Sie wollen Ihre Daten aus einer der Listen löschen lassen? Die Chancen steigen nach 5 Jahren deutlich an. Es gibt Hinweise, dass auch die 5-Jahres-Grenze unionsrechtswidrig ist. Die Löschungsbeurteilung hat anhand der Umstände des Einzelfalls zu erfolgen.
Übermitteln Sie mir Ihren Auszug und ich mache Ihnen ein Angebot für ein Vorgehen. Grundsätzlich möglich ist die Klage oder die Beschwerde bei der Datenschutzbehörde.
Grundsätze aus der Judikatur:
2019 hat die Datenschutzbehörde ausgesprochen, dass es keine fixe Löschfrist gibt:
https://www.rechtsanwalt-miller.at/index.php/dsgvo-news/home-dsgvo-news-19
2023 hat der VwGH ausgesprochen, dass in Anlehnung an Art. 180 Abs. 2 lit. e und Art. 181 Abs. 2 letzter Absatz der Kapitaladäquanzverordnung eine Speicherdauer von 5 Jahren in Ordnung sein kann:
https://ris.bka.gv.at/Dokumente/Vwgh/JWR_2020040037_20230509J18/JWR_2020040037_20230509J18.html
2023 hat der EuGH ausgesprochen, dass nach der Löschung eines Eintrags aus öffentlichen Registern, eine Berufung auf das überwiegende berechtigte Interesse nicht mehr möglich ist:
Jeder Fall ist somit einzeln zu prüfen. Auch sind die verschiedenen Listen in Zusammenschau mit den Daten, auf denen sie beruhen zu beurteilen. Wichtig ist, festzustellen, wer einen Eintrag in eine Liste zu verantworten hat. Übermittlen Sie mir zur Prüfung gerne das Ergebnis Ihres Auskunftsbegehrens, ein Musterschreiben finden Sie hier:
https://www.rechtsanwalt-miller.at/index.php/dsgvo/auskunftsbeghren-dsgvo
Die Datenschutzgrundverordnung (DSGVO) wurde im Frühjahr 2016 als
EU-Datenschutz-Grundverordnung (EU-DSGVO) beschlossen und ist seit
25. Mai 2018 anzuwenden. Auf dieser Seite finden Sie wichtige News für Ihre DSGVO Umsetzung und News.
Hier geht es zu den DSGVO - News.
Auskunftsbegehren an Unternehmen stellen, unverbindliches Muster:
Muster Auskunftsbegehren Artikel 15 DSGVO - Copy - Paste Vorlage
Die DSGVO sieht EU-weit einheitliche Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen vor.
Dadurch soll vor allem der Schutz personenbezogener Daten innerhalb der Europäischen Union sichergestellt und der freie Datenverkehr innerhalb des europäischen Binnenmarktes weiterhin gewährleistet werden. Sie tritt an Stelle der EU-Datenschutzrichtlinie und auch nationaler Bestimmungen.
Hier die wichtigsten Punkte im Überblick:
1. Eine Stärkung der Betroffenenrechte
• durch mehr Transparenz
• die Verankerung des Rechts auf Vergessenwerden
• eine Einwilligung gilt nur, wenn sie freiwillig, aktiv und eindeutig ist
2. Ein neuer Fokus auf die Datensicherheit
• durch verpflichtende und angemessene Sicherheitsvorkehrungen
• Datenmissbräuche und Sicherheitsverletzungen müssen den Aufsichtsbehörden gemeldet werden
3. Die Bestellung eines Datenschutzbeauftragten im öffentlichen Bereich sowie in Unternehmen
Ein erhöhter Strafrahmen
Strafen bis zu 20 Millionen Euro oder 4 Prozent des Konzernumsatzes sind möglich
oder beispielsweise eine kostspielige Abmahnung oder Klage auf Basis von unlauterem Wettbewerb.
Wie sieht der Anwendungsbereich der DSGVO aus?
Die DSGVO schützt ausschließlich die Daten von natürlichen Personen.
Daten juristischer Personen fallen nicht unter den Anwendungsbereich. Ebenfalls ausgenommen sind private Datenverarbeitungen. Die DSGVO betrifft jeden, der personenbezogene Daten erfasst bzw. verarbeitet, egal ob Einzelunternehmen, Konzern oder Verein.
Personenbezogene Daten sind Informationen, die sich auf identifizierte oder identifizierbare natürliche Person beziehen. Eine Verarbeitung dieser Daten darf nur unter bestimmten Voraussetzungen erfolgen. Zum Beispiel:
• wenn eine Einwilligung (individuell, freiwillig, nachweislich, Stichwort "informed consent") vorliegt
• wenn die Datenverarbeitung für die Erfüllung eines Vertrages oder einer rechtlichen Pflicht nötig ist
Für die Verarbeitung gelten die Grundsätze (siehe Art. 5):
• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit
• Speicherbegrenzung
• Integrität und Vertraulichkeit
• Rechenschaftspflicht
Darüber hinaus gibt es noch sensible Daten ("besondere Kategorien von Daten"), die einen umfassenderen Schutz erfordern (siehe dazu Art. 9). Auch die Verarbeitung dieser Daten ist grundsätzlich untersagt. Es gibt allerdings mehrere Ausnahmeregelungen, bei deren Vorliegen eine Verarbeitung zulässig ist, etwa bei einer ausdrücklichen Einwilligung, die jedenfalls individuell und im Detail zu prüfen ist.
Zu den sensiblen Daten gehören u.a.:
• rassische und ethnische Herkunft
• politische Meinung
• Gewerkschaftszugehörigkeit
• religiöse oder weltanschauliche Überzeugung
• Gesundheit
• sexuelle Orientierung
• genetische Daten
• biometrische Daten zur eindeutigen Identifizierung
Was bedeutet die DSGVO für Unternehmen?
Für Unternehmen aller Branchen ergeben sich eine Vielzahl an Neuerungen:
• erweiterte Informations-, Hinweis- und Dokumentationspflichten
• neue Betroffenenrechte
• Rechtmäßige Datenerhebung
• Datensicherheitsmaßnahmen
• Datenschutzfolgeabschätzungen und neue Fristen
• DSGVO-gemäße technische Lösungen
• Die Benennung eines Datenschutzbeauftragten ist unter gewissen Umständen zwingend vorgesehen. Als Datenschutzbeauftragter kann ein Mitarbeiter aber auch externer Berater eingesetzt werden. Er muss über die notwendige Fachexpertise verfügen.
Die DSGVO bringt aber auch ein Mehr an Rechten (Art. 15 bis 22),
zum Beispiel:
• Recht auf Auskunft
• Recht auf Berichtigung
• Recht auf Löschung
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Recht auf Widerspruch & Widerruf
Sie bringt auch neue Rechtsbehelfe (Art. 77 ff):
• die betroffene Person hat das Recht auf Beschwerde bei der Aufsichtsbehörde
• ein Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Beschlüsse der Aufsichtsbehörde
• und ein Klagerecht gegen Verantwortliche und Auftrags-Verarbeiter.
Mit welchen Sanktionen und Strafen ist zu rechnen?
Die maximale Strafdrohung der DSGVO beträgt von 2 bis 4 Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens oder bis zu 20 Millionen Euro.
Daneben hat jeder, der einen materiellen oder immateriellen Schaden erlitten hat, der auf einen Verstoß gegen die DSGVO zurückzuführen ist, Anspruch auf Schadenersatz. Denkbar sind etwa immaterielle Schäden durch Persönlichkeitsrechtsverletzungen, erlittene Kränkungen, Beeinträchtigung der Privatsphäre u.a. Mitbewerber könnten etwa gewisse Ansprüche gestützt auf das Gesetz gegen den unlauteren Wettbewerb (UWG) geltend machen.
Eine Prüfung im Einzelfall ist für ein zielführendes Vorgehen jedenfalls geboten. Auch Dienstleister, wie Cloud-Anbieter, externe Administratoren etc. sind von diesen Haftungsdrohungen betroffen (siehe dazu den Begriff "Auftragsverarbeiter" laut DSGVO).
Mit folgenden Leistungen kann ich Sie mit meiner juristischen Expertise für Datenschutz und DSGVO bestmöglich unterstützen:
• Analyse der bestehenden Prozesse, Empfehlungen zur Risikovermeidung
• sowie Anpassung Ihre Prozesse, damit Ihre wirtschaftlichen Interessen im Einklang mit der DSGVO stehen
• Unterstützung des Datenschutzbeauftragten bei Einschätzung von Rechtsfragen und Know-how-Transfer zu branchenübergreifenden Themen
• Überprüfung von Webseiten oder Apps in puncto DSGVO
• Erstellung von Datenschutzerklärungen und Einwilligungsklauseln
• Risikoanalysen & Erstellung von Gutachten
• Überprüfung der Datenübermittlungen
• Erstellung von Auftragsverarbeitungsverträgen
• Kommunikation mit Behörden
• Juristische Unterstützung bei Prüfungen oder Verfahren
Machen Sie den DSGVO-Check!
geeignet für Unternehmen mit bis zu 40 Mitarbeitern
Laut DSGVO (Art. 5 Abs 2 DSGVO) ist die DSGVO-Umsetzung ein kontinuierlicher Prozess. Überprüfen Sie daher rechtzeitig und regelmäßig Ihre DSGVO-Dokumentation und machen Sie mit mir einen Check, wie ihn die Behörde vornehmen könnten:
• Wo hakt es?
• Was fehlt offenbar?
• Was wirft Fragen auf?
• Gibt es Neuerungen, die noch nicht umgesetzt wurden?
Sie erhalten von mir:
• eine schriftliche Einschätzung, welche Unterlagen unvollständig sind beziehungsweise welche Unterlagen noch fehlen
• welche Schritte als nächstes anstehen
• welche Risiken sie besonders beachten sollten
Ihre Kosten: Gerne vereinbare ich mit Ihnen nach einem ersten Evaluierungsgespräch/-telefonat einen Pauschalpreis.
Machen Sie den DSGVO-Schadenersatz-Check
Dazu brauchen Sie:
• eine Antwort auf eine Art. 15 DSGVO-Anfrage
• weitere vorhandene Unterlagen wie Anmeldeformulare, Informationsschreiben etc.
• Kopie der Kommunkation
Sie erhalten von mir:
eine 1-stündige Besprechung der möglichen Vorgehensweise samt Kosteneinschätzung.
Ihre Kosten: ab EUR 150,00,- exkl. 20% Umsatzsteuer
Sollte Ihre Anfrage allerdings umfangreiche Vorarbeiten erfordern, kontaktiere ich Sie vor Beginn meiner Tätigkeit persönlich, um eine detaillierte Vorgehensweise mit Ihnen zu besprechen und abzustimmen.
Jedenfalls ist zu diesem Thema eine individuelle Beratung notwendig.
Artikel zum Download
Weitere Artikel zu diesem Thema:
Hier finden Sie ein Muster für ein Auskunftsbegheren nach Art 15 DSGVO:
Da der Auskunftsinhalts gesetzlich definiert ist, ist es nicht nötig - wie in manchen Mustern angeführt - weitwändige Positionen aufzuzuählen. Nur, wenn Sie die Auskunft auf bestimmte Datenanwendungen einschränken wollen, führen Sie dies aus. Achten Sie darauf, dass nur bei 1 Auskunft pro Jahr die unentgeltliche Auskunftserteilung beansprucht werden kann. Achten Sie auch auf Preislisten, AGB oder andere Vereinbarungen, wonach etwa Unterlagen nur kostenpflichtig übermittelt werden, hier können sich Streitpunkte ergeben. Über Art 15 DSGVO können Sie etwa nicht die Gebühr für Kontoauszüge einfach umgehen.
Unverbindliches Auskunftsbegehren-Muster zum Kopieren für E-Mail oder Post:
Anmerkungen sind jeweils in eckigen Klammern angeführt:
An ___________
<Aus Beweisgründen Einschreiben verwenden!>
______________
Betrifft: Auskunftsbegehren gemäß Art 15 DSGVO
Sehr geehrte Damen und Herren!
Ich ersuche um kostenlose Auskunft gem. Art 15 DSGVO.
Meine Daten sind:
<Vorname, Nachname, Geburtsdatum, Kundennummer, Adresse; evtl. Ausweiskopie beifügen>
oder
<Nickname oä, Identifikationsdatum>
<Ende>
Das Unternehmen muss jedenfalls innerhalb 1 Monats eine Antwort übermitteln – auch wenn es nur eine Fristverlängerung ist. Achtung, mehrfaches Anschreiben desselben Unternehmens mit Auskunftsbegehren kann Kosten verursachen.
Aufgrund Rechtsprechungsänderungen etc. können sich Anpassungen ergeben. Für eine andere Version siehe: https://www.dsb.gv.at/download-links/dokumente.html
Bei Fragen kontaktieren Sie mich:
Bei Fragen kontaktieren Sie mich!
Update 9.10.2023: Die Fa. EurPriSe existiert in dieser Form nicht mehr, die Expertenrolle wurde gestrichen, mehr hier https://www.euprivacyseal.com/de/about-us/
Die EuroPriSe GmbH erteilte Zertifikate nach DSGVO Konformität. ZB für die Einschaltung von Auftragsverarbeitern.
Die EuroPriSe Kriterien setzen die Europäischen Normen zu Datenschutz, Vertraulichkeit und Datensicherheit, sowie aktuelle Standards zu Safety und Security in den EuroPrise Kriterienkatalog um (siehe die Webseite der EuroPriSe GmbH).
Um die EuroPrise - Zertifizierung zu erhalten ist eine Evaluierung nötig, die dann von EuroPrise begutachet wird.
Als akkreditiierter Sachverständiger für EuroPriSe unterstütze ich Sie auf diesem Weg im Bereich Recht.
Es handelt sich v.a. um 2 Schritte:1
-rechtliche Bestandaufnahme,
-technische Bestandaufnahme.
Bei Konformität mit den EuroPriSe Kriterien vergibt EuroPrise das EuroPriSe-Siegel.
Mehr zu den EuroPrise - Prüfungskriterien erfahren Sie hier.
Informationen zu bestehenden EuroPrise Siegeln finden Sie hier.
Eine Akkreditierung von Zertifizierungssystemen oder Zertifizierungsstellen gem. DSGVO (vgl. Art 42, 43 f DSGVO etc., z.B. "Europäisches Datenschutzsiegel") oder Datenschutzgesetz (vgl. § 21 Abs 3 DSG) wird auf europäischer und österreichischer Ebene angestrebt. Die EU Kommission ist dazu am Zug.
Mehr zu den EuroPriSe Experten erfahren Sie hier.
(Grafik/Logo/Marke © by EuroPrise GmbH)
Gewährleistung für Softwaremängel
Fehlerhafte Software ist ein Ärgernis. Prüfen Sie Schadenersatz- und Gewährleistungsansprüche.
Checkliste:
- Liegt Standard- oder Individualsoftware vor?
- Wurde die Software gekauft/gemietet/geleast?
- Gab es ein Beratungsgespräch?
- Bug oder Feature / erheblicher Mangel?
- Wurde der Mangel ordentlich gerügt?
- Was enthält die Dokumentation der Software dazu?
- Liegt Nachvollziehbarkeit vor?
- Ist der Mangel nachvollziehbar, detailliert dokumentiert?
- Sind Schäden dokumentiert?
- Ausschlüsse der Gewährleistung/Haftung?
Nutzen Sie das DSGVO Schadenersatz-Check Paket:
ab EUR 120,00 zzgl. 20% USt.
Benötigt werden:
- Antwort auf eine Art 15 DSGVO Anfrage
- weitere vorhandene Unterlagen, wie Anmeldeformulare, Informationsschreiben etc.
- Historie
Inkludiert ist ein 1h Besprechung einer möglichen Vorgehensweise samt Kosteneinschätzung.
Sollte Ihre Anfrage umfangreiche Vorarbeiten erfordern werde ich Sie vor Beginn meiner Tätigkeit kontaktieren, um die Vorgehensweise zu besprechen.
Folgende Ressourcen geben einen Überblick zur Frage, ob eine Datenschutz-Folgenabschätzung ("DPIA") durchzuführen ist:
Liste des Europäischen Datenschutzbeauftragen zur Datenschutz-Folgenabschätzung
Datenschutz-Folgenabschätzung-Ausnahmenverordnung (DSFA-AV)
Erläuterungen zum Entwurf der DSFA-AV vom 21. März 2018 (PDF, 255 KB)
Sollte keine DSFA erstellt werden, ist eine Einschätzung zu erstellen, warum keine Datenschutz-Folgenabschätzung notwendig ist.
Kritische Datenanwendungen sind u.a. jedenfalls zusammengefasst:
- Profiling
- Automatische Entscheidungen mit rechtlichen Auswirkungen
- Systematische Überwachung: hierzu führt der Europäische Datenschutzbeauftragter als Beispiel das Brechen von SSL Verschlüsselung zum Zweck der Vermeidung von Datenverlust an. Weiters wird verborgene Videoüberwachung als Beispiel angeführt.
- Verarbeitung sensibler Daten
- Big-Data Verarbeitungen
- Abgleich von Daten mehrerer unterschiedlicher Datenanwendungen, wenn dies außerhalb der Erwartungen der Betroffenen liegt
- Ungleichgewicht der Positionen des Verantwortlichen zum Betroffenen
- Neuartige Datenanwendungen
- Negativeinträge im Sinn von Sperrungen etc.
Anmerkung: Der Europäische Datenschutzbeauftragt bezeichnet im obigen Entwurf Fotos als nicht per se sensible personenbezogene Daten, lediglich wenn sie mit Gesichtserkennung / Biometrie verbunden werden oder um weitere sensible Daten abzuleiten (Anm: "used to infer other seinsitive data").
Sämtliche Informationen dieser Seite stellen eine Einführung dar und können eine weitergehende Beratung nicht ersetzen.
Sie sind von Spam genervt?
Wenn Sie Spam erhalten und ein Absender erkennbar ist, kann dieser abgemahnt werden. Die Kosten muss der Störer zahlen. Ein Schadenersatzbegehren ist möglich.
Laden Sie hier meine Komktaktinformation zum Thema "Wie kann ich Spam abwehren" herunter.
Hier gehts zum download im PDF Format.
Für weitergehende Fragen/Antworten kontaktieren Sie uns.
Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.
Update 29.12.2018: Das Gesetz ist im Ris abrufbar:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20010536
Update 19.12.2018: Beschluss im Bundesrat erfolgt
21.11.2018 Regierungsvorlage abrufbar
Seit 19.9.2018 liegt ein Ministerialentwurf für ein Netz- und Informationssystemsicherheitsgesetz ("NISG") beim Parlament zur Begutachtung auf. Die Begutachtungsfrist endet am 31.10.2018.
Mit dem NISG wird die EU-Richtlinie 2016/1148 "über Maßnahmen zur Gewährleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informationssystemen in der Union" umgesetzt.
Ausserhalb des öffentlichen Bereichs und von kritischer Infrastruktur wie Strom- und Wasserversorgern etc ist das Gesetz vor allem für Anbieter digitaler Dienste interessant, die folgendes betreiben:
- Online - Marktplatz
- Online-Suchmaschine
- Cloud-Computing-Dienst
Vorgesehen ist u.a. die Verpflichtung geeignete Sicherheitsvorkehrungen unter Berücksichtigung des Stands der Technik zu treffen, die ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist. Für Normunterworfene besteht somit eine Überschneidung zu u.a. Art 32 DSGVO.
Interessant ist folgender Unterschied des Richtlinienwortlauts zum vorliegenden Gesetzesentwurf:
Art 16 Abs 1 der RL lautet:
(1) Die Mitgliedstaaten stellen sicher, dass die Anbieter digitaler Dienste geeignete und verhältnismäßige technische und organisatorische Maßnahmen ergreifen, um die Risiken für die Sicherheit der Netz- und Informationssysteme, die sie im Rahmen der Bereitstellung der in Anhang III aufgeführten Dienste innerhalb der Union nutzen, zu bewältigen. Diese Maßnahmen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:
a) |
Sicherheit der Systeme und Anlagen, |
b) |
Bewältigung von Sicherheitsvorfällen, |
c) |
Business continuity management, |
d) |
Überwachung, Überprüfung und Erprobung, |
e) |
Einhaltung der internationalen Normen. |
§ 18 Abs 1 des Entwurf zum NISG lautet hingegen:
§ 18. (1) Anbieter digitaler Dienste haben in Hinblick auf die von ihnen betriebenen digitalen Dienste (§ 3 Z 9) geeignete Sicherheitsvorkehrungen zur Gewährleistung der NIS (§ 3 Z 2) zu treffen. Diese Vorkehrungen müssen unter Berücksichtigung des Stands der Technik ein Sicherheitsniveau der Netz- und Informationssysteme gewährleisten, das dem bestehenden Risiko angemessen ist, wobei Folgendem Rechnung getragen wird:
a) Sicherheit der Systeme und Anlagen,
b) Bewältigung von Sicherheitsvorfällen,
c) Betriebskontinuitätsmanagement,
d) Überwachung, Überprüfung und Erprobung,
e) Einhaltung der internationalen Normen.
Die Richtlinie stellt somit auf die Verhältnismäßigkeit der Maßnahmen ab, wohingegen der Entwurf zum NISG dies nicht ausdrücklich anführt.
In der Richtlnien ist von "technischen und organisatorischen Maßnahmen" die Rede, somit "TOM", die bereits u.a. durch Art 32 DSGVO bekannt sind.
Art 32 Abs 1 DSGVO lautet:
(1) Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen gegebenenfalls unter anderem Folgendes ein:
Auch in der DSGVO wird nicht explizit die Verhältnismäßigkeit der Maßnahmen angeführt.
Offen ist somit, aus welchem Grund der österr. Gesetzgeber den Terminus "technische und organisatorische Maßnahmen" durch "geeignete Sicherheitsvorkehrungen" tauscht und ob gem. dem österr. NISG-Entwurf die Verhältnismäßigkeit der Maßnahmen in die Beurteilung der Notwendigkeit von Maßnahmen einzufließen hat, dies v..a in Hinblick auf die Kosten von möglichen Sicherheitsvorkehrungen. Vorkehrungen müssen jedenfalls dem Risiko angemessen sein.
Anzumerken ist in diesem Zusammenhang, dass gem. Art 16 Abs 1 das Kapitel V der Richtlinie (und damit Art 16) nicht für Kleinstunternehmen und kleine Unternehmen im Sinne der Empfehlung 2003/361/EG der Kommission gilt. Diese Einschränkung wurde durch § 3 Z 10 Entwurf NISG im Wesentlichen übernommen:
Anbieter digitaler Dienste“ eine juristische Person
a) mit Hauptniederlassung in Österreich oder
b) ohne Hauptniederlassung in der Europäischen Union, die einen Vertreter (Z 11) namhaft gemacht hat,
und einen digitalen Dienst (Z 9) in Österreich anbietet und kein Kleinstunternehmen oder kleines Unternehmen im Sinne von Art. 1 und Art. 2 Abs. 2 und 3 des Anhangs der Empfehlung 2003/361/EG der Kommission vom 6. Mai 2003 betreffend die Definition der Kleinstunternehmen sowie der kleinen und mittleren Unternehmen, ABl. Nr. L 124 vom 20.05.2003 S. 36, ist;
Weiters können gem. Art 3 der RL die Mitgliedsstaaten Bestimmungen erlassen oder aufrechterhalten, mit denen ein höheres Sicherheitsniveau von Netz- und Informationssystemenen (Anm.: als jenes der RL ) erricht werden soll.
Verstöße gegen das NISG können laut Entwurf mit Verwaltungsstrafe bis zu EUR 50.000,00, im Wiederholungsfall bis zu EUR 100.000,00 geahndet werden. Dazu gehören etwa u.a. folgende Verstöße :
- Verstoß gegen die Pflicht Nachweise über geeignete Sicherheitsvorkehrungen dem Bundesministerium für Inneres ("BMI") auf dessen Verlangen vorzulegen (siehe u.a. § 18 Abs 4 für die Voraussetzungen des Verlangens),
- Verweigerung der Einschau in die Netz- und Informationssysteme durch das BMI (siehe u.a. § 18 Abs 4 für die Voraussetzungen einer Einschau),
- Nicht fristgerechte Umsetzung von bescheidmäßig angeordneteten Empfehlungen des BMI (siehe § 18 Abs 4 für die Voraussetzungen)
- Verstoß gegen die Meldepflicht von Sicherheitsvorfällen gem. § 18 Abs 2 NISG (siehe u.a. §§ 3, 16, 18 Abs 4 für die Voraussetzungen)
Somit bestehen auch hinsichtlich der Meldepflichten Überschneidungen mit der DSGVO (Art 33, 34 DSGVO).
Weder die Richtlinie noch der Entwurf zum NISG enthalten konkrete Angaben zu Sicherheitsvorkehrungen, wie etwa ISO Standards oä.
Gem. § 5 Z 4 des Entwurfs obliegt dem Bundesminister für Inneres die "Erstellung und Weitergabe von zur Gewährleistung der Sicherheit von Netz- und Informationssystemen relevanten Informationen zur Vorbeugung von Sicherheitsvorfällen (§ 3 Z 6).
Zur Umsetzung in der BRD siehe u.a. https://www.bsi.bund.de/DE/DasBSI/NIS-Richtlinie/NIS_Richtlinie_node.html
Für weitergehende Fragen/Antworten kontaktieren Sie uns.
Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.
Bildaufnahmen - Videoüberwachung
--> Update Januar 2020: Die Normen zur Videoüberwachung gem. §§ 12, 13 DSG werden vom Bundesverwaltungsgericht als nicht DSGVO relevant angesehen. Anm: Die DSGVO sieht zu Bildaufnahmen keine Öffnungsklauseln vor geht §§ 12, 13 DSG vor. Mehr in Kürze.
Die Zulässigkeit von Videoüberwachung ist nunmehr unter §§ 12, 13 österr. Datenschutzgesetz geregelt. Auch die DSGVO ist auf Videoüberwachungen anwendbar. Echtzeitaufnahmen fallen ebenfalls unter §§ 12, 13 DSG. Die Regelung gilt nicht nur für Überwachungsmaßnahmen, sondern für "Bildaufnahmen" im Allgemeinen.
Für den Privatbereich sind besonders die Regelungen zur Videoüberwachung zum Zweck des "vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften" und "für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen" interessant.
Grundsätzlich dürfen öffentlichen Güter (Straßen, Gehsteige etc) oder fremde Privatgrundstücke nicht überwacht werden. Kameraattrappen unterliegen nicht dem DSG oder der DSGVO, der OGH judiziert dazu aber auch uU Unterlassungs- und Beseitigungsansprüche von Personen, die durch die Attrappen einem "Überwachungsdruck" ausgeliefert sind.
Videoüberwachung ist auch keinesfalls im höchstpersönlichen Bereich möglich.
Als Aufbewahrungsdauer is von der kürztesten möglichen, sinnvollen Dauer auszugehen, 72h sollten nicht überschritten werden.
Videoüberwachungsanlagen (Kamera inkl. Speicher, Computer etc.) unterliegen Art 32 DSGVO und haben daher grdstzl. dem Stand der Technik entsprechend gesichert zu sein.
Dash-Cams sind grdstz. nicht zulässig (vgl. Erkenntnis des VfGH vom 12.9.2016).
Bevor eine Videoüberwachung istalliert wird, ist daher im Einzellfall zu prüfen, ob und wie die rechtlichen Bestimmungen eingehalten werden.
Sämtliche Informationen dieser Seite stellen eine Einführung dar und können eine weitergehende Beratung nicht ersetzen.
Mit langjähriger Erfahrung im IT - Recht kann ich effiziente Strategien bieten, sei es als externe Ressource oder als Projektanwalt:
- Rechtliche Bereuung von Softwareherstellern
- Rechtliche Betreuung von IT-Produkt- und IT-Dienstleistungsanbietern:
- Vertragsgestaltung
- AGB
- Bearbeitung von Gewährleistungsfällen, Schadenersatzansprüchen,
- Inkasso in Zusammenhang mit IT-Produkten, Software, Software as a Service
- Begleitung bei der Einhaltung aufsichtsrechtlicher Erfordernisse, wie Medizinprodukten etc.
- Auslagerungen - Rechenzentrumsvertrag etc.
- Lizenzrechtliche Beratung
- UWG Betreibung und Abwehr
- Ständige Kooperation mit versierten IT-Sachverständigen stellt eine effiziente Beratungspraxis sicher.
DSGVO Checkliste zum ersten Einstiegs- Self -Assessment:
A. Verschwiegenheitsverpflichtung Mitarbeiter
B. Datenschutzerklärung / Information der Betroffenen (z.B. Art 13, 14 DSGVO)
C. Verarbeitungsverzeichniss inkl. Beschreibung der technisch-organisatorischen Maßnahmen
D. Falls nötig Bestellung eins Datenschutzbeauftragten / Nominierung einer zentralen Datenschutzrechtansprechstelle
E. Evaluierung zur Notwendigkeit einer Datenschutz-Folgenabschätzung bzw. Ausarbeitung der Folgenabschätzung
F. Data Breach Notification Prozessbeschreibung
G. Welche Zertifizierungen können eingeholt werden?
H. Vertragscheck - AGB - Geschäftspapiere - allf. Revision, Auftragsverarbeitervereinbarungen - Neuverhandlung, Anpassung
I. Technisch-Organisatorische Maßnahmen - At 31 DSGVO - Sicherheitsmanßnahmen am Stand der Technik, analog und digital.
Zu den einzelnen Punkten:
ad C: Welche Datenverarbeitungen bestehen ?
- Jede Abteilung, jeder Mitarbeiter: Welche Daten werden verarbeitet
- Welche Datenbanken bestehen
- Auf welche Datenbestände intern extern wird durch Programme / Mitarbeiter zugegriffen
- Auflistung aller Dienstleister - Outsourcing: Sind DSGVO konforme Verträge vorhanden?
- 72h Data Breach Notification: PR, Legal, Führung: Ist eine Reaktion von zB Freitag auf Montag möglich
Beispiele für häufige Datenverarbeitungen in Unternehmen sind:
- Buchhaltung
- Personalverwaltung
- Kunden- Lieferantendaten
- Zeiterfassung
- Webseite
- Newsletter
Nutzen Sie das DSGVO Check - Paket: Check Ihrer DSGVO Dokumentation zum Pauschalpreis. Kontaktieren Sie mich dazu.
Für weitergehende Fragen/Antworten benutzen Sie bitte das Kontaktformular.
Diese Information, wie alle auf der Webseite, ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.
Picture Credit: Pixabay, geralt
1. Auskunft einholen
Zunächst kann ein Auskunftsbegehren gem. Art 15 DSGVO an das Unternehmen gerichtet werden, um zu prüfen ob personenbezogene Daten vom Unternehmen überhaupt verarbeitet werden und an wen diese gegebenenfalls weitergegeben wurden. Die Rechtmässigkeit der Datenverarbeitung ist zu prüfen.
Art 15 DSGVO sieht folgende Antwort vor, wenn Daten verarbeitet werden:
- Ob Daten über den Auskunftswerber verarbeitet werden;
- Welche Kategorien personenbezogener Daten verarbeitet werden;
- Die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden;
- Die Speicherdauer;
- Die Rechte der betroffenen Personen;
- Wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- Eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung.
Ein Auskunftsbegehren hat den gesetzlichen Erfordernissen zu entsprechen, der Auskunftswerber hat sich zB eindeutig zu identifizieren.
Sollten personenbezogene Daten an Dritte übermittelt worden sein, kann ein Auskunftsbegehren an Übermittlungsempfänger gestellt werden.
Sollte der Betroffene eine Zustimmung zur Datenverarbeitung / Weitergabe erteilt haben, kann diese jederzeit widerrufen werden und die Löschung der Daten kann verlangt werden.
Auch kann ein Eintrag in die sogenannte "Robinson Liste " gem. § 151 Abs 9 Gewerbeordnung erfolgen (siehe .https://www.wko.at/branchen/information-consulting/werbung-marktkommunikation/Robinsonliste-Eintragung,-Bezug,-Rechte-und-Pflichten.html).
Die Auskunft sollte innerhalb von 1 Monat erfolgen bzw. sollte innerhalb 1 Monats jedenfalls eine Antwort erfolgen.
2. Beurteilung der Schadenersatzansprüche
Was sind die Konsequenzen, wenn die Auskunft eines Unternehmens tatsächlich sensible oa personenbezogene Daten oä über den Betroffenen enthält?
Sollten personenbezogene Daten verarbeitet worden sein, wäre im nächsten Schritt zu prüfen, ob die gesetzlichen Rahmenbedingungen für die Verarbeitung der beauskunfteten personenbezogenen Daten eingehalten wurden, etwa eine allenfalls notwendige Einwilligung vorliegt, diese Einwilligung rechtlich einwandfrei eingeholt wurde etc. Die Rechtsprechung des Obersten Gerichtshof zu den Voraussetzungen zur Einholung von datenschutzrechtlichen Einwilligungserklärungen ist streng - abhängig von der betroffenen Personengruppe, wie zB. Konsumenten. So muss der Betroffene etwa bei Einholung der Einwilligung in Kenntnis darüber gesetzt worden sein, welche Daten(arten) von der Einwilligung umfasst sind (vgl. OGH RS0115216). Einwilligungen können jederzeit ohne weiteres widerrufen werden. Auch ist zu prüfen, ob eine Einwilligung in Datenverarbeitungen möglich ist, deren Ergebnis eventuell nur eine Schätzung darstellt, dennoch aber sensible Informationen enthalten kann. Grundsätzlich sollen Datenverarbeitungen personenbezogener Daten mit Daten erfolgen, die richtig sind.
Betroffene könnten ein Recht auf Berichtigung / Löschung / Einschränkung der Verarbeitung / Berichtigung haben. Auch eine Beschwerde bei der Datenschutzbehörde wäre denkbar, sollten Zweifel an der Rechtmäßigkeit der Datenverarbeitung bestehen.
Jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter nach Art. 82 DSGVO. Im Einzelnen gelten für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts (§ 29 Abs 1 DSG).
Wünschen Sie ein kombiniertes Auskunfts- und Widerspruchsschreiben, kontaktieren Sie uns.
Für Fragen die über diese allgemeine grundsätzliche Darstellung hinausgehen, kontaktieren Sie uns. Dieser Artikel ersetzt keine Rechtsberatung im Einzelfall.
Judikatur zum Datenschutzrecht finden Sie hier.
Aktuelle österr. Rsp in Zusammenhang zu datenschutzrechtlichen Zustimmungserklärungen:
15.10.2018 Entscheidung der Datenschutzbehörde: Eine Einwilligung zu Marketingzwecken (Art 6 Abs 1 lit a DSGVO) ist nur dann freiwillig, wenn durch das Formular nicht der Eindruck erweckt wird, dass nur der Kommunikationskanal gewählt werden kann. Die Platzierung des Unterschriftsfeld, direkt über der Unterschrift für die Anmeldung zur Mitgliedschaft (eines Vereins), entspricht ebenfalls nicht den Kriterien der DSGVO, da der Eindruck erweckt wird, die Einwilligung sei nötig (wodurch die notwendige Freiwilligkeit gem. DSGVO verloren geht). (siehe Newsletter Datenschutzbehörde).
05.11.2018 Entscheidung des OGH: Rechtssatz: "Bei der Koppelung der Einwilligung zu einer Verarbeitung vertragsunabhängiger personenbezogener Daten mit einem Vertragsabschluss ist grundsätzlich davon auszugehen, dass die Erteilung der Einwilligung nicht freiwillig erfolgt, wenn nicht im Einzelfall besondere Umstände für eine Freiwilligkeit der datenschutzrechtlichen Einwilligung sprechen." Näheres im Ris-Justiz.
06.12.2018 Entscheidung der Datenschutzbehörde: Online-Nachrichtenseiten dürfen uU ihrem Angebot eine Entscheidung zwischen "Paywall" und der Zustimmung zur Datenverarbeitung zu Werbezwecken vorschalten. Näheres im Ris-Justiz.
Die maximale Strafdrohung der DSGVO beträgt bis zu 2%-4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmen (oder bis zu 20 Mio EUR).
Daneben hat jeder der einen materiellen oder immateriellen Schaden erlitten hat, der auf einen Verstoß gegen die DSGVO zurückzuführen ist, Anspruch auf Schadenersatz. Denkbar sind etwa immaterielle Schäden durchPersönlichkeitsrechtsverletzungen, erlittene Kränkungen, Beeinträchtigung der Privatsphäre u.a. Mitbewerber könnten etwa Ansprüche gestützt auf UWG geltend machen.
Derzeit ist gem. dem Datenschutzgesetz (2018) vorgesehen, dass Betroffene sich an die Datenschutzbehörde wenden sollen, um erst danach gerichtlich Hilfe in Anspruch zu nehmen. Eine Prüfung im Einzelfall für das zielführendste Vorgehen ist jedenfalls geboten.
Auch Dienstleister, wie Cloud-Anbieter, externe Administratoren etc., sind von diesen Haftungsdrohungen umfasst ("Auftragsverarbeiter" gem. DSGVO).
Für weitergehende Fragen/Antworten benutzen Sie das Kontaktformular.
Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.
Neu: Verpflichtung unter best. Umständen
Mit Inkraft-Treten der DSGVO wird Ein Datenschutzbeauftragter in Unternehmen zwingend vorgeschrieben, wenn (s. Art 37 DSGVO) zB:
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten ("sensible" Daten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
Diese Voraussetzungen sind nicht gänzlich abgegrenzt:
Unter Kerntätigkeit ist die Haupttätigkeit eines Unternehmens zu verstehen. Im Gegensatz dazu steht die Verarbeitung personenbezogener Daten als Nebentätigkeit. Die Abgrenzung ist eine Rechtsfrage. Jedenfalls sind Datenverarbeitungen, ohne die die Haupttätigkeit nicht ausgeführt werden könnte, eher der Kerntätigkeit, als der Nebentätigkeit zuzuordnen. Datenverarbeitungen, die zwar notwendig für die Haupttätigkeit sind, aber von allen/vielen Unternehmen auch durchgeführt werden und die nicht für die jeweilige Haupttätigkeit spezifisch sind, sind wiederum eher nicht der Haupttätigkeit zuzuordnen. Eine genaue gesetzliche Definition, wie Haupt- und Nebentätigkeit zu unterscheiden sind gibt es derzeit nicht.
Der Umfang der Verarbeitung ist ebenfalls nicht definiert. Hier ist wohl ein Vergleich mit der Gesamtbevölkerung bzw. mit der Gesamtanzahl der potentiell Betroffenen durchzuführen.
Diese Verpflichtung trifft auch Auftragsverarbeiter (Dienstleister). Ein Datenschutzbeauftragter kann auch auf frewilliger Basis bestellt werden, dieser unterliegt dann aber auch den Regelungen der DSGVO.
Als schnelle Lösung bietet sich derzeit die Bestellung eines externen Datenschutzbeauftragten an - wie z.B. Rechtsanwälte.
Datenschutzbeauftragte sollen über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügen. Der Datenschutzbeauftragte muss daher umfangreiches juristisches Wissen aufweisen und die technisch notwendigen Kenntnnisse, v.a. bezüglich Sicherheitsmaßnahmen haben.
Die Tätigkeit des Datenschutzbeauftragten soll in "Unabhängigkeit" erfolgen können, d.h. z.B. Mitarbeiter sind bezüglich ihrer Tätigkeit als Datenschutzbeauftragter wömöglich unter Kündigungsschutz gestellt.
Im Wesentlichen hat der Datenschutzbeauftragte folgende Aufgaben:
- Überwachung der Datenverwendungen im Betrieb auf Gesetzmäßigkeit, sowie Durchführung von entsprechenden Unterweisungen
- Durchführung der Folgenabschätzung von Datenanwendungen
- Zusammenarbeit mit der Aufsichtsbehörde.
Jedenfalls ist eine interne Analyse und Dokumentation der Notwendigkeit zu einem Datenschutzbeauftragen zu erstellen, um im Bedarfsfall die gerechtfertigte Nicht-/Bestellung belegen zu können.
Kontaktieren Sie uns zur Möglichkeit einen externen Datenschutzbeauftragten zu bestellen bzw. auch zur Begleitung Ihres innerbetrieblichen Kandidaten oder zu weiteren Fragen zum Thema.
Für Fragen benutzen Sie das Kontaktformular.
Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.
Verpflichtung zum Datenschutzbeauftragten unter bestimmten Umständen:
--> Tipp: Auch wenn für das Unternehmen ein Datenschutzbeauftragter nicht verpflichtend notwendig ist, empfiehlt es sich ein zentrale Ansprechperson für alle datenschutzrechtlichen Belange vorzusehen. So vereinfachen sich datenschutzrechtliche Prozesse, wie z.B. für den Fall eines Data Breach.
--> Sollte kein Datenschutzbeauftragter bestellt werden, erstellen Sie jedenfalls eine Beurteilung, aus welchen Gründen dies nicht erfolgt.
Mit Inkraft-Treten der DSGVO wurde Ein Datenschutzbeauftragter in Unternehmen zwingend vorgeschrieben, wenn (s. Art 37 DSGVO) zB:
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in Datenverarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen in großem Umfang erforderlich machen, oder
- die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten ("sensible" Daten) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.
- die Datenverarbeitung wird von einre Behörde oder öffentlichen Stelle durchgeführt.
Diese Voraussetzungen sind nicht gänzlich abgegrenzt:
Unter Kerntätigkeit ist die Haupttätigkeit eines Unternehmens zu verstehen. Im Gegensatz dazu steht die Verarbeitung personenbezogener Daten als Nebentätigkeit. Die Abgrenzung ist eine Rechtsfrage. Jedenfalls sind Datenverarbeitungen, ohne die die Haupttätigkeit nicht ausgeführt werden könnte, eher der Kerntätigkeit, als der Nebentätigkeit zuzuordnen. Datenverarbeitungen, die zwar notwendig für die Haupttätigkeit sind, aber von allen/vielen Unternehmen auch durchgeführt werden und die nicht für die jeweilige Haupttätigkeit spezifisch sind, sind wiederum eher nicht der Haupttätigkeit zuzuordnen. Eine genaue gesetzliche Definition, wie Haupt- und Nebentätigkeit zu unterscheiden sind gibt es derzeit nicht.
Der Umfang der Verarbeitung ist ebenfalls nicht definiert. Hier ist wohl ein Vergleich mit der Gesamtbevölkerung bzw. mit der Gesamtanzahl der potentiell Betroffenen durchzuführen.
Vielerorten kommunizierte Richtwerte, wie >10 Mitarbeiter oder mehr als 5.000 Kunden sind jedenfalls im Einzelfall kritisch zu hinterfragen. Judikatur dazu existiert noch nicht. Ein Richtwert des Datenschutzgesetz in Deutschland wird voraussichtlich von 10 auf 20 Personen erhöht.
Diese Verpflichtung trifft auch Auftragsverarbeiter (Dienstleister). Ein Datenschutzbeauftragter kann auch auf frewilliger Basis bestellt werden, dieser unterliegt dann aber auch den Regelungen der DSGVO.
Als effiziente Lösung bietet sich derzeit die Bestellung eines externen Datenschutzbeauftragten an - wie z.B. ein Rechtsanwalt.
Datenschutzbeauftragte sollen über Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzverfahren verfügen. Der Datenschutzbeauftragte muss daher umfangreiches juristisches Wissen aufweisen und die technisch notwendigen Kenntnnisse, v.a. bezüglich Sicherheitsmaßnahmen haben.
Die Tätigkeit des Datenschutzbeauftragten soll in "Unabhängigkeit" erfolgen können, d.h. z.B. Mitarbeiter sind bezüglich ihrer Tätigkeit als Datenschutzbeauftragter wömöglich unter Kündigungsschutz gestellt.
Im Wesentlichen hat der Datenschutzbeauftragte folgende Aufgaben:
- Überwachung der Datenverwendungen im Betrieb auf Gesetzmäßigkeit, sowie Durchführung von entsprechenden Unterweisungen
- Durchführung der Folgenabschätzung von Datenanwendungen
- Zusammenarbeit mit der Aufsichtsbehörde.
Jedenfalls ist eine interne Analyse und Dokumentation der Notwendigkeit zu einem Datenschutzbeauftragen zu erstellen, um im Bedarfsfall die gerechtfertigte Nicht-/Bestellung belegen zu können.
Kontaktieren Sie uns zur Möglichkeit einen externen Datenschutzbeauftragten zu bestellen bzw. auch zur Begleitung Ihres innerbetrieblichen Kandidaten oder zu weiteren Fra1gen zum Thema.
Für weitergehende Fragen/Antworten benutzen Sie das Kontaktformular.
Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.
Die Rechte von "Betroffenen", das sind jene Personen, deren Daten verarbeitet werden, sind:
- Informationsrechte - Vorabonformatoin der Betroffenen, welche Daten werden für wen, warum erhoben, welche Rechte hat der Betroffene
- Auskunftsrechte - Welche Daten werden wie verarbeitet
- Kontrollrechte - Sind die verarbeiteten Daten richtig
- Widerspruchsrechte gegen Datenverarbeitungen
- Recht auf Vergessen
- Recht auf Datenübertragbarkeit - Datenportabilität
Anfragen von Betroffenen sind rasch und umfassend zu beantworten, da ansonsten ein Einschreiten der Behörde drohen kann oder vom Betroffenen Rechtsbehelfe herangezogen werden können. Die DSGVO setzt Fristen fest.
Die rechtzeitige, effiziente Beantwortung einer Anfrage auf Auskunft der verarbeiteten Daten setzt etwa voraus, dass eine datenschutzrechtliche Evidenz der Datenverarbeitungen vorliegt, um entsprechende Auszüge herstellen zu können.
Wenn erst nach Einlangen einer Anfrage ermittelt werden muss, welche datenschutzrechtlich relevanten Datenverarbeitungen vorliegen, ist eine fristgerechte Beantwortung mitunter schwierig. Längst nicht jedes mögliches vorhandene Datum ist im Einzelnen auch mitteilungspflichtig bzw. von Betroffenenrechten umfasst. Geschäftsgeheimnisse sind zu beachten. Sind sämtliche Empfänger von Daten inkl. Adresse kurzfristig ermittelbar?
Erhebt ein Betroffener Widerspruch gegen eine Datenverarbeitung ist eine Evidenz der geltenden vertraglichen Regelungen bzw. der bestehenden Zustimmungserklärungen gefragt. Kann ein Vertrag nach Einlangen eines Widerspruchs noch erfüllt werden? Welche Version der AGB gilt gegenüber dem Widersprechenden, welche datenschutzrechtlichen Regelungen waren/sind dort enthalten). Bei Profiling bestehen verschärfte Widerspruchsrechte.
Das "Recht auf Vergessen" folgt auf die bereits jetzt bestehende Regelung v.a. des § 27 Datenschutzgesetz 2000 (Löschung).
Dieser Löschungsanspruch wurde durch die DSGVO ausgebaut. Wurden die zu löschenden Daten des Betroffenen veröffentlicht, muss der Datenverarbeiter neben einer Löschung auch Dritte über die Löschungsanforderung informieren, wie zB Suchmaschinenbetreiber, die Links auf die zu löschenden Daten setzen.
Abgrenzungsfragen hierzu treten im Bereich zwischen Datenverarbeitung zur Vertragserfüllung und zustimmungspflichtiger Datenverarbeitung auf. Auch hier ist eine Evidenz gefragt, durch wen veröffentlichte Daten übernommen werden bzw. an wen diese zur Verarbeitung übermittelt werden.
Ausgenommen vom Recht auf Datenübertragbarkeit sind zB uU nicht automatisiert verarbeitete Daten (Papierablagen etwa). Das Recht auf Datenübertragbarkeit sollte nicht mit dem Auskunftsrecht verwechselt werden. Der Umfang kann ähnliche Ausmaße erreichen.
Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.
Mit der Datenschutzgrundverordnung wird erstmals das "Marktortprinzip" im österr. Datenschutzrecht Einzug halten.
Demnach unterliegen auch Unternehmen mit Sitz außerhalb der EU dem europäischen Datenschutzrecht, wenn Sie innerhalb der EU Waren oder Dienstleistungen anbieten ("doing business") oder wenn Verhalten von Betroffenen innerhalb der EU beobachtet wird.
Ein solches Unternehmen hat uU einen ständigen Vertreter im EU-Raum zu benennen (Art 27 DSG-VO). Dieser Vertreter muss sich in einem jener EU-Staaten befinden, in dem die gegenständlichen Datenverarbeitungen stattfinden.
Weitere gesetzliche Regelungen sind zu beachten,wie z.b. EU-VO etc.
Diese Information stellt eine erste Einführung dar.
Früher: Meldungen bei der Datenschutzbehörde / DVR
Neu: Verarbeitungsverzeichnis
Zukünftig muss für Datenverarbeitungen ein Verzeichnis geführt werden, wenn:
- das Unternehmen größer als 250 Mitarbeiter ist, oder
- eine Verarbeitung ein Risiko für die Freiheite und Rechte von Betroffennen darstellt, oder
- die Verarbeitung nicht nur gelegentlich erfolgt, oder
- sensible Daten werden verarbeitet.
Sicherheitshalber ist daher davon auszugehen, dass nur völlig risikofreie Verarbeitungen von der Verzeichnispflicht ausgenommen sind, Rechtssicherheit besteht dazu noch nicht. Eine gelegentliche Datenverarbeitung ist durch Unternehmen kaum möglich, eher erfolgt typischerweise eine regelmässige Datenverarbeitung.
Ein Verarbeitungsverzeichniss hat im Wesentlichen folgende Voraussetzungen zu erfüllen:
- Alle Verarbeitungstätigkeiten sind zu beschreiben - iZw jeder Verarbeitungsschritt.
- Schriftlichkeit - ein elektronisches Format ist erlaubt
- Kontaktdaten, Verarbeitungszwecke und Kategorien der Daten und Betroffenen sind anzuführen
- Empfängerkategorien und Übermittlungen sind anzuführen
- Löschfristen
- Beschreibung der Verarbeitungssicherheit
Neu ist, dass auch Auftragsverarbeiter uU ein Verarbeitungsverzeichnis zu führen hat.
Bereits am Markt erhältlich ist Software zu Führung des Verarbeitungsverzeichniss.
Die Erstellung ist jedoch im Regelfall nicht sonderlich kompliziert, meist ist die vorausgehende Evaluierung aufwändig und fehleranfällig:
1. Listen Sie alle Datenverarbeitungstätigkeiten Ihres Betriebs auf.
2. Listen Sie pro Datenverarbeitungstätigkeit alle verarbeiteten Daten auf (Gruppierungen sind möglich, z.b. Kontaktdaten des Kunden).
3. Listen Sie alle Datenempfänger auf (im ersten Schritt in Gruppen, z.B. Behörden, Lieferanten etc.)
4. Listen Sie Ihre Auftragsverarbeiter auf
5. Ermittlung der Rechtsgrundlagen: Fügen Sie zu jeder Datenverarbeitung einen Zweck hinzu.
4. Durch welche Maßnahmen sind Sie Art. 31-DSGVO konform?
--> Die sich ergebnede Unterlage kann als Grundlage für die Erstellung eines Vefahrensverzeichnisses dienen.
Das Verfahrensverzeichnis wiederum dient als Grundlage für z.B. eine Datenschutzerklärung an Kunden.
Die bisherige Meldungspflicht verlagert sich somit zur Pflicht Verzeichnisse (für Behörden) vorzuhalten.
Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.
Nutzen Sie das DSGVO Check - Paket:
Gem. DSGVO - etwa Art 5 Abs 2 DSGVO - ist die DSGVO Umsetzung ein kontinuierlicher Prozess.
Checken sie daher rechtzeitig Ihre DSGVO-Dokumentation.
Fragen Sie nach einer Pauschale.
(Unternehmen bis 40 Mitarbeiter)
Sie erhalten eine schriftliche Einschätzung welche Unterlagen unvolständig sind bzw. welche Unterlagen noch fehlen,
welche Schritte als nächsten anstehen, welche Risiken besonders beachtenswert erscheinen.
Sollte Ihre Anfrage umfangreiche Vorarbeiten erfordern werde ich Sie vor Beginn meiner Tätigkeit kontaktieren, um die Vorgehensweise zu besprechen.
"Auftragsverarbeitung" - Dienstleister
Datenverarbeitungen werden häufig ausgelagert durch Dienstleister (am Mai "Auftragsverarbeiter") erledigt.
Z.Bsp.:
- Hostingangebote (E-Mail, Cloud Services)
- Lohnverrechnung
Mit der DSGVO wird der Dienstleister zum Auftragsverarbeiter.
Mit diesen ist ein Vertrag mit zwingendem gesetzlichem Inhalt abzuschließen, wie z.B.:
-Dokumentation der Weisungen des Auftraggebers
-Einhaltung der gesetzlichen Sicherheitsstandards (u.a. Stand der Technik)
-Überprüfbarkeit der DSGVO Compliance durch den Auftraggeber
Der Auftragsverarbeiter hat auch Verarbeitungsverzeichnisse zu führen.
Häufig finden sich in vorgefertigten Auftragsverarbeitervereinbarungen auch Klauseln, die nicht nur die DSGVO betreffen und daneben bestehende Vereinbarungen modifizieren können.
Kontaktieren Sie uns für maßgeschneiderte "Auftragsverarbeitervereinbarungen".
Diese Information ist eine grundsätzliche Einführung und ersetzt keine Beratung im Einzelfall.
Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall. Benutzen Sie allf. Muster nur nach eingehender allseitiger Prüfung und individueller Anpassung.
"Stand der Technik"
Datenschutz durch Technikgestaltung - Art 25, 32 DSGVO
Jeder für eine Datenverarbeitung Verantwortliche gem. DSGVO hat dafür Sorge zu tragen, dass seine IT Sicherheit am Stand der Technik ausgerichtet ist - dies unter Berücksichtigung von ua der wirtschaftlichen Möglichkeiten. Ein Unterschreiten des Stands der Technik nur aus finanziellen Gründen ist allerdings problematisch. Zur Sicherung der Datenverarbeitung sind daneben auch organisatorische Maßnahmen vorzusehen (geeignete Prozesse, Kontrollmaßnahmen etc.)
Der Stand der Technik ist in Österreich in Bezug auf Datenschutz nicht speziell gesetzlich definiert. Im österr. Datenschutzgesetz a.F. finden sich allerdings schon Sicherheitsmaßnahmen (z.B. § 14 DSG). Es ist daher aus Vorsichtsgründen von jenem Stand auszugehen, der zwischen den allgemein anerkannten Regeln der Technik und dem Stand von Wissenschaft und Forschung liegt (vgl. Bartels in iX 7,2017). Die Ermittlung im Einzelfall kann mithilfe von Sachverständigen erfolgen, zu denen wir eine Kontaktbasis bereitstellen.
Beispielsweise definiert die Gewerbeordnung den Stand der Technik wie folgt:
§ 71a. (1) Der Stand der Technik (beste verfügbare Techniken – BVT) im Sinne dieses Bundesgesetzes ist der auf den einschlägigen wissenschaftlichen Erkenntnissen beruhende Entwicklungsstand fortschrittlicher Verfahren, Einrichtungen, Bau- oder Betriebsweisen, deren Funktionstüchtigkeit erprobt und erwiesen ist. Bei der Bestimmung des Standes der Technik sind insbesondere jene vergleichbaren Verfahren, Einrichtungen Bau- oder Betriebsweisen heranzuziehen, welche am wirksamsten zur Erreichung eines allgemein hohen Schutzniveaus für die Umwelt insgesamt sind; weiters sind unter Beachtung der sich aus einer bestimmten Maßnahme ergebenden Kosten und ihres Nutzens und des Grundsatzes der Vorsorge und der Vorbeugung im Allgemeinen wie auch im Einzelfall die Kriterien der Anlage 6 zu diesem Bundesgesetz zu berücksichtigen.[..]
Tipp: Ihre Art 32 DSGVO Dokumentation sollte mehrere Punkte umfassen, wie
- welche technisch-organisatorischen Maßnahmen wurden getroffen, um das geforderte Schutzniveau herzustellen
- wie werden Datenvertraulichkeit, Integrität, Wiederherstelblarkeit, Verfügbarkeit, Zugriffssschutz etc. umgesetzt
- welche Evaluierungspläne bestehen
Diese Information ist eine grundsätzliche Information und ersetzt keine Beratung im Einzelfall.
Prinzipien der DSGVO
Grundprinzipien der Verordnung:
- Geheimhaltungspflicht personenbezogener Daten.
- Rechtfertigungspflicht - Datenverarbeitung darf nur aufgrund rechtlich sanktionierter Interessen erfolgen, die Einhaltung der DSGVO ist jederzeit nachzuweisen (z.B. auf Verlangen der zust. Behörde).
- Zweckbindung - Die Zwecke müssen von den Rechtsgrundlagen getragen sein und im Vorhinein feststehen.
- Datenminimierung - Daten dürfen nur im notwendigen Ausmaß verarbeitet werden.
- Transparenz - Die Personen deren Daten verarbeitet werden, sind zu informieren.
- Datensicherheit - das Sicherheitsniveau muss zur jeweiligen Datenverarbeitung angemessen sein.
- Privacy by Design - Privacy by default - Technische und organisatorische Maßnahmen zur Umsetzung der Prinzipien sind vorzusehen. Die genauen technischen Leitlinien wurden bis dato noch nicht beschlossen.
Das Prinzip der Datensicherheit birgt Risikopotential. Betroffen von der DSGVO sind nicht nur die technische Ausstattung, sondern auch betriebliche Abläufe. Organhaftungen (Geschäftsführer, Vorstände) für Organisationsverschulden sind möglich. Eine allgemeingültige Definition der Datensicherheit existiert auf europäisch-gesetzlicher Ebene nicht, allerdings gibt es gemeinhin anerkannte Standards.
Personenbezug: Nach der DSGVO sind pseudonymisierte Daten personenbezogene Daten, da die Identifikation der Betrofenen möglich ist. Bis dato war im österr. DSG nur vorgesehen, dass eine rechtlich zulässige Identifikationsmöglichkeit den Personenbezug herstellt. Nunmehr reicht de facto eine mögliche Identifizierbarkeit.
Die neue Regelung ist somit wesentlich strenger und dürfte die Zulässigkeit zahlreicher Datenverarbeitungen im medizinischen Bereich betreffen, in dem extensiv mit der Pseudonymisierung gearbeitet wird bzw. wenn verschlüsselt wird.
Bitte beachten Sie, dass die hier angeführten Informationen Grundlagen betreffen und eine individuelle Beratung nicht ersetzen können, Wichtige Ausnahmen, Bezüge etc. können hier naturgemäß nicht dargestellt werden. Bei Fragen kontaktieren Sie mich.
DSGVO FAQ
Häuig gestellte Fragen
Bitte beachten Sie, dass die hier angeführten verkürzten Antworten nur die Grundlagen betreffen und eine individuelle Beratung nicht ersetzen können, Wichtige Ausnahmen, Bezüge etc. können hier naturgemäß nicht dargestellt werden. Bei Fragen kontaktieren Sie mich.
1. Gilt die DSGVO nur für elektronische Datenverarbeitungen?
A: Nein. Gem. Art 2 DSGVO gilt diese auch für die nichtautomatisierte Verarbeitungpersonenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ein Dateisystem ist in Art 4 Z 6 DSGVO definiert. Im Wesentlichen besteht ein Dateisystem personenbezogener Daten schon dann, wenn ein Karteikasten nach z.b. Ordnungsnummern sortiert ist, z.B. ein Aktenschrank mit Patientenakten.
2. Gilt die DSGVO auch für personenbezogene Daten, die vor dem 25. Mai 2018 angelegt/verarbeitet wurden?
3. Betrifft die DSGVO die ärztliche Schweigepflicht?
4. Geht die DSGVO nationalen Gesetzen vor?
5. Kann der "Stand der Technik" aus wirtschaftlichen Gründen unterschritten werden?
6. Wie ist die Dokumentationspflicht des Arztes gem. § 51 ÄrzteG in Einklang mit dem Grundsatz der Speicherbegrenzung gem. DSGVO in Einklang zu bringen?
7. Kann eine Urlaubsvertretung formlos eingesetzt werden?
8. Kann ich weiterhin Cloud Dienstleister in Anspruch nehmen?
9. Ist die Standard- und Musterverordnung obsolet?
10. Was ist gem. Art 15 DSGVO von der Auskunftspflicht nicht umfasst?
Antworten:
A: Nein. Gem. Art 2 DSGVO gilt diese auch für die nichtautomatisierte Verarbeitungpersonenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ein Dateisystem ist in Art 4 Z 6 DSGVO definiert. Im Wesentlichen besteht ein Dateisystem personenbezogener Daten schon dann, wenn ein Karteikasten nach z.b. Ordnungsnummern sortiert ist, z.B. ein Aktenschrank mit Patientenakten.
A: Ja. Gem Art 99 Abs 2 DSGVO gilt dies ab 25.5.2018 auch für "Altbestände" von personenbezogenen Daten.
A: Ja. Bestimmte Regelungen der DSGVO betreffen Bereiche, die auch von den beruflichen Verschwiegenheitspflichten umfasst sind, wie z.B. Datenübermittlungen, Vertraulichkeit uVm. Das Ärztegesetz und entsprechende weitere Rechtsgrundlagen des Medizinrechts sind somit in Verbindung mit der DSGVO und dem DSG zu interpretieren.
A: Die DSGVO ist als EU-Verordnung ab 25. Mai 2018 unmittelbar anwendbar. Über Konflikte zwischen EU-Verordnungen und nationalen Gesetzen entscheidet ua der Europäische Gerichtshof. Mehr über den Grundsatz der unmittelbaren Anwendbarkeit können Sie hier nachlesen. In der DSGVO bestehen "Öffnungsklauseln", zu denen der jeweilige nationale Gesetzgeber eigene Normen erlassen kann und hat.
A: Art 32 DSGVO lässt die Berücksichtigung der "Implementierungskosten" in Grenzen zu. Allerdings sind stets geeignete technische und organisatorische Maßnahmen vorzusehen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Weiters sind stets Art, Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeit und die Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen (u.a., siehe Art 32 u.a. DSGVO). Somit sind durchaus Fälle denkbar, zu denen "geeignete technische und organisatorische Maßnahmen" nicht wirtschaftlich möglich wären. In so einem Fall ist die Datenverarbeitung zu unterlassen.
A: Die Aufbewahrungspflichten im medizinschen Bereich sind über zahlreiche Gesetze geregelt. Ob und wann eine Löschung von Daten zu erfolgen hat, sollte anhand des konkreten Einzelfalls rechtlich genau untersucht werden. Jedenfalls sollte eine Dokumentation erstellt und vorgehalten werden, aus der die Überlegungen und anwendbaren Regelungen für die verschiedenen Fälle hervorgehen.
A: Es könnte ein Anwendungsfall "gemeinsamer Verantwortlicher" gem. Art 26 DSGVO oder ein Auftragsverarbeiterverhältnis (Art 28 DSGVO) vorliegen. Beide erfodern eine "Vereinbarung" (Art 26)/"Vertrag" (Art 28) deren Inhalt der DSGVO entsprechen muss. Daneben muss die Vereinbarung dem sonst anwendbaren (Berufs)recht entsprechen.
8. F: Kann ich weiterhin Cloud Dienstleister in Anspruch nehmen?
A: Derzeit arbeiten zahlreiche Cloud Dienstleister an einer Anpassung ihrer Dienste an die DSGVO. Grundsätzlich ist auch darauf zu achten, dass die vorgeschriebenen Mindeststandards, z.B. des Berufsrechts, durch Heranziehung von Cloud Dienstleistern nicht unterschritten werden.
Gem. Art 28 DSGVO hat ein Auftragsverarbeiter (wie z.B. bestimmte Cloud Dienstleister) dem Verantwortlichen alle erforderlichen Informationen zum Nachweis der Einhaltung der in Art 28 niedergelegten Pflichten zur Verfügung zu stellen und Überprüfungen – einschließlich Inspektionen –, die vom Verantwortlichen oder einem anderen von diesem beauftragten Prüfer durchgeführt werden, zu ermöglichen und dazu beizutragen.
Die Standard- und Musterverordnung wird ausser Kraft treten. Dennoch kann deren Inhalt als erste Orientierung für die Erstellung eins Verarbeitungsverzeichnisses dienen. Gerne erläutere ich Ihnen nähere Details zu einer entsprechenden Vorgehensweise.
10. Was ist gem. Art 15 DSGVO von der Auskunftspflicht nicht umfasst?
Jedenfalls nicht mitumfasst sind Daten, die keinen Personenbezug aufweisen. Dies betrifft laut einem EuGH Judikat zur alten Rechtslage auch Daten in Dokumenten, wie Analysen, die personenunabhängig sind. Bei der Beurteilung des Umfangs von Auskünften ist daher im Einzelfall zu prüfen und darzulegen ob und ob nicht beauskunftet werden sollte. Begründungen sind nötig.
Gem. Art 12 Abs 4 DSGVO dürfen durch eine Auskunft die Rechte und Freiheiten anderer Personen nicht beeinträchtigt werden. Nationale Gesetze können das Auskunftsrecht weiter einschränken, Beschränkungen laut Art 23 DSGVO sind zu beachten.
Die DSGVO ist im Volltext hier abrubar:
https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:32016R0679
Sämtliche Informationen dieser Seite stellen eine Einführung dar und können eine weitergehende Beratung nicht ersetzen.
Bei Fragen und für eine Einzelfallprüfung kontaktieren Sie mich.
Picture Credit: Pixabay, RGY23
Die Datenschutzgrundverordnung ist unter folgenden Links abrufbar:
DSGVO - Deutsche Fassung:
https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=EN
GDPR - Englische Fassung:
https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016R0679&from=EN
Übersichtsseite Eur-Lex zur DSGVO/GDPR:
https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A32016R0679
Österreichisches Datenschutzgesetz im Rechtsinformationssystem des Bundes (RIS):
https://www.ris.bka.gv.at/Ergebnis.wxe?Abfrage=Bundesnormen&Titel=dsg