Bei Verstößen gegen die EU Datenschutz Grundverordnung (DSGVO) ist in Österreich die Datenschutzbehörde (DSB) zuständig. Bis 2014 hieß die Datenschutzbehörde noch Datenschutzkommission. Ein Urteil des EuGH hatte die fehlende Unabhängigkeit der Datenschutzkommission bemängelt. Was hat sich geändert und wie tickt die Datenschutzbehörde? Was sind ihre Aufgaben, was ihre Befugnisse?
Was läge näher, als sich bei der Verwendung von Cookies am Beispiel der Datenschutzbehörde selbst zu orientieren. Immerhin unterstellt man ihr, dass sie in Sachen Datenschutz vorbildlich und damit rechtskonform agiert. Bei einer kritischen Betrachtung zeigt sich aber, dass dem eher nicht so ist.
Der Schutz personenbezogener Daten von Kund*innen dürfte der POST AG nicht besonders am Herzen liegen. Zumindest lassen zahlreiche Verstöße gegen die DSGVO, einschlägige Beschwerden und Verfahren darauf schließen, nicht zuletzt eine Verurteilung durch das Landesgericht Feldkirch. Aber wie es scheint: Die POST AG lernt nicht dazu; bestenfalls führen Bescheide der Datenschutzbehörde oder Verfahrensurteile zur Korrektur.
Es deutet einiges daraufhin, dass die POST AG mehr an Kosteneinsparungen durch digitale Optimierung von Kundenprozessen interessiert ist, als an den Kund*innen selbst.
Die POST AG hat es in den letzten Monaten zum prominentesten Fall eines massiven Verstoßes gegen das Datenschutzgesetz (DSGVO) in Österreich gebracht. Zumindest zwei Prüfverfahren wurden von der Datenschutzbehörde eingeleitet. Darüber hinaus zeigt die POST AG bei der Beantwortung von Auskünften nach Artikel 15 DSGVO mangelnde Professionalität in der Abwicklung, die fallweise durchaus Formen passiven Widerstands gegenüber Betroffenenrechten annimmt.
Newsletter sind nach wie vor beliebt und effektiv. Viele Nutzer sind, kurz bevor die Datenschutz-Grundverordnung (DSGVO) am 25. Mai wirksam wird, jedoch verunsichert. Welche Auswirkungen hat die DSGVO auf den Versand von Newslettern und wie wirkt sie sich in Bezug auf E-Mail Kampagnen aus? Worauf ist zu achten?
Zweifelsohne ist die DSGVO ein dankbares Thema, um damit gute Geschäfte zu machen. Vor allem die sehr hohen Strafen von bis zu 20 Millionen EUR und 4 Prozent des weltweiten, vorjährigen Konzernumsatzes schaffen einen entsprechenden Handlungsdruck auf alle, die personenbezogene Daten verarbeiten. Das Marktvolumen ist enorm, denn bis auf die ausschließlich private Nutzung sind alle anderen Gesellschafts- und Wirtschaftsbereiche mehr oder weniger von der DSGVO betroffen, sofern personenbezogene Daten verarbeitet werden.
Datensicherheit ist ein zentraler Bestandteil des Datenschutzes. Wer es mit der Datensicherheit nicht so genau nimmt, wird daher spätestens ab 25. Mai 2018 nach DSGVO Probleme bekommen, sofern personenbezogene Daten gestohlen werden oder in falsche Hände geraten. Für solche Fälle droht die DSGVO nicht nur sehr hohe Strafen an, sondern die betroffenen Unternehmen müssen gegebenenfalls mit hohen privaten Schadensersatzforderungen rechnen.
Eine vom Market-Institut im Auftrag der Allianz durchgeführte Studie belegt: 60 Prozent der rund 450.000 österreichischen Ein-Personen- und Kleinunternehmen fühlen sich von Cyber-Risiken kaum bedroht
. Entsprechend gestaltet sich das Risikoverhalten und dementsprechend unzureichend ist der Schutz.
Sie glauben, die wesentlichen Anpassungen an die DSGVO vorgenommen zu haben und damit Ihr Risiko angesichts hoher Strafdrohungen minimiert zu haben. Aber ist das wirklich so? Empfiehlt sich nicht ein unabhängiger Test unter realistischen Bedingungen? Wir bieten mit unserem DSGVO Mystery Audit einen wirksamen Test.
In Österreich hat der Nationalrat in einer Novelle zum Gesundheitstelematikgesetz im September 2020 den Elektronischen Impfpass (E-Impfpass) beschlossen. Damit sollen sämtliche Impfungen personenbezogen in einem zentralen Impfregister, das bei der ELGA GmbH eingerichtet werden soll, gespeichert und verarbeitet werden. Ziel sei es, so valide Daten zur Durchimpfungsrate zu gewinnen und die Impfversorgung der Bevölkerung optimieren zu können. Wie sieht es mit zentralen Datenschutzfragen dazu aus?
Österreich hat mit dem Datenschutz-Deregulierungs-Gesetz 2018
eine weitere Novelle als Begleitgesetz zur Datenschutz-Grundverordnung (DSGVO) beschlossen. Überwiegend dürfte die Sondergesetzgebung, die nicht im Rahmen von sogenannten Öffnungsklauseln
erfolgte, laut Expertenmeinung nicht EU-rechtskonform sein. Dasselbe gilt über weite Teile auf für die vorangegangene Novelle des Datenschutz-Anpassungsgesetztes 2018
. Wie sich das auswirken könnte, sei an einem Beispiel erläutert.
Verarbeitungsverzeichnis
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten von Mitarbeiter*innen
Für die Speicherung und Verarbeitung personenbezogener Daten braucht es eine ausreichende rechtliche Grundlage, sei es bspw. eine Einwilligung oder eben ein berechtigtes Interesse. Diese rechtlichen Grundlagen sind Betroffenen mitzuteilen und im Verarbeitungsverzeichnis jeweils anzuführen. Doch das ist nicht immer so einfach. Jedenfalls ist das bei verschiedenen Kategorien der Datenverarbeitung keine geringe Herausforderung.
Das in der DSGVO eingeführte Prinzips des One Stop Shops (OSS) nach Artikel 52 DSGVO ermöglicht es Betroffenen, bei der Aufsichtsbehörde in ihrem Land Beschwerde zu führen, bzw. zu klagen. Wie verhält sich das bei Verbandsklagen? Diese sind nicht in allen EU Mitgliedsländern zugelassen (Öffnungsklausel).
Können Unternehmen nach dem 25.5.2018 wie bisher Adressen, die von Adressverlagen bereitgestellt werden, nutzen, auch wenn sie selbst für die Nutzung keine Einwilligung der Betroffenen vorliegen haben?
Öffnungsklauseln DSGVO - Wichtige Fragen zur Auslegung der DSGVO, zu welchen es nicht ausreichende oder widersprüchliche Informationen gibt. In diesem Beitrag geht es um die Frage von Öffnungsklauseln und Kollisionen bei unterschiedlicher Ausgestaltung in den Mitgliedsländern:
Das Bundesministerium für Digitales und Wirtschaftsstandort (BMDW) tut sich augenscheinlich schwer mit der EU Datenschutz-Grundverordnung (DSGVO). Jedenfalls scheint der österreichischen Ministerialbürokratie das Mindset hinter der DSGVO eher fremd zu sein, jedenfalls ungewohnt. Immer wieder zeigen Verhaltensweisen ein Amtsverständnis, das man unschwer eher im vorvorigen, also im 19. Jahrhundert glaubt verorten zu können. Ein modernes Dienstleistungsverständnis, wie es in der EU Verordnung sichtbar wird, sieht anders aus.
Gar nicht so wenige Startups sind so in die Produktentwicklung und Markteinführung vertieft, dass sie gravierende Veränderungen in ihrer Umwelt nicht wirklich mitbekommen. Und plötzlich sehen sie sich mit der Datenschutz–Grundverordnung konfrontiert, getoppt durch die E-Privacy VO und müssen sich nun fragen, ob das Produkt die gesetzliche Vorgaben erfüllen, unzureichend erfüllen oder nicht erfüllen wird. (Update vom 3.9.18)
Tourismus ist ein Informationsgeschäft und Daten sind die Grundlage dieses Geschäfts.
Das meint der Generalsekretär der Österreichischen Hoteliervereinigung und trifft mit seiner Vermutung, dass mit der DSGVO auf die Tourismusbetriebe daher ein beträchtlicher Aufwand zukommt, ins Schwarze. Er formuliert es provokant: Geht der österreichische Tourismus in die Datenschutz-Falle?
Verbandsklagen sind in Österreich nicht zugelassen, auch wenn die Möglichkeit dazu in Art. 79f DSGVO vorgesehen ist. Ebenso können sich Personen bei Verletzung Ihrer durch die DSGVO gesicherten Rechte nur im Falle von Schadensersatzforderung direkt an Gerichte wenden. Ansonsten wird Ihnen in Österreich nur die Möglichkeit einer Beschwerde bei der Datenschutzbehörde eingeräumt.
Gut die Hälfte aller deutschen Unternehmen haben laut einer Umfrage des Branchenverbands bitkom entweder noch gar nichts von der EU Datenschutz Grundverordnung (DSGVO) gehört, oder aber sie haben zwar davon gehört, sich jedoch noch nicht damit auseinandergesetzt. Das dürfte so wohl analog für Österreich zutreffen. Dabei gibt es keinerlei Übergangsfristen, wenn am 25. Mai 2018 die DSGVO wirksam werden wird.
„noyb” ist eine zivilgesellschaftliche Initiative zur Durchsetzung der DSGVO, wo nationale Bedingtheiten oder die Macht großer Unternehmen und Konzerne eine effektive Rechtsdurchsetzung behindern. Der Gründer, Max Schrems, hatte bereits 2005 das Safe-Harbor-Abkommen vor den EU Gerichtshof gebracht, wo es 2015 für ungültig erklärt wurde.
In Österreich war der Datenschutz bislang kein Thema, womit sich allzu viele Unternehmen groß aufgehalten hätten. Zum einen war die Behörde personell nicht angemessen ausgestattet und zum anderen waren die Strafen zahnlos: Die Höchststrafe von 25Tausend Euro war für Branchen, die mit personenbezogenen Daten enormes Geld verdienen, nicht wirklich abschreckend. So bringt die DSGVO vor allem durch die hohen Strafandrohungen von bis zu 20 Mio. Euro oder 4 Prozent des globalen Konzernumsatzes deutlich Schärfe in das Thema.
Wie in einem Reflex versuchen Lobbys in Österreich einen nationalen milden Kurs politisch durchzusetzen, der sich eher an der bisherigen Praxis orientieren soll. Das aber wird es so wohl nicht spielen.
Einen spannenden Beitrag veröffentlichte Carlo Piltz unter dem Titel: Ist die Datenschutz-Grundverordnung doch schon anwendbar?
Zwei Gerichte in der Bundesrepublik Deutschland sagten: ja. Es ist daher zumindest umstritten, ab wann die DSGVO anzuwenden ist. Das würde bedeuten, dass bereits vor dem 25. Mai 2018 die EU Datenschutz-Grundverordnung wirksam sein könnte.
Weitgehend unbemerkt brachte der Nationalrat den Elektronischen Impfpass (E-Impfpass) mittels Novelle zum Gesundheitstelematikgesetz auf den Weg. In einer Presseaussendung der Parlamentsdirektion heißt es, dass dieser E-Impfass valide Daten liefern soll. Wie dieser E-Impfpass aus datenschutzrechtlicher Sicht beurteilt werden muss, wird nicht nachvollziehbar ausgeführt.
Viele Bereiche des Gesundheitswesens sind weit davon entfernt, den Anforderungen des Datenschutzes zu entsprechen, personenbezogene Daten sicher, diskret und gesetzeskonform zu verarbeiten.
In einer losen Folge von Beiträgen zeigen wir einige Problemfelder auf, die häufig übergangen werden. Im Vordergrund stehen zunächst die Klient*innen- beziehungsweise Patient*innenenkommunikation in Krankenhäusern und Arztpraxen. Hier wird häufig gedankenlos, teilweise grob fahrlässig mit personenbezogenen Daten umgegangen, darunter sensible Daten, also Daten der besonderen Kategorie nach Artikel 9 DSGVO.
Das Sicherheitsunternehmen McAfee berichtet von massiv zunehmenden Cyberangriffen auf Krankenhäuser und Arztpraxen. Diagnosen, Verordnungen von Medikamentierungen, Behandlungsunterlagen, sogar ganze Krankengeschichten und Studienergebnisse werden erbeutet und häufig sogar für Erpressungen genutzt. Das berichten Peter Welchering und Manfred Kloiber in Computer und Kommunikation im dlf.
Bislang war es nicht so einfach, einen zu unrecht erfolgten Fahndungsaufruf durch Interpol löschen zu lassen. Das konnte und kann lange dauern, bis der Eintrag endgültig gelöscht wird. Bis dahin müssen Betroffene damit rechnen, von der Polizei oder anderen Exekutivorganen festgenommen zu werden, wo auch immer sie sich befinden. Mit der Datenschutz Grundverordnung (DSGVO) wird sich das ändern müssen.
Schon seit den ersten Entwürfen zur EU Datenschutz-Grundverordnung machten Falschmeldungen die Runde. Von enormem Aufwand war und ist die Rede, von hohen Umsatzeinbußen, die die Umsetzung nach sich zögen bis hin zu ruinös hohen Strafen, die gerade kleine und mittelständische Unternehmen nicht leisten könnten. Seit einigen Monaten gibt es neue Fake News, die wohl den Eindruck erwecken sollen, dass Österreich ein Musterland bei der Umsetzung der DSGVO sei und 99,9 Prozent der Unternehmen die Vorgaben bereits erfüllten. Es wird zudem Stimmung gegen jene gemacht, die von Betroffenenrechten Gebrauch machen und sich mit einer Beschwerde an die Datenschutzbehörde wenden. Sie werden als „Vernaderer” diffamiert. Fake News, die Unternehmen und dem Wirtschaftsstandort aber auch dem Rechtsempfinden schaden. Denn nichts davon hat sich bewahrheitet. Allerdings gibt es entgegen fälschlicher Behautpungen noch immer großen Handlungsbedarf bei der Anpassung und Umsetzung.
fokus.genba mit fokus.genba.org als Website konzentriert sich auf Kundenanforderungen und zielt darauf ab, einerseits für Kunden nützliche Informationen und Berichte zu bestimmten Themen bereitzustellen und andererseits Interessierte rund um diese Themen als Kunden zu gewinnen.
Darin unterscheidet sich diese Website von meinen beiden anderen Blogs notepad
und pad
auf npo-consulting.net. Dort werden interessante Themen auch außerhalb der Beratungsschwerpunkte aufgegriffen und kommentiert.
Mit anderen Worten bietet diese Seite einen themenspezifischen Fokus rund um konkrete Beratungsleistungen.
Im Zusammenhang mit der DSGVO kann Ihnen die Zusammenstellung von Kontaktdaten von Behörden, Kammern und weiteren Auskunftstellen nützlich sein.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 15/18 zum Thema: Achtung bei Datenabgleich- Gefahr von Phishing, DSGVO und Algorithmen, Personalmangel bei Aufsichtsbehörden, Google Analytics und DSGVO Compliance.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 16/18 zum Thema: Datenlecks und DSGVO, drohende Abmahnungen, Informationspflichten, 87 Prozent der deutschen Unternehmen nicht ausreichend auf DSGVO vorbereitet, Google Analytics und DSGVO, Facebook zieht Daten ab,
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 9/18 zum Thema: Verschlüsselung von E-Mails, Verarbeitung von Personaldaten, Personalaktenverwaltung
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 8/18 zum Thema: Chatbots, Messenger Dienste; DSGVO konformes E-Mail Marketing; NIS, DSGVO noch immer unterschätzt.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 7/18 zum Thema: DSGVO und Kundenmarketing, Verlage und DSGVO, Recht auf Vergessen, Whois Abfragen, Wordpress DSGVO Plugin
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 6/18 zum Thema: Österreicherin wird neue Leiterin der Artikel 29 Datenschutzgruppe, Löschen, Verfügbarkein und Wiederherstellung von Daten, Hinweise für Website-Betreiber, DSGVO und eCommerce, Branchenunterschiede berücksichtigen.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 5/18 zum Thema: Facebook veröffentlicht Datenschutzgrundlagen, Facebooks Messenger Kids, ePrivacy-VO Synopse, EU Kommission veröffentlicht Infographik zur DSGVO und Leitfaden, Verpflichtung zum Datengeheimnis, ePrivacy und Third Party Cookies
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 4/18 zum Thema DSGVO: DSGVO, Klagen und Abmahnungen, Fachkräftemangel im Datenschutz, DSGVO und Steuerverwaltungsverfahren, Informationspflichten bei Videoüberwachungen, Android Apps und DSGVO, Facebooks neues "Privacy Centre"
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 3/18 zum Thema DSGVO: Wie werden Konsumenten von der DSGVO Gebrauch machen (Umfrageergebnisse), DSGVO und Post, Drucken in Netzwerken, KMU und externe Datenschutz-Expertise, DSGVO und internationaler Datenverkehr, DSGVO Herausforderung für MailChimp Nutzer, Datenschutz und IT Betriebsvereinbarungen.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 2/18 zum Thema DSGVO: Auskunfteien, Pseudonymisierung, Folgenabschätzung, DSGVO und Bildungseinrichtungen, Haltung gegenüber DSGVO
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 50/17 zum Thema DSGVO: Stand der Technik, Kirchlicher Datenschutz (KDG), Umgang mit Bewerberdaten, WP259, Einwilligungen, Verschlüsselung, Stand der Umsetzung
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 1/18 zum Thema DSGVO: Vermieter und DSGVO, Beweislast und Schadensersatz, Bewerbungsverfahren.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten 8 Beiträgen aus der Kalenderwoche 51/17 zum Thema DSGVO: Bußgelder, Verfahrensverzeichnis und KMU, DSGVO und Unternehmenskultur, Speichern auf USB, DSGVO konformer Endpunktschutz
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 49/17 zum Thema DSGVO: DSGVO und Kommunen, Beschäftigtendaten, Datenarchivierung, Probleme mit Datenportabilität
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 48/17 zum Thema DSGVO: DSGVO und Gastronomie, DSGVO und Kommunen, CRM, Folgen für Whois Abfragen, Cloud Services.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen zum Datenschutz aus der Kalenderwoche 47/17, die in der Fülle von - vor allem online - Veröffentlichungen erwähnenswert scheinen.
- 1
- 2