Art. 32 DS-GVO: Gibt es einen Anspruch des Betroffenen auf Sicherheitsmaßnahmen gegen den Verantwortlichen (hier: österreichische Behörden)?

von Dr. Axel Spies, veröffentlicht am 05.11.2018

DS-GVO Praktiker werden ab und an mit der Frage konfrontiert, ob sich aus Art. 32 DS-GVO für die Betroffenen bestimmte Ansprüche auf Sicherheitsmaßnahmen gegen den Verantwortlichen ableiten lassen. Die österreichische Datenschutzbehörde DSB hat entschieden, dass dies nicht der Fall ist. Im konkreten Fall ging es um die Pseudonymisierung von Daten (AZ: DSB-D123.070/0005-DSB/2018). Beschwerdegegner waren das Bundeskanzleramt und das österreichische Bundesministerium für Europa, Integration und Äußeres.

Die Beschwerdeführerin meinte, dass diese Behörden „sensible persönliche Daten“ der Beschwerdeführerin in elektronischer Form und ohne Pseudonymisierung speichern würden. Konkret würden die Daten Informationen zum Sexualleben und zur Gesundheit der betreffen. Der Staat habe sich diese Daten im Jahre 2007 bei einer „rechtswidrigen verdeckten Ermittlung“ beschafft.

Die DSB entschied u.a.: „Hinsichtlich einer Verletzung des Grundrechts auf Geheimhaltung durch eine „unterlassene Pseudonymisierung“ ist festzuhalten, dass aus der DSGVO kein Recht abzuleiten ist, wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Art. 32 DSGVO von einem Verantwortlichen verlangen könnte. Ebenso wenig kann eine betroffene Person – wie von der Beschwerdeführerin begehrt – spezifische Maßnahmen zur Datenminimierung iSv Art. 5 Abs. 1 lit. c DSGVO verlangen.[…]

Wie nämlich aus Art. 32 DSGVO ersichtlich, trifft die Verpflichtung zur Sicherheit der Verarbeitung personenbezogener Daten den Verantwortlichen bzw. den Auftragsverarbeiter, wobei diese Sicherheit – unter Berücksichtigung der in Abs. 1 dieser Bestimmung genannten Elemente – auf mehrere Arten gewährleistet sein kann.

Auch aus dem Blickwinkel einer systematischen Interpretation der DSGVO kann nicht geschlossen werden, dass der Gesetzgeber einer betroffenen Person ein subjektives Recht auf Einhaltung bestimmter Datensicherheitsmaßnahmen gewähren wollte…“

Fundstelle: https://www.ris.bka.gv.at/Dokumente/Dsk/DSBT_20180913_DSB_D123_070_0005_DSB_2018_00/DSBT_20180913_DSB_D123_070_0005_DSB_2018_00.html

Stimmen Sie dieser Entscheidung zu?

Diesen Beitrag per E-Mail weiterempfehlenDruckversion

Hinweise zur bestehenden Moderationspraxis
Kommentar schreiben

1 Kommentar

Kommentare als Feed abonnieren

Kommentar hinzufügen