Mitglied werden

Wir würden uns freuen, wenn Sie Mitglied unseres Vereins werden. Nähere Informationen zu uns finden Sie hier auf unserer Website.

Geplante Berichtigung der Datenschutz-Grundverordnung

Die geplante Berichtigung (Korrektur) u.a. der deutschen Sprachfassung der DSGVO ist hier zu finden. Soweit ersichtlich, sollen in der deutschen Fassung “nur” kleinere sprachliche Änderungen vorgenommen werden.

Markus Kastelitz at GDPR2020 Conference (Prague)

Markus Kastelitz, co-founder and member of the board of Privacyofficers.at has been invited to talk at the GDPR2020 Conference on 6 October 2020. It is organized by the Czech Association for the Protection of Personal Data (Spolek pro ochranu osobních údajů is the largest association of professionals involved in the processing and protection of personal data in business, local government and public administration in the Czech Republic. It is also a professional organization of Data protection officers in the Czech Republic).

Markus will give a talk on data protection-related issues of the Austrian legal regulations and recommendations regarding COVID-19, inter alia covering one of the first contact tracing apps in Europe (“Stopp Corona-App”). For more, see here (in Czech).

Privacyofficers.at ist Mitglied der EFDPO

Privacyofficers.at ist Mitglied der European Federation of Data Protection Officers. Die EFDPO ist ein europäisches Netzwerk nationaler Verbände von Datenschutzbeauftragten und Beauftragten für den Schutz der Privatsphäre. Die Organisation sieht es also Ihre Aufgabe eine europäische Interessenvertretung für behördliche Datenschutzbeauftragte als Partner von Institutionen wie der Europäischen Kommission, dem Europäischen Parlament, dem Rat der Europäischen Union, dem Europäischen Datenschutzrat und nationalen Datenschutzbehörden einzurichten. Damit will die EFDPO den Datenschutz als Wettbewerbs- und Standortvorteil für Europa stärken.

Privacyofficers.at gibt Stellungnahme zur geplanten Novelle des EpidemieG 1950 ab

Nachfolgende Stellungnahme wurde an das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt.

Sehr geehrte Damen und Herren,

wir vertreten den Verein Privacyofficers.at, Österreichs größtem Dachverband von Datenschutzbeauftragten und Datenschutzexperten (www.privacyofficers.at).

Die geplante Novelle des Epidemiegesetzes beinhaltet in § 5 Abs 6 eine datenschutzrechtliche Regelung, die nicht nur Betroffene selbst betrifft, sondern auch unsere Mitglieder, die eine solche Regelung in den Organisationen, in denen sie tätig sind, umsetzen und begleiten müssten.

Bei der Lektüre des vorgeschlagenen § 5 Abs 6 Epidemiegesetzes stellen sich einige, nicht lösbare Fragen, die wir Ihnen gerne übermitteln, mit der Bitte, den Text einer tiefergehenden datenschutzrechtlichen Überprüfung zu unterziehen und entsprechend anzupassen.

Unter anderem soll laut Begutachtungsentwurf ein neuer §5 Abs 6 Epidemiegesetz eingeführt werden, der lautet:

(6) Betriebe, Veranstalter und Vereine sind – unbeschadet nach anderen Rechtsgrundlagen bestehenden Erhebungs- und Aufbewahrungspflichten – verpflichtet, personenbezogene Kontaktdaten von Gästen, Besuchern, Kunden und Mitarbeitern, in deren Verarbeitung ausdrücklich eingewilligt wurde, zum Zweck der Mitwirkungspflicht im Rahmen der Erhebung von Kontaktpersonen bei Umgebungsuntersuchungen für die Dauer von 28 Tagen aufzubewahren. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu löschen. Betriebe, Veranstalter und Vereine haben geeignete Datensicherheitsmaßnahmen zu ergreifen.

Als Datenschutzbeauftragte (r) eines Unternehmens ist man nun ratlos, wie man diese Bestimmung datenschutzrechtlich einordnen bzw. DSGVO konform auslegen und umsetzen soll.

Jede Datenverarbeitung benötigt eine rechtliche Grundlage, dafür gibt Artikel 6 DSGVO eine taxative Liste von möglichen Rechtsgrundlagen vor. Es handelt sich um die oben genannte Bestimmung um eine gesetzliche Regelung, so könnte Artikel 6 Abs 1 lit c DSGVO („die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“) relevant sein.

Folgende Fragen tun sich dabei jedoch auf:

§ Abgesehen davon, dass die Vermengung mit der Einwilligung (dazu gleich) schon irreführen ist, stellt sich schon die Frage, welcher Verantwortliche fällt denn unter welchen Bedingungen darunter?
§ Ad Betriebe: Gilt das in jedem Fall, wenn es um ihre Beziehung zu Mitarbeitern geht? Betrifft das den normalen Arbeitsalltag oder nur besondere Anlässe wie Veranstaltungen, größere Treffen, wo eine Nachvollziehbarkeit von Kontakten schwierig ist? Ist das eine gesetzliche Aufforderung lückenlos die Anwesenheiten, Bewegungsprofile, Treffen, Kontaktpersonen von Mitarbeitern zu erfassen und zu dokumentieren? Gilt das nur für den Betriebsstandort oder auch für die Freizeit? Gilt das für Mitarbeiter, die im Homeoffice sind?
§ Ad Vereine: Gilt das für Vereinsbezogene Treffen? Gilt das für alle Vereinsmitglieder, auch wenn sie nicht in persönlichen Kontakt treten?
§ Kommt diese Bestimmung im Begutachtungsentwurf doch nur zur Anwendung, wenn es um Veranstaltungen und dergleichen geht? Darauf könnte die Mitaufnahme von „Veranstaltern“ hindeuten.
§ Interessanterweise macht die Formulierung im vorgeschlagenen § 5 Abs 6 eine Art Einschränkung, indem sie auf eine Einwilligung der Betroffenen verweist bzw. andeutet, dass die Verpflichtung nur dann gilt, wenn eine Einwilligung vorliegt. Damit wäre als Rechtsgrundlage auch Artikel 6 Abs 1 lit a ins Spiel gebracht. Eine Einwilligung muss freiwillig gegeben werden können und sie kann vor Allem jederzeit widerrufen werden.
§ Angenommen, ein Verantwortlicher führt ausführliche Dokumentationen für Mitarbeiter, die sogar eingewilligt haben, es stellen sich folgende Fragen:
§ Ist so eine Einwilligung freiwillig? Das ist nach der gängigen Rechtsprechung zum Beschäftigungskontext wohl eher zu verneinen.
§ Selbst wenn eine Freiwilligkeit angenommen werden könnte, stellt sich die Frage, was bei einem Widerruf passieren soll. Muss der Verantwortliche dann alles löschen, was die widerrufende Person betrifft? Wie kann dann der offensichtliche Zweck dieser gesetzlichen Bestimmung erfüllt werden?
§ Schließlich bleibt spannen, wie die beiden genannten Rechtsgrundlagen miteinander korrelieren. Nach der Formulierung, braucht es irgendwie beides. Oder doch nicht? Soll eine die Datenverarbeitung auffangen, falls die andere doch nicht gilt?

Auch ein Blick in die Erläuterungen des Begutachtungsentwurfs hilft nicht weiter, vielmehr verstärken diese die beschriebene Unsicherheit und Komplexität noch, wenn es dort heißt:

“Zu Z 4 (§ 5 Abs. 6):
Hier soll eine ausdrückliche gesetzliche Grundlage dafür geschaffen werden, dass Betriebe, Veranstalter und Vereine verpflichtet sind, Kontaktdaten, in deren Verarbeitung ausdrücklich eingewilligt wurde, von Gästen, Besuchern, Kunden und Mitarbeitern zu verarbeiten und diese im Anlassfall bei einer Umgebungsuntersuchung der Gesundheitsbehörde zur Verfügung zu stellen. Datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der Kontaktdaten ist die ausdrückliche Einwilligung. In diesem Zusammenhang ist klarzustellen, dass Betriebe, Veranstalter und Vereine nicht den Eintritt oder die Dienstleistung verweigern dürfen, weil die Einwilligung in die Datenverarbeitung abgelehnt wird.”

Das Ziel des vorgeschlagenen Paragrafen sollte wohl sein, den Gesundheitsbehörden bei einem notwendigen Contact Tracing die erforderlichen Daten schnell zur Verfügung stellen zu können. Im Hinblick auf die Beschäftigungssachverhalte müssten jedoch zumindest das Arbeitsverfassungsrecht und auch das Arbeitsschutzrecht relevant sein. Eventuell ließe sich in Verbindung mit diesen Rechtsnormen tatsächlich eine gesetzliche Verpflichtung für Arbeitgeber ableiten. In jeden Fall müssten die von der DSGVO geforderten Datensicherheitsmaßnahmen inklusive Zugriffsrechte und auch die Rolle eines Betriebsrates geklärt sein.

Diese Fragen machen deutlich, dass diese Bestimmung keineswegs ausgereift und den von der DSGVO genannten Voraussetzungen einer gesetzlichen Bestimmung, die die Privatsphäre durch Verarbeitung von personenbezogenen Daten betrifft, erfüllt. Dies macht EG 41 der DSGVO deutlich, wenn er an solche gesetzlichen Grundlagen folgende Bedingungen stellt, Demnach müssen sie klar und präzise und ihre Anwendung für die Rechtsunterworfenen gemäß der Rechtsprechung des EUG und des EGMR vorhersehbar sein. Die oben genannte Bestimmung ist nicht klar, präzise ist sie auch nicht (ist jetzt rechtliche Verpflichtung oder Einwilligung die Rechtsgrundlage?) und wohl auch nicht vorhersehbar (wann gilt sie denn jetzt wirklich?).

Mit freundlichen Grüßen

Verein österreichischer betrieblicher und behördlicher
Datenschutzbeauftragter – Privacyofficers.at

Datenschutzbehörde zur Anwendbarkeit des DSG auf juristische Personen

Die Datenschutzbehörde hat in dieser rechtskräftigen Entscheidung ausführlich zur (bislang umstrittenen) Frage des Schutzes juristischer Personen nach dem DatenschutzG Stellung bezogen, DSB 25.5.2020, 2020-0.191.240
“… Die Beschwerdeführerin als juristische Person kann sich auf den Schutzumfang des § 1 DSG in seiner Gesamtheit berufen, weil einerseits die Kompetenz der Mitgliedstaaten, einen über die EU-GRC hinausreichenden Schutz zu gewährleisten, besteht und andererseits durch die Einbeziehung des Schutzes juristischer Personen in das Grundrecht auf Datenschutz nach § 1 DSG weder das Schutzniveau der EU-GRC, noch der Vorrang, die Einheit und die Wirksamkeit des Unionsrechts beeinträchtigt werden.

b)    Zur Frage, ob sich juristische Personen auf die einfachgesetzlichen Durchführungsbestimmungen des DSG berufen können

63.   Gemäß § 4 Abs. 1 DSG gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nach dem Willen des Gesetzgebers sind die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach § 24 DSG, daher auf den Schutz natürlicher Personen beschränkt.

64.   § 1 DSG schützt allerdings auch – wie oben dargelegt – juristische Personen. Eine Auslegung der einfachgesetzlichen Bestimmungen, insbesondere der §§ 4 und 24 DSG, dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln zu wollen als natürliche Personen (so im Ergebnis auch Lachmayer, aaO, Rz 82 ff; Dopplinger, aaO, Rz 7).

65.   Im Ergebnis ist daher festzuhalten, dass die Beschwerdeführerin als juristische Person aktiv legitimiert ist, eine Beschwerde nach § 24 DSG vor der Datenschutzbehörde zu erheben, sofern sie eine Verletzung der durch § 1 DSG gewährleisteten Rechte behauptet. … “

Erste Beschwerden nach Aufhebung von Privacy Shield

Noyb hat nach eigenen Angaben 101 Beschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedstaaten eingereicht, die Liste der Beschwerdegegner ist hier abrufbar.

Wir haben auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt. Diese Code-Schnipsel leiten Daten über jeden Besucher an Google oder Facebook weiter. Beide Unternehmen geben zu, dass sie die Daten aus der EU zur Verarbeitung in die USA übermitteln, wo sie gesetzlich verpflichtet sind, diese Daten US-Behörden wie der NSA zur Verfügung zu stellen. Weder Google Analytics noch Facebook Connect sind für den Betrieb dieser Webseiten notwendig und hätten daher inzwischen ersetzt oder zumindest deaktiviert werden können“, sagt Max Schrems, Ehrenvorsitzender von noyb.

Quelle: Noyb (https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht)

Noyb hat besonders für kleinere in der EU ansässige Unternehmen auf seiner Webseite kostenlose FAQs und Musterfragebogen bereitgestellt. 

Häufig gestellte Fragen zum EuGH Urteil in der Rechtssache C-311/18

Richtig überrascht war vermutlich niemand, der mit dem Themenbereich professionell befasst ist, als der EuGH vor kurzem die zentrale Rechtsgrundlage zum Transfer von Daten aus der EU in die USA kippte. Nachdem 2015 bereits die Safe-Harbor-Vereinbarung für ungültig erklärt wurde, traf es jetzt auch deren Nachfolger, den Privacy Shield.

Obwohl Datenschützer bereits seit vielen Jahren vor einem Vertrauen auf den Privacy Shield als Rechtsgrundlage für den Datentransfer in die USA warnten, ist nun kaum jemand auf die erheblichen Folgen des EuGH-Richterspruchs vorbereitet.

Die nächsten Wochen und Monate werden zeigen in welcher Form die nunmehr fehlende und bis dato wichtigste Rechtsgrundlage ersetzt werden kann. Neben ersten Kommentaren gibt es seit vorgestern eine erste formelle Stellungnahme des EuGH mit einigen FAQs. Diese können hier heruntergeladen werden.

Sommerzeit

Wir wünschen allen MitgliederInnen eine ruhige und entspannende Urlaubszeit. Der Vereinsvorstand wird Anfang August zu einer Klausur zusammenfinden und versuchen ein interessantes und abwechslungsreiches Programm mit Veranstaltungen für den Herbst zu erstellen.

Unsere MitgliederInnen werden wie gewohnt über unseren TEAMS Kanal oder hier auf der Veranstaltungsseite und per Newsletter über unsere Vereinsseminare ab September informiert werden.

Zwei Jahre DSGVO

Seit genau zwei Jahren bildet die DSGVO den gemeinsamen Datenschutzrahmen in der Europäischen Union. Prophezeiten manche angesichts der verschärften Regeln bereits den Untergang der europäischen Wirtschaft, ging anderen die Bestimmungen der DSGVO gar nicht weit genug. Ein guter Zeitpunkt, um Resümee zu ziehen, die praktischen Auswirkungen zu diskutieren und einige „Highlights“ hervorzuheben.

Genau dies wollen wir unter anderem mit unserem Verein und unseren Live-Events für unsere Mitglieder erreichen. Und über unsere Community auf MS Teams besteht dazu auch online jederzeit die Möglichkeit. Falls Sie sich als Vereinsmitglied bewerben wollen finden Sie hier alle nötigen Informationen.

Weitere Live-Events im Juni

Als Vereinsvorstand wollen wir die seit Anfang April verfügbare technische Infrastruktur MS Teams bestmöglich für unsere Vereinsmitglieder einsetzen. Wir freuen uns daher auch im Juni zwei weitere Vereinsseminare als Live-Events über MS Teams anbieten zu können:

Beide Events werden wie erwähnt wieder als MS Teams Live-Event abgehalten. Anmeldung über den Link bei der jeweiligen Veranstaltung. Wir empfehlen die Verwendung der MS Teams App, diese kann hier kostenlos heruntergeladen werden: https://www.microsoft.com/de-at/microsoft-365/microsoft-teams/download-app 

Allen unseren Vereinsmitgliedern steht MS Teams als Plattform zum Informationsaustausch zur Verfügung. Sollten Sie noch keine Einladung zur unserem “Vereins-Team” auf MS Teams erhalten haben können Sie uns jederzeit kontaktieren.

Live-Events bis Sommer

Diese Events werden als Teams Live-Event abgehalten. Anmeldung über den Link bei der jeweiligen Veranstaltung. Wir empfehlen die Verwendung der MS Teams App, diese kann hier kostenlos heruntergeladen werden: https://www.microsoft.com/de-at/microsoft-365/microsoft-teams/download-app 

Live-Events ab Ende April

Liebe Vereinsmitglieder, wir wollen gleich ein wenig anteasern und Euch darüber informieren, dass wir schon Ende des Monats unser erstes Live-Event auf Teams abhalten werden. Wir sind gerade dabei die entsprechende technische Infrastruktur vorzubereiten. Diese Infrastruktur wird uns auch bei künftigen Veranstaltungen, die dann wieder unter reger Teilnahme unserer Mitglieder abgehalten werden können, zur Verfügung stehen.

Mehr Infos kommende Woche per Newsletter!

Neuer zentrale Ort für unsere online Vereinsaktivitäten

Wir werden in den nächsten Tagen Microsoft TEAMS als Chat-basierte Arbeitsplattform für alle Vereinsmitglieder freischalten. Der große Vorteil liegt darin, dass neben der zweifelsohne sehr komfortablen Chatfunktion auch eine durch Policies und entsprechende Zugriffsberechtigungen abgesicherte Austauschplattform für Dokumente bzw. Vereinsunterlagen zur Verfügung steht.

Microsoft TEAMS

Jedes Vereinsmitglied wird in den nächsten Tagen eine Einladung per Mail erhalten um als Gast zu Microsoft TEAMS beizutreten. Gäste müssen über ein Geschäfts-, Schul- oder Unikonto für Office 365 verfügen. Falls ein eingeladener Gast noch kein Microsoft-Konto hat, das seiner E-Mail-Adresse zugeordnet ist, wird er weitergeleitet, um ein kostenloses Microsoft-Konto zu erstellen. Euch entstehen dadurch auch keine Folgekosten. Bitte führt die Schritte zur Einrichtung so wie definiert einfach durch, das sollte im Regelfall problemlos klappen.

Sobald Ihr Euch registriert habt erhaltet Ihr Zugrif auf folgende Ressourcen:

  • Nutzung der Chat-basierten Plattform TEAMS
  • Zugriff auf die damit verbundene SharePoint Dateiablage mit den Vereinsdokumenten (auf diese Daten könnt Ihr übrigens auch direkt in TEAM zugeifen)

Ihr könnt TEAMS und die damit verbundene Dateiablage entweder im Browser oder über entsprechende Apps nützen, hier findet Ihr die Links zum Download der TEAMS Apps für die gängigsten Betriebssysteme.

Aufzeichnung des Vereinsseminars vom 11. März

Liebe Vereinsmitglieder, das aufgezeichnete Video zu unserer Veranstaltung vom 11. März steht alle MitgliederInnen über einen Link auf unsere MeWe Gruppe ab sofort zur Verfügung.

Coronavirus – Vereinsseminare abgesagt

Liebe Vereinsmitglieder,

aus aktuellem Anlaß müssen wir Euch leider darüber informieren, dass alle Vereinsseminare bis auf weiteres abgesagt sind. Konkret betrifft dies

  • das 3. Regionalgruppentreffen NORD am 16. März 2020
  • das 7. Regionalgruppentreffen WEST am 23. März 2020
  • das Vereinsseminar am 17. April 2020

Aktuelle Infos erhaltet Ihr darüber hinaus gegebenenfalls hier auf unserer Homepage. Die Aufzeichnung des Vereinsseminars “Code of Conduct” vom 11. März 2020 werden wir in Kürze für alle Mitglieder als Videostream bereitstellen.

Der Vereinsvorstand

Wir sind die größte österreichische Community von Datenschutzbeauftragten für Datenschutzbeauftragte. Wir fördern und vertreten die Interessen der betrieblichen und behördlichen Datenschutzbeauftragten Österreichs.

Unsere Ansprechpartner und fördernden Mitglieder

Die konstruktive Zusammenarbeit mit der österreichischen Datenschutzbehörde aber auch die Unterstützung durch unsere fördernden Mitglieder erleichtern es unsere Aufgaben zur Umsetzung der Vereinsziele zu erreichen.

Kontaktieren Sie uns

Haben Sie Fragen? Kontaktieren Sie uns per E-Mail oder postalisch.


Bitte beweise, dass du kein Spambot bist und wähle das Symbol Fahne aus.

Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at

1010 Wien, Fischerstiege 9/2a

Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at | Innovation Theme by: D5 Creation | Powered by: WordPress