Blog

  • EU-Kommission beschließt Standardvertragsklauseln 2021/06/04

    Die Europäische Kommission hat heute zwei Durchführungsbeschlüsse gefasst:

    – Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates

    – Standardvertragsklauseln zwischen Verantwortlichen und Auftragsverarbeitern gemäß Artikel 28 Absatz 7 der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates und Artikel 29 Absatz 7 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates

    Mehr dazu hier und hier, zur Pressemeldung.

    Update: Jetzt auch im Amtsblatt veröffentlicht, hier und hier.

  • Happy Birthday DSGVO! 2021/05/25

    Die DSGVO hat das Bewusstsein für Privatsphäre im Netz geschärft. Selbst Kritiker wie der österreichische Datenschützer Max Schrems erkennen an: “Nutzern ist erstmals in der Breite bewusst geworden, dass sie Rechte haben.” Datensicherheit ist mittlerweile sogar ein Verkaufsargument. So verschreibt sich zum Beispiel Apple werbewirksam dem Datenschutz und lässt iPhone-Besitzer (zum Leidwesen von Facebook & Co) selbst entscheiden, ob sie persönliche Informationen mit Apps teilen möchten.

    Sieht man zurück: Was hat uns die DSGVO gebracht? Mit Sicherheit mehr Aufwand, ein größeres Datenbewusstsein und viele Diskussionen, nicht nur im arbeitsrechtlichen Bereich, sondern generell, wo wir vielleicht zu viele Daten sammeln oder schneller löschen sollten. Wer sich absichern will, sorgt insbesondere dafür, dass er seine Kunden rechtskonform informiert (Datenschutzerklärung), ein Verarbeitungsverzeichnis aufsetzt und mit jenen Dienstleistern, mit denen er Daten austauscht, Auftragsverarbeiter-Verträge abschließt. Wer Daten benutzen will, die nicht für die Durchführung eines Auftrages notwendig sind (z.B. Newsletter-Versand) muss sich Einwilligungserklärungen organisieren.

    Wer am 26. Mai um 17 Uhr Lust und Zeit hat kann sich im Rahmen dieses kostenlosen Live-Events ein Resümee über drei Jahre DSGVO ansehen.

    https://eu01web.zoom.us/webinar/register/WN_k63-tEATSN6LE_m7Y-nrFA

  • 3 Jahre DSGVO – Live-Event am 26. Mai 2021/05/20

    Unser Verein freut sich, bei dieser länderübergreifenden Veranstaltung teilnehmen zu können. Expert*innen aus dem D-A-CH-Li Raum tauschen sich über Datenschutzthemen aus. Gemeinsam resümieren wir über drei Jahre DSGVO. Diskussionspotenzial bieten Fragen nach den Vor- oder auch Nachteilen, die die drei Jahre Datenschutzgrundverodnung aufdecken.

    Die Veranstaltung findet am Mittwoch, 26. Mai statt und wird online über Zoom abgewickelt. Die Teilnahme ist kostenlos. Anmeldung über diesen Link: https://eu01web.zoom.us/webinar/register/WN_k63-tEATSN6LE_m7Y-nrFA

  • EuGH-Vorlage: (immaterieller) Schadenersatz für Datenschutzverletzung? 2021/05/14

    Der OGH legt dem EuGH Fragen zu Schadenersatz gem Art 82 DSGVO vor

    Vorlagefragen des EuGH
  • Datenschutzbehörde veröffentlicht Datenschutzbericht 2020 2021/03/30

    Die österreichische Datenschutzbehörde hat ihren Datenschutzbericht 2020 zum Download bereit gestellt (pdf). Dieser enthält für jede/n Datenschutzinteressierte/n eine Vielzahl an interessanten Inhalten, wie zB aktuelle Verfahrenszahlen, einen chronologischen Überblick über Entscheidungen der DSB im Jahr 2020 und Zusammenfassungen der wesentlichen höchstgerichtlichen Entscheidungen. Fundstück für Datenschutzbeauftragte: Bei der DSB gingen in den Jahren 2018 bis 2020 insgesamt 6308 Meldungen über die Bestellung von Datenschutzbeauftragten gem Art. 37 Abs. 7 DSGVO ein (siehe Seite 10).

  • Expert-Talk am 24.3. “Covid19 Herausforderungen für Betriebe. Testen, betriebsinterne Impfungen, Contact Tracing” 2021/03/23

    Wir beleuchten – mit drei Experten aus dem Privacyofficers.at Kreis – aktuelle Themen, Fragen und Praxisbeispiele rund um die Rolle von Unternehmen bei der Pandemiebekämpfung und die Herausforderungen, die sich für diese dabei stellen. Wir gehen auf datenschutzrechtliche Herausforderungen bei betriebsinternen Schutzmaßnahmen, Testungen und Impfungen näher ein.

    Der Schutz des Einzelnen, der Anderen und die betrieblichen Interessen sind zu berücksichtigen. Der Datenschutz als Grundrecht muss dabei berücksichtigt werden, soll aber nicht verhindern. Oft braucht es dazu individuelle Lösungen.

    Anmeldemöglichkeit und Teilnahmelink hier.

  • Berichtigung der DSGVO im Amtsblatt veröffentlicht 2021/03/04

    Die deutsche Sprachfassung der Datenschutz-Grundverordnung (EU) 2016/679 wurde (ein weiteres Mal, siehe die verlinkten Corrigenda hier) berichtigt, siehe das Amtsblatt der EU vom 4.3.2021; neben der deutschen wurden auch viele andere Sprachfassungen korrigiert. Nicht nur die DSGVO “hat es erwischt”: so wurde auch ein Corrigendum der JI-Richtlinie (EU) 2016/680 veröffentlicht.

  • ePrivacy-Verordnung: Rat legt Verhandlungsentwurf vor 2021/02/10

    Der Rat hat sich heute auf einen Entwurf einer ePrivacyVO geeinigt, als nächstes wird dieser mit dem Europäischen Parlament verhandelt. Erste Kritk daran kommt vom deutschen BfDI. Hier geht es zum Ratstext (pdf).

  • Europäischer Datenschutztag 2021 2021/01/28
    Quelle: stackfield.com

    Der Europäische Datenschutztag ist ein auf Initiative des Europarats ins Leben gerufener Aktionstag für den Datenschutz.

    Er wird seit 2007 jährlich am 28. Jänner begangen. Dieses Datum wurde gewählt, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet wurde.

    Außerhalb der Datenschutzcommunity könnte man meinen, das Thema Datenschutz existiert in der breiteren Öffentlichkeit erst seit 2018 und Einführung der DSGVO. In der Realität strebt der Mensch schon seit Jahrtausenden nach Privatsphäre. Seit 1500 n. Chr. gehören Trennwände in Gebäuden zum Alltag. Beichtgeheimnis und ärztliche Schweigepflicht existieren schon sehr lange.

    Das “Recht auf Privatsphäre” wie wir es heute kennen, ist allerdings jünger: Es wurde 1948 als internationales Menschenrecht festgeschrieben. Schweden war 1973 das erste Land, das ein nationales Datenschutzgesetz erließ. In Österreich gibt es seit 1978 eine vergleichbare Rechtsgrundlage welche 2018 durch die EU weit gültige DSGVO an die Anforderungen des 21. Jahrhunderts angepasst wurde.

    Der Datenschutztag wird seit einigen Jahren übrigens weltweit begangen und außerhalb Europas auch „Privacy Day“ (Tag des Schutzes der Privatsphäre) oder „Data Privacy Day“ (Tag des Schutzes der Privatsphäre und des Datenschutzes) genannt.

    Der Datenschutztag könnte ein guter Zeitpunkt sein, um zu reflektieren, welche Sicht wir persönlich auf Daten haben und wie wir mit ihnen umgehen. Es ist eine Tatsache, dass wir uns mitten in der digitalen Transformation mit all ihren Herausforderungen befinden. Die Auswirkungen der DSGVO werden auch in Zukunft tiefgreifend sein: Wir müssen die Anforderungen erfüllen und die Behörden werden immer weniger geduldig mit denen, die sich nicht an die Richtlinien halten.

    Datenschutz und Informationssicherheit sind übrigens zwei korrespondierende Gefäße, es benötigt beides. Oftmals sorgen arbeiten die damit befassten Organisationseinheiten in Unternehmen gemeinsam mit entsprechenden Methoden und durch entsprechende Rahmenbedingungen für die Sicherstellung von beidem.

    Auch für den persönlichen Umgang mit den eigenen Daten im privaten Umfeld empfehlen sich folgende Tipps, dadurch tragen Sie auch für die Sicherheit der in Ihrem Verantwortungsbereich verarbeiteten Daten :

    • Verwenden Sie sichere Passwörter, die mindestens acht Zeichen lang sind und nach Möglichkeit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Die Verwendung eines Passwortmanagers erleichtert die Umsetzung ungemein!
    • Halten Sie Ihre Software immer auf dem aktuellen Stand, „never touch a running system“ ist bei modernen Betriebssystemen ein „No-go“ da nur durch entsprechende Updates sichergestellt werden kann, dass keine Lücken und Schwachstellen bestehen.
    • Verwenden Sie eine Firewall und Virenschutz, schon die mitgelieferten Bordmittel z.B. von Microsoft Windows sind ein guter erster Schritt.
    • Gehen Sie mit Ihren E-Mails sowie mit Nachrichten in sozialen Netzwerken sorgsam um.
    • Vorsicht beim Download von Software aus dem Internet – nur sichere und bekannte Quellen nutzen.
    • Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung und beachten Sie Risiken bei der Nutzung öffentlicher und unverschlüsselter WLAN-Netze.
    • Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet.
    • Führen Sie regelmäßig Backups der Daten durch auf einem Laufwerk, das nicht ständig mit dem Rechner verbunden ist.

  • Bundesverwaltungsgericht hebt Straferkenntnis der Datenschutzbehörde gegen die Post (Geldbuße 18 Mio Euro) auf 2020/12/06

    Das Bundesverwaltungsgericht (BVwG) hat  im Verfahren der Datenschutzbehörde (DSB) gegen die Post in drei Teilerkenntnissen entschieden: BVWG_W258 2217446-1; W258 2217446-1; BVG_W258 2227269-1.

    Die DSB hatte mit Bescheid vom 23.10.2019, GZ DSB-D550.148/0017-DSB/2019 gegen die Post eine Geldbuße in der Höhe von 18 Millionen Euro verhängt. Dieses Erkenntnis wurde nun (teilweise) aufgehoben. Die Post muss die Strafe also  nicht zahlen – eine außerordentliche Revision dürfte von der DSB nicht erhoben werden. Das BVwG hat in diesem Verfahren schon in zwei weiteren Teilerkenntnissen entschieden.

    Die Post hatte Daten über die wahrscheinliche Parteiaffinität von natürlichen Personen gespeichert und damit unter dem Gewerbe Adresshandel (§ 151 GewO) gehandelt bzw. diese weiterverkauft (Listbrokering).

    Das BVwG hat die Strafe im dritten der drei Teilerkenntnisse aufgehoben, weil die DSB das Verfahren formal nicht richtig geführt habe. Die DSB hätte, so das BVwG, die natürlichen Personen, die die Verletzung verschuldet haben, identifizieren und ausfindig machen, sowie eine Zurechnung zur juristischen Person Post herstellen müssen, um diese der Post als juristische Person zuzurechnen, um dann die Geldbuße gegen die Post zu verhängen. Erst jüngst hatte der VwGH in einem anderen, jedoch grundsätzlich vergleichbaren, Verfahren (12.05.2020, Ro 2019/04/0229) bestätigt, dass andernfalls eine Geldbuße gegen eine juristische Person nicht wirksam verhängt werden kann.

    Bemerkenswert ist, dass das BVwG sehr klare und harte Worte zur materiellen Rechtsfrage bzw. zur Verletzung des Datenschutzrechts der Betroffenen und die postinterne rechtliche Analyse dazu findet. Die Informationen über die Parteiaffinität sind – selbst wenn sie (nur) Wahrscheinlichkeitsinformationen sind – nach Ansicht des BVwG (und auch zuvor der DSB) Daten besonderer Kategorie gemäß Artikel 9 Abs 1 DSGVO. Das BVwG vermisst die notwendigen Voraussetzungen, die die DSGVO für die Verarbeitung dieser Daten einfordert (Einwilligung etc).

    Das BVwG geht darüber hinaus auch auf die beteiligten Personen bei der Post und den diesen konkret vorwerfbaren Handlungen in dem Fall ein, nämlich die Datenschutzbeauftragte, die Leiterin der Rechtsabteilung und auch den Vorstand. Alle hätten grob fahrlässig gehandelt. Es sei zwar eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO durchgeführt worden. Dabei hätte die Datenschutzbeauftragte eine falsche rechtliche Beurteilung getroffen (Parteiaffinität sind unbedenkliche Informationen), sie hätte sich dazu der internen Rechtsabteilung bzw. einer externen Beratung bedienen müssen. Und weil sie das nicht getan hat, hätte es die Leiterin der Rechtsabteilung tun müssen.

    Was lässt sich für die Praxis von Unternehmen und von Datenschutzbeauftragten daraus konkret ableiten?

    Was lässt sich für die Praxis von Unternehmen und von Datenschutzbeauftragten daraus konkret ableiten?

    • Sie müssen sich immer mit allen Fragen rund um eine Datenverarbeitung fundiert, schriftlich und nachvollziehbar auseinandersetzen.
    • Datenschutzbeauftragte haben dabei eine wichtige Rolle, sie müssen kompetent sein und eine rechtlich belastbare Einschätzung vornehmen. Sie müssen aber auch ihre Grenzen kennen und sich internen oder externen Rat einholen, wenn es um schwierige Sachverhalte geht, die an ihre fachlichen Grenzen stoßen.
    • Inwieweit dem Datenschutzbeauftragten selbst eine “Verantwortung” zukommt, wird in dem Teilerkenntnis nicht abschließend gesagt. Bisher geht man in Österreich davon aus, dass dem Datenschutzbeauftragten keine inhaltliche Verantwortung zukommt und er auch keine Verantwortung gemäß § 9 VStG tragen kann.

      Diese Ansicht könnte durch diese Erkenntnis erschüttert sein. Jedenfalls ist zu bedenken, dass die DSGVO in Artikel 35 DSGVO klar vorschreibt, dass der Datenschutzbeauftragte bei Datenschutz-Folgenabschätzungen beizuziehen ist. Insofern kommt dem Datenschutzbeauftragten schon auch eine inhaltliche Rolle zu. Lässt sich daraus eine inhaltliche Verantwortung ableiten?

      Es wird wohl (aus zivilrechtlicher Sicht) eine Art Sachverständigenhaftung nach §§ 1299 f ABGB in Betracht kommen (bei internen DSBA ist hier auch das Dienstnehmerhaftpflichtgesetz zu berücksichtigen), wird doch von einem Datenschutzbeauftragten eine gewisse rechtliche Expertise erwartet, wenn die DSGVO dessen Einbeziehung fordert, um eine risikoreiche Datenverarbeitung mittels DSFA gemäß DSGVO aufzusetzen.
    • Hier wurde eine Datenschutz-Folgenabschätzung durchgeführt, wobei es zu einer unrichtigen rechtlichen Beurteilung gekommen ist.  Das bedeutet, dass man sich sehr genau die einzelnen Datenarten in Bezug auf den konkreten Zweck ansehen muss und fundiert begründen muss, zu welchen rechtlichen Einschätzungen man kommt.

      Datenschutz-Folgenabschätzungen sind eigentlich dafür da, um eine Risikobewertung und in der Folge risikominimierende Maßnahmen vorzunehmen. Hier scheiterte es aber bereits an der rechtlichen Beurteilung der Sensibilität der Datenarten, wodurch eine entsprechende Risikobewertung einfach nicht stattfand.
Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at | Innovation Theme by: D5 Creation | Powered by: WordPress