Einwilligungen sind das Nadelöhr durch das Unternehmen, Organisationen und andere sogenannte Verantwortliche
müssen, um personenbezogene Daten verarbeiten zu dürfen – sofern keine berechtigten Interessen vorliegen. Um Einwilligungen schmackhaft zu machen, bzw. um Betroffene zur Einwilligung zu veranlassen, wird diese häufig mit der Teilnahme an Gewinnspielen, Anmeldung für Events u.v.a.m. verknüpft. Das nennt man Kopplung und das ist verboten.
Dem Datenschutzbeauftragten kommt nach der Datenschutz Grundverordnung eine wichtige Stellung und Aufgabe zu. Geregelt wird dies in Abschnitt 4 DSGVO. Auch wenn Unternehmen nur unter bestimmten Bedingungen verpflichtet sind, einen Datenschutzbeauftragten zu benennen, so empfiehlt sich jedenfalls eine freiwillige Benennung. …
Wiederholt habe ich Geschäftsführer davon reden gehört, dass die Verantwortung für die Einhaltung der Datenschutz Grundverordnung beim Datenschutzbeauftragten liege, den das Unternehmen demnächst beauftragen wolle. Das ist ein großer Irrtum und dieser könnte gravierende Konsequenzen haben. Die Verantwortung kann nicht auf Datenschutzbeauftragte abgewälzt werden.
Angenommen Ihr Unternehmen oder Ihre Organisation, vielleicht auch Arztpraxis, Gemeindeamt o.v.a.m. wurde Opfer einer Cyperattacke und es wurden Daten gestohlen. Wissen Sie, was zu tun ist? Kennen Sie die Meldepflichten? Sind Ihnen die Fristen klar? Ist geregelt, wer, in welcher Zeitspanne was zu tun hat?
Oder nehmen wir an, Mitarbeiter*innen waren nicht ganz so sorgsam mit personenbezogenen Daten oder haben bspw. eine Löschungsaufforderung eines Betroffenen nicht weitergeleitet. Kennen Sie die Konsequenzen und wissen Sie, was zu tun ist?
Mit anderen Worten, gibt es ein Krisenmanagement
?
Datenschutz beginnt bei der Überlegung, welche Daten für die erfolgreiche Geschäftstätigkeit wirklich erforderlich sind und welche Sorgfalt beim Erheben, Speichern, Verarbeiten und ggf. der Verwertung geboten ist.
Sensible Daten, wie sexuelle Orientierung, politische Zugehörigkeit, Religionszugehörigkeit, auch z.B. Gewerkschaftszugehörigkeit und insbesondere biometrische Daten etc. werden in der Datenschutz Grundverordnung (DSGVO) unter Art. 9, Verarbeitung besonderer Kategorien personenbezogener Daten, behandelt.
Ein zentraler Grundsatz der Datenschutz Grundverordnung (DSGVO) ist der der Rechtmäßigkeit. Was ist darunter zu verstehen und was sind die Bedingungen, die erfüllt sein müssen, um rechtskonform unter dem Gesichtspunkt der Rechtmäßigkeit Daten verarbeiten zu können?
EU E-Privacy-VO und EU DSGVO zielen darauf, durch den Schutz personenbezogener Daten und den starken Willen, Missbrauch hart und konsequent zu bestrafen, soll in erster Linie das Vertrauen von Verbrauchern ins Internet und seine Services wieder hergestellt werden. In der Dynamik allgemeiner Regulierungen ist es gut zu wissen, warum und zu welchem Zweck ein neues Gesetz oder eine neue Verordnung erlassen oder vorbereitet wird. Zur E-Privacy Verordnung sind es folgende Gründe mit diesen Zielen.
Die Vollstreckung eines rechtsgültigen Entscheids der Datenschutzbehörde ist die letzte und wohl auch effektive Maßnahme, um Unternehmen dazu zu zwingen, einer Entscheidung der Datenschutzbehörde zugunsten Betroffener nachzukommen. Betroffenen gibt die Datenschutzbehörde in diesen Fällen einen Exektutionstitel an die Hand, der es erlaubt, bei der zuständigen Bezirksverwaltungsbehörde einen Vollstreckung zu betreiben und so die Ansprüche durchzusetzen.
Beschwerden zu Datenschutzverletzungen nach Artikel 77 DSGVO: In Österreich können Betroffene in Folge des Datenschutz-Anpassungsgesetzes 2018 bei Verletzung ihrer durch die DSGVO geschützten Rechte nur Beschwerde bei der Datenschutzbehörde einlegen – unabhängig davon, dass privatrechtliche Klagen auf Schadensersatz vor Gericht eingebracht werden können, sollte die Verletzung der Rechte Betroffener nachweisbaren Schaden verursacht haben.
In diesem Beitrag werden exemplarisch Beschwerden dokumentiert, die bei der Österreichischen Datenschutzbehörde eingebracht wurden.