JavaScript ist in Ihrem Browser deaktiviert.
Sie können manche Teile der Website daher leider nicht verwenden.
Zeitschriften Cover

Datenschutz konkret
Recht - Projekte - Lösungen

Inhaltsverzeichnis

ISSN: 2313-5409
Reihe: Dako - Datenschutz konkret
Verlag: Manz Verlag Wien
Format: Zeitschrift
Jahrgang 2020 - mehr unter http://dako.manz.at
40 Jahre Datenschutzrecht in Österreich
Rainer Knyrim
 
Datenschutz ist ein Prozess und kein Projekt
Interview mit Mag. Martin Leiter, Datenschutzbeauftragter der ÖBB-Holding.
Der Datenschutzbeauftragte der ÖBB-Holding, Martin Leiter, erzählt über die Herausforderungen, die DSGVO in einem Konzern mit 40.000 Mitarbeiterinnen und Mitarbeitern umzusetzen und wieso die Datenschutz-Awareness bei den ÖBB von Anfang an hoch war.
Hans-Jürgen Pollirer, Alexander Maurer
 
Data Breach Management in der HR-Praxis
Interne Prozesse im Rahmen eines effektiven Data Breach Managements.
Datenschutzverletzungen bzw Data Breaches erfordern effektives und rasches Handeln von MitarbeiterInnen und der Geschäftsleitung, um Schäden für das Unternehmen und Dritte so gering wie möglich zu halten. Hierfür ist es besonders wichtig, dass bereits im Vorfeld ein sog Data Breach Management festgelegt und erprobt ist, dass Datenschutzverletzungen rechtzeitig erkannt und die internen Meldewege zeitgerecht eingehalten werden. Welche internen Prozesse sollten im Rahmen eines effektiven Data Breach Managements aus HR-Sicht jedenfalls eingeführt werden?
Anna Mertinz, Katharina Windisch
 
Entlassung: Dienstlaptop-Daten als „Falle“
Löschen und Wiederherstellen von privaten Daten eines Arbeitnehmers (AN).
Zwei aktuelle Höchstgerichtsentscheidungen aus Deutschland und Österreich beschäftigen sich mit der Frage, unter welchen Voraussetzungen personenbezogene Daten von AN auf vom Arbeitgeber (AG) zur Verfügung gestellten und (aus verschiedenen Gründen) retournierten Laptops auf rechtmäßige Weise vom AG zur Unterfütterung einer Entlassung (bzw außerordentlichen Kündigung) herangezogen werden können. In technischer Hinsicht wurde für einen betroffenen AN leidvoll offenbar, dass selbst ein „Löschen“ von Daten durch den AN wegen der Zuhilfenahme datenforensischer Tools durch den AG deren (zumindest teilweise) Wiederherstellung nicht verhindert.
Wolfgang Goricnik
Zugangssicherung für Anbieter von Online-Diensten
Zugangssicherung; Sicherheit personenbezogener Daten; technische und organisatorische Maßnahmen.
Anbieter von Online-Diensten, die personenbezogene Daten ihrer Nutzer verarbeiten, haben die Vorschriften zur Sicherheit der Verarbeitung gem Art 32 DSGVO zu beachten. Dies umfasst insb auch Maßnahmen zur Sicherung des Zugangs zu den angebotenen Diensten. Die hier angeführten Maßnahmen entsprechen nach Ansicht der Datenschutzkonferenz dem Stand der Technik und können einen effektiven Schutz gewährleisten.
Theresa Kantner
Datenschutz im Rettungsdienst
Rechtsgrundlagen für Dokumentation, Offenlegung und Informationspflicht.
Der Beitrag bietet eine Übersicht zu den relevanten Rechtsgrundlagen zur Verarbeitung personenbezogener Daten im Rettungsdienst. Er behandelt insb die Themen Dokumentation, Offenlegung und Informationspflicht.
Florian Fuchs
 
Checkliste Auskunftsprozess (Art 15 DSGVO)
Inhalt der Auskunft, Fristen, Negativauskunft und Verweigerung.
Da das Auskunftsrecht des Art 15 DSGVO umfangreich und kompliziert gestaltet ist, ist die Einrichtung eines eigenen Auskunftsprozesses eine conditio sine qua non. Die Checkliste Auskunftsrecht nach Art 15 DSGVO (Dako 2017/38) wurde aufgrund der Praxiserfahrung um notwendige Prozessschritte ergänzt. Auskunftsbegehren sollten jedenfalls ernstgenommen werden; eine unvollständige, unterlassene oder zu spät erteilte Auskunft ist mit hohen Geldbußen bedroht (Art 83 Abs 5 DSGVO).
Hans-Jürgen Pollirer
 
Rechtsprechung
Löschung.
Ob die Durchsuchung privater Ordner zwecks Beschaffung von Beweismitteln gegen den Arbeitnehmer rechtmäßig war, ist im Rahmen des arbeitsgerichtlichen Verfahren zu klären, nicht in einem eigenständigen Verfahren. Der Löschungsantrag ist berechtigt, da nach Vorlage von Daten als Beweismittel der Zweck erfüllt ist.
Art 17 DSGVO
OGH 23. 5. 2019, 6 ObA 1/18t
Viktoria Haidinger, Ernst M. Weiss
Strafrechtliche DNA-Datenbank.
Die Ermittlung und Speicherung von DNA-Daten von Personen, die eine Straftat begangen haben oder derer verdächtigt sind, ist grundsätzlich zulässig. Allerdings ist insb im Hinblick auf die Speicherdauer je nach Schwere der Straftat zu differenzieren.
Art 8 EMRK
EGMR 22. 6. 2017, 8806/12, Aycaguer
Viktoria Haidinger, Ernst M. Weiss
Betroffenenrechte.
Eine betroffene Person hat kein subjektives Recht auf Einhaltung bestimmter Datensicherheitsmaßnahmen.
§ 1 DSG; Art 5 Abs 1 lit c, Art 32 DSGVO
DSB 13. 9. 2018, DSB-D123.070/0005-DSB/2018
Viktoria Haidinger, Ernst M. Weiss
Data Breach.
Auftrag der DSB, bei Verlust von Gesundheitsdaten die betroffenen Personen zu benachrichtigen.
Art 33, 34 DSGVO
DSB 8. 8. 2018, DSB-D084.133/0002-DSB/2018
Viktoria Haidinger, Ernst M. Weiss
Betriebsrat ist eigener Verantwortlicher.
Soweit der Betriebsrat für Zwecke der kollektiven Vertretung der Arbeitnehmerschaft personenbezogene Daten verarbeitet, ist er ein eigenständiger (vom Betriebsinhaber verschiedener) Verantwortlicher.
Art 4 Z 7, Art 33 DSGVO
DSB 4. 12. 2019, DSB-D084.1389/0001-DSB/2019 (zum Redaktionsschluss nicht im RIS veröffentlicht)
Viktoria Haidinger, Michael Löffler
Einsicht in dienstlichen E-Mail-Account.
Einmalige Einsicht in dienstlichen E-Mail-Account zur Trennung beruflicher von privaten E-Mails bei einer Behörde ist nicht überschießend und damit datenschutzrechtlich nicht zu beanstanden.
§ 1 DSG
DSB 7. 3. 2019, DSB-D123.154/0004-DSB/2019
Viktoria Haidinger, Michael Löffler
Videoüberwachung.
Mangelnde Information der Arbeitnehmer über eine verdeckte Videoüberwachung führt nicht zwingend zu einem Konventionsverstoß.
Art 6, 8 EMRK
EGMR (GK) 17. 10. 2019, 1874/13 und 8567/13, López Ribalda ua/Spanien
Viktoria Haidinger, Michael Löffler
 
Fragen aus der Praxis
In unserer deutschen Muttergesellschaft wurde eine Betriebsvereinbarung für eine Arbeitszeitaufzeichnung mittels Excel-Formular abgeschlossen. Brauchen wir in Österreich auch eine Betriebsvereinbarung?
Viktoria Haidinger
Muss ich für eine Videoüberwachung in meinem Betrieb zwingend eine Datenschutz-Folgenabschätzung durchführen?
Viktoria Haidinger
 
Buchtipp
Grundriss Datenschutzrecht
Nikolaus Forgó (Hrsg). Verlag Lexis Nexis, 2019. XXX, 338 Seiten, br, Euro 62,–.
Dieses Werk ist in doppelter Hinsicht ein Erstlingswerk: Zunächst weil Univ. Prof. Forgó im Herbst 2017 von seinem Lehrstuhl in Deutschland an die Universität Wien an das neu gegründete „Institut für Innovation und Digitalisierung im Recht“ als dessen Vorstand zurückgekehrt ist. Wie Forgó im Vorwort selbst schreibt, ist das Buch damit nicht „nur“ ein Buch über Datenschutzrecht, sondern auch der erste sichtbare Ausweis für das, was das Institut tut und wofür es wissenschaftlich und praktisch steht. Das Buch ist aber nicht „nur“ ein Buch über Datenschutzrecht, sondern es ist der erste Grundriss zur DSGVO in Österreich.
Die lange Geschichte der österr Datenschutztradition über die letzten 40 Jahre hinweg vom DSG 1978 bis heute wird gleich durch das erste Kapitel beleuchtet, wobei auch auf die Konvention 108 des Europarats und die Datenschutz-RL eingegangen wird. Ebenso behandelt das zweite Kapitel „Rechtliche Grundlagen“ nicht nur die DSGVO selbst, sondern auch die völkerrechtlichen Grundlagen. In der Folge wird das „Handwerkszeug“ der datenschutzrechtlichen Arbeit durchgearbeitet: von den datenschutzrechtlichen Rollen und Grundsätzen über die Betroffenenrechte, Pflichten des Verantwortlichen und des Auftragsverarbeiters über den Datenschutzbeauftragten, die Aufsichtsbehörde, Sanktionen und Rechtsdurchsetzung bis zur räumlichen Anwendbarkeit und Drittstaaten. Hervorzuheben sind die zahlreichen Beispiele, etwa bei den Erklärungen der Begriffsdefinitionen, den verschiedenen Rollen oder im Kapitel über die Rollenverteilung, in dem anhand des Beispiels einer Schuhhandels-Gesellschaft erklärt wird, dass Gesellschafter einer GsBR eine gemeinsame Verantwortung iSd DSGVO haben, wenn sie gemeinsam Kundendaten verarbeiten. Prüfungsfallartig werden auch Beispiele zur Erklärung der Informationspflicht gegeben. Das Buch endet mit einem Kapitel zum Thema Informationssicherheit, Sonderbereichen des Datenschutzrechts wie Datenschutz im Gesundheitsbereich, in Wissenschaft und Forschung, im Journalismus, Datenschutz im Arbeitsumfeld, Bildaufnahmen und Videoaufzeichnungen und e-privacy. Schließlich sind auch noch mehrere Prüfschemen zur Datenverarbeitung enthalten.
Einige Stellen, die in der Unternehmenspraxis sehr relevant sind, sind im Buch leider sehr knapp beschrieben, etwa der Inhalt und die Form einer Datenschutzfolgenabschätzung (eine Seite) oder die Standarddatenschutzklausel für den internationalen Datenverkehr (zwei Absätze).
Das Buch zeigt damit aber auch, wie komplex das Datenschutzrecht mittlerweile geworden ist, wenn in einem Grundriss von über 300 Seiten oft gerade einmal nur die Grundbegriffe und kurze Inhalte erklärt werden können.
Apropos Stoff: Für Datenschutz-Lernwillige bietet das Buch eine Besonderheit, nämlich den sog „Learn-Jack“. Dieser besteht in QR-Codes, die man mit dem Handy abrufen kann, um so auf Multiple-Choice-Fragen zu gelangen, mit denen man sich selbst prüfen kann.
Forgó als Herausgeber und den Autorinnen und Autoren Victoria C. Abplanalp, BA; Berisha Doruntina, Engel Adrian, BA; Mag. Antoni Napieralski, Mag. Elisabeth Rieß, Mag. Žiga Škorjanc, Mag. Magdalena Wohlgemuth, Mag. Felix Zopf ist zu gratulieren. Das Buch ist ein schöner Start und eine herzeigbare Visitenkarte des neuen Instituts für Innovation und Digitalisierung im Recht der Universität Wien und kann im Datenschutzrechtinteressierten nur empfohlen werden.
Rainer Knyrim
Umsetzung der DSGVO in der Personalpraxis.
Fragen, Antworten, Muster. Clemens Thiele und Jessica Wagner. Verlag Österreich, Wien 2019. XVII, 181 Seiten, br, Euro 49,–.
Anfangs präsentiert das Buch Lesern zehn allgemeine Organisationsschritte, die eine DSGVO-konforme Handhabung personenbezogener Daten ermöglichen sollen. So wird auf die Pflicht hingewiesen, Verarbeitungsverzeichnisse aktuell zu halten bzw notwendigenfalls Datenschutzbeauftragte zu benennen. Anschließend werden im Frage/Antwort-Stil 100 Fragen aus Personalabteilungen beantwortet. Diese wurden in die drei Bereiche: Begründung, Durchführung und Beendigung von Beschäftigungsverhältnissen gegliedert. Beantwortet wird etwa, ob es zulässig ist, soziale Medien im Rahmen der Bewerberauswahl zu nutzen oder Bewerber nach Vorstrafen zu fragen. Weiters werden Fragen zur Verarbeitung gesundheitsbezogener Daten und dem Verhältnis zum Betriebsrat beantwortet. Schließlich enthält das Buch eine Tabelle von Aufbewahrungspflichten iZm Arbeitsverhältnissen und beantwortet Fragen, wann Daten nach dem Ausscheiden von Arbeitnehmern zu löschen sind. Der Anhang, der ca die Hälfte des Buches umfasst, enthält eine umfangreiche Sammlung von Mustern – etwa zur Verpflichtung von Mitarbeitern zur Einhaltung des Datengeheimnisses oder eine Betriebsvereinbarung für Videoüberwachung. Weiters im Anhang enthalten sind Checklisten für die Auskunftserteilung bzw das Einholen von Einwilligungen. Abschließend enthält der Anhang Rechtstexte – sowohl DSFA-AV als auch DSFA-V sind abgedruckt. Beide jeweils mit Beispielen, wann deren Bestimmungen zur Anwendung gelangen bzw wann dies nicht der Fall ist. Um die Erstellung des Verarbeitungsverzeichnisses zu erleichtern, sind jene Teile der ehemaligen Standard- und Muster-Verordnung abgedruckt, die für den Personalbereich von Relevanz waren.
Für Personen, die sich im Personalbereich mit der Beantwortung datenschutzrechtlicher Fragen beschäftigen, bietet das Werk Lösungsansätze für zentrale Fragestellungen. Diese können Lesern dabei helfen, datenschutzrechtliche Pflichten im eigenen Unternehmen einzuhalten.
Michael Löffler
 
Viktoria Haidinger, Wirtschaftskammer Österreich
LEGISLATIVE
Zuständigkeit für Datenschutz unter der neuen Bundesregierung
Whistleblower-Richtlinie verabschiedet
VERWALTUNG
Neue Leitlinien des EDSA
Neuer Europäischer Datenschutzbeauftragter
SONSTIGES
Veranstaltung: Datenschutz – Zukunftsfragen und aktuelle Judikatur