
Zulässige Weitergaben wären etwa, wenn gleichzeitig zum Versandgeschäft eine Kreditfinanzierung bei der hauseigenen Bank vereinbart wäre oder wenn bei einem säumigen Zahler der Einsatz eines Inkassodienstes in den AGBs vereinbart wäre.
Datenhändler und Inkassobüros überschreiten regelmäßig Legalitätsgrenze
Gerade im Bereich der Datenhändler (auch Adressverlage genannt) ist diese Form des Datenmissbrauchs weit verbreitet. So dürfen zwar diese Adressverlage laut Gewerbeordnung (§151 GewO) mit persönlichen Daten handeln und rund um diese Daten Dienstleistungen anbieten, dies ist jedoch auf Direktmarketingzwecke eingeschränkt.
Es dürfen also Personendaten ausschließlich einem anderen Unternehmen zur Verfügung gestellt werden, wenn dieses eine Werbeaktion durchführen möchte, keinesfalls jedoch, um etwa den Auskunftsdienst des anderen Unternehmens mit zusätzlichen Daten zu bereichern, dies wäre klassischer Datenmissbrauch durch den Adressenverlag.
Völlig ident ist die Sachlage bei Inkassodiensten, die persönliche Daten nur zur Eintreibung der übergebenen offenen Forderungen verwenden dürfen. Die Aufbewahrung der Daten nach Beendigung der Eintreibung oder die Verwendung zum Zwecke der Bonitätsberechnung oder zu Wirtschaftsauskunftszwecken ist unzulässig.
Geldstrafe und Schadenersatzklage
Bei der zweckentfremdeten Weiterverarbeitung der erhobenen Daten oder einer Erhebung ohne festgelegten Zweck handelt es sich um einen Datenschutzverstoß gemäß Art 83 Abs 5 DSGVO. Verantwortliche drohen hohe Geldstrafen. Neben der Geldstrafe können Betroffenen gemäß Art 82 DSGVO Schadenersatz für materiellen und/oder immateriellen Schaden geltend machen.
Conclusio
Die Speicherung, Nutzung und Verarbeitung von personenbezogenen Daten ist immer in Abhängigkeit zu einem bestimmten Zweck zu setzen. An diese Zweckbindung müssen sich die Unternehmer halten. Nach Erfüllung des Zweckes dürfen die Daten grundsätzlich nicht mehr weiterverarbeitet werden. Eine Weiterverarbeitung ist nur zulässig, sofern der Betroffene einwilligt oder eine gesetzliche Vorschrift dies erfordert.
|
