Sie glauben, die wesentlichen Anpassungen an die DSGVO vorgenommen zu haben und damit Ihr Risiko angesichts hoher Strafdrohungen minimiert zu haben. Aber ist das wirklich so? Empfiehlt sich nicht ein unabhängiger Test unter realistischen Bedingungen? Wir bieten mit unserem DSGVO Mystery Audit einen wirksamen Test.
Österreich hat mit dem Datenschutz-Deregulierungs-Gesetz 2018
eine weitere Novelle als Begleitgesetz zur Datenschutz-Grundverordnung (DSGVO) beschlossen. Überwiegend dürfte die Sondergesetzgebung, die nicht im Rahmen von sogenannten Öffnungsklauseln
erfolgte, laut Expertenmeinung nicht EU-rechtskonform sein. Dasselbe gilt über weite Teile auf für die vorangegangene Novelle des Datenschutz-Anpassungsgesetztes 2018
. Wie sich das auswirken könnte, sei an einem Beispiel erläutert.
Verarbeitungsverzeichnis
Rechtsgrundlagen für die Verarbeitung personenbezogener Daten von Mitarbeiter*innen
Für die Speicherung und Verarbeitung personenbezogener Daten braucht es eine ausreichende rechtliche Grundlage, sei es bspw. eine Einwilligung oder eben ein berechtigtes Interesse. Diese rechtlichen Grundlagen sind Betroffenen mitzuteilen und im Verarbeitungsverzeichnis jeweils anzuführen. Doch das ist nicht immer so einfach. Jedenfalls ist das bei verschiedenen Kategorien der Datenverarbeitung keine geringe Herausforderung.
Das in der DSGVO eingeführte Prinzips des One Stop Shops (OSS) nach Artikel 52 DSGVO ermöglicht es Betroffenen, bei der Aufsichtsbehörde in ihrem Land Beschwerde zu führen, bzw. zu klagen. Wie verhält sich das bei Verbandsklagen? Diese sind nicht in allen EU Mitgliedsländern zugelassen (Öffnungsklausel).
Können Unternehmen nach dem 25.5.2018 wie bisher Adressen, die von Adressverlagen bereitgestellt werden, nutzen, auch wenn sie selbst für die Nutzung keine Einwilligung der Betroffenen vorliegen haben?
Öffnungsklauseln DSGVO - Wichtige Fragen zur Auslegung der DSGVO, zu welchen es nicht ausreichende oder widersprüchliche Informationen gibt. In diesem Beitrag geht es um die Frage von Öffnungsklauseln und Kollisionen bei unterschiedlicher Ausgestaltung in den Mitgliedsländern:
Das Bundesministerium für Digitales und Wirtschaftsstandort (BMDW) tut sich augenscheinlich schwer mit der EU Datenschutz-Grundverordnung (DSGVO). Jedenfalls scheint der österreichischen Ministerialbürokratie das Mindset hinter der DSGVO eher fremd zu sein, jedenfalls ungewohnt. Immer wieder zeigen Verhaltensweisen ein Amtsverständnis, das man unschwer eher im vorvorigen, also im 19. Jahrhundert glaubt verorten zu können. Ein modernes Dienstleistungsverständnis, wie es in der EU Verordnung sichtbar wird, sieht anders aus.
Gar nicht so wenige Startups sind so in die Produktentwicklung und Markteinführung vertieft, dass sie gravierende Veränderungen in ihrer Umwelt nicht wirklich mitbekommen. Und plötzlich sehen sie sich mit der Datenschutz–Grundverordnung konfrontiert, getoppt durch die E-Privacy VO und müssen sich nun fragen, ob das Produkt die gesetzliche Vorgaben erfüllen, unzureichend erfüllen oder nicht erfüllen wird. (Update vom 3.9.18)
Tourismus ist ein Informationsgeschäft und Daten sind die Grundlage dieses Geschäfts.
Das meint der Generalsekretär der Österreichischen Hoteliervereinigung und trifft mit seiner Vermutung, dass mit der DSGVO auf die Tourismusbetriebe daher ein beträchtlicher Aufwand zukommt, ins Schwarze. Er formuliert es provokant: Geht der österreichische Tourismus in die Datenschutz-Falle?
Verbandsklagen sind in Österreich nicht zugelassen, auch wenn die Möglichkeit dazu in Art. 79f DSGVO vorgesehen ist. Ebenso können sich Personen bei Verletzung Ihrer durch die DSGVO gesicherten Rechte nur im Falle von Schadensersatzforderung direkt an Gerichte wenden. Ansonsten wird Ihnen in Österreich nur die Möglichkeit einer Beschwerde bei der Datenschutzbehörde eingeräumt.
Gut die Hälfte aller deutschen Unternehmen haben laut einer Umfrage des Branchenverbands bitkom entweder noch gar nichts von der EU Datenschutz Grundverordnung (DSGVO) gehört, oder aber sie haben zwar davon gehört, sich jedoch noch nicht damit auseinandergesetzt. Das dürfte so wohl analog für Österreich zutreffen. Dabei gibt es keinerlei Übergangsfristen, wenn am 25. Mai 2018 die DSGVO wirksam werden wird.
„noyb” ist eine zivilgesellschaftliche Initiative zur Durchsetzung der DSGVO, wo nationale Bedingtheiten oder die Macht großer Unternehmen und Konzerne eine effektive Rechtsdurchsetzung behindern. Der Gründer, Max Schrems, hatte bereits 2005 das Safe-Harbor-Abkommen vor den EU Gerichtshof gebracht, wo es 2015 für ungültig erklärt wurde.
In Österreich war der Datenschutz bislang kein Thema, womit sich allzu viele Unternehmen groß aufgehalten hätten. Zum einen war die Behörde personell nicht angemessen ausgestattet und zum anderen waren die Strafen zahnlos: Die Höchststrafe von 25Tausend Euro war für Branchen, die mit personenbezogenen Daten enormes Geld verdienen, nicht wirklich abschreckend. So bringt die DSGVO vor allem durch die hohen Strafandrohungen von bis zu 20 Mio. Euro oder 4 Prozent des globalen Konzernumsatzes deutlich Schärfe in das Thema.
Wie in einem Reflex versuchen Lobbys in Österreich einen nationalen milden Kurs politisch durchzusetzen, der sich eher an der bisherigen Praxis orientieren soll. Das aber wird es so wohl nicht spielen.
Einen spannenden Beitrag veröffentlichte Carlo Piltz unter dem Titel: Ist die Datenschutz-Grundverordnung doch schon anwendbar?
Zwei Gerichte in der Bundesrepublik Deutschland sagten: ja. Es ist daher zumindest umstritten, ab wann die DSGVO anzuwenden ist. Das würde bedeuten, dass bereits vor dem 25. Mai 2018 die EU Datenschutz-Grundverordnung wirksam sein könnte.
Bislang war es nicht so einfach, einen zu unrecht erfolgten Fahndungsaufruf durch Interpol löschen zu lassen. Das konnte und kann lange dauern, bis der Eintrag endgültig gelöscht wird. Bis dahin müssen Betroffene damit rechnen, von der Polizei oder anderen Exekutivorganen festgenommen zu werden, wo auch immer sie sich befinden. Mit der Datenschutz Grundverordnung (DSGVO) wird sich das ändern müssen.
Viele Bereiche des Gesundheitswesens sind weit davon entfernt, den Anforderungen des Datenschutzes zu entsprechen, personenbezogene Daten sicher, diskret und gesetzeskonform zu verarbeiten.
In einer losen Folge von Beiträgen zeigen wir einige Problemfelder auf, die häufig übergangen werden. Im Vordergrund stehen zunächst die Klient*innen- beziehungsweise Patient*innenenkommunikation in Krankenhäusern und Arztpraxen. Hier wird häufig gedankenlos, teilweise grob fahrlässig mit personenbezogenen Daten umgegangen, darunter sensible Daten, also Daten der besonderen Kategorie nach Artikel 9 DSGVO.
Schon seit den ersten Entwürfen zur EU Datenschutz-Grundverordnung machten Falschmeldungen die Runde. Von enormem Aufwand war und ist die Rede, von hohen Umsatzeinbußen, die die Umsetzung nach sich zögen bis hin zu ruinös hohen Strafen, die gerade kleine und mittelständische Unternehmen nicht leisten könnten. Seit einigen Monaten gibt es neue Fake News, die wohl den Eindruck erwecken sollen, dass Österreich ein Musterland bei der Umsetzung der DSGVO sei und 99,9 Prozent der Unternehmen die Vorgaben bereits erfüllten. Es wird zudem Stimmung gegen jene gemacht, die von Betroffenenrechten Gebrauch machen und sich mit einer Beschwerde an die Datenschutzbehörde wenden. Sie werden als „Vernaderer” diffamiert. Fake News, die Unternehmen und dem Wirtschaftsstandort aber auch dem Rechtsempfinden schaden. Denn nichts davon hat sich bewahrheitet. Allerdings gibt es entgegen fälschlicher Behautpungen noch immer großen Handlungsbedarf bei der Anpassung und Umsetzung.
Das Sicherheitsunternehmen McAfee berichtet von massiv zunehmenden Cyberangriffen auf Krankenhäuser und Arztpraxen. Diagnosen, Verordnungen von Medikamentierungen, Behandlungsunterlagen, sogar ganze Krankengeschichten und Studienergebnisse werden erbeutet und häufig sogar für Erpressungen genutzt. Das berichten Peter Welchering und Manfred Kloiber in Computer und Kommunikation im dlf.
fokus.genba mit fokus.genba.org als Website konzentriert sich auf Kundenanforderungen und zielt darauf ab, einerseits für Kunden nützliche Informationen und Berichte zu bestimmten Themen bereitzustellen und andererseits Interessierte rund um diese Themen als Kunden zu gewinnen.
Darin unterscheidet sich diese Website von meinen beiden anderen Blogs notepad
und pad
auf npo-consulting.net. Dort werden interessante Themen auch außerhalb der Beratungsschwerpunkte aufgegriffen und kommentiert.
Mit anderen Worten bietet diese Seite einen themenspezifischen Fokus rund um konkrete Beratungsleistungen.
Im Zusammenhang mit der DSGVO kann Ihnen die Zusammenstellung von Kontaktdaten von Behörden, Kammern und weiteren Auskunftstellen nützlich sein.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 15/18 zum Thema: Achtung bei Datenabgleich- Gefahr von Phishing, DSGVO und Algorithmen, Personalmangel bei Aufsichtsbehörden, Google Analytics und DSGVO Compliance.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 16/18 zum Thema: Datenlecks und DSGVO, drohende Abmahnungen, Informationspflichten, 87 Prozent der deutschen Unternehmen nicht ausreichend auf DSGVO vorbereitet, Google Analytics und DSGVO, Facebook zieht Daten ab,
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 9/18 zum Thema: Verschlüsselung von E-Mails, Verarbeitung von Personaldaten, Personalaktenverwaltung
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 8/18 zum Thema: Chatbots, Messenger Dienste; DSGVO konformes E-Mail Marketing; NIS, DSGVO noch immer unterschätzt.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 7/18 zum Thema: DSGVO und Kundenmarketing, Verlage und DSGVO, Recht auf Vergessen, Whois Abfragen, Wordpress DSGVO Plugin
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 6/18 zum Thema: Österreicherin wird neue Leiterin der Artikel 29 Datenschutzgruppe, Löschen, Verfügbarkein und Wiederherstellung von Daten, Hinweise für Website-Betreiber, DSGVO und eCommerce, Branchenunterschiede berücksichtigen.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 5/18 zum Thema: Facebook veröffentlicht Datenschutzgrundlagen, Facebooks Messenger Kids, ePrivacy-VO Synopse, EU Kommission veröffentlicht Infographik zur DSGVO und Leitfaden, Verpflichtung zum Datengeheimnis, ePrivacy und Third Party Cookies
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 4/18 zum Thema DSGVO: DSGVO, Klagen und Abmahnungen, Fachkräftemangel im Datenschutz, DSGVO und Steuerverwaltungsverfahren, Informationspflichten bei Videoüberwachungen, Android Apps und DSGVO, Facebooks neues "Privacy Centre"
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 3/18 zum Thema DSGVO: Wie werden Konsumenten von der DSGVO Gebrauch machen (Umfrageergebnisse), DSGVO und Post, Drucken in Netzwerken, KMU und externe Datenschutz-Expertise, DSGVO und internationaler Datenverkehr, DSGVO Herausforderung für MailChimp Nutzer, Datenschutz und IT Betriebsvereinbarungen.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 2/18 zum Thema DSGVO: Auskunfteien, Pseudonymisierung, Folgenabschätzung, DSGVO und Bildungseinrichtungen, Haltung gegenüber DSGVO
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 1/18 zum Thema DSGVO: Vermieter und DSGVO, Beweislast und Schadensersatz, Bewerbungsverfahren.
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen zum Datenschutz aus der Kalenderwoche 47/17, die in der Fülle von - vor allem online - Veröffentlichungen erwähnenswert scheinen.
Ein zentrales Anliegen der DSGVO ist die Sicherstellung von Betroffenenrechten, wie sie in Artikel 12 bis Artikel 22 formuliert wurden. Dessen ungeachtet findet sich ein Artikel 23: Beschränkungen. Dieser Artikel kann durchaus als „Mutter aller Öffnungsklauseln” bezeichnet werden. Konkret räumt dieser Artikel die Einschränkung der Betroffenenrechte durch Mitgliedsstaaten ein. Missbrauch durch Mitgliedsstaaten ist dabei nicht ausgeschlossen.
In Österreich wird fallweise dieser Artikel 23 DSGVO genutzt, um Betroffenenrechte ohne ersichtlichen und argumentierten Grund einzuschränken.
Problematisch zeigt sich das im Zusammenhang mit dem EWR Psychotherapiegesetz, in welchem die Artikel 13, 14, 18 und 21 DSGVO ausgeschlossen
wurden. Im Beitrag Psychotherapie: In Österreich sollen Betroffenenrechte massiv eingeschränkt werden
hatten wir auf die entsprechende Gesetzesänderung hingewiesen.
- 1
- 2