Allgemein, Datenschutz, Entscheidungen, News

DSB: Kein subjektives Recht auf spezifische Datensicherheitsmaßnahmen

Datensicherheitsmaßnahmen

Art 32 DSGVO verpflichtet Datenverarbeiter, geeignete technische und organisatorische Maßnahmen in Bezug auf Datensicherheit zu ergreifen. Ein dazu korrespondierendes Recht betroffener Personen hat die Datenschutzbehörde (DSB) aber verneint.

In dem mit rechtskräftigem Bescheid der DSB vom 13.9.2018 (DSB-D123.070/0005-DSB/2018) abgeschlossenen Beschwerdeverfahren hatte die Beschwerdeführerin die unterlassene Löschung bzw Pseudonymisierung ihrer im elektronischen Aktensystem der Beschwerdegegner gespeicherten personenbezogenen Daten beanstandet. Im weiteren Verlauf führte sie jedoch aus, dass Verfahrensgegenstand nunmehr (nur) die Frage der Rechtswidrigkeit der Datenspeicherung ohne Pseudonymisierung sei.

Die DSB wies die Beschwerde ab und hielt fest, dass aus der DSGVO kein Recht abzuleiten sei, wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen im Sinne von Art 32 DSGVO (zu denen auch die Pseudonymisierung zählt) verlangen könnte: Die Rechte betroffener Personen seien ausdrücklich in Kapitel III angeführt, die Pseudonymisierung sei hingegen als Maßnahme in Kapitel IV normiert, das objektive Pflichten von Verantwortlichen und Auftragsverarbeitern regelt. Eine allfällige Verletzung des Rechts auf Löschung personenbezogener Daten prüfte die DSB aufgrund der durch die Beschwerdeführerin selbst vorgenommenen Spezifizierung des Verfahrensgegenstands nicht mehr.