Autor: Anna Zambelli

 

ISPA. Datenschutzbehörde genehmigt Code of Conduct (CoC)

Unsere befreundete Organisation, die ISPA Internet Service Providers Austria hat den ersten – in Österreich vollständig von der Datenschutzbehörde genehmigten –  Code of Conduct gemäß Artikel 40ff DSGVO erstellt.

Der Code of Conduct für ISPs (ISP=Telekommunikationsanbieter gemäß TKG) gehört zu den ersten genehmigten CoCs in Europa. Der CoC wurde auf Initiative von Natalie Ségur-Cabanac, die sowohl Vorständin von privacyofficers.at wie auch Vorständin der ISPA ist, erstellt.

Auch unsere Vorsitzende, Judith Leschanz hat dabei eine wichtige Rolle. Als Mitglied der Überwachungsstelle (Aufsichtsbeirat) war sie in der Arbeitsgruppe Datenschutz der ISPA aktiv dabei.

Hauptziel des COC für ISPs ist die Klärung der datenschutzrechtlichen Rollen der Telekommunikationsanbieter (ISP) und Endkunden (Betroffene) sowie zwischen ISPs untereinander. Demnach agiert ein ISP bei Erbringung von Telekommunikationsleistungen gemäß TKG gegenüber seinen Endkunden als datenschutzrechtlicher Verantwortlicher und nicht als datenschutzrechtlicher Auftragsverarbeiter.

ISPs arbeiten als Verantwortliche zusammen, wenn es um die erforderlichen Vorleistungsbeziehungen geht, die notwendig sind, um Endkunden Services über Netz-, und Dienstegrenzen hinweg zu erbringen. Dazu gehören z.B. Roaming oder einfache Zusammenschaltung von Netzen.

Im CoC finden sich auch Regelungen zu den Betroffenenrechten. So wurden insbesondere Lösungen für die Datenmitnahme (Data Portability) inklusive Einigung über Formate gefunden. Auch eine langjährige Judikatur der Datenschutzbehörde (bzw. der Datenschutzkommission) zur Beauskunftung von Verkehrsdaten wurde festgehalten.

Die ISPA hat sich für eine interne Stelle als Überwachungsstelle entschieden. So wurde, der von der Datenschutzbehörde akkreditierte Aufsichtsbeirat eingerichtet, der in der Zusammensetzung ein breites Spektrum an Kompetenzen und Aufgabengebieten der nominierten Personen sicherstellt.

VWGH Entscheidung zu Verfahren gegen juristische Personen

VWGH Entscheidung zu Verfahren gegen juristische Personen

Der VwGH hat in einer Entscheidung (GZ RO 2019/04/0229) zur Strafbarkeit der juristischen Person festgelegt, dass er die Bestimmung des § 99d BWG und seine Judikatur dazu auch auf das DSG umlegt.

Was bedeutet das in der Praxis für die Datenschutzbehörde?

  1. Die Datenschutzbehörde muss in einem Verfahren/Beschwerdefall bereits in der Aufforderung zur Rechtfertigung an das Unternehmen, jene Personen klar bezeichnen, denen das vorgeworfene Verhalten zuzurechnen ist.
  2. Die Datenschutzbehörde muss die vertretungsbefugten Personen namentlich anführen, der das Verhalten zugeordnet wird.
  3. Die Datenschutzbehörde muss zusätzlich jeder einzelnen, vertretungsbefugten Person eine Aufforderung zur Rechtfertigung schicken, da diese als Beschuldigte in einem Verwaltungsstrafverfahren geführt wird.
  4. Jede dieser Personen muss selbst eine Stellungnahme abgeben.
  5. Jedes vertretungsbefugte Organ haftet für die anderen mit.

Ausweg für Verantwortliche

  • Unternehmen sollten einen Verantwortlichen gemäß § 9 VstG benennen und an die Datenschutzbehörde melden.
  • Dieser muss über tatsächliche Durchgriffsrechte verfügen.
  • In einem Verfahren kann die Datenschutzbehörde den § 9 VstG Verantwortlichen neben dem Unternehmen adressieren.
  • In weiterer Folge muss das Unternehmen und der §9 VstG Verantwortliche, eine Stellungnahme an die Datenschutzbehörde erstatten.
  • Die Datenschutzbehörde ist anschließend in der Lage, das Verfahren nur noch gegen das Unternehmen weiter zu führen und das Verfahren gegen den § 9 VstG Verantwortlichen einzustellen.

So entsteht indirekt eine Verpflichtung bzw. zumindest eine starke Empfehlung zur Meldung des § 9 VstG Verantwortlichen für Datenschutz.

Aktuelle Datenschutz Entscheidungen aus Deutschland

Die Österreichische Datenschutzbehörde (DSB) hat uns einige Entscheidungen aus der deutschen Rechtsprechung zu den Themen:

  • Datenschutzbeauftragte und Kündigungsschutz
  • Klage wegen Weitergabe von sensiblen persönlichen Daten durch eine Privatbank
  • Schadenersatzklage gegen ein Kreditkarteninstitut aufgrund von Verstößen gegen die DSGVO
  • Klage wegen Weitergabe von Gesundheitsdaten an Behörden

zugesandt.

Hessisches Landesarbeitsgericht 6. Berufungskammer
Zum Kündigungsschutz eines Datenschutzbeauftragten
Hier insbesondere Feststellung der Zahl der regelmäßig mit automatisierter Datenverarbeitung Beschäftigte im Hinblick auf den nachwirkenden Kündigungsschutz nach § 4 f Abs. 3 S. 6 BDSG aF
.

LG Darmstadt 13. Zivilkammer
Die Parteien streiten um Unterlassungsansprüche und Schadensersatzansprüche aufgrund der Weitergabe von persönlichen Daten an einen Dritten. Die Beklagte ist eine Privatbank. 

Trend zu Klagen auf immateriellen Schadensersatz wegen DSGVO-Verstößen?
Kürzlich hat mit dem LG Darmstadt erstmals ein deutsches ordentliches Zivilgericht ein Unternehmen dazu verurteilt, immateriellen Schadensersatz nach Art. 82 DSGVO zu zahlen.

Klage gegen Mastercard Europe SA
Der Kläger macht Unterlassungs-, Schadensersatz und Auskunftsansprüche gegen die Beklagte aufgrund von Verstößen gegen die DSGVO geltend.

Unternehmen hatte nach der Wertung des ArbG Dresden ohne Rechtsgrundlage Gesundheitsdaten des Klägers an Behörden weitergegeben
Das Arbeitsgericht (ArbG) Dresden hat in einer aktuellen Entscheidung einem Kläger einen nicht unerheblichen immateriellen Schadensersatz zugesprochen (Urteil vom 26.08.2020 – 13 Ca 1046/20 BeckRS 2020, 26940).

Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at | Innovation Theme by: D5 Creation | Powered by: WordPress