Praxis-Beispiel Nummer 1

Gratwanderung – die Übertragung von Verantwortung und Neutralisierung von Fehlern?

29.03.2021, Hon.-Prof. Dr. Clemens Thiele, LL.M. Tax (GGU), Radinka Danilov Sehovic

Jahr: 2020, November

Aus den zurzeit vermehrten interessanten Praxis-Beispielen haben wir uns aufgrund des absoluten Innovationselements, für dieses Beispiel entschieden. In diesem Beispiel geht es um einen einzigartigen Fall des potenziellen DSGVO-Verstoßes, d. h. die durch geschäftliche E-Mail-Adresse kommunizierte Verarbeitung der personenbezogenen Daten für angeblich private Zwecke.

Sozio-ökonomischer Kontext

Im folgenden Beispiel ist es wichtig zuerst den sozio-ökonomischen Kontext des Ereignisses zu erläutern, da dieser Kontext die beschriebene Aktivität indirekt beeinflusst hat. 2020 war ein Jahr, in dem sich sozio-ökonomische Lebens- und Geschäftsparameter aufgrund des Ausbruchs der COVID-19 Pandemie von Grund auf geändert haben. Die Bevölkerung hatte für einen bestimmten Teil des Jahres lediglich begrenzte Bewegungsfreiheit, während die Wirtschaft in fast allen ihren Segmenten erhebliche Verluste erlitten hat. Eines der am stärksten betroffenen Bereiche war sicherlich der Immobilienmarkt; einerseits aufgrund der Investitionssuspension wegen des Gefühls allgemeiner Unsicherheit und der Erwartung einer neuen Weltwirtschaftskrise, andererseits wegen der Verschärfung von Bedingungen für Hypothekarkredite, welche es für eine bedeutende Anzahl von Personen unmöglich gemacht hat, Immobilien zu kaufen. Zusätzlich hat die Pandemie dazu geführt, dass die Arbeitslosenzahlen in Österreich den höchsten Stand seit 1946 erreicht haben. Dies machte es für viele Personen unmöglich, bestehende Kredite für bereits gekaufte Immobilien (regelmäßig) zurückzuzahlen. Am Rande einer neuen globalen Krise stagnierte der Immobilienmarkt sogar kurz, was die Banken, die sich noch lebhaft an die vorherige Krise vor 12 Jahren erinnerten, in eine nicht sehr beneidenswerte Situation versetzt hat.

Mikrokontext

Die Protagonisten:

Person A – E-Mail-Empfängerin, Immobilien Käuferin, betroffene Person
Person B – E-Mail-Verfasser, Interessent für Immobilie, Verarbeiter der personenbezogenen Daten
Person C – Immobilien Verkäufer

Die Ereignisse aus dem Privatleben von einem der Akteure, welche der umstrittenen Aktivität vorausgingen, sind eine wichtige Einführung für das Verständnis des gesamten Kontextes. Person A lebt und arbeitet weniger als 10 Jahre in Österreich, basierend auf einem genehmigten mehrjährigen Aufenthaltstitels. Am Anfang des Jahres 2020, vor der COVID-19-Krise, versuchte sie, eine Liegenschaft in der Nähe von Wien zu kaufen. Zu diesem Anlass brauchte sie einen Hypothekarkredit, weshalb Anfragen an mehrere Kreditmakler samt den erforderlichen Unterlagen (wie z. B. Immobilien-Exposé, Aufenthaltstitel, Versicherungsauszug, 3 Lohnzettel, Arbeitsvertrag, usw.) übermittelt wurden. In der Weiterentwicklung der Ereignisse hat die Person A einen Kredit bei einer Bank aufgenommen und den Immobilien-Kaufvertrag unterfertigt, doch, aufgrund einer unglücklichen Reihe von Umständen, konnte der Verkaufsprozess der Liegenschaft nicht zu Ende gebracht werden. Mit der Aussetzung des Verkaufsprozesses wurden die Verträge gekündigt und der Verkauf derselben Immobilien wurde vom Verkäufer (Person C), d. h. dem Immobilienmakler, 9 Monate nach dem versuchten Verkauf, erneut beworben. Es ist wichtig zu verstehen, dass Person A nie in den Besitz der Liegenschaft gekommen, d. h. diese Person nie der Inhaber geworden ist.

Person A ist Angestellte, die geschäftliche E-Mail-Adresse ist auf der Webseite des Unternehmens (des Arbeitgebers), öffentlich verfügbar und diese Kontaktadresse ist leicht und einfach im Internet zu finden. Die Information über die private E-Mail-Adresse wäre auch im Internet verfügbar, jedoch ist diese schwieriger zu finden, da die Person A verheiratet ist und zurzeit zwei Nachnamen besitzt (den ledigen und den ehelichen).

Datenschutz-umstrittene (?) Aktivitäten

Ende November 2020 erhielt Person A an ihre geschäftliche E-Mail-Adresse eine als vertraulich markierte E-Mail mit ungewöhnlichem Inhalt: Person B fragte sie, ob sie möglicherweise die Besitzerin einer bestimmten Immobilie in einem bestimmten Ort, an der Adresse XY, unter der Nummer Z sei. Dazu wurde zusätzlich eine graphische Darstellung aus einem veralteten, unbekannten Dokument übermittelt, aus welchem hervorgeht, dass der Verkäufer der Immobilie, Person C (der tatsächliche Verkäufer vom Anfang dieser Geschichte ist) und Person A der Käufer sind.

Daraus kann geschlossen werden, dass Person B den Verkaufsprozess verfolgt und den nach mehreren Monaten erneuten Verkauf bemerkt hat und zum Entschluss gekommen ist, dass Person A diesmal der Verkäufer ist – nicht wissend, dass der Verkaufsprozess niemals abgeschlossen wurde. Person B handelte jedoch mit Vorbehalt, da offensichtlich die aktuellen Daten nicht bekannt waren und die Ansprache mit einer Frage begann. Es ist zu hinterfragen, woher Person B die Auskünfte über den Verkaufsprozess erhalten und weshalb diese die Person A über ihre geschäftliche E-Mail-Adresse kontaktiert hat.

Im weiteren E-Mail-Text wurde Person A gebeten (sofern diese der Besitzer ist), mit Person B Kontakt aufzunehmen, wegen eines möglichen Immobilienkaufs, mit der Garantie einer raschen Prozessabwicklung, ohne Finanzierungsvorbehalt, da der Kaufpreis jederzeit verfügbar sei und zusätzlich mit der Information, dass „sie“ (im Plural) mehrere Rechtsanwälte und Notare kennen würden.
Es ist interessant, dass der gesamte E-Mail-Text im Plural verfasst und zusätzlich weder in der hochdeutschen Geschäftssprache noch im Dialekt geschrieben wurde, sondern in einem ungeschickten Versuch, die Sprache naiver und bodenständiger darzustellen. Dies überraschte auf jeden Fall Person A, da die E-Mail von einer sehr gebildeten Person versendet worden zu sein schien.

Die E-Mail endet mit einer Entschuldigung wegen der Kontaktaufnahme, sofern Person A nicht der Eigentümer der Liegenschaft sei.
Alles wäre viel einfacher gewesen und wir würden uns heute gar nicht mit diesem Thema beschäftigen, wenn die E-Mail von der privaten E-Mail-Adresse von Person B gesendet worden wäre. Die E-Mail wurde jedoch von einer Geschäftsadresse einer der bedeutendsten Banken verschickt. Die Signatur enthielt alle Geschäftskontaktdaten und die Arbeitsposition von Person B, diese hängt mit der Immobilienfinanzierungsabteilung der Bank zusammen. Nirgendwo wurde die private E-Mail-Adresse oder Telefonnummer von Person B angegeben. Dazu ist es sehr wichtig zu erwähnen, dass Person A keinen Bezug zu dieser Bank hat, von der die E-Mail geschickt wurde: Person A ist/war nie Kunde, hat nie direkt ein Kreditangebot von dieser Bank angefordert und hat niemals irgendwelche Dienste dieser Bank in Anspruch genommen.

Reaktion auf das Ereignis

Nicht vollständig verstehend woher Person B diese (personenbezogenen) Daten erhalten hat, hat Person A das Auskunftsrecht ausgeübt und ein Auskunftsbegehren an die Datenschutzabteilung der Bank gesendet. Trotz einer rechtmäßigen Antwortfrist von einem Monat, um genug Zeit für die Bestimmung von allen Einzelheiten des Ereignisses zu haben, hat die Datenschutzabteilung der Bank eine Antwort innerhalb weniger Stunden geschickt. Die Bank lehnte jegliche Form der Datenverarbeitung ab und erklärte, dass Person B alles aus persönlichem Interesse getan hat, da diese sich persönlich für den Kauf der vorher genannten Immobilie interessieren würde. Die Bank hat zudem um Entschuldigung gebeten, weil ihr Mitarbeiter die geschäftliche E-Mail-Adresse verwendet hat, als auch für alle verursachten Unannehmlichkeiten. Die Bank erfüllte weiterhin die nötige Form und informierte Person A zusätzlich über ihre Rechte gemäß der DSGVO.

Meinungen der Experten: Hon.-Prof. Dr. Clemens Thiele, LL.M. Tax (GGU)

Datenschutzrechtlicher Lösungsvorschlag:

Die datenschutzrechtliche Beurteilung von Praxisfällen setzt bei der Ermittlung von Art und Inhalt der Datenverarbeitung an. Neben der Art der verarbeiteten Daten (nach Kategorien) sind die „Player“ des Datenschutzrechts, nämlich die betroffenen Personen, der Verantwortliche einer Datenverarbeitung und der von diesem allfällig eingesetzten Auftragsverarbeiter zu identifizieren. Zu prüfen sind konkret die Verarbeitungsschritte, insbesondere ob diese zu einer übergeordneten Verarbeitungstätigkeit zusammengefasst werden können. Unter einer Verarbeitungstätigkeit iSv Art 30 DSGVO kann jede Tätigkeit verstanden werden, Verarbeitungen iSd Art 4 Z 2 DSGVO (z.B. Ermitteln, Speichern, Verwenden, Weitergeben) durchzuführen. Diese Tätigkeit bezieht sich daher nicht auf Applikationen oder Programme, sondern auf konkrete Abwicklungen und Vorgänge beim Verantwortlichen, die personenbezogene Daten zu einem (übergeordneten) Zweck verwenden. In der Praxis kommen alle Vorgänge in Betracht, die einem gemeinsamen Zweck dienen und idR zeitlich und örtlich unmittelbar erfolgen.

Wendet man diese Grundsätze auf den vorliegenden Fall an, kommt zunächst als Datenverarbeitung das Senden bzw. Empfangen der E-Mail aus dem November 2020, gerichtet an die Person A, in Betracht. Das Übermitteln einer elektronischen Post (so der Gesetzesbegriff für E-Mail) stellte eine elektronische Datenverarbeitung dar, die nicht nur dem allgemeinen Datenschutzrecht, sondern auch dem Sonderdatenschutz des Telekommunikationsrechts, unterliegt. Dem zufolge bestimmt etwa § 107 TKG die grundsätzliche Rechtswidrigkeit der Zusendung von unverlangter elektronischer Post mit werblichem Inhalt.
Als personenbezogenen Daten dieser Verarbeitungstätigkeit kommen neben der geschäftlichen E-Mail-Adresse von A (Empfangsadresse) möglicherweise deren Namen sowie die Verbindung von A mit einer bestimmten Immobilie (einschließlich Adresse) Ort, Straßenname und Hausnummer dieser Liegenschaft) sowie einem mutmaßlichen Immobiliengeschäft mit der zwischen A und der Person C (letztere ebenfalls mit ihren Namensdaten erfasst) als Betroffene.in Betracht.

Die Datenschutzbehörde hat bereits mehrfach festgestellt, dass es sich bei der E-Mail-Adresse einer Person „zweifelsfrei um personenbezogene Daten iSd Art 4 Z 1 DSGVO“ handelt. Der Versand von Newslettern oder einer elektronischen Post ist als Verarbeitung im Sinne von Art 4 Z 2 DSGVO zu qualifizieren (statt vieler DSB 24.6.2019, DSB-D124.421/0003-DSB/2019).

Die Datenschutzpraxis hat aber auch einer bestimmten Person bloß mutmaßlich zugeschriebene Angaben oder Informationen als personenbezogene Daten qualifiziert. Ob diese mutmaßlichen Eigenschaften tatsächlich zutreffen oder die Informationen bloß statistisch errechnet sind, spielt dabei keine Rolle. Entscheidend ist, dass eine bestimmte Information auf Grund ihres Inhalts, ihres Zwecks oder ihrer Auswirkung mit einer bestimmten oder bestimmbaren Person verknüpft ist (BVwG 26.11.2020, W 258 2227269-1 zur politischen Affinität). Demzufolge können auch ein vermeintlich der Person A zugeschriebener Immobilienbesitz bzw. der Inhalt des Dokuments eines Verkaufsprozesses mit C als personenbezogene Daten im Sinne von Art 4 Z 2 DSGVO angesehen werden.
Zur datenschutzrechtlichen Rollenverteilung ist festzuhalten, dass ausgehend von den personenbezogenen Daten sowohl die Person A, als auch die Person C, als Betroffene zu qualifizieren sind. Da sich nach dem Sachverhalt lediglich die Person A mit einem Auskunftsbegehren an die Datenschutzabteilung der Bank gewandt hat, beschränkt sich die datenschutzrechtliche Beurteilung auf die Perspektive der betroffenen Person A. Die möglichen Ansprüche der übrigen Beteiligten bleiben außer Betracht.

Im Absender der von A empfangenen E-Mail scheint die Bank samt Geschäftskontaktdaten und Signatur auf, wenngleich die Person B als zuständiger Sachbearbeiter der Immobilienabteilung namentlich genannt ist. Die Bank hat „jegliche Form der Datenverarbeitung abgelehnt“ und erklärt, dass Person B diese E-Mail aus persönlichem Interesse erstellt und verschickt habe. Für eine Datenverarbeitung verantwortlich ist immer derjenige, der über deren Zweck und Mittel entscheidet. Der Verantwortliche ist somit jenes Rechtssubjekt, dass die Kontrolle über die Verarbeitung von personenbezogenen Daten inne hat und auch über die Entscheidung soweit verfügt, zu welchem Zweck und mit welchen Mitteln die Datenverarbeitung erfolgen soll. Kurz gefasst ist er der „Herr der Datenverarbeitung“. Geht man von der Richtigkeit der Behauptungen der Bank aus, so ist allein die Person B für die Übermittlung und den Inhalt der E-Mail an die Person A als Verantwortliche iSv Art 4 Z 7 DSGVO. Person B ist damit der primäre Adressat, an den sich die Verpflichtungen aus der DSGVO und dem DSG zum Schutz von personenbezogenen Daten richten. Die Bank kommt höchstens als technischer Dienstleister, also als Auftragsverarbeiter in Betracht. Mit Bekanntgabe des tatsächlich Verantwortlichen eben als Person B,  hat die Bank ihre Auskunftsverpflichtung erfüllt.

Weitere datenschutzrechtliche Schritte hat die Person A daher ausschließlich gegen die Person B zu richten.
Eine unberechtigte Verwendung von E-Mail-Adressen kann nach Rechtsansicht der Datenschutzbehörde jedenfalls gegen Art 5, Art 6 und Art 32 DSGVO verstoßen und somit eine denkmögliche Verletzung des § 1 Abs 1 DSG darstellen. Ein Verstoß gegen § 107 TKG – die Qualifikation der strittigen E-Mail als Werbung vorausgesetzt- kann nicht vor der Datenschutzbehörde geltend gemacht werden, sondern nur vor den ordentlichen Zivilgerichten bzw den Fernmeldebehörden. Aus datenschutzrechtlicher Sicht bedeutet jedoch ein Verstoß gegen die elektronische Datenverarbeitung iZm einer unerwünschten Post zugleich eine Verletzung des Geheimhaltungsanspruches nach § 1 Abs 1 DSG. Dies führt zu Löschungs- bzw. Unterlassungsansprüchen.
Zusammenfassend hat die Person B also personenbezogenen Daten der Person A, nämlich insbesondere deren E-Mail-Adresse und ihre mutmaßliche Liegenschaftsverkäuferposition unrechtmäßig verarbeitet, was die Person A in ihrem Grundrecht auf Geheimhaltung nach § 1 Abs 1 DSG verletzt hat.

***

Das Ziel der Veröffentlichung von Texten in der Rubrik „Beispiele aus der Praxis“ ist die Registrierung, Katalogisierung und Analyse atypischer Beispiele aus der Alltagpraxis in den Bereichen Datenschutz und IT-Sicherheit, mit der Idee Wissen und Erfahrungen über innovativen Lösungen auszutauschen, sowie der weiteren Förderung und Entwicklung des Metiers. Sofern Sie entweder ein positives oder negatives Beispiel aus diesen Bereichen kennen, würden wir Sie gerne bitten, uns dies mitzuteilen, damit wir die Situation analysieren und dies eventuell zum Katalog hinzufügen können. Wir informieren sie zudem auch, uns keine personenbezogenen Daten zu schicken, da wir diese zum Verständnis der Situation nicht benötigen.


Gefällt Ihnen dieser Blogpost? Wenn Sie regelmäßig die neuesten Trends im Datenschutz & IT-Sicherheit mitbekommen möchten, dann abonnieren jetzt unseren Newsletter. Hier geht es zum Anmeldeformular.