Artikel 15 DSGVO sichert Betroffenen ein weitgehendes Auskunftsrecht zu, was Speicherung, Verarbeitung und Weitergabe ihrer personenbezogenen Daten anbelangt. Regulär hat das angefragte Unternehmen einen Monat Zeit, die entsprechenden Auskünfte zu erteilen. Die meisten Unternehmen sind damit allerdings überfordert, zumindest wenn es darum geht, dem Auskunftsverlangen umfassend und vollständig nachzukommen.

Mit dieser Überforderung gehen Unternehmen unterschiedlich um. Zwei Verhaltensweisen häufen sich. Die eine zielt darauf, das Auskunftsverlangen zu erschweren und die andere nur jene Auskünfte zu geben, die sich ohne großen Aufwand ermitteln lassen.

Ganze Geschichte »

Das Recht auf Löschung und Vergessenwerden dürfte viele Unternehmen und Organisationen herausfordern. Während beim Recht auf Löschung Betroffene aktiv die Löschung verlangen können, geht es beim Recht auf Löschung im Sinne von Vergessenwerden darum, dass personenbezogene Daten für deren Speicherung und Verarbeitung es keine oder keine ausreichende gesetzliche Grundlage gibt auch ohne Löschanforderung gelöscht werden müssen.

Ganze Geschichte »

Artikel 17 DSGVO sieht in Absatz 1 lit a vor, dass personenbezogene Daten zu löschen sind, sofern diese für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden nicht mehr notwendig [sind] und sofern diese für die Verarbeitung nicht erforderlich sind (Artikel 17 Abs. 3 DSGVO). Das ist soweit unstrittig.

Durchaus strittig ist die Frage, ob Verantwortliche in solchen Fällen zu einer selbstständigen Löschung verpflichtet sind, also unabhängig von Löschanträgen Betroffener. Nicht weniger strittig ist, ob Verantwortliche, die der Löschpflicht nicht nachkommen, das Recht Betroffener auf Löschung verletzen und ob sich daraus ein Beschwerdegrund ableiten lässt.

Ganze Geschichte »

Bei Cookies scheiden sich die Geister. Wann ist eine Einwilligung zum Setzen von Cookies zwingend erforderlich? Wann genügt eine Information und wann kann man auf den sogenannten Cookie-Banner überhaupt verzichten? Ist das Thema „Cookie” eines, das die DSGVO regelt oder gilt im Wesentlichen noch die EU Cookie Richtlinie aus dem Jahr 2009? Welches Gesetz, beziehungsweise welche Gesetze regeln den Gebrauch von Cookies? Gibt es dazu eine Europäische Judikatur? Und nicht zuletzt: wann wird die EU ePrivacy Verordnung, die ursprünglich zusammen mit der DSGVO im Mai 2018 wirksam werden sollte, beschlossen und in Kraft gesetzt?

Ganze Geschichte »

Am 10.Februar 2021 einigten sich die EU Mitgliedsstaaten im EU Rat unter portugiesischen Vorsitz mit den Stimmenthaltungen von Deutschland und Österreich auf eine gemeinsame Fassung der EU e-Privacy Verordnung (ePVO). Wer die Berichterstattung zum Thema im Blick hat, weiß, dass vor allem Medien und Werbeindustrie gegen  die ursprüngliche Fassung Sturm gelaufen sind, weshalb die ePVO nicht wie geplant zusammen mit der EU DSGVO am 25. Mai 2018 rechtlich verbindlich wirksam werden konnte, sondern bis zur endgültigen Beschlussfassung an diesem 10. Februar verschleppt wurde.

Ganze Geschichte »

Damit keine Missverständnisse entstehen können, regelt die Datenschutz Grundverordnung (DSGVO) in Art. 7 klar und deutlich, was unter Einwilligung zu verstehen ist, also die Bedingungen, damit eine Verarbeitung rechtmäßig erfolgen kann.

Ganze Geschichte »

Viele haben eine rosarote Brille auf, wenn es um die Frage geht, wie fit das eigene Unternehmen bzgl. Datenschutz im Sinne der DSGVO ist. Ein Selbsttest bringt Einsichten und vor allem werden auf diese Weise viele Informationen angeboten. Das Kaspersky Lab kann mit einem Selbsttest überzeugen. Auch das Bayerisches Landesamt für Datenschutzaufsicht hat kürzlich einen Selbsttest online gestellt, der ebenfalls zu empfehlen ist.

Ganze Geschichte »

Zweifelsohne ist das Geschäftsmodell der CRIF GmbH und anderer Aus­kunfteien eines, das mit Ag­gre­gation, auto­matisierter Ver­arbei­tung, Profiling und schließlich dem Verkauf sensibler Daten zur Zahlungsfähigkeit und Zahlungswilligkeit von Betroffenen Gewinne erzielt. Doch nicht nur damit, auch mit der Dienstleistung „Bekämpfung von Betrug, Geldwäsche und Terrorismusfinanzierung” für die sich die CRIF GmbH mit demselben Gewerbeschein wie für die Auskunftei legitimiert. Umso mehr Aufmerksamkeit ist daher auf einen rechtskonformen Umgang mit Daten zu achten und auf Einhaltung des Datenschutzes und der DSGVO.

Die CRIF GmbH hat allem Anschein nach Probleme mit dem Datenschutz.

Ganze Geschichte »

Die CRIF GmbH ist in Sachen Datenschutz wenig auskunftsfreudig, selbst dort, wo das Datenschutzgesetz dies vorsieht. Ein konkretes Beispiel mag das veranschaulichen.

Die Österreichische Datenschutzbehörde ist der Beschwerde eines Betroffenen gefolgt, sah das Recht des Betroffenen verletzt und hat die CRIF GmbH aufgefordert, die verlangten Auskünfte nach Artikel 15 DSGVO zu erteilen. Die Beschwerde war eingereicht worden, nachdem die CRIF GmbH eine unvollständige und mangelhafte Auskunft gegeben hatte.

Gegen den Entscheid der Österreichischen Datenschutzbehörde hat die CRIF GmbH teilweise Beschwerde beim Bundesverwaltungsgericht (BVwG) eingereicht. Bei der Bescheidentsprechung in anderen Punkten erkannte der Beschwerdeführer weiterhin Mängel in der Auskunft.

Eine direkte Nachfrage bei der CRIF GmbH blieb ergebnislos.

Entsprechend wandte sich der Beschwerdeführer an die Datenschutzbehörde. Diese sah sich allerdings nicht mehr zuständig. Sie habe dem Beschwerdeführer mit dem Entscheid einen Exekutionstitel an die Hand gegeben, womit gegen die CRIF GmbH bei der zuständigen Bezirksverwaltungsbehörde eine Vollstreckung beantragt und der Entscheid der Datenschutzbehörde durchgesetzt werden könne, solange, bis die Auskünfte vollständig und spruchgemäß gegeben worden sind.

Ganze Geschichte »