JavaScript ist in Ihrem Browser deaktiviert.
Sie können manche Teile der Website daher leider nicht verwenden.
Zeitschriften Cover

Datenschutz konkret
Recht - Projekte - Lösungen

Inhaltsverzeichnis

ISSN: 2313-5409
Reihe: Dako - Datenschutz konkret
Verlag: Manz Verlag Wien
Format: Zeitschrift
Jahrgang 2020 - mehr unter http://dako.manz.at
Es geht (wieder) in die Tiefe
Rainer Knyrim
 
Datenschutz-Folgenabschätzung für den „smarten“ Stromzähler
Interview mit Ursula Tauschek, Leiterin der Sparte Netze bei Österreichs Energie.
Ursula Tauschek spricht über den Erstellungsprozess für das Konzept einer Datenschutz-Folgenabschätzung für Smart Meter und die Datenschutzagenden bei Österreichs Energie.
Gerald Trieb, Alexander Maurer
 
Problemstellungen bei Art 28 Vereinbarungen in der Praxis
Mit welchen Fallstricken und Problemen ist bei Auftragsverarbeitervereinbarungen zu rechnen und wie lassen sie sich lösen?
Bei Auftragsverarbeitervereinbarungen ergeben sich insb bei Datenübermittlungen ins Ausland verschiedenste rechtliche Fragestellungen. Da es sich im Grunde um zivilrechtliche Vereinbarungen handelt, werden auch Problemstellungen aus diesem Rechtsbereich beleuchtet.
Thomas Reisinger, Gerhard Hofbauer
 
Wann muss ein Auftragsverarbeitervertrag nach Art 28 DSGVO abgeschlossen werden?
Verantwortlicher; Auftragsverarbeiter; Abgrenzungskriterien; Joint-Controller-Vereinbarung.
Unter welchen Voraussetzungen ist ein Datenverarbeiter als Auftragsverarbeiter iSd Art 4 Z 8 DSGVO zu qualifizieren und wann muss ein Auftragsverarbeitervertrag nach Art 28 DSGVO abgeschlossen werden? Der Beitrag untersucht konkrete Anwendungsbeispiele aus der Praxis.
Tobias Tretzmüller
Zulässigkeit der Entgeltpflicht für Kontrollen bei der Auftragsverarbeitung
Auswahlverschulden; Haftungsminimierung; dispositives Vertragsrecht.
Art 28 DSGVO stellt neue, konkrete Mindestanforderungen an Verträge für Auftragsverarbeitungen. Verantwortliche haften bspw für Auswahlverschulden und sind daher angeraten, ihre Auftragsverarbeiter zu kontrollieren. Unterliegen diese Kontrollen einer gesonderten Entgeltpflicht?
Katja Wyrobek
Verjährung bei Dauerdelikten am Beispiel der Datenschutz-Folgenabschätzung
Dauerdelikt; Geldbuße; Schadenersatz; Datenschutz-Folgenabschätzung.
Was passiert, wenn man die neuen Vorschriften der DSGVO, welche die allgemein gefürchtete Datenschutz-Folgenabschätzung – auch im DSG unter den §§ 52 bis 53 – regeln, nicht befolgt. Können Geldbußen oder Schadenersatzansprüche drohen? Dieser Beitrag behandelt das Thema Dauerdelikt anhand der Datenschutz-Folgenabschätzung.
Ernst M. Weiss
Beschäftigtendatenschutz im deutschen Kontext – was ist zu beachten?
Betriebsrat; Einwilligung im Arbeitsverhältnis; Vergleich Österreich – Deutschland.
Anders als in Österreich hat der deutsche Gesetzgeber, insb mit § 26 BDSG, die Möglichkeiten der Öffnungsklausel des Art 88 DSGVO genutzt und spezifische Regelungen für den Schutz personenbezogener Daten im Arbeitsverhältnis geschaffen. Dies ist va für Verantwortliche, die in beiden MS tätig sind, von Bedeutung – es gilt zu prüfen, ob das für Österreich erarbeitete Datenschutzkonzept für Deutschland „übernommen“ werden kann oder ob und in welchem Ausmaß trotz europaweiter Vereinheitlichung des Datenschutzes Anpassungen vorzunehmen sind.
Jennifer Maria Held
 
Checkliste Prüfschema zur datenschutzrechtlichen Rollenverteilung
Abgrenzung zwischen „Verantwortlichem“, „Auftragsverarbeiter“ und „Gemeinsam Verantwortlichen“.
Das Prüfschema soll eine Hilfestellung zur Grenzziehung zwischen den datenschutzrechtlichen Rollen des Verantwortlichen (Art 4 Z 7 DSGVO), des Auftragsverarbeiters (Art 4 Z 8 DSGVO) und der Gemeinsam Verantwortlichen (Art 26 DSGVO) bieten.
Claudia Gabauer, Rainer Knyrim
 
Rechtsprechung
Ausschließlich persönliche Tätigkeit; Dateibegriff; gemeinsame Verantwortung.
Bei der Beurteilung, ob eine Datei vorliegt, ist auf das Kriterium der leichten Wiederauffindbarkeit abzustellen.
Art 2 lit c DS-RL (Art 4 Z 6 DSGVO), Art 3 Abs 2 DS-RL (Art 2 Abs 2 lit c DSGVO)
EuGH 10. 7. 2018, C-25/17, Zeugen Jehovas
Viktoria Haidinger, Ernst M. Weiss
Auskunftsrecht.
Das Auskunftsrecht umfasst die Identität von Mitarbeitern, die unzulässigerweise auf Daten zugegriffen haben.
Art 4 Z 9, Art 4 Z 10, Art 15 DSGVO
DSB 6. 6. 2018, DSB-D122.829/0003-DSB/2018
Viktoria Haidinger, Ernst M. Weiss
Löschungsrecht.
Berichte über Strafverfahren dürfen in Online-Archiven von Medien zulässigerweise zum Abruf bereit gehalten werden, insb dann, wenn die Betroffenen aktiv die Öffentlichkeit gesucht haben. Eine identifizierende Berichterstattung ist bei Berichten über Strafverfahren mit großem öffentlichen Interesse zulässig.
Art 8, 10 EMRK; Art 17 DSGVO
EGMR 28. 6. 2018, 60.798/10, M.L. und W.W./Deutschland („Sedlmayr“)
Viktoria Haidinger, Ernst M. Weiss
Verarbeitung von Bilddaten.
Bilddaten sind nicht zwingend sensible Daten. Werden Bilddaten zu wissenschaftlichen Zwecken verarbeitet, richtet sich die Verarbeitung nach § 7 DSG. Genehmigungsvoraussetzungen des § 7 Abs 3 DSG.
Art 4 Z 1, Art 9 Abs 1 DSGVO; §§ 7, 12 DSG
DSB 7. 6. 2018, DSB-D202.207/0001-DSB/2018
Viktoria Haidinger, Ernst M. Weiss
Löschungsantrag.
Erforderlichkeit iSd Art 17 Abs 3 DSGVO ist zu belegen.
Art 5, 17 Abs 3 DSGVO
DSB 28. 5. 2018, DSB-D216.580/0002-DSB/2018
Viktoria Haidinger, Ernst M. Weiss
Personenbezogene Daten.
Fahrgestellnummer eines KFZ ist nicht personenbezogen.
§ 15 Abs 4 OGHG; Art 4 Z 1 DSGVO
OGH 13. 8. 2018, 14 Os 103/02
Viktoria Haidinger, Ernst M. Weiss
Koppelungsverbot.
Bei Koppelung der Einwilligung für vertragsfremde Zwecke mit einem Vertragsschluss ist grundsätzlich von mangelnder Freiwilligkeit auszugehen, sofern nicht im Einzelfall besondere Umstände für eine Freiwilligkeit sprechen.
Art 4, 7 DSGVO
OGH 31. 8. 2018, 6 Ob 140/18h
Viktoria Haidinger, Ernst M. Weiss
Koppelungsverbot.
Nichtabgabe einer Einwilligung darf nicht mit einem wesentlichen Nachteil für den Betroffenen verbunden sein.
§ 1 Abs 1 und 2, § 24 Abs 6 DSG; Art 4 Z 11, Art 5 Abs 1 lit a, Art 6 Abs 1 lit a, Art 7 Abs 1, 3 und 4, Art 21 Abs 1 und 2, Art 94 DSGVO; § 96 Abs 3 TKG 2003; Art 2 lit f RL 2002/58/EG
DSB 30. 11. 2018, DSB-D122.931/0003-DSB/2018
Sabine Brunner
Öffentliches Interesse.
Ziele der Europäischen Union können ein öffentliches Interesse iSd § 7 Abs 3 Z 2 DSG (und wohl auch Art 6 Abs 1 lit e DSGVO) begründen.
§ 7 Abs 3 DSG; Art 6 Abs 1 lit e DSGVO
DSB-D202.204/0001-DSB-DSB/2018
Tobias Tretzmüller
 
Fragen aus der Praxis
Ich führe eine GmbH, also eine juristische Person, die Pächterin einer Liegenschaft ist, welche einem Speditionsgewerbe als Betriebsstätte dient. Nun werden wir von einem Nachbargrundstück aus mittels einer Videokamera ständig beobachtet. Können wir klagen?
Ernst M. Weiss
Ein Organ der Rechtspflege hat in einem Unterhaltsverfahren personenbezogene Daten, insb meine Haupt- und Nebeneinkünfte, nicht nur den Verfahrensbeteiligten, sondern auch Nichtbeteiligten zur Kenntnis gebracht. Daraus könnte mir ein empfindlicher Schaden entstehen. Wie kann ich gegen die an sich unabhängige Justiz vorgehen?
Ernst M. Weiss
Verletzung der Privatsphäre: Im Zuge eines Ermittlungsverfahrens durch die Kriminalpolizei hat mich ein Inspektor telefonisch über meinen Dienstgeber zu einer Einvernahme als Zeuge in einem Strafverfahren geladen, wo ich zum Beschuldigten eines dann aber sofort eingestellten Verfahrens wurde. Ich fühle mich durch diese unnötige und unverhältnismäßige Art der Ladung im Grundrecht auf Datenschutz verletzt. Welche Rechte hätte ich gehabt?
Ernst M. Weiss
Was versteht man unter den Begriffen Clear Desk/Clear Screen-Policy?
Hans-Jürgen Pollirer
 
Buchtipps
Handbuch Datenschutz und IT-Sicherheit
Von Uwe Schläger und Jan-Christoph Thode (Hrsg). Erich Schmidt Verlag, Berlin 2018. XXXVI, 627 Seiten, br, Euro 94,–.
Die Herausgeber und Autoren Dr. Uwe Schläger und RA Jan-Christoph Thode sowie ihre 27 Co-Autoren, ausschließlich erfahrene Praktiker in den Bereichen Datenschutz und Informationssicherheit, haben ein Handbuch erstellt, das zum einen auf die neuen gesetzlichen Regelungen der DSGVO im Detail eingeht und andererseits Best-Practice-Ansätze vorstellt, wie den neuen gesetzlichen Vorgaben entsprochen werden kann. Das Handbuch – mit über 600 Seiten einschließlich Inhalts-, Bearbeiter-, Abkürzungs- und Literaturverzeichnis nach dem Vorwort und das Stichwortverzeichnis am Ende des Werks – gliedert sich in zwei Hauptteile.
Die Kapitel A bis F sind datenschutzrechtlich geprägt, während die Kapitel G bis J sicherheitstechnische Aspekte in den Vordergrund stellen. Teil A behandelt „Datenschutzrechtliche Grundlagen“, von den ersten Entwicklungen bis zur DSGVO und der e-Privacy-Verordnung sowie zu den Grundlagen der Datenverarbeitung, der datenschutzrechtlichen Grundsätze, den Betroffenenrechten und Sanktionen, dem Anwendungsbereich der DSGVO bis zum Datenschutzrecht außerhalb von Europa, dabei auch die USA, Japan und Russland.
Teil B ist dem „Datenschutzmanagement im Unternehmen“ gewidmet, also dem betrieblichen Datenschutzbeauftragten, dem Verzeichnis von Verarbeitungstätigkeiten, der Datenschutz-Folgenabschätzung, der Verpflichtung auf das Datengeheimnis, der Meldepflicht bei Datenpannen, dem Outsourcing, der Kontrolle des Datenschutzes, der Datenlöschung und schließlich der Datenweitergabe im Konzern.
Wichtig die „Verarbeitung von Beschäftigtendaten“ im Teil C, insb Compliance-Maßnahmen oder die Verarbeitung von Gesundheitsdaten, sei es bei der Einstellung neuer Mitarbeiter, bei der Einholung von Informationen zu einer etwaigen Behinderung oder bei Krankmeldungen. Es handelt sich dabei immer um vertrauliche Daten, welche die betroffene Person in ihrem persönlichen Lebensbereich oder sogar in ihrer Intimsphäre berühren.
Teil D befasst sich mit der „Verarbeitung von Kundendaten“ mit den Abschnitten CRM-Systeme, Marketing und Werbung, Kundenbindungssysteme, Unternehmenskauf und Bonitätsmanagement.
Es folgt in Teil E die „Datenverarbeitung im Internet und Intranet“, also Webseiten, Soziale Netzwerke und Intranet-Portale. Wichtig ist, dass es bei der Einwilligung auf Webseiten nur auf tatsächliches, eindeutig aktives Handeln ankommt. Die Untätigkeit des Betroffenen, zB eine Opt-out Lösung, kann keine Einwilligung begründen.
Teil F rundet den judiziellen Bereich mit der „Videoüberwachung im Unternehmen“ ab. Dabei ist von Interesse, dass kein Datenschutzbezug vorliegt, wenn zur Abschreckung Kamera-Attrappen eingesetzt werden, weil mangels einer Erfassung personenbezogener Daten die informationelle Selbstbestimmung nicht tangiert wird. Aber Vorsicht: Kamera-Attrappen könnten im Einzelfall einen Überwachungsdruck auslösen und damit das allgemeine Persönlichkeitsrecht eines Betroffenen beeinträchtigen.
Alle diese Kapitel sind in sich abgeschlossen und können separat und ohne Kenntnis der anderen Teile als Erkenntnisquelle dienen. Dies gilt auch für den zweiten Hauptteil des Handbuchs, der im Kapitel G mit den „Rechtlichen Grundlagen der Informationssicherheit“ beginnt. Im Kapitel H werden die Eckpfeiler eines Informationssicherheits-Managements beschrieben und in Kapitel I werden die technischen und organisatorischen Maßnahmen vorgestellt, und zwar übergreifende Maßnahmen, Infrastrukturmaßnahmen, Maßnahmen seitens der IT-Systeme, Netzwerkmaßnahmen und Maßnahme auf Anwendungsebene. Schließlich wird in Kapitel J beschrieben, in welcher Form Penetrationstests zur Evaluierung einer angemessenen IT-Sicherheit durchgeführt werden können.
Dank den Herausgebern und Autoren für ihre Mühe, dieses umfassende Werk zu gestalten. Es vermittelt jedem Einzelnen aus dem großen Bereich der mit Datenschutz und IT-Sicherheit Befassten sehr viel einschlägiges und verwertbares Wissen. Außerdem wird einerseits der Jurist verlockt, selbst im technischen Bereich zu schmökern, wie andererseits der Techniker durch den leicht lesbaren juristischen Bereich sein Wissen entsprechend erweitern kann. Somit ein für alle empfehlenswertes Buch, wobei in diesem Kreis auch der private Kunde, der betroffene Verbraucher, inbegriffen ist.
Ernst M. Weiss
Datenschutzgesetz
2. Auflage. Von Andrea Jelinek, Matthias Schmidl, Barbara Spanberger. Sigmund Freud University Press, Wien 2018. 668 Seiten, geb, Euro 198,–.
Die Leiterin der Datenschutzbehörde mit ihren Mitarbeitern sowie Vertretern aus Wissenschaft und Unternehmenspraxis hat sich der Mühe unterzogen, einen Kommentar von Praktikern für Praktiker zu gestalten.
Zu gedenken ist vorerst der Co-Autorin Mag. Gantschacher, die als Frau der ersten Stunde bedauerlicherweise noch vor der Drucklegung des Werks verstorben ist.
Die Herausgeber betonen in ihrem Vorwort, dass, trotz der Mitarbeit mehrerer Autoren aus dem Bereich der DSB, der Rechtskommentar nicht als authentische Interpretation anzusehen ist.
Gerne gefolgt wird jedoch der Anmerkung, dass die Verfassungsbestimmung des § 1 („Jedermann“) natürliche und juristische Personen gleichermaßen schützt. Mag. Gamper meint in der vorletzten Anm 27 zu § 1, dass es Aufgabe der Rechtsprechung sein wird, zu klären, inwieweit der einfachgesetzliche § 4 DSG im Widerspruch zur Verfassungsbestimmung des § 1 Abs 3 und dem Anwendungsbereich ua der §§ 44, 45 DSG steht.
Bereits daraus sieht man, dass in diesem Rahmen ein näheres Eingehen auf die umfangreichen Ausführungen nicht möglich ist. Der Rezensent kann daher einerseits nur empfehlen, den Kommentar zu lesen, und ist sich andererseits sicher, dass das Werk eine wertvolle Hilfe bei der Lösung von Problemen sein wird. Erleichtert va dadurch, dass nicht nur die Gesetzesmaterialien abgedruckt sind, sondern auch Bestimmungen aus der DSGVO und der DSRL-PJ sowie der EMRK und der GRC.
Lob und Dank den 13 Autoren. Dem „großen“ Zitiervorschlag sollte man aus praktischen Erwägungen bei der ersten Nennung in Klammer einen „kurzen“ – für den Folgetext – beigeben, etwa Autor in Jelinek ua, DSG (2018) Seitenzahl.
Ernst M. Weiss
 
Viktoria Haidinger, Wirtschaftskammer Österreich
VERWALTUNG
Aufbewahrung von personenbezogenen Ausbildungsunterlagen
Privacy Shield: 2. Überprüfungsbericht der EK
LEGISLATIVE
Umsetzung der RL über Geschäftsgeheimnisse
SONSTIGES
Unstatistik des Monats Oktober: „Erfolgreiche“ Gesichtserkennung mit Hunderttausenden Fehlalarmen
Veranstaltung Datenschutz „Neu“
JUDIKATUR
Verdeckte Videoüberwachung am Arbeitsplatz