Im Zentrum der EU Datenschutz Grundverordnung stehen 7 Grundsätzen zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten. Es kommt darauf an, dass sich Unternehmen und Organisationen diese Prinzipien zu eigen machen.
Die Datenschutz-Grundverordnung spricht in diesem Zusammenhang von Auskunftsrechten Betroffener, woraus sich Auskunftspflichten des Verantwortlichen (d.h. des Verarbeiters) zwangsläufig ergeben.
In Österreich hört man von Konsumentenschützern, dass die EU DSGVO gegenüber der bisherigen EU Richtlinie 95/46/EG teilweise eine gesetzliche Verschlechterung für die schutzwürdigen Interessen von Privatpersonen bringen wird. Als Beispiel werden die sogenannten „berechtigten Interessen” Verantwortlicher angeführt.
Zu den Rechten betroffener Personen, also jener, deren personenbezogene Daten verarbeitet werden, zählt laut Datenschutz Grundverordnung (DSGVO) ein umfangreiches Informationsrecht. Auf Seiten von Unternehmen und Organisationen bedeutet dies umfangreiche Informationspflichten. Diese sind in Art. 13f DSGVO geregelt
Damit keine Missverständnisse entstehen können, regelt die Datenschutz Grundverordnung (DSGVO) in Art. 7 klar und deutlich, was unter Einwilligung zu verstehen ist, also die Bedingungen, damit eine Verarbeitung rechtmäßig erfolgen kann.
Viele haben eine rosarote Brille auf, wenn es um die Frage geht, wie fit das eigene Unternehmen bzgl. Datenschutz im Sinne der DSGVO ist. Ein Selbsttest bringt Einsichten und vor allem werden auf diese Weise viele Informationen angeboten. Das Kaspersky Lab kann mit einem Selbsttest überzeugen. Auch das Bayerisches Landesamt für Datenschutzaufsicht hat kürzlich einen Selbsttest online gestellt, der ebenfalls zu empfehlen ist.
Zweifelsohne wird die EU Datenschutz Grundverordnung (DSGVO) vor allem die IT und Rechtsabteilungen von Unternehmen beschäftigen und herausfordern. Aber es hieße die DSGVO in ihrer Tragweite völlig zu unterschätzen, blieben die Herausforderungen darauf beschränkt. Marketing und Vertrieb sind ebenso gefordert und in der Pflicht.
Bei Verstößen gegen die Datenschutz-Grundverordnung drohen Verwaltungsstrafen durch die Aufsichtsbehörden nach Artikel 83 DSGVO, sodann Klagen im Zusammenhang mit Schadensersatzansprüchen nach Artikel 82 DSGVO und dann drohen auch Abmahnungen, betrieben von Abmahnkanzleien und - vereinen. Ein pragmatischer Blick ist gefordert. Panik hilft nicht weiter.
Die EU Datenschutz-Grundverordnung (DSGVO) nutzt neben Stand der Technik
(s. Was versteht die DSGVO unter „Stand der Technik”?
) einen weiteren Begriff im Zusammenhang mit der Sicherheit der Verarbeitung personenbezogener Daten: Belastbarkeit
. Was genau unter Belastbarkeit der Systeme und Dienste
zu verstehen ist, wird jedoch nicht geklärt, bleibt, wie die Formulierung Stand der Technik
, vielmehr unscharf.
Die Verpflichtung zum Führen eines Verzeichnisses der Verarbeitungstätigkeiten, vulgo Verarbeitungsverzeichnisses findet sich in Artikel 30 DSGVO. Es dient zum Nachweis, dass Verantwortliche personenbezogene Daten rechtskonform verarbeiten und unterstützt die Unternehmensleitung, den Datenschutzbeauftragten aber auch die Aufsichtsbehörde bei der Erfüllung ihrer jeweiligen Aufgaben. Es gibt aber Ausnahmen.
Ein Begriff in der Datenschutz-Grundverordung (DSGVO) sorgt für besondere Unruhe: Stand der Technik
. Die DSGVO lässt offen, was der Gesetzgeber darunter versteht und auch nationale Datenschutzgesetze, wie beispielsweise das Österreichische DBS bieten ebenfalls keine Definition. Damit ist diese Vorgabe ein Herausforderung für alle Beteiligten, Aufsichtsbehörden, Verantwortliche und Auftragsverarbeiter.
Einwilligungen sind das Nadelöhr durch das Unternehmen, Organisationen und andere sogenannte Verantwortliche
müssen, um personenbezogene Daten verarbeiten zu dürfen – sofern keine berechtigten Interessen vorliegen. Um Einwilligungen schmackhaft zu machen, bzw. um Betroffene zur Einwilligung zu veranlassen, wird diese häufig mit der Teilnahme an Gewinnspielen, Anmeldung für Events u.v.a.m. verknüpft. Das nennt man Kopplung und das ist verboten.
Dem Datenschutzbeauftragten kommt nach der Datenschutz Grundverordnung eine wichtige Stellung und Aufgabe zu. Geregelt wird dies in Abschnitt 4 DSGVO. Auch wenn Unternehmen nur unter bestimmten Bedingungen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, so empfiehlt sich jedenfalls eine freiwillige Benennung. …
Wiederholt habe ich Geschäftsführer davon reden gehört, dass die Verantwortung für die Einhaltung der Datenschutz Grundverordnung beim Datenschutzbeauftragten liege, den das Unternehmen demnächst beauftragen wolle. Das ist ein großer Irrtum und dieser könnte gravierende Konsequenzen haben. Die Verantwortung kann nicht auf Datenschutzbeauftragte abgewälzt werden.
Das Recht auf Löschung und Vergessenwerden dürfte viele Unternehmen und Organisationen herausfordern. Während beim Recht auf Löschung Betroffene aktiv die Löschung verlangen können, geht es beim Recht auf Löschung im Sinne von Vergessenwerden darum, dass personenbezogene Daten für deren Speicherung und Verarbeitung es keine oder keine ausreichende gesetzliche Grundlage gibt auch ohne Löschanforderung gelöscht werden müssen.
Angenommen Ihr Unternehmen oder Ihre Organisation, vielleicht auch Arztpraxis, Gemeindeamt o.v.a.m. wurde Opfer einer Cyperattacke und es wurden Daten gestohlen. Wissen Sie, was zu tun ist? Kennen Sie die Meldepflichten? Sind Ihnen die Fristen klar? Ist geregelt, wer, in welcher Zeitspanne was zu tun hat?
Oder nehmen wir an, Mitarbeiter*innen waren nicht ganz so sorgsam mit personenbezogenen Daten oder haben bspw. eine Löschungsaufforderung eines Betroffenen nicht weitergeleitet. Kennen Sie die Konsequenzen und wissen Sie, was zu tun ist?
Mit anderen Worten, gibt es ein Krisenmanagement?
Datenschutz beginnt bei der Überlegung, welche Daten für die erfolgreiche Geschäftstätigkeit wirklich erforderlich sind und welche Sorgfalt beim Erheben, Speichern, Verarbeiten und ggf. der Verwertung geboten ist.
Sensible Daten, wie sexuelle Orientierung, politische Zugehörigkeit, Religionszugehörigkeit, auch z.B. Gewerkschaftszugehörigkeit und insbesondere biometrische Daten etc. werden in der Datenschutz Grundverordnung (DSGVO) unter Art. 9, Verarbeitung besonderer Kategorien personenbezogener Daten, behandelt.
Ein zentraler Grundsatz der Datenschutz Grundverordnung (DSGVO) ist der der Rechtmäßigkeit. Was ist darunter zu verstehen und was sind die Bedingungen, die erfüllt sein müssen, um rechtskonform unter dem Gesichtspunkt der Rechtmäßigkeit Daten verarbeiten zu können?
Nationale Gesetze müssen so angepasst werden, dass sie im Einklang mit der EU DSGVO stehen. Das erfolgt in Österreich in sogenannten „Materien-Datenschutz-Anpassungsgesetzen”, sogenannten „Sammelnovellen”. Da geht es um vielfältige, teils formale Anpassungen, teils in großem Umfang. Ein Nebenschauplatz der Gesetzgebung. Das nutzte die ÖVP/FPÖ Regierung, um heikle, aber in keinem Zusammenhang mit dem Datenschutz stehende Gesetze, quasi wie Kuckuckseier darin zu verstecken.
Am 16. Mail wurde im Österreichischen Nationalrat mit Regierungsmehrheit das sogenannten "2. Materien-Datenschutz-Anpassungsgesetz 2018" beschlossen. In Artikel 45, wird das EWR Psychotherapiegesetz geändert. Hier werden massiv und weitgehend die Betroffenenrechte, wie sie die DSGVO regelt, ausgeschlossen.
Am 26. April hat eine erneute Novelle zum Datenschutzgesetz in Österreich den Bundesrat passiert, um noch vor dem 25. Mai, dem Datum der Wirksamkeit der DSGVO, eine politische Agenda gegen die DSGVO in Stellung zu bringen. Damit steht dieser, im Nationalrat von der Regierungsmehrheit beschlossenen Anpassung mit dem Namen Datenschutz-Deregulierungs-Gesetz 2018
, nichts mehr im Weg — es sei denn eine baldige Feststellung des Europäischen Gerichtshofes, dass einige Anpassungen EU-rechtswidrig sind und der Geist dieses Gesetzes nicht nur gegen die DSGVO verstößt, sondern auch die EU Charta der Grundrechte verletzt.
Das österreichische Bundesamt für Verfassungsschutz und Terrorismusbekämpfung (BVT) wird am 28. Februar von 35 Männern, einer Spezialeinheit für Straßenkriminalität, gestürmt, weil das BVT mutmaßlich das Datenschutzgesetz verletzt haben soll. Ein Vorgang, der nur in einem Operettenstaat möglich ist.
Bei Verstößen gegen die EU Datenschutz Grundverordnung (DSGVO) ist in Österreich die Datenschutzbehörde (DSB) zuständig. Bis 2014 hieß die Datenschutzbehörde noch Datenschutzkommission. Ein Urteil des EuGH hatte die fehlende Unabhängigkeit der Datenschutzkommission bemängelt. Was hat sich geändert und wie tickt die Datenschutzbehörde? Was sind ihre Aufgaben, was ihre Befugnisse?
Newsletter sind nach wie vor beliebt und effektiv. Viele Nutzer sind, kurz bevor die Datenschutz-Grundverordnung (DSGVO) am 25. Mai wirksam wird, jedoch verunsichert. Welche Auswirkungen hat die DSGVO auf den Versand von Newslettern und wie wirkt sie sich in Bezug auf E-Mail Kampagnen aus? Worauf ist zu achten?
Zweifelsohne ist die DSGVO ein dankbares Thema, um damit gute Geschäfte zu machen. Vor allem die sehr hohen Strafen von bis zu 20 Millionen EUR und 4 Prozent des weltweiten, vorjährigen Konzernumsatzes schaffen einen entsprechenden Handlungsdruck auf alle, die personenbezogene Daten verarbeiten. Das Marktvolumen ist enorm, denn bis auf die ausschließlich private Nutzung sind alle anderen Gesellschafts- und Wirtschaftsbereiche mehr oder weniger von der DSGVO betroffen, sofern personenbezogene Daten verarbeitet werden.
Österreich — Schon das Regierungsprogramm der ÖVP-FPÖ lässt Bedenken bezüglich des Rechtsverständnisses seiner Protagonisten gegenüber geltendem EU Recht aufkommen. Hier wird bereits ein österreichischer Sonderweg bzgl. EU E-Privacy Verordnung angekündigt. Mitte Januar wurde eine Gesetzesnovelle auf den Weg gebracht, die das in Artikel 21 DSGVO geregelte, grundlegende Betroffenenrecht, das Widerspruchsrecht, in Österreich teilweise außer Kraft setzen soll.
Datensicherheit ist ein zentraler Bestandteil des Datenschutzes. Wer es mit der Datensicherheit nicht so genau nimmt, wird daher spätestens ab 25. Mai 2018 nach DSGVO Probleme bekommen, sofern personenbezogene Daten gestohlen werden oder in falsche Hände geraten. Für solche Fälle droht die DSGVO nicht nur sehr hohe Strafen an, sondern die betroffenen Unternehmen müssen gegebenenfalls mit hohen privaten Schadensersatzforderungen rechnen
Eine vom Market-Institut im Auftrag der Allianz durchgeführte Studie belegt: 60 Prozent der rund 450.000 österreichischen Ein-Personen- und Kleinunternehmen fühlen sich von Cyber-Risiken kaum bedroht
. Entsprechend gestaltet sich das Risikoverhalten und dementsprechend unzureichend ist der Schutz.
Sie glauben, die wesentlichen Anpassungen an die DSGVO vorgenommen zu haben und damit Ihr Risiko angesichts hoher Strafdrohungen minimiert zu haben. Aber ist das wirklich so? Empfiehlt sich nicht ein unabhängiger Test unter realistischen Bedingungen? Wir bieten mit unserem DSGVO Mystery Audit einen wirksamen Test.
In der Dynamik allgemeiner Regulierungen ist es gut zu wissen, warum und zu welchem Zweck ein neues Gesetz oder eine neue Verordnung erlassen oder vorbereitet wird. Zur E-Privacy Verordnung sind es folgende Gründe mit diesen Zielen.
Österreich hat mit dem Datenschutz-Deregulierungs-Gesetz 2018
eine weitere Novelle als Begleitgesetz zur Datenschutz-Grundverordnung (DSGVO) beschlossen. Überwiegend dürfte die Sondergesetzgebung, die nicht im Rahmen von sogenannten Öffnungsklauseln
erfolgte, laut Expertenmeinung nicht EU-rechtskonform sein. Dasselbe gilt über weite Teile auf für die vorangegangene Novelle des Datenschutz-Anpassungsgesetztes 2018
. Wie sich das auswirken könnte, sei an einem Beispiel erläutert.
Für die Speicherung und Verarbeitung personenbezogener Daten braucht es eine ausreichende rechtliche Grundlage, sei es bspw. eine Einwilligung oder eben ein berechtigtes Interesse. Diese rechtlichen Grundlagen sind Betroffenen mitzuteilen und im Verarbeitungsverzeichnis jeweils anzuführen. Doch das ist nicht immer so einfach. Jedenfalls ist das bei verschiedenen Kategorien der Datenverarbeitung keine geringe Herausforderung.
Das in der DSGVO eingeführte Prinzips des One Stop Shops (OSS) nach Artikel 52 DSGVO ermöglicht es Betroffenen, bei der Aufsichtsbehörde in ihrem Land Beschwerde zu führen, bzw. zu klagen. Wie verhält sich das bei Verbandsklagen? Diese sind nicht in allen EU Mitgliedsländern zugelassen (Öffnungsklausel).
Können Unternehmen nach dem 25.5.2018 wie bisher Adressen, die von Adressverlagen bereitgestellt werden, nutzen, auch wenn sie selbst für die Nutzung keine Einwilligung der Betroffenen vorliegen haben?
Öffnungsklauseln DSGVO - Wichtige Fragen zur Auslegung der DSGVO, zu welchen es nicht ausreichende oder widersprüchliche Informationen gibt. In diesem Beitrag geht es um die Frage von Öffnungsklauseln und Kollisionen bei unterschiedlicher Ausgestaltung in den Mitgliedsländern:
Gar nicht so wenige Startups sind so in die Produktentwicklung und Markteinführung vertieft, dass sie gravierende Veränderungen in ihrer Umwelt nicht wirklich mitbekommen. Und plötzlich sehen sie sich mit der Datenschutz–Grundverordnung konfrontiert, getoppt durch die E-Privacy VO und müssen sich nun fragen, ob das Produkt die gesetzliche Vorgaben erfüllen, unzureichend erfüllen oder nicht erfüllen wird.
Tourismus ist ein Informationsgeschäft und Daten sind die Grundlage dieses Geschäfts.
Das meint der Generalsekretär der Österreichischen Hoteliervereinigung und trifft mit seiner Vermutung, dass mit der DSGVO auf die Tourismusbetriebe daher ein beträchtlicher Aufwand zukommt, ins Schwarze. Er formuliert es provokant: Geht der österreichische Tourismus in die Datenschutz-Falle?
Verbandsklagen sind in Österreich nicht zugelassen, auch wenn die Möglichkeit dazu in Art. 79f DSGVO vorgesehen ist. Ebenso können sich Personen bei Verletzung Ihrer durch die DSGVO gesicherten Rechte nur im Falle von Schadensersatzforderung direkt an Gerichte wenden. Ansonsten wird Ihnen in Österreich nur die Möglichkeit einer Beschwerde bei der Datenschutzbehörde eingeräumt.
Gut die Hälfte aller deutschen Unternehmen haben laut einer Umfrage des Branchenverbands bitkom entweder noch gar nichts von der EU Datenschutz Grundverordnung (DSGVO) gehört, oder aber sie haben zwar davon gehört, sich jedoch noch nicht damit auseinandergesetzt. Das dürfte so wohl analog für Österreich zutreffen. Dabei gibt es keinerlei Übergangsfristen, wenn am 25. Mai 2018 die DSGVO wirksam werden wird.
„noyb” ist eine zivilgesellschaftliche Initiative zur Durchsetzung der DSGVO, wo nationale Bedingtheiten oder die Macht großer Unternehmen und Konzerne eine effektive Rechtsdurchsetzung behindern. Der Gründer, Max Schrems, hatte bereits 2005 das Safe-Harbor-Abkommen vor den EU Gerichtshof gebracht, wo es 2015 für ungültig erklärt wurde.
In Österreich war der Datenschutz bislang kein Thema, womit sich allzu viele Unternehmen groß aufgehalten hätten. Zum einen war die Behörde personell nicht angemessen ausgestattet und zum anderen waren die Strafen zahnlos: Die Höchststrafe von 25Tausend Euro war für Branchen, die mit personenbezogenen Daten enormes Geld verdienen, nicht wirklich abschreckend. So bringt die DSGVO vor allem durch die hohen Strafandrohungen von bis zu 20 Mio. Euro oder 4 Prozent des globalen Konzernumsatzes deutlich Schärfe in das Thema.
Wie in einem Reflex versuchen Lobbys in Österreich einen nationalen milden Kurs politisch durchzusetzen, der sich eher an der bisherigen Praxis orientieren soll. Das aber wird es so wohl nicht spielen.
Einen spannenden Beitrag veröffentlichte Carlo Piltz unter dem Titel: Ist die Datenschutz-Grundverordnung doch schon anwendbar?
Zwei Gerichte in der Bundesrepublik Deutschland sagten: ja. Es ist daher zumindest umstritten, ab wann die DSGVO anzuwenden ist. Das würde bedeuten, dass bereits vor dem 25. Mai 2018 die EU Datenschutz-Grundverordnung wirksam sein könnte.
Bislang war es nicht so einfach, einen zu unrecht erfolgten Fahndungsaufruf durch Interpol löschen zu lassen. Das konnte und kann lange dauern, bis der Eintrag endgültig gelöscht wird. Bis dahin müssen Betroffene damit rechnen, von der Polizei oder anderen Exekutivorganen festgenommen zu werden, wo auch immer sie sich befinden. Mit der Datenschutz Grundverordnung (DSGVO) wird sich das ändern müssen.
Das Sicherheitsunternehmen McAfee berichtet von massiv zunehmenden Cyberangriffen auf Krankenhäuser und Arztpraxen. Diagnosen, Verordnungen von Medikamentierungen, Behandlungsunterlagen, sogar ganze Krankengeschichten und Studienergebnisse werden erbeutet und häufig sogar für Erpressungen genutzt. Das berichten Peter Welchering und Manfred Kloiber in Computer und Kommunikation im dlf.
fokus.genba mit fokus.genba.org als Website konzentriert sich auf Kundenanforderungen und zielt darauf ab, einerseits für Kunden nützliche Informationen und Berichte zu bestimmten Themen bereitzustellen und andererseits Interessierte rund um diese Themen als Kunden zu gewinnen.
Darin unterscheidet sich diese Website von meinen beiden anderen Blogs notepad
und pad
auf npo-consulting.net. Dort werden interessante Themen auch außerhalb der Beratungsschwerpunkte aufgegriffen und kommentiert.
Mit anderen Worten bietet diese Seite einen themenspezifischen Fokus rund um konkrete Beratungsleistungen.
Im Zusammenhang mit der DSGVO kann Ihnen die Zusammenstellung von Kontaktdaten von Behörden, Kammern und weiteren Auskunftstellen nützlich sein.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 15/18 zum Thema: Achtung bei Datenabgleich- Gefahr von Phishing, DSGVO und Algorithmen, Personalmangel bei Aufsichtsbehörden, Google Analytics und DSGVO Compliance.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 16/18 zum Thema: Datenlecks und DSGVO, drohende Abmahnungen, Informationspflichten, 87 Prozent der deutschen Unternehmen nicht ausreichend auf DSGVO vorbereitet, Google Analytics und DSGVO, Facebook zieht Daten ab,
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 9/18 zum Thema: Verschlüsselung von E-Mails, Verarbeitung von Personaldaten, Personalaktenverwaltung
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 8/18 zum Thema: Chatbots, Messenger Dienste; DSGVO konformes E-Mail Marketing; NIS, DSGVO noch immer unterschätzt.