Mitglied werden

Wir würden uns freuen, wenn Sie Mitglied unseres Vereins werden. Nähere Informationen zu uns finden Sie hier auf unserer Website.

Ausbildung von Datenschutzbeauftragten in der Schweiz

Seit 2018 werden auf der Hochschule Luzern angehende Datenschutzbeauftragte fundiert in dessen verschiedensten Anforderungsprofilen ausgebildet.

Im fünfmonatigen Kurs CAS Data Privacy Officer erhalten die Kursteilnehmer umfassendes Know-how und praktische Erfahrungen in den Themengebieten:

  • Recht
  • DSMS
  • Technik
  • Rolle DPO & Governance
  • Outsourcing & Contracting

Im Modul DSMS gaben neben dem Präsidenten der Data Privacy Community Jérôme Egli auch das Privacyofficers.at Vorstandsmitglied Michael Punz ihr Wissen und ihre Erfahrungswerte an die Kursteilnehmer weiter.

Auch die von Privacyofficers.at erstellte Checkliste zur Umsetzung der DSGVO sowie das Durchführungsbeispiel einer Datenschutz-Folgenabschätzung am Beispiel Videoüberwachung waren fixer Bestandteil des Kurses. Dadurch wurden die Themen „Aufbau eines DSMS“ und „Durchführung einer DSFA“ für die Kursteilnehmer „greifbar“ und erhielten die notwendige Praxisrelevanz.

In diesem Jahr fand das DSMS-Modul mit mehr als 20 Teilnehmern ebenfalls statt, allerdings Corona-bedingt online über Zoom. Diese neue Situation hat auch erfordert, auf die Nutzung der neuen Medien einzugehen und diese entsprechend auch sinnvoll einzusetzen. Deshalb kamen neben der klassischen Vermittlung der fachlichen Inhalte auch Brake Out Sessions für virtuelle Diskussionen im kleineren Rahmen und Live-Umfragen mittels Mentimeter zum Einsatz.

Vor allem in Zeiten wie diesen, in denen der Einsatz von IT im Alltag derart stark ansteigt, gewinnt Datenschutz immer mehr an Bedeutung. Aus diesem Grund ist die fundierte Ausbildung von Datenschutzbeauftragten ein wertvoller Beitrag für nachhaltigen und gelebten Datenschutz. Durch die länderübergreifende Zusammenarbeit findet hierzu auch ein wichtiger Erfahrungs- und Know-how-Transfer statt.

Zudem wurde in der Schweiz am 25. September 2020 das neue Datenschutzgesetz verabschiedet, welches voraussichtlich 2022 in Kraft tritt. Weitere Informationen hierzu gibt es im Webinar der Data Privacy Community am 15. Dezember 2020.

ISPA. Datenschutzbehörde genehmigt Code of Conduct (CoC)

Unsere befreundete Organisation, die ISPA Internet Service Providers Austria hat den ersten – in Österreich vollständig von der Datenschutzbehörde genehmigten –  Code of Conduct gemäß Artikel 40ff DSGVO erstellt.

Der Code of Conduct für ISPs (ISP=Telekommunikationsanbieter gemäß TKG) gehört zu den ersten genehmigten CoCs in Europa. Der CoC wurde auf Initiative von Natalie Ségur-Cabanac, die sowohl Vorständin von privacyofficers.at wie auch Vorständin der ISPA ist, erstellt.

Auch unsere Vorsitzende, Judith Leschanz hat dabei eine wichtige Rolle. Als Mitglied der Überwachungsstelle (Aufsichtsbeirat) war sie in der Arbeitsgruppe Datenschutz der ISPA aktiv dabei.

Hauptziel des COC für ISPs ist die Klärung der datenschutzrechtlichen Rollen der Telekommunikationsanbieter (ISP) und Endkunden (Betroffene) sowie zwischen ISPs untereinander. Demnach agiert ein ISP bei Erbringung von Telekommunikationsleistungen gemäß TKG gegenüber seinen Endkunden als datenschutzrechtlicher Verantwortlicher und nicht als datenschutzrechtlicher Auftragsverarbeiter.

ISPs arbeiten als Verantwortliche zusammen, wenn es um die erforderlichen Vorleistungsbeziehungen geht, die notwendig sind, um Endkunden Services über Netz-, und Dienstegrenzen hinweg zu erbringen. Dazu gehören z.B. Roaming oder einfache Zusammenschaltung von Netzen.

Im CoC finden sich auch Regelungen zu den Betroffenenrechten. So wurden insbesondere Lösungen für die Datenmitnahme (Data Portability) inklusive Einigung über Formate gefunden. Auch eine langjährige Judikatur der Datenschutzbehörde (bzw. der Datenschutzkommission) zur Beauskunftung von Verkehrsdaten wurde festgehalten.

Die ISPA hat sich für eine interne Stelle als Überwachungsstelle entschieden. So wurde, der von der Datenschutzbehörde akkreditierte Aufsichtsbeirat eingerichtet, der in der Zusammensetzung ein breites Spektrum an Kompetenzen und Aufgabengebieten der nominierten Personen sicherstellt.

VWGH Entscheidung zu Verfahren gegen juristische Personen

VWGH Entscheidung zu Verfahren gegen juristische Personen

Der VwGH hat in einer Entscheidung (GZ RO 2019/04/0229) zur Strafbarkeit der juristischen Person festgelegt, dass er die Bestimmung des § 99d BWG und seine Judikatur dazu auch auf das DSG umlegt.

Was bedeutet das in der Praxis für die Datenschutzbehörde?

  1. Die Datenschutzbehörde muss in einem Verfahren/Beschwerdefall bereits in der Aufforderung zur Rechtfertigung an das Unternehmen, jene Personen klar bezeichnen, denen das vorgeworfene Verhalten zuzurechnen ist.
  2. Die Datenschutzbehörde muss die vertretungsbefugten Personen namentlich anführen, der das Verhalten zugeordnet wird.
  3. Die Datenschutzbehörde muss zusätzlich jeder einzelnen, vertretungsbefugten Person eine Aufforderung zur Rechtfertigung schicken, da diese als Beschuldigte in einem Verwaltungsstrafverfahren geführt wird.
  4. Jede dieser Personen muss selbst eine Stellungnahme abgeben.
  5. Jedes vertretungsbefugte Organ haftet für die anderen mit.

Ausweg für Verantwortliche

  • Unternehmen sollten einen Verantwortlichen gemäß § 9 VstG benennen und an die Datenschutzbehörde melden.
  • Dieser muss über tatsächliche Durchgriffsrechte verfügen.
  • In einem Verfahren kann die Datenschutzbehörde den § 9 VstG Verantwortlichen neben dem Unternehmen adressieren.
  • In weiterer Folge muss das Unternehmen und der §9 VstG Verantwortliche, eine Stellungnahme an die Datenschutzbehörde erstatten.
  • Die Datenschutzbehörde ist anschließend in der Lage, das Verfahren nur noch gegen das Unternehmen weiter zu führen und das Verfahren gegen den § 9 VstG Verantwortlichen einzustellen.

So entsteht indirekt eine Verpflichtung bzw. zumindest eine starke Empfehlung zur Meldung des § 9 VstG Verantwortlichen für Datenschutz.

Jährliche Datenschutzkonferenz in Belgien

Die jährliche Konferenz der DSGVO-Fachleute in Belgien richtet sich an alle Datenschutzbeauftragte, Informationssicherheitsexperten, Chief Digital Officers und CIOs sowie Juristen, einschließlich Compliance-Officers und Prozessverantwortliche.

Jährliche Datenschutzkonferenz in Belgien

Die Anmeldung zur kostenlosen Teilnahme an beiden Konferenztagen (online) ist direkt auf der Homepage der Veranstaltung möglich.

Infos über Veranstaltungen von Privacyofficers

Infos des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter über aktuelle Veranstaltungen des finden Sie hier: https://www.privacyofficers.at/events/

Bundeskanzleramt veröffentlicht Bericht zur Cybersicherheit in Österreich

Die Österreichische Strategie für Cyber Sicherheit beruht auf den Prinzipien Rechtstaatlichkeit, Subsidiarität, Selbstregulierung und Verhältnismäßigkeit.

  • ein offenes und freies Internet
  • der Schutz personenbezogener Daten
  • die Unversehrtheit von miteinander verbundenen Netzwerken

sind dabei die Grundlage für globalen Wohlstand, Sicherheit und die Förderung der Menschenrechte.

Die Strategie wurde von den Verbindungspersonen zum Nationalen Sicherheitsrat und Cyber-Fachleuten unter Federführung des Bundeskanzleramtes erarbeitet. Diese bilden gemeinsam die “Cyber Sicherheit Steuerungsgruppe”. Sie koordiniert und begleitet die Umsetzung der Strategie. Außerdem erstellt die “Cyber Sicherheit Steuerungsgruppe” den jährlichen Bericht “Cyber Sicherheit in Österreich” und berät die Bundesregierung in Angelegenheiten der Cyber-Sicherheit.

Die Österreichische Strategie für Cybersicherheit (ÖSCS) legt fest, dass durch die Cyber Sicherheit Steuerungsgruppe (CSS) ein jährlicher Bericht zur Cybersicherheit in Österreich erstellt wird. Der letzte Bericht wurde im Mai 2019 vorgelegt.

Bericht zur Cybersicherheit 2020

Das Bundeskanzleramt veröffentlicht Bericht zur Cybersicherheit. Der aktuelle Bericht Cybersicherheit 2020 baut auf den Inhalten des letztjährigen Berichtes auf und ergänzt diesen um aktuelle Entwicklungen mit Schwerpunkte in den Bereichen internationale und operationelle Entwicklungen. Beobachtungszeitraum ist das Jahr 2019, einzelne aktuelle Entwicklungen im Jahr 2020 haben Eingang gefunden.

Zielsetzung des Berichtes ist eine zusammenfassende Darstellung der Cyberbedrohungen und wesentlicher nationaler und internationaler Entwicklungen. Grundlage dazu sind ressortspezifische Berichte zur Thematik.

Der Bericht kann direkt von der Homepage des Bundeskanzleramts heruntergeladen werden. Dort steht ebenfalls eine englische Version zum download zur Verfügung.

Aktuelle Datenschutz Entscheidungen aus Deutschland

Die Österreichische Datenschutzbehörde (DSB) hat uns einige Entscheidungen aus der deutschen Rechtsprechung zu den Themen:

  • Datenschutzbeauftragte und Kündigungsschutz
  • Klage wegen Weitergabe von sensiblen persönlichen Daten durch eine Privatbank
  • Schadenersatzklage gegen ein Kreditkarteninstitut aufgrund von Verstößen gegen die DSGVO
  • Klage wegen Weitergabe von Gesundheitsdaten an Behörden

zugesandt.

Hessisches Landesarbeitsgericht 6. Berufungskammer
Zum Kündigungsschutz eines Datenschutzbeauftragten
Hier insbesondere Feststellung der Zahl der regelmäßig mit automatisierter Datenverarbeitung Beschäftigte im Hinblick auf den nachwirkenden Kündigungsschutz nach § 4 f Abs. 3 S. 6 BDSG aF
.

LG Darmstadt 13. Zivilkammer
Die Parteien streiten um Unterlassungsansprüche und Schadensersatzansprüche aufgrund der Weitergabe von persönlichen Daten an einen Dritten. Die Beklagte ist eine Privatbank. 

Trend zu Klagen auf immateriellen Schadensersatz wegen DSGVO-Verstößen?
Kürzlich hat mit dem LG Darmstadt erstmals ein deutsches ordentliches Zivilgericht ein Unternehmen dazu verurteilt, immateriellen Schadensersatz nach Art. 82 DSGVO zu zahlen.

Klage gegen Mastercard Europe SA
Der Kläger macht Unterlassungs-, Schadensersatz und Auskunftsansprüche gegen die Beklagte aufgrund von Verstößen gegen die DSGVO geltend.

Unternehmen hatte nach der Wertung des ArbG Dresden ohne Rechtsgrundlage Gesundheitsdaten des Klägers an Behörden weitergegeben
Das Arbeitsgericht (ArbG) Dresden hat in einer aktuellen Entscheidung einem Kläger einen nicht unerheblichen immateriellen Schadensersatz zugesprochen (Urteil vom 26.08.2020 – 13 Ca 1046/20 BeckRS 2020, 26940).

Europäische Kommission veröffentlicht Standarddatenschutzklausel-Entwurf (draft-SCC)

Europäische Kommission veröffentlicht Standarddatenschutzklausel-Entwurf

Die Europäische Kommission hat am 12. November 2020 einen Entwurf von standard contractual clauses (Standardvertragsklauseln oder “SCC” oder “Standarddatenschutzklauseln”) veröffentlicht.

Diese enthalten unter anderem zusätzliche Garantien iSd Schrems II-Urteils enthalten sollen. Eine Stellungnahme ist in den nächsten 4 Wochen möglich:

Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries

Schrems II: Neuigkeiten vom EDSA zu Datentransfers

Der Europäische Datenschutzausschuss (EDSA) hat gestern, 12.11.2020, im Nachgang zum sogenannten “Schrems II“-Urteil vom 16. Juli 2020, C-311/18 (mehr dazu z.B. hier), zwei Empfehlungsentwürfe veröffentlicht. Diese betreffen zusätzliche Garantien bei internationalen Datentransfers (bislang nur in englischer Sprache verfügbar):

Schrems II: Neuigkeiten vom EDSA zu Datentransfers

PriSec Datenschutzkonferenz – Privacyofficers.at war dabei

Privacyofficers.at auf der PriSec 2020
Privacyofficers.at auf der PriSec 2020

Auch in diesem Jahr waren Vorstandsmitglieder von Privacyofficers.at auf der PriSec Datenschutzkonferenz Konferenz als Vortragende eingeladen.

Vorstandsmitglieder als Vortragende

Michael Mrak stellte das unternehmensinterne Umsetzungskonzept zur Sicherstellung der datenschutzrechtlichen Löschanforderungen bei dem ERP System SAP SAP R/3 vor. Besondere Schwerpunkte des Vortrags bildeten die spezifischen Anforderungen im Bereich HR (HCM Modul).

Natalie Ségur-Cabanac diskutierte in einer hochkarätigen Runde über die sensiblen Themen:
– Verantwortung für datenschutzrechtliche Verstöße und
– Haftung auf Vorstandsebene

Unter den Teilnehmern fanden sich auch zahlreiche Mitglieder von Privacyofficers.at. Das persönliche Networking kam aufgrund der online Austragung etwas zu kurz aber wir sind zuversichtlich, dass dies bei der nächsten Austragung 2021 wieder der Fall sein wird. Auch die eigenen, Vereinsveranstaltung von Pivacyofficers.at sollten uns bis dahin wieder die Chance zum Netzwerken bieten.

Zur PriSec Datenschutzkonferenz: Die PriSec vereint die Themen Informationssicherheit und Datenschutz im Unternehmen: Dieses wachsende Spannungsfeld erfordert zukünftig eine noch intensivere Zusammenarbeit der Bereiche Datenschutz, Compliance und IT.

Aktive Datenschutzcommunity

Zu Privacyofficers.at: Wir sind die größte österreichische Community für Datenschutzbeauftragte, die Praktiker beim fachlichen Austausch unterstützt. Gegründet wurde der Verein 2016 von Renate Riedl und Markus Kastelitz, die eine Vernetzung von internen und externen Datenschutzbeauftragten auf eine feste institutionelle Basis stellen wollten.

Der Verein Privacyofficers.at verfolgt daher insbesondere die Schaffung eines Forums für Datenschutz-Fachleute, um

  • Erfahrungen auszutauschen
  • Trends zu verfolgen
  • Fragen des Datenschutzmanagements voranzutreiben und
  • Aufklärung sowie Vernetzung im Bereich des Datenschutzrechts

    anzubieten. Privacyofficers.at veranstaltet zu Erreichung dieser Ziele u.a. Seminare, die als Foren für die Diskussion und Debatte über Fragen des Datenschutzes und damit zusammenhängender Themenbereiche dienen. Dabei steht das Motto “von Datenschutzbeauftragten für Datenschutzbeauftragte” im Vordergrund.

Der Mitgliedsbeitrag beträgt derzeit pro Kalenderjahr 50 Euro für ordentliche Mitglieder und 500 Euro für fördernde Mitglieder, unsere Statuten sind hier verlinkt.

Geplante Berichtigung der Datenschutz-Grundverordnung (DSGVO)

Die geplante Berichtigung (Korrektur) Datenschutz-Grundverordnung (DSGVO) ist ab sofort auf der Homepage des Rats der Europäischen Union zu finden. Nach einer ersten Kurzanalyse sollen in der deutschen Fassung lediglich kleinere sprachliche Änderungen vorgenommen werden.

Privacyofficers.at wird die Überarbeitung der Datenschutz-Grundverordnung weiter beobachten und über relevante Änderungen informieren.

Markus Kastelitz at GDPR2020 Conference (Prague)

Markus Kastelitz, co-founder and member of the board of Privacyofficers.at has been invited to talk at the GDPR2020 Conference on 6 October 2020. It is organized by the Czech Association for the Protection of Personal Data (Spolek pro ochranu osobních údajů is the largest association of professionals involved in the processing and protection of personal data in business, local government and public administration in the Czech Republic. It is also a professional organization of Data protection officers in the Czech Republic).

Markus will give a talk on data protection-related issues of the Austrian legal regulations and recommendations regarding COVID-19, inter alia covering one of the first contact tracing apps in Europe (“Stopp Corona-App”). For more, see here (in Czech).

Privacyofficers.at ist Mitglied des EFDPO Verbands

Privacyofficers.at ist Mitglied der European Federation of Data Protection Officers. Die EFDPO ist ein europäisches Netzwerk nationaler Verbände von Datenschutzbeauftragten und Beauftragten für den Schutz der Privatsphäre. Die Organisation sieht es als ihre Aufgabe, eine europäische Interessenvertretung für behördliche Datenschutzbeauftragte als Partner von Institutionen wie der Europäischen Kommission, dem Europäischen Parlament, dem Rat der Europäischen Union, dem Europäischen Datenschutzrat und nationalen Datenschutzbehörden einzurichten. Damit will die EFDPO den Datenschutz als Wettbewerbs- und Standortvorteil für Europa stärken.

Privacyofficers.at gibt Stellungnahme zur geplanten Novelle des EpidemieG 1950 ab

Nachfolgende Stellungnahme wurde an das Bundesministerium für Soziales, Gesundheit, Pflege und Konsumentenschutz übermittelt.

Sehr geehrte Damen und Herren,

wir vertreten den Verein Privacyofficers.at, Österreichs größtem Dachverband von Datenschutzbeauftragten und Datenschutzexperten (www.privacyofficers.at).

Die geplante Novelle des Epidemiegesetzes beinhaltet in § 5 Abs 6 eine datenschutzrechtliche Regelung, die nicht nur Betroffene selbst betrifft, sondern auch unsere Mitglieder, die eine solche Regelung in den Organisationen, in denen sie tätig sind, umsetzen und begleiten müssten.

Bei der Lektüre des vorgeschlagenen § 5 Abs 6 Epidemiegesetzes stellen sich einige, nicht lösbare Fragen, die wir Ihnen gerne übermitteln, mit der Bitte, den Text einer tiefergehenden datenschutzrechtlichen Überprüfung zu unterziehen und entsprechend anzupassen.

Unter anderem soll laut Begutachtungsentwurf ein neuer §5 Abs 6 Epidemiegesetz eingeführt werden, der lautet:

(6) Betriebe, Veranstalter und Vereine sind – unbeschadet nach anderen Rechtsgrundlagen bestehenden Erhebungs- und Aufbewahrungspflichten – verpflichtet, personenbezogene Kontaktdaten von Gästen, Besuchern, Kunden und Mitarbeitern, in deren Verarbeitung ausdrücklich eingewilligt wurde, zum Zweck der Mitwirkungspflicht im Rahmen der Erhebung von Kontaktpersonen bei Umgebungsuntersuchungen für die Dauer von 28 Tagen aufzubewahren. Eine Verarbeitung der Daten zu anderen Zwecken ist nicht zulässig. Nach Ablauf der Aufbewahrungsfrist sind die Daten unverzüglich zu löschen. Betriebe, Veranstalter und Vereine haben geeignete Datensicherheitsmaßnahmen zu ergreifen.

Als Datenschutzbeauftragte (r) eines Unternehmens ist man nun ratlos, wie man diese Bestimmung datenschutzrechtlich einordnen bzw. DSGVO konform auslegen und umsetzen soll.

Jede Datenverarbeitung benötigt eine rechtliche Grundlage, dafür gibt Artikel 6 DSGVO eine taxative Liste von möglichen Rechtsgrundlagen vor. Es handelt sich um die oben genannte Bestimmung um eine gesetzliche Regelung, so könnte Artikel 6 Abs 1 lit c DSGVO („die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt“) relevant sein.

Folgende Fragen tun sich dabei jedoch auf:

§ Abgesehen davon, dass die Vermengung mit der Einwilligung (dazu gleich) schon irreführen ist, stellt sich schon die Frage, welcher Verantwortliche fällt denn unter welchen Bedingungen darunter?
§ Ad Betriebe: Gilt das in jedem Fall, wenn es um ihre Beziehung zu Mitarbeitern geht? Betrifft das den normalen Arbeitsalltag oder nur besondere Anlässe wie Veranstaltungen, größere Treffen, wo eine Nachvollziehbarkeit von Kontakten schwierig ist? Ist das eine gesetzliche Aufforderung lückenlos die Anwesenheiten, Bewegungsprofile, Treffen, Kontaktpersonen von Mitarbeitern zu erfassen und zu dokumentieren? Gilt das nur für den Betriebsstandort oder auch für die Freizeit? Gilt das für Mitarbeiter, die im Homeoffice sind?
§ Ad Vereine: Gilt das für Vereinsbezogene Treffen? Gilt das für alle Vereinsmitglieder, auch wenn sie nicht in persönlichen Kontakt treten?
§ Kommt diese Bestimmung im Begutachtungsentwurf doch nur zur Anwendung, wenn es um Veranstaltungen und dergleichen geht? Darauf könnte die Mitaufnahme von „Veranstaltern“ hindeuten.
§ Interessanterweise macht die Formulierung im vorgeschlagenen § 5 Abs 6 eine Art Einschränkung, indem sie auf eine Einwilligung der Betroffenen verweist bzw. andeutet, dass die Verpflichtung nur dann gilt, wenn eine Einwilligung vorliegt. Damit wäre als Rechtsgrundlage auch Artikel 6 Abs 1 lit a ins Spiel gebracht. Eine Einwilligung muss freiwillig gegeben werden können und sie kann vor Allem jederzeit widerrufen werden.
§ Angenommen, ein Verantwortlicher führt ausführliche Dokumentationen für Mitarbeiter, die sogar eingewilligt haben, es stellen sich folgende Fragen:
§ Ist so eine Einwilligung freiwillig? Das ist nach der gängigen Rechtsprechung zum Beschäftigungskontext wohl eher zu verneinen.
§ Selbst wenn eine Freiwilligkeit angenommen werden könnte, stellt sich die Frage, was bei einem Widerruf passieren soll. Muss der Verantwortliche dann alles löschen, was die widerrufende Person betrifft? Wie kann dann der offensichtliche Zweck dieser gesetzlichen Bestimmung erfüllt werden?
§ Schließlich bleibt spannen, wie die beiden genannten Rechtsgrundlagen miteinander korrelieren. Nach der Formulierung, braucht es irgendwie beides. Oder doch nicht? Soll eine die Datenverarbeitung auffangen, falls die andere doch nicht gilt?

Auch ein Blick in die Erläuterungen des Begutachtungsentwurfs hilft nicht weiter, vielmehr verstärken diese die beschriebene Unsicherheit und Komplexität noch, wenn es dort heißt:

“Zu Z 4 (§ 5 Abs. 6):
Hier soll eine ausdrückliche gesetzliche Grundlage dafür geschaffen werden, dass Betriebe, Veranstalter und Vereine verpflichtet sind, Kontaktdaten, in deren Verarbeitung ausdrücklich eingewilligt wurde, von Gästen, Besuchern, Kunden und Mitarbeitern zu verarbeiten und diese im Anlassfall bei einer Umgebungsuntersuchung der Gesundheitsbehörde zur Verfügung zu stellen. Datenschutzrechtliche Rechtsgrundlage für die Verarbeitung der Kontaktdaten ist die ausdrückliche Einwilligung. In diesem Zusammenhang ist klarzustellen, dass Betriebe, Veranstalter und Vereine nicht den Eintritt oder die Dienstleistung verweigern dürfen, weil die Einwilligung in die Datenverarbeitung abgelehnt wird.”

Das Ziel des vorgeschlagenen Paragrafen sollte wohl sein, den Gesundheitsbehörden bei einem notwendigen Contact Tracing die erforderlichen Daten schnell zur Verfügung stellen zu können. Im Hinblick auf die Beschäftigungssachverhalte müssten jedoch zumindest das Arbeitsverfassungsrecht und auch das Arbeitsschutzrecht relevant sein. Eventuell ließe sich in Verbindung mit diesen Rechtsnormen tatsächlich eine gesetzliche Verpflichtung für Arbeitgeber ableiten. In jeden Fall müssten die von der DSGVO geforderten Datensicherheitsmaßnahmen inklusive Zugriffsrechte und auch die Rolle eines Betriebsrates geklärt sein.

Diese Fragen machen deutlich, dass diese Bestimmung keineswegs ausgereift und den von der DSGVO genannten Voraussetzungen einer gesetzlichen Bestimmung, die die Privatsphäre durch Verarbeitung von personenbezogenen Daten betrifft, erfüllt. Dies macht EG 41 der DSGVO deutlich, wenn er an solche gesetzlichen Grundlagen folgende Bedingungen stellt, Demnach müssen sie klar und präzise und ihre Anwendung für die Rechtsunterworfenen gemäß der Rechtsprechung des EUG und des EGMR vorhersehbar sein. Die oben genannte Bestimmung ist nicht klar, präzise ist sie auch nicht (ist jetzt rechtliche Verpflichtung oder Einwilligung die Rechtsgrundlage?) und wohl auch nicht vorhersehbar (wann gilt sie denn jetzt wirklich?).

Mit freundlichen Grüßen

Verein österreichischer betrieblicher und behördlicher
Datenschutzbeauftragter – Privacyofficers.at

Datenschutzbehörde zur Anwendbarkeit des DSG auf juristische Personen

Die Datenschutzbehörde hat in dieser rechtskräftigen Entscheidung ausführlich zur (bislang umstrittenen) Frage des Schutzes juristischer Personen nach dem DatenschutzG Stellung bezogen, DSB 25.5.2020, 2020-0.191.240
“… Die Beschwerdeführerin als juristische Person kann sich auf den Schutzumfang des § 1 DSG in seiner Gesamtheit berufen, weil einerseits die Kompetenz der Mitgliedstaaten, einen über die EU-GRC hinausreichenden Schutz zu gewährleisten, besteht und andererseits durch die Einbeziehung des Schutzes juristischer Personen in das Grundrecht auf Datenschutz nach § 1 DSG weder das Schutzniveau der EU-GRC, noch der Vorrang, die Einheit und die Wirksamkeit des Unionsrechts beeinträchtigt werden.

b)    Zur Frage, ob sich juristische Personen auf die einfachgesetzlichen Durchführungsbestimmungen des DSG berufen können

63.   Gemäß § 4 Abs. 1 DSG gelten die Bestimmungen der DSGVO und des DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nach dem Willen des Gesetzgebers sind die einfachgesetzlichen Bestimmungen des DSG, darunter auch die Beschwerde nach § 24 DSG, daher auf den Schutz natürlicher Personen beschränkt.

64.   § 1 DSG schützt allerdings auch – wie oben dargelegt – juristische Personen. Eine Auslegung der einfachgesetzlichen Bestimmungen, insbesondere der §§ 4 und 24 DSG, dahingehend, nur natürlichen Personen die Möglichkeit einer Beschwerdeerhebung vor der Datenschutzbehörde einzuräumen, juristischen hingegen nicht, würde diesen Bestimmungen vor dem Hintergrund des § 1 DSG einen gleichheits- und damit verfassungswidrigen Inhalt unterstellen. Es kann dem Gesetzgeber nämlich nicht unterstellt werden, ohne nachvollziehbaren Grund juristische Personen im Rahmen der Verfolgung ihrer verfassungsgesetzlich gewährleisteten Rechte grob nachteilig anders behandeln zu wollen als natürliche Personen (so im Ergebnis auch Lachmayer, aaO, Rz 82 ff; Dopplinger, aaO, Rz 7).65.   Im Ergebnis ist daher festzuhalten, dass die Beschwerdeführerin als juristische Person aktiv legitimiert ist, eine Beschwerde nach § 24 DSG vor der Datenschutzbehörde zu erheben, sofern sie eine Verletzung der durch § 1 DSG gewährleisteten Rechte behauptet. … “

Interner Link: Thema

Erste Beschwerden nach Aufhebung von Privacy Shield

Noyb hat nach eigenen Angaben 101 Beschwerden gegen Unternehmen in 30 EU- und EWR-Mitgliedstaaten eingereicht, die Liste der Beschwerdegegner ist hier abrufbar.

Wir haben auf den wichtigsten Webseiten in jedem EU-Mitgliedsstaat eine schnelle Suche nach Code von Facebook und Google durchgeführt. Diese Code-Schnipsel leiten Daten über jeden Besucher an Google oder Facebook weiter. Beide Unternehmen geben zu, dass sie die Daten aus der EU zur Verarbeitung in die USA übermitteln, wo sie gesetzlich verpflichtet sind, diese Daten US-Behörden wie der NSA zur Verfügung zu stellen. Weder Google Analytics noch Facebook Connect sind für den Betrieb dieser Webseiten notwendig und hätten daher inzwischen ersetzt oder zumindest deaktiviert werden können“, sagt Max Schrems, Ehrenvorsitzender von noyb.

Quelle: Noyb (https://noyb.eu/de/101-beschwerden-zu-eu-us-transfers-eingereicht)

Noyb hat besonders für kleinere in der EU ansässige Unternehmen auf seiner Webseite kostenlose FAQs und Musterfragebogen bereitgestellt. 

Wir sind die größte österreichische Community von Datenschutzbeauftragten für Datenschutzbeauftragte. Wir fördern und vertreten die Interessen der betrieblichen und behördlichen Datenschutzbeauftragten Österreichs.

Unsere Ansprechpartner und fördernden Mitglieder

Die konstruktive Zusammenarbeit mit der österreichischen Datenschutzbehörde aber auch die Unterstützung durch unsere fördernden Mitglieder erleichtern es unsere Aufgaben zur Umsetzung der Vereinsziele zu erreichen.

Kontaktieren Sie uns

Haben Sie Fragen? Kontaktieren Sie uns per E-Mail oder postalisch.


    Bitte beweise, dass du kein Spambot bist und wähle das Symbol LKW aus.

    Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at

    1010 Wien, Fischerstiege 9/2a

    Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at | Innovation Theme by: D5 Creation | Powered by: WordPress