Die österreichische Datenschutzbehörde DSB hat nun entschieden, dass sich aus Art. 32 DS-GVO für die Betroffenen keine Ansprüche auf Sicherheitsmaßnahmen gegen den Verantwortlichen ableiten lassen. Im konkreten Fall ging es um die Pseudonymisierung von Daten. Beschwerdegegner waren das Bundeskanzleramt und das österreichische Bundesministerium für Europa, Integration und Äußeres.

SPEICHERUNG OHNE PSEUDONYMISIERUNG

Die Beschwerdeführerin war der Ansicht, dass diese Behörden „sensible persönliche Daten“ der Beschwerdeführerin in elektronischer Form und ohne Pseudonymisierung speichern würden. Konkret würden die Daten Informationen zum Sexualleben und zur Gesundheit der betreffen. Der Staat habe sich diese Daten im Jahre 2007 bei einer „rechtswidrigen verdeckten Ermittlung“ beschafft.

ENTSCHEIDUNG DER AUFSICHTSBEHÖRDE

Die DSB entschied u.a.: „Hinsichtlich einer Verletzung des Grundrechts auf Geheimhaltung durch eine „unterlassene Pseudonymisierung“ ist festzuhalten, dass aus der DSGVO kein Recht abzuleiten ist, wonach eine betroffene Person spezifische Datensicherheitsmaßnahmen iSv Art. 32 DSGVO von einem Verantwortlichen verlangen könnte. Ebenso wenig kann eine betroffene Person – wie von der Beschwerdeführerin begehrt – spezifische Maßnahmen zur Datenminimierung iSv Art. 5 Abs. 1 lit. c DSGVO verlangen.[…]
Wie nämlich aus Art. 32 DSGVO ersichtlich, trifft die Verpflichtung zur Sicherheit der Verarbeitung personenbezogener Daten den Verantwortlichen bzw. den Auftragsverarbeiter, wobei diese Sicherheit – unter Berücksichtigung der in Abs. 1 dieser Bestimmung genannten Elemente – auf mehrere Arten gewährleistet sein kann.
Auch aus dem Blickwinkel einer systematischen Interpretation der DSGVO kann nicht geschlossen werden, dass der Gesetzgeber einer betroffenen Person ein subjektives Recht auf Einhaltung bestimmter Datensicherheitsmaßnahmen gewähren wollte…“