Aus dem Datenschutzbericht von 2019 geht hervor, dass die österreichische Datenschutzbehörde 38 Geldstrafen verhängt und 11 Verwarnungen ausgesprochen hat. Das brachte Einnahmen von insgeamt € 18.106.700,- im Jahr 2019.
Seit Inkrafttreten der Europäischen Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2018, kommt der Österreichischen Datenschutzbehörde (DSB) als nationaler Aufsichtsbehörde gemäß Art. 58 Abs. 2 DSGVO die Aufgabe zu, Geldbußen wegen Verstößen gegen DSGVO zu verhängen, siehe Art. 83 zu verhängen.
Besonders bei Verfahren gegen Privatpersonen im Bereich von Videoüberwachung außerhalb von privaten Gebäuden oder in Fahrzeug installierte Dashcams waren Gegenstand von Verfahren und führten zur Verhängung von Geldstrafen.
Immer wieder zeigte sich, dass es vielen Verantwortlichen nicht bewusst ist, dass die Überwachung des Wohnhauses oder der eigenen Wohnung im Außenbereichs gegen die DSGVO verstößt, wenn zumindest Teile des öffentlichen Raums (z.B. Gehsteige oder Straßenteile) mit aufgezeichnet werden. Man greift dabei in die Rechte von unbeteiligten Personen ein und verstößt somit gegen die Datenverarbeitungsgrundsätze gemäß Art. 5 Abs. 1 DSGVO als auch gegen die von Art. 6 Abs. 1 DSGVO normierten abschließend aufgezählten Rechtmäßigkeitstatbestände der DSGVO.
Ebenso wurde das Aufzeichnen mit einer Dashcam abgestraft, da diese über einen längeren Zeitraum hindurch den öffentlichen Verkehr und somit auch die anderen Straßenverkehrsteilnehmer aufnimmt.
In einem besonders schwerwiegenden Fall wurde gegen einen Fußballtrainer einer Frauenfußballmannschaft eine Geldstrafe in Höhe von € 10.000,- verhängt. Dieser hatte zwei Fußballspielerinnen heimlich gefilmt, während diese zum Umziehen und Duschen in der Umkleidekabine waren.
Das höchste Bußgeld mit € 18.000.000,- hatte Österreichische Post ausgefasst, da diese personenbezogene Daten gewerblich vermarktet hat. Im Rahmen der gewerblichen Tätigkeit als Adressverlag und Direktmarketingunternehmen wurden unter anderem Daten zu politischen Affinität einzelner identifizierten Personen erstellt und an Parteien verkauft. So wurden durch ein statistisches Verfahren einzelne Personen in einer Adressdatenbank erfasst und vermeidlichen politischen Präferenzen zugeordnet. Auch wurde festgestellt, das Daten, welche im Rahmen der Tätigkeit als Postunternehmen notwendigerweise zu erfassen sind, für die Geschäftszweige Adressverlag und Direktmarkting verwendet wurden. Diese erlangten Erkenntnisse wurden anschließend ebenfalls verkauft.
Die wegen der festgestellten Verstöße gegen die Art. 5 Abs. 1, Art. 6 Abs. 1 und Art. 4 sowie Art. 9 DSGVO verhängte Strafe ist nicht rechtskräftig, da die Post Beschwerde beim Bundesverwaltungsgericht eingebracht hat.
In einer weiteren Entscheidung wurde von der DSB am 12.08.2019 gegen den Betreiber eines Ärztezentrums eine Geldbuße in der Höhe von € 50.000,- verhängt. In diesem Fall wurde mehrfach gegen die DSGVO verstoßen. Ein Verstoß war das Fehlen eines Datenschutzbeauftragten. Es wurde somit gegen Art. 37 Abs. 1 verstoßen sowie in weiterer Folge die Pflichten zur Veröffentlichung der Kontaktdaten des Datenschutzbeauftragten und Mitteilung an die zuständige Datenschutzbehörde (siehe Art. 37 Abs. 7). Weiteren Grund zur Beanstandung gab es durch die Nichterfüllung der Voraussetzungen für die Einholung einer Einwilligung von Patienten gegen die Bestimmungen des Art 7 DSGVO. So wurden in der Einwilligungserklärung Sachverhalte erfasste, die keine Einwilligung benötigen, jedoch den Anschein erweckten, dass hierfür eine Einwilligung notwendig sei. Außerdem war Einwilligungserklärung unklar formuliert, wodurch nicht ersichtlich war für welche Datenverarbeitungen die Einwilligung erteilt wurde. Weiters wurde gegen die Pflicht verstoßen zu Prüfen ob eine Datenschutzfolgenabschätzungen gemäß Art. 35 DSGVO notwendig ist, da beispielsweise die Verwaltung von medizinischen Befunden und sonstigen Patientendaten stattfindet.
Schon das bekannte Sprichwort sagt: „Unwissenheit schützt vor Strafe nicht!“ Benötigen Sie eine Beratung oder möchten Sie ihr Wissen im Bereich von DSGVO und Datensicherheit in einem Workshop erweitern, dann nehmen Sie sich doch einmal kurz Zeit und lernen Sie von zertifizierten DSGVO Experten wie man es richtig macht.