Aktuelles zum Datenschutzrecht

 

Datenschutzinformation  / PRivacy Notice

 

 

 

Verantwortlicher/
Controller

Christkind, Über den Wolken 7, 10000 Himmelreich

Datenschutz-beauftragter/
Data Protection Officer

 

Es ist kein Datenschutzbeauftragter bestellt, da keine gesetzliche Notwendigkeit besteht.
I have not appointed a data protection officer because it is not required under the applicable law.

 

Zweck/
Purpose

 

Erstellung einer umfassenden Liste über Kinderwünsche; es handelt sich jedoch nicht um einen Dienst der Informationsgesellschaft der sich an Kinder (je nach Definition in den lokalen Datenschutzgesetzen) richtet, da die Erhebung der Daten durch Briefe, die jedoch in strukturierter Form abgelegt werden, erfolgt.

 

Compilation of a comprehensive list of children's wishes; however, it is not an information society service aimed at children (as defined by local privacy legislation), since the collection of data is done through letters, but in a structured form.

 

Rechtsgrundlage/
Legal Basis

Vertragsanbahnung: die betroffenen Personen nehmen freiwillig mit dem Verantwortlichen auf, und stellen die Informationen zur Verfügung.
Initiation of the contract: the persons concerned voluntarily join the person responsible and provide the information.

Speicherdauer/
retention period

Ich speichere die Daten bis zum Erreichen der Mündigkeit der betroffenen Personen oder dem Zeitpunkt, in dem die betroffenen Personen nicht mehr mich glauben.

I keep the data until the data subjects reach the age of consent or when the data subjects no longer believe me.

 

Empfänger-kategorien/
Categories of Recipients

Meine Auftragsverarbeiter und Dritte, die bei der Herstellung der Geschenke, Abarbeitung der Liste und Zustellung der Geschenke an die betroffenen Personen tätig sind.
My processors and third parties involved in the production of the gifts, the processing of the list and the delivery of the gifts to the persons concerned.


Die Daten werden nicht an Empfänger weitergegeben, die mit diesen Daten eigene Zwecke verfolgen.
The data will not be passed on to recipients who use this data for their own purposes.

 

Eine Übermittlung an Empfänger in einem Drittland (außerhalb der EU) oder an eine internationale Organisation ist nicht vorgesehen. Es besteht keine automatisierte Entscheidungsfindung (Profiling). Transmission of data to recipients in a third country (outside the EU) or to an international organization is not planned. There is no automated decision making (profiling).

Es ist weder vertraglich noch gesetzlich vorgeschrieben, dass die Daten bereitgestellt werden und es gibt auch keine Verpflichtung dazu. Die Daten sind erforderlich, damit die Leistungserbringung ordnungsgemäß durchgeführt werden kann.
There is no contractual or statutory obligation to provide the data and there is no obligation to do so. The data is required for the performance to be properly completed.

 

 

 

Als betroffene Person steht Ihnen grundsätzlich das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch sowie Datenübertragbarkeit im Rahmen der gesetzlichen Bestimmung zu. Zur Ausübung Ihrer Rechte wenden Sie sich bitte an:

As data subject you are granted a right to access, rectification, erasure, restriction of processing, objection and data portability according to the applicable provisions. To exercise your rights, please contact:

Christkind, über den Woken 7, 10000 Himmelreich


Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in irgendeiner Weise verletzt worden sind, steht es Ihnen frei, bei der Datenschutzbehörde Beschwerde zu erheben.

If you think that the processing of you data violates data protection law or your data protection rights are violated in any other way, it is your choice to lodge a complaint with the supervisory authority (Datenschutzbehörde)

 

 

Datenschutz Konkret 01/2018:

drei Beiträge von dataprotect

Dr. Thomas Schweiger, LL.M., CIPP/E, zert. DSBA (DATB)

 

- DSGVO: Löschen in Backups

 

- Judikatur: Nutzung von What´s App durch Kinder

 

- VfGH: hohe Strafen von der DSB

Download
DSGVO: Löschen in Backups
Sicherungskopien und Löschungsersuchen - eine Diskussion die zwischen Technikern (geht nicht) und Juristen (muss sein) eine permanente Diskussion auslöst ... ein Ansatz, der sich aus der DSGVO und dem berechtigten Interesse ergibt ... Diskussionsstoff für Kamingespräche
Dako_2018-01, 10 Thomas Schweiger.pdf
Adobe Acrobat Dokument 1.2 MB

 

Beispiel für Datenverarbeitung im Beschäftigungskontext (03.07.2017):

Wer kennt das nicht?

Geburtstagslisten auf dem Schwarzen Brett im Buffet

Hochzeitsgratulation in der Betriebszeitung

Foto des Neugeborenen der Kollegin im Intranet

 

 

Nahezu in jeder Organisation sind Geburtstagslisten beliebt; oft gibt es mehrere Version dieser netten Möglichkeit, über die persönlichen Verhältnisse der anderen MitarbeiterInnen informiert zu werden. Auch die „Information“ – z.B. durch den Betriebsrat in periodisch erscheinenden Zeitungen oder Newslettern – darüber, dass ein Mitarbeiter oder eine Mitarbeiterin geheiratet, ein Baby bekommen hat oder über andere Ereignisse im Privatleben ist in vielen Organisationen gang und gäbe.   

 

Manchmal werden die Listen oder Informationen am Schwarzen Brett ausgehängt oder im Intranet veröffentlicht, um allen die Kenntnisnahme zu ermöglichen. Es kommt auch vor, dass die Listen zentral von der Personalabteilung oder vom Sekretariat ohne Wissen der betroffenen MitarbeiterInnen erstellt werden.

 

 

 

Erhebung und Verwendung von personenbezogenen MitarbeiterInnendaten

 

Aus datenschutzrechtlicher Sicht stellt die Erhebung von personenbezogenen Daten und Verwendung dieser „Geburtstagslisten“ oder Informationen über andere persönliche Verhältnisse eine Verwendung von Daten von MitarbeiterInnen dar.

 

 

 

Datenübermittlung vom Verantwortlichen an andere Empfänger

 

Werden diese Listen so verwendet, z.B. ausgehängt, dass diese auch von Personen außerhalb der eigenen Organisation gesehen werden können, dann kommt es zu einer Datenübermittlung und zwar sogar an einen unbestimmten Personenkreis.

 

 

 

Anwendung der gesetzlichen Reglungen bei der Beurteilung der Zulässigkeit

 

Zweck der Datenverarbeitung

 

Der Zweck der Geburtstagsliste oder einer sonstigen derartigen Liste ist, dass die MitarbeiterInnen im Unternehmen über den Geburtstag und andere private Ereignisse ihrer Kolleginnen und Kollegen informiert werden. Es stellt sich daher die Frage, ob dies ein legitimer Zweck bei der Verarbeitung von personenbezogenen Daten im Beschäftigungskontext sein kann.

 

ErwG 155 DSGVO sowie Art 88 DSGVO beziehen sich auf Datenverarbeitung im Beschäftigungskontext  beschreiben u.a. die Zwecke der Verarbeitung von Daten im Beschäftigungskontext u.a. wie folgt:

 

·         Einstellung & Erfüllung des Arbeitsvertrags

 

·         Erfüllung von durch Rechtsvorschriften oder Kollektivvereinbarungen festgelegten Pflichten

 

·         Managements, der Planung und der Organisation der Arbeit

 

·         Gleichheit und Diversität am Arbeitsplatz

 

·         Gesundheit und Sicherheit am Arbeitsplatz

 

·         Inanspruchnahme der mit der Beschäftigung zusammenhängenden individuellen oder kollektiven Rechte und Leistungen

 

·         Beendigung des Beschäftigungsverhältnisses.

 

In diese Kategorien der von der DSGVO vorgesehenen Zwecke der Datenverarbeitung im Beschäftigungskontext wird eine „Geburtstagsliste“ oder sonstige Information über private Ereignisse der MitarbeiterInnen wohl nicht fallen, sodass diese Listen wohl nicht der notwendigen angemessenen Zweckdefinition iSd DSGVO entsprechen werden, und derartige Listen keine Datenverarbeitung von Beschäftigungsdaten nach Treu und Glauben darstellen.

 

 

 

Grundlage für die Rechtmäßigkeit iSd Art. 6 (1) lit a bis f DSGVO

 

Wenn man davon ausgeht, dass die Verwendung derartiger Geburtstagslisten in die angemessene Datenverarbeitung aufgrund eines möglichen notwendigen Zusammenhangs mit dem Arbeitsverhältnis fallen könnte, ist (überdies) eine Grundlage für die Rechtmäßigkeit für die Verarbeitung zu finden, wobei hier die Möglichkeiten des Art 6 (1) lit a bis f DSGVO genutzt werden könnten.  

 

Einen Möglichkeit für die Rechtmäßigkeit könnte die Einwilligung der MitarbeiterInnen gem. Art. 6 (1) lit a DSGVO in die Verwendung der Geburtstagsliste bieten. In diesem Zusammenhang ist darauf hinzuweisen, dass auch die Art. 29 Datenschutzgruppe davon ausgeht, dass die Freiwilligkeit, die für die Einwilligung gefordert wird (siehe ErwG 32, 42, 43 und Art. 4 Z 11, Art. 7 (4) DSGVO) im Arbeitsverhältnis nur sehr schwer erzielt werden kann.   

 

Die anderen Gründe, z.B. Vertragserfüllung, lebenswichtige Interessen der betroffenen Person, Erfüllung einer Rechtspflicht, Erfüllung einer Aufgabe im öffentlichen Interesse oder überwiegend berechtigtes Interesse des Verantwortlichen oder eines Dritten werden für die Realisierung des konkreten Zweckes dieser Listen nicht in Frage kommen.

 

Das Bayerische Landesamt für Datenschutzaufsicht beurteilte derartige Geburtstagslisten (siehe auch 2. Tätigkeitsbericht im Jahr 2014) als unzulässig.

 

 

 

Wie könnte es dennoch gehen, diese Listen zu verwenden?

 

Freiwillige Einwilligung – wie kann diese Vorgabe umgesetzt werden?

 

Ein „workaround“ wäre wohl, dass von der Organisation eine nicht vorausgefüllte Geburtstagsliste oder Zustimmungserklärung zur Bekanntgabe von privaten Ereignissen mit beispielhafter Anführung der Ereignisse (Hochzeit, Geburt eines Kindes …) zur Verfügung gestellt wird. Diese Information bei der Datenerhebung müsste mit einem Hinweis auf die Freiwilligkeit der Zustimmung versehen werden, und es sollte sichergestellt werden, dass die MitarbeiterInnen frei und ohne Sanktionen befürchten zu müssen, entscheiden können, ob sie möchten, dass die konkreten personenbezogenenn Daten im Unternehmen für den konkreten Zweck verwendet (und insbes. anderen MitarbeiterInnen zugänglich gemacht) werden.

 

Die MitarbeiterInnen, die zustimmen möchten, dass ihre Daten verwendet werden, können die Daten eintragen. Es wäre damit sichergestellt, dass eine freiwillige Einwilligung in die Verwendung des personenbezogenen Datums „Geburtstag“ oder der anderen Ereignisse im Privatleben der MitarbeiterInnen durch die natürlichen Personen erfolgt.

 

 

 

Informierte Einwilligung – wie kann das erfolgen?

 

Den MitarbeiterInnen muss auch die Möglichkeit gegeben werden, dass sie sich wieder von der Liste entfernen (lassen) (Widerrufsmöglichkeit) und sie müssen iSd Art. 13 DSGVO u.a. auch über die konkrete Verwendung der Daten (Zweck) informiert werden, und zwar bei der Datenerhebung.

 

Art. 13 DSGVO schreibt vor, dass bei der Erhebung der Daten (dh bei der Eintragung in die „Geburtstagsliste“ oder „Liste privater Ereignisse“ die betroffenen Personen über folgende Sachverhalte zu informieren sind, sofern sie über diese Informationen nicht schon verfügen (Art 13 (4) DSGVO), damit die betroffene Person eine informierte Einwilligung erteilen kann:

 

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personen­bezogenen Daten;
  5. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  6. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  7. wenn die Verarbeitung auf der Einwilligung der betroffenen Person beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  8. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  9. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.

 

 

 

Wenn Sie noch Fragen zu Verwendung derartiger „Geburtstagslisten“ oder „Listen über Jubiläen und private Ereignisse“ haben, kontaktieren Sie uns; wir beraten Sie gerne bei Fragen des Datenschutz- und Informationstechnologierechts.

 

Hinweis: Bitte die mit * gekennzeichneten Felder ausfüllen.



Entscheidung der DSB

 

 

Die Datenschutzbehörde hat in einem Verfahren, das vor dem 25.05.2018 begonnen wurde, ein Auskunftsrecht gem. Art 15 DSGVO bejaht, und das DSG (idF ab 25.05.2018) sowie die DSGVO angewendet.

 

 

 

 

 

Mit erstinstanzlichem Bescheid (soweit überblickbar nicht rechtskräftig) vom 21.6.2018 hat die DSB eine erste Entscheidung zum Auskunftsbegehren gefällt.

 

 

 

1. Anwendbarkeit der DSGVO

 

Die DSB hat trotz der Tatsache, dass sich der Sachverhalt vor dem Geltungsbeginn der DSGVO ereignet hat, und die Auskunftsanfrage des Beschwerdeführers bereits im Jahr 2017 an die Bank gestellt wurde, und auch das Verfahren vor der DSB vor dem 25.05.2018 begonnen hatte, die Entscheidung auf Basis der DSGVO, insbes. des Art 15 DSGVO gefällt.

 

Nach Ansicht der DSB ist – mangels Übergangsfrist in § 69 DSG – die Rechtslage zum Zeitpunkt der Entscheidung anzuwenden. Die DSB verweist darauf, dass sowohl nach der Rechtslage vor dem 25.05.2018 als auch nach der Rechtslage nach dem 25.05.2018 dem Beschwerdegegner die Möglichkeit gegeben gewesen wäre, die Auskunft bis zum Ende des Verfahrens „nachzuholen“, und es nicht darauf ankommt, was an einem bestimmten Stichtag oder in einem konkreten Zeitraum rechtens war.

 

„Die Berufungsbehörde hat zwar im Allgemeinen das im Zeitpunkt der Erlassung ihres Bescheides geltende Recht anzuwenden. Eine andere Betrachtungsweise wird aber insbesondere dann Platz zu greifen haben, wenn darüber abzusprechen ist, was an einem bestimmten Stichtag oder in einem konkreten Zeitraum rechtens war. Im vorliegenden Fall kommt es auf die Abgabe einer Prozesserklärung in einer bestimmten Lage des Baubewilligungsverfahrens an. Um die Wirkungen der Präklusion zu verhindern, hatten die Berufungswerber die für ihre Parteistellung im Baubewilligungsverfahren maßgeblichen materiell-rechtlichen und formalrechtlichen Bestimmungen zu beachten. Für die Beurteilung der Frage, ob den Berufungswerbern im vorliegenden Fall Parteistellung und damit die Legitimation zur Erhebung einer Berufung zukam, hatte die Berufungsbehörde demnach von der im Zeitpunkt der Bauverhandlung geltenden Rechtslage auszugehen (vgl. zum Ganzen VwGH 26.4.2000, 99/05/0239, mwN).“ (RS Fe 2016/06/0001)

 

 

 

Diese Meinung der DSB teile ich nicht. Die Rechtslage nach § 26 DSG und nach Art 15 DSGVO sind mE doch unterschiedlich.

 

Art 15 Abs 3 DSGVO normiert ein Recht auf Datenkopie, und nach der Rspr. der DSB ergibt sich aus § 26 Abs 1 DSG 2000 „kein Recht auf Einsicht in Daten, sondern immer nur ein Recht auf schriftliche Auskunft über eine Person betreffende Daten (VwGH, E 23.05.2005, 2003/06/0021 RS1).

 

Diese Unterscheidung kann mE auch für den vorliegenden Sachverhalt wesentlich sein, denn eine Information darüber, dass bestimmte Dateninhalte und auch Datenarten von einem Auftraggeber (iSd DSG 2000) verarbeitet werden/wurden, und ein Anspruch auf Erhalt einer Kopie der Daten (eingeschränkt um die Rechte und Freiheiten anderer Personen (Art 15 Abs 4 DSGVO) kann unterschiedlich zu beurteilen sein.

 

 

 

2. Subsidiarität des Auskunftsbegehrens

 

Die DSB legt dar, dass in Art 15 DSGVO keine dem § 26 Abs 6 DSG 2000 vergleichbare Bestimmung enthalten ist. Eine etwaige Einschränkung des Auskunftsrechtes ist daher ausschließlich im Rahmen des Art 23 DSGVO zulässig und in dessen Rahmen zu beurteilen. Die DSB geht (erfreulicherweise) davon aus, dass allgemeine Einschränkungen von Betroffenenrechten möglich sind, kommt aber zum Ergebnis, dass das ZaDiG 2018 das Auskunftsrecht nicht beschränkt, da im ZaDiG kein spezielles Auskunftsrecht normiert ist.

 

 

 

3. Umfang der datenschutzrechtlichen Auskunft

 

Die DSB kommt zu folgender differenzierten Schlussfolgerungen:

 

„Der Beschwerdeführer kann das Recht auf Auskunft geltend machen, um die ihn betreffende Datenverarbeitung zu überprüfen.

 

Da Zahlungsbelege üblicherweise weit mehr als personenbezogene Daten der betroffenen Person, in diesem Fall des Beschwerdeführers, beinhalten, kann das datenschutzrechtliche Auskunftsrecht auch nur so weit gehen, als, dass es dem Zweck der Überprüfung der Rechtmäßigkeit der Datenverarbeitung entspricht (vgl. das Urteil des EuGH vom 17. Juli 2014 in den verbundenen Rechtssachen C-141/12 und C-372/12).

 

Die Beschwerdegegnerin hat daher den Beschwerdeführer betreffende personenbezogene Daten dem Auskunftsbegehren folgend, unter Berücksichtigung der Einschränkung des Art. 15 Abs. 4 DSGVO, offenzulegen.“

 

Ein „absolutes“ Recht, eine Datenkopie zu erhalten, und im konkreten Fall Zahlungsbelege „zu beauskunften“ gibt es nicht.

 

Es geht ausschließlich um die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung und die Grenze sind die Rechte und Freiheiten anderer Personen iSd Art 15 Abs 4 DSGVO. Das Auskunftsrecht geht nur so weit, als es dem Zweck der Überprüfung der Rechtmäßigkeit der Datenverarbeitung entspricht (vgl. das Urteil des EuGH vom 17. Juli 2014 in den verbundenen Rechtssachen C-141/12 und C-372/12).

 

Es wird daher mE ausreichend sein, zu beschreiben, welche konkreten Daten in den Zahlungsbelegen verarbeitet werden, und zwar in Bezug auf die Daten der betroffenen Personen.

 

 

 

4. Schikaneverbot / Exzessivität

 

Die DSB beschäftigt sich mit der Exzessivität eines Auskunftsersuchens, und bezieht sich dabei ausschließlich auf eine „zeitliche“ Komponente und Art 12 Abs 5 lit a und b DSGVO und die Möglichkeit bei offensichtlich unbegründeten und exzessiven Auskunftsersuchen Kosten vorzuschreiben und/oder die Auskunft zu verweigern.

 

Nach Ansicht der DSB muss eine „gewisse Intensität“ vorliegen, die es unzumutbar machen würde, das Auskunftsrecht gegen sich gelten lassen zu müssen.

 

Beim erstmaligen Auskunftsersuchen und Verlangen um Auskunft bezüglich Daten, die für den Auskunftswerber im ELBA nicht mehr einsichtig sind, wurde die Exzessivität von der DSB verneint.

 

 

 

Diese Entscheidung der DSB ist in unterschiedlicher Hinsicht bedeutsam, und zwar insbes in Bezug auf die zeitliche Komponente (siehe oben 1.), wobei ich mit der Meinung der DSB über die Anwendung der DSGVO auf den vorliegenden Sachverhalt, der sich vor Geltungsbeginn der DSGVO ereignet hat, nicht konform gehe, insbes da es sich auch um Daten handelt, die vor dem Geltungsbeginn der DSGVO liegen (letzten fünf Jahre vor Auskunftsersuchen). Die Rechtslage ist nicht identisch, sodass die Aussage der DSB, die letztendlich darauf abzielt, dass es keinen Unterschied macht, ob ein Auskunftsersuchen nach dem DSG 2000 oder nach dem DSG bzw. der DSGVO zu beurteilen ist, mE nicht richtig ist.

 

Bedeutsam ist auch, dass mE klargestellt wurde, dass es keinen absoluten Auskunftsanspruch auf Zahlungsbelege gibt, sondern dieser jedenfalls durch Art 15 Abs 4 DSGVO sowie auch den Zweck des Auskunftsanspruches (Überprüfung der Rechtmäßigkeit der Datenverarbeitung) eingeschränkt wird.

 

Insbes ist mE auch die Judikatur der DSB zu berücksichtigen, die judiziert, die unter Bezugnahme auf den Verwaltungsgerichtshof:

 

Aus § 26 Abs. 1 DSG 2000 ergibt sich kein Recht auf Einsicht in Daten, sondern immer nur ein Recht auf schriftliche Auskunft über eine Person betreffende Daten (VwGH, E 23.05.2005, 2003/06/0021 RS1).

 

 

 

mehr lesen

Ärzte & Informationspflicht

 

 

Ärzte müssen Patienten nicht nach Art 13 und 14 DSGVO informieren.

 

 

§ 3b Abs 2 ÄrzteG idF des 2. Materien-Datenschutz-Anpassungsgesetz (BGBl I 37/2018 vom 14.06.2018) legt u.a. fest, dass Ärzte ihre Patienten nicht iSd  Art 13 und 14 DSGVO zu informieren haben.

 

mehr lesen

CRM-Systeme: nicht nur ein Thema des Jahres 2018

mehr lesen