Datenschutz-Information


 

Zweck der Datenverarbeitung:

 

Abwicklung von Mandaten als Rechtsanwalt bzw. Kanzleiverwaltung inkl. Marketing 

·         Kanzleiverwaltung 

o    Verarbeitung und Übermittlung von Daten im Rahmen der anwaltlichen Tätigkeit mit Klienten, Gegnern und sonstigen Verfahrensbeteiligten, Gerichten, Behörden und Lieferanten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zB Korrespondenz) in diesen Angelegenheiten, insbesondere - zivilgerichtliche Verfahren - Strafverfahren - verwaltungsbehördliche und verwaltungsgerichtliche Verfahren - außergerichtliche Angelegenheiten, allgemeine Rechtsberatung – Vertragserstellung – steuerlichen Verfahren

o    Fremdgeldabrechnung und Treuhandschaften

o    Testamentserrichtung 

o   Selbstberechnung von Grunderwerbsteuer und Immobilienertragssteuer sowie sonstiger Steuern und Gebühren 

o   Online Banking  

 

Marketingaktivitäten für eigene Zwecke inkl. Kontaktverwaltung, Newsletter und Verwendung von Fotos

 

 


... melden Sie sich an um aktuelle Infos zum Datenschutz in Österreich und der EU zu erhalten


zum dataprotect-Newsletter anmelden

* indicates required
/ ( mm / dd )

View previous campaigns.


Datenschutz-Information zum Newsletter

 Wenn Sie sich zu unserem Newsletter anmelden, erteilen Sie die Einwilligung ihre Email-Adresse (und wenn angegeben ihren Namen und Vornamen und Geburtsdatum) (Datenkategorien) automationsunterstützt zu verarbeiten, dh zu speichern und zur Zusendung unseres Newsletters "dataprotect" (Thema: Datenschutz) (Zweck der Datenverarbeitung) zu verwenden.

Wir speichern auch ihr Reaktionen auf den Newsletter.
 
Verantwortlicher: SMP Schweiger Mohr & Partner Rechtsanwälte OG, Huemerstr. 1, A-4020 Linz,
Email-Adresse:
office@dataprotect.at
siehe: www.s-m-p.at

Die Daten werden nicht an Dritte weitergegeben (
Empfänger). 

Ein
Datenschutzbeauftragter wurde nicht bestellt, da dies nicht gesetzlich vorgeschrieben ist.

Sie haben folgende
Rechte:
Auskunftsrecht
Recht auf Berichtigung
Recht auf Löschung oder Einschränkung der Verarbeitung sowie
Beschwerderecht bei der Datenschutzbehörde
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an o
ffice@dataprotect.at oder schreiben Sie uns an die oben angegebene Anschrift.

Da die Verarbeitung der Daten auf der
Einwilligung (= Grundlage für die Rechtmäßigkeit) beruht, können Sie diese jederzeit widerrufen und Sie erhalten keinen Newsletter mehr.
Die Daten werden dann lediglich zum Nachweis der korrekten Abwicklung der bisherigen Rechtsbeziehung (z.B. Dokumentation der Einwilligung, Zusendung der Newsletter) verwendet. Durch den Widerruf der Einwilligung wird die Rechtsmäßigkeit der aufgrund der Einwilligung bis zum Widerruf verarbeiteten Daten nicht berührt.  

Den
Widerruf der Einwilligung richten Sie bitte an office@dataprotect.at (sie können uns aber auch anrufen oder auf andere Art vom Widerruf der Einwilligung verständigen).  

Löschfrist: Die Daten werden nach drei (3) Jahren nach der letzten Verwendung gelöscht.

 

... besuchen sie uns auch auf Twittter & Facebook


DSGVO: Benötigt Ihr Unternehmen einen Datenschutzbeauftragten

Datenschuz Konkret, April 2017 

(DaKO 2/2017)

Die DSGVO schreibt verpflichtend einen Datenschutzbeauftragten unter bestimmten Voraussetzungen vor. Doch wann benötigt ein Unternehmen nun einen Datenschutzbeauftragten?

 

In diesem Artikel finden Sie die Antwort auf diese Frage.

 


Der Mindestbuchpreis im grenzüberschreitenden Internethandel

gemeinsam mit Mag. Wolfgang Lackner

Zeitschrift für Informationsrecht (ZIIR 2016/4, 400)

Dieser Artikel beschäftigt sich mit der Frage der Unionsrechtswidrigkeit eines unterschiedlichen Mindestbuchpreises in Ö und D.

 

Dienstleistervertrag bei Datenverarbeitung und Verpflichtung zur Rückgabe bei Beendigung

lex:itec (2010/04, Seite 18)

In welcher Form muss der Dienstleister (Auftragsdaten-verarbeiter) bei Beendigung des Vertrages die "Daten" zurückgeben. Kann der Auftraggeber verlangen, dass er diese in sein Datensystem einlesen kann?

Die Bedeutung der Nutzung von Social Media im Entlassungsrecht. Dargestellt am Beispiel "Facebook"

gemeinsam mit Mag. Andrea Kern Zeitschrift für Arbeits- und Sozialrecht (ZAS 2013, 302)

 

Dieser Artikel beschäftigt sich mit der Frage der Auswirkungen von (negativen) Facebook-Posts auf das Arbeitsverhältnis.


 

IRIS 2008 Tagungsband, (Internationales Recht der Informatik Symposion): 
Gebrauchtsoftwarehandel in Österreich und Deutschland

IRIS 2007 - Tagungsband, (Internationales Recht der Informatik Symposion):
Kann die Gebührenpflicht von Softwarelizenzverträgen vermieden werden?

lex:itec (Ausgabe 5/2006)      
Gebührenpflicht von Softwarelizenzverträgen   

IRIS 2005 - Tagungsband, (Internationales Recht der Informatik Symposion):         
E-Commerce: Verantwortlichkeit für Unternehmen und vertretungsbefugte Organe aus verwaltungsstrafrechtlicher und strafrechtlicher Sicht

 

Gesundheitsdaten

 

Die Verarbeitung von personenbezogenen Daten ist seit einiger Zeit in aller Munde. Stichwort: DSGVO. Wie aber sieht es mit den „besonderen Datenkategorien“ des Art 9 DSGVO aus. Darunter fallen insbes. auch Gesundheitsdaten, und die Verarbeitung dieser Daten ist untersagt.

 

mehr lesen

Newsletter - Einwilligung bestätigen

 

Wenn keine Einwilligung zum Erhalt des Newsletters vorliegt, dann versuchen viele Organisationen durch eine „Bestätigung“ der Einwilligung von den Newsletterempfängern eine „neuerliche Einwilligung“ zu erhalten.

 

 

 

 

 

Dieser Versuch, eine Einwilligung zu sanieren, ist mE eine unzulässige Direktwerbung iSd § 107 TKG, wenn keine Einwilligung zum Erhalt von Informationen über die Organisation vorliegt. Jede Information, die dazu dient, das Image der Organisation zu fördern, und daher auch ein Email, in dem auf einen Newsletter hingewiesen wird, ist Direktwerbung iSd § 107 TKG.

 

 

 

Eine Möglichkeit, die auch Behörden selbst in Anspruch nehmen, könnte sein, dass die Newletterabonennen in einem Email, mit dem der Newsletter versendet wird, darauf hingewiesen werden, dass eine Bestätigung notwendig ist, wenn der Empfänger in Zukunft den Newsletter noch erhalten möchte.

 

 

Die Formulierung könnte zB wie folgt lauten:

Die Versendung unserer Newsletters basiert auf Ihrer Einwilligung zur Verwendung Ihrer Daten (Mailadresse) für diesen Zweck.

Sollten Sie den Newsletter weiterhin erhalten wollen, werden Sie ersucht, uns per Mail Ihre Einwilligung zur Verwendung Ihrer Daten (Mailadresse) zum Zweck des Newsletterversandes zu geben und bestätigen.

Sie können Ihre Einwilligung jederzeit widerrufen.

What´s App & Unternehmenskommunikation

 

What´s App-Nutzung in beruflicher Hinsicht ist unzulässig (Nutzungsbedingungen What´s App).

What´s App am Business-Handy ist datenschutzrechtlich unzulässig, wenn diese App auf die Kontaktdaten zugreift, und „nach Hause telefoniert“.

 

 

 

Löst Apple nun das Problem für die Business-User?

 

Nach einem Bericht auf „Computerwoche.de“ trennt Apple in iOS 11.3 die Kontaktdaten in „geschäftliche“ und „private“ Kontakte, wenn eine Enterprise-Mobility-Management System (EMM)  wie MobileIron oder Cortado oder ähnliches eingesetzt wird, sofern das EMM die Verteilung von iOs-nativen App Policies ermöglicht (so die Computerwoche).

 

Immowebinar

Wirtschaftskammer Österreich gemeinsam mit dem Österreichischen Verband der Immobilienwirtschaft sowie dem Österreichischen Verband Gemeinnütziger Bauvereinigungen / Revisionsverband

mehr lesen

Facebook Custom Audiences

 

Facebook bietet selbst umfangreiche Informationen, wie diese Art der Werbung auf Facebook funktioniert. Es wird eine Kundenliste des Werbenden verwendet, um die Zielgruppe zu definieren. Es ist möglich, aus den eigenen Kundenlisten eine „Custom Audience“ auf Facebook mit der Werbebotschaft zu erreichen. Auf Facebook sind Informationen über den Ablauf zu Facebook Audiences abrufbar:

 

https://www.facebook.com/business/help/170456843145568?helpref=faq_content

 

 

 

Das Bayerische Landesamt für Datenschutzaufsicht hat im Jahr 2017 zu den unterschiedlichen Möglichkeiten der Werbung auf Facebook Stellung genommen und dazu ausgeführt:

 

1.    Facebook Custom Audience über die Kundenliste

 

a. Rechtsgrundlage:

 

Es ist eine „informierte, freiwillige, jederzeit widerrufliche Einwilligung“ des Kunden notwendig, damit dies zulässig ist, da Daten zu Facebook hochgeladen werden, und dazu keine andere Rechtsgrundlage (auch nicht nach der DSGVO denkbar ist)

 

 

 

b. Widerruflichkeit der Einwilligung: 

 

Bei einem Widerruf des Kunden (der betroffenen Person), dann muss die betroffene Person unverzüglich von der Kundenliste entfernt werden, und Facebook ist zu informieren, dass diese Werbetätigkeit mit diesen konkreten Kundendaten nicht mehr erfolgen darf. Es daher die gesamte Audience-Liste neu zu erstellen bzw. zu akutalisieren.

 

 

 

2.    Facebook Custom Audience über das Pixel-Verfahren:

 

Viele Websiten verwenden einen „Facebook-Button“ und binden Facebook-Pixel auf der Website ein; der Betreiber ist der datenschutzrechtlich Verantwortliche, weil die Verwendung von Facebook als Werbemedium bewusst verwendet wird, und daher vom Website-Betreiber veranlasst wird. Eine Einbindung des Facebook-Pixels ist unter folgenden Voraussetzungen zulässig:

 

 

 

a. „Erweiterter Abgleich“ 

 

Durch das Facebook-Pixel erfolgt eine Übermittlung von Kundendaten, zB Vorname, Name, Email-Adresse, Mobiltelefonnummer etc… an Facebook. Diese werden mit Tracking-Daten angereichert. So ist es möglich, auch Daten von Nicht-Facebook-Nutzern zu erheben oder Nutzer zu erfassen, die während des Besuchs einer Webseite nicht bei Facebook eingeloggt sind.

 

Es ist möglich, dass Websitenbesucher, die die Speicherung von Third-Party-Cookies unterbinden, auf Facebook zu verfolgen.

 

Auch dafür ist vorab eine informierte, jederzeit widerrufliche, freiwillige Einwilligung aller Website-Besucher notwendig. Ohne wirksame Einwilligung kann diese Art der Werbemaßnahme von Facebook nicht zulässigerweise verwendet werden.

 

Webseiten-Betreiber dürfen die erweiterte Funktion nur einsetzen, wenn sie vorab eine informierte Einwilligungserklärung aller Webseiten-Besucher einholen. Ohne wirksame Einwilligung ist die erweiterte Funktion des Facebook-Pixels datenschutzrechtlich unzulässig.

 

  

 

b. Informationspflicht 

 

Der Verantwortliche hat (nach dem 25.05.2018) die Verpflichtungen nach Art 13 DSGVO zu erfüllen und die betroffenen Personen umfassend zu informieren (siehe: https://www.dataprotect.at/2018/03/17/dsgvo-informationspflicht/)

 

 

 

c. Opt-Out-Verfahren

 

„Der Webseiten-Betreiber ist verpflichtet, ein geeignetes Opt-Out-Verfahren zu implementieren, welches folgende Voraussetzungen erfüllt:

 

• Wird ein Opt-Out-Cookie gesetzt, so sollte es sich um ein persistentes HTML5-Storage-Objekt mit einer unbegrenzten Gültigkeitsdauer handeln.

 

• Session-Cookies oder sonstige persistente HTML-Cookies mit einer kurzen Gültigkeitsdauer sind dagegen nicht geeignet und erfüllen daher auch nicht die gesetzlichen Anforderungen.

 

• Ist ein Opt-Out-Cookie des Nutzers vorhanden, so ist jeder Datenverkehr durch das Facebook-Pixel zu unterbinden. Erfolgt dennoch ein Aufruf an Facebook, so ist das Opt-Out-Verfahren nicht geeignet und erfüllt nicht die gesetzlichen Anforderungen. Ein Opt-Out-Verfahren kann man durch Programmieren von wenigen Zeilen Javascript-Code mit geringem Aufwand selbst implementieren.

 

• Ein Verweis auf Webseiten von Drittanbietern (wie z. B. youronlinechoices.eu) ist für ein Opt-Out nicht ausreichend. Nach Setzen von Opt-Out-Cookies über Webseiten solcher Drittanbieter findet unserer Kenntnis nach weiterhin ein Datenverkehr zwischen dem Endgerät des Nutzers und dem Werbenetzwerk statt. Darüber hinaus enthalten die Webseiten der Drittanbieter meist JavaScriptFunktionen, die wiederum das Verfolgen eines einzelnen Nutzers ermöglichen (Tracking). Es ist dem Nutzer daher nicht zuzumuten, für ein Opt-Out beim Facebook Custom Audience Pixel-Verfahren auf den Dienst eines Dritten verwiesen zu werden, der wiederum Daten des Nutzers für eigene Zwecke verarbeitet.

 

• Auch ein Verweis auf die URL www.facebook.com/settings stellt kein geeignetes Opt-Out-Verfahren dar. Zum einen steht diese Funktion nur Facebook-Mitgliedern zur Verfügung und zum anderen wird lediglich die Anzeige von Werbung im Nutzerkonto unterbunden. Eine Datenverarbeitung erfolgt jedoch weiterhin.“ (Quelle: Pressemitteilung, Bayerisches Landesamt für Datenschutzaufsicht, 04.10.2017, https://www.lda.bayern.de/media/pm2017_07.pdf (abgerufen am 08.04.2018)

 

Wie kann eine Einwilligung erfolgen, und zwar insbes. beim Facebook Pixel:

  1. Bei Aufruf der Homepage, werden die Websiten-Besucher gebeten, aktiv der Verwendung des Facbook-Pixel zuzustimmen und zwar mit einem expliziten Hinweis und einer Möglichkeit, die Website auch ohne Pixel (Cookie) aufzurufen. Diese Einwilligung muss den allgemeinen Anforderungen der datenschutzrechtlichen Einwilligung (freiwillig, informiert, widerrufbar) entsprechen. 
  2. Es erfolgt ein Verweis auf die "allgemeinen Datenschutzbestimmungen", in denen die Information gem. Art 13 DSGVO über die Erhebung der Daten enthalten ist. 
  3. Erst nach erfolgter Einwilligung ("OK" / "einverstanden"), ist es zulässig, das Pixel in die Website einzubinden (Neuladen / per Script); gleichzeitig wird beim User ein "Facebook Pixel Opt In"-Cookie gesetzt. 
  4. Bei einem erneuten Besuch der Website kann das abgelegte Cookie (Opt-In) geprüft werden, und kann die Website incl Facebook-Pixel angezeigt werden, ohne dass es einer neuerlichen Einwilligung bedarf. 
  5. Es ist eine einfache Möglichkeit zu geben, die Einwilligung zu widerrufen, und der Widerruf muss befolgt werden und es muss dann sichergestellt werden, dass die weitere Datenverarbeitung unterbleibt; es ist der Cookie zu löschen. 

 

Wird das Facebook-Pixel ohne erweiterten Abgleich genutzt, dann ist dies im Opt-Out-Verfahren (aus derzeitiger Sicht) zulässig. 

Insbes auch aufgrund des Verfahrens vor dem EuGH und auch der medialen Präsenz von Facebook und der Verfehlungen kann für die in diesem Blog gemachten Aussagen keine Haftung übernommen werden; eine 100%-ige Rechtssicherheit ist in diesem Thema mangels konkreter Entscheidungen und konkreter Vorgaben der DSBs nicht erreichbar. 

 

DSFA - schwarze und weiße Listen

 

Datenschutz-Folgenabschätzung: andere Länder, andere Sitten

 

 

 

Es gibt bereits Ideen zur „schwarzen Liste“ gem Art 35 (5) DSGVO, dh Verarbeitungsvorgängen, die jedenfalls eine Datenschutz-Folgenabschätzung erforderlich machen.

 

Während die österreichische Datenschutzbehörde damit beschäftigt, welche Verarbeitungsvorgänge keine DSFA erfordern, veröffentlichen andere DSBs Informationen zur schwarzen Liste gem. Art 35 (5) DSGVO).

 

 

 

Die polnische Datenschutzbehörde hat eine Liste dazu veröffentlicht, die von Kobylańska & Lewoszewski Kancelaria Prawna Sp. j. (in einer inoffiziellen Übersetzung) auf der Website publiziert wurde.

 

Einige interessante Verarbeitungen habe ich hier herausgepickt:

 

 

Types / criteria for processing operations for which assessment is required 

 

Examples of operations / data scope / circumstances in which a high risk of a breach may occur for a given type of processing operation

 

Potential areas of occurrence / existing areas of application 

 

1. Evaluation or assessment, including profiling and prediction (behavioural analysis) for purposes that may have negative legal, physical, financial or other effects on natural persons

 

 

Creditworthiness rating, using proprietary algorithms and data disclosure requests not directly related to risk assessment.

Banks in the process of assessing creditworthiness.

2. Automated decision making that produces legal, financial or similar material results

 

Customer profiling systems to identify purchase preferences, setting promotional prices based on the profile.

 

Online stores offering promotional prices for specific groups of clients

3. Systematic largescale monitoring of publicly accessible places using elements of recognition of features or properties

Extensive public space monitoring systems to track people and obtain data that goes beyond the data necessary to provide the service.

Means of public transport, cities offering bicycle and car rental systems, and determining paid parking zones.

Systems for monitoring work time and information flow in tools used by employees (e.g. in e-mail or on the Internet).

Workplaces (IT systems monitoring). Employees’ unawareness that their use of email, applications, access cards is monitored of objects occurring in the monitored space. This group of systems does not include video monitoring in which the image is recorded and used only to analyse law infringement incidents.

Patients’/clients’ health data.

Hospitals/organizations conducting clinical trials. Fitness clubs.

 

Monitoring purchases and purchasing tendencies (e.g. alcohol, sweets).

Loyalty programs containing elements of profiling people.

4.  Processing of special categories of personal data concerning convictions and law infringements (sensitive data according to WP 29)

Processing biometric data of clients or employees in order to identify or verify an individual in access control systems, e.g. entering certain areas, rooms or gaining access to specific accounts in an IT system in order to execute a transaction order in an IT system or withdraw cash using an ATM etc.

 

Work time monitoring systems; Entrance control systems for specific rooms; Accounting and registration systems for banking, commercial and insurance operations;  Entrance control systems for fitness clubs, hotels etc

 

 

 

 

 

 

Die gesamte Liste finden Sie hier: <<< DPIA-Poland >>>

 

 

 

Auch die belgische DSB hat eine derartige Liste (Anhang; Seiten 42 ff) veröffentlicht, die definiert, dass folgende Verarbeitungsvorgänge eine DSFA erforderlich machen:

 

1.       wenn die Verarbeitung biometrische Daten zum Zweck der eindeutigen Identifizierung der betroffenen Personen an einem öffentlichen Ort oder an einem der Öffentlichkeit zugänglichen privaten Ort verwendet;

 

 

 

2.       wenn bei der Entscheidung, einen bestimmten Dienstleistungsvertrag mit einer natürlichen Person abzulehnen oder zu beenden, personenbezogene Daten von Dritten zur späteren Prüfung erhoben werden;

 

 

 

3.       wenn die Verarbeitung bestimmte Kategorien personenbezogener Daten im Sinne von Artikel 9 der DSGVO betrifft, die zu einem anderen Zweck als dem, für den diese erfasst wurden, es sei denn, die Verarbeitung basiert auf der Zustimmung der betroffenen Person oder wenn es erforderlich ist, eine rechtliche Verpflichtung zu erfüllen, der der für die Verarbeitung Verantwortliche unterliegt;

 

 

 

4.       wenn die Behandlung unter Verwendung eines Implantats durchgeführt wird und eine Verletzung personenbezogener Daten die körperliche Gesundheit der betroffenen Person beeinträchtigen könnte;

 

 

 

5.       im Falle einer umfangreichen Verarbeitung personenbezogener Daten schutzbedürftiger natürlicher Personen, einschließlich Kinder, zu einem anderen als dem Zweck, für den sie erhoben wurden;

 

 

 

6.       wenn Daten in großem Umfang von Dritten erhoben werden, um die wirtschaftliche Situation, Gesundheit, persönliche Präferenzen oder Interessen, Zuverlässigkeit oder Verhalten, Standort oder Bewegung natürlicher Personen zu analysieren oder vorherzusagen;

 

 

 

7.  bei bestimmten Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO oder bei Daten sehr persönlicher Art (wie Daten über Armut, Arbeitslosigkeit, Beteiligung der Jugendhilfe oder Sozialarbeit, Daten über häusliche und private Aktivitäten, Standortdaten), wenn diese routinemäßig zwischen mehreren Verantwortlichen ausgetauscht werden;

 

8.  bei der umfangreichen Verarbeitung von Daten, die von mit Sensoren ausgestatteten Geräten erzeugt werden, die Daten über das Internet oder andere Mittel senden (z. B. Anwendungen des "Internet der Dinge" wie z. B. Fernsehen) intelligente Geräte, verbundenes Spielzeug, intelligente Städte, intelligente Energiezähler usw.), und wenn diese Verarbeitung zur Analyse oder Vorhersage der wirtschaftlichen Situation, Gesundheit, Präferenzen oder Interessen, der Zuverlässigkeit oder des Verhaltens, des Standortes oder der Bewegung von natürlichen Personen verwendet wird;
 

9.  bei der umfangreichen und / oder systematischen Verarbeitung von Telefondaten, dem Internet oder anderen Kommunikationsdaten, Metadaten oder Standortdaten von natürlichen Personen (z. B. WLAN-Ortung oder die Verarbeitung von Fahrgastdaten im öffentlichen Verkehr), wenn die Verarbeitung für eine von der betreffenden Person angeforderte Dienstleistung nicht unbedingt erforderlich ist;
 

10. bei der umfangreiche Verarbeitung personenbezogener Daten, bei denen das Verhalten natürlicher Personen systematisch erfasst, erfasst oder beeinflusst wird, auch zu Werbezwecken, durch automatisierte Verarbeitung.

 

 

 

 

Folgende Verarbeitungen bedürfen nach Ansicht der belgischen DSB keiner DSFA:

 

     1.       die Verarbeitungen von privaten Organisationenum eine rechtliche Verpflichtung zu erfüllen;


 

2.       Lohn- und Gehaltsabrechnung, sofern die Daten nur für diesen Zweck verwendet werden und nur so lange gespeichert werden, als diese für diesen Zweck notwendig sind;

 

3.       Personalverwaltung, sofern die Verarbeitung keine Daten über die Gesundheit der betroffenen Person betrifft, bestimmte Kategorien von Daten im Sinne von Artikel 9 DSGVO oder strafrechtliche Verurteilungen und Straftaten im Sinne von Artikel 10 der DSGVO oder Daten zur Bewertung des Verhaltens der betroffenen Person, im Rahmen der gesetzlichen Verpflichtungen und nur so lange gespeichert werden, als diese für diesen Zweck notwendig sind;                                             

 

4.       Buchhaltung und Rechnungswesen;

 

5.       Gesellschafterregister oder Register über Anteilseigner;
 

 

 

6.       die Verarbeitung personenbezogener Daten durch eine Stiftung, einen Verein oder eine andere gemeinnützige Einrichtung im Rahmen ihrer normalen Geschäftstätigkeit, sofern sich die Verarbeitung ausschließlich auf personenbezogene Daten ihrer Mitglieder bezieht, Personen, mit denen der für die Verarbeitung Verantwortliche in regelmäßigem Kontakt mit den Empfängern der Stiftung, des Vereins oder der Einrichtung steht und bei denen keine Person auf der Grundlage von Daten Dritter registriert ist und die verarbeiteten personenbezogenen Daten nicht erfasst sind nicht länger als die Zeit, die für die Verwaltung von Mitgliedern, Kontaktpersonen und Begünstigten erforderlich ist, und nur im Rahmen der Anwendung einer Rechts- oder Verwaltungsvorschrift an Dritte weitergegeben wird;

 

7.       die Verarbeitung personenbezogener Daten, die sich ausschließlich auf die Registrierung von Besuchern im Rahmen der Zutrittskontrolle beziehen, wenn die verarbeiteten Daten auf den Namen und die Geschäftsadresse des Besuchers beschränkt bleiben, die Identifizierung seines Arbeitgeber, die Identifizierung des Besucherfahrzeugs, den Namen, den Bereich und die Funktion der besuchten Person und zum Zeitpunkt des Besuchs, und wo die verarbeiteten personenbezogenen Daten ausschließlich für die Zugangskontrolle und nicht länger als die für diesen Zweck erforderliche Zeit gehalten werden;

 

8.       Verarbeitung personenbezogener Daten, die von Bildungseinrichtungen durchgeführt werden, um ihre Beziehungen zu ihren Schülern oder Studenten im Rahmen ihrer Lehrverpflichtungen zu verwalten, vorausgesetzt, dass diese nur die Verarbeitung betreffen personenbezogene Daten in Bezug auf potenzielle derzeitige und ehemalige Schüler oder Studenten des Lehrbetriebs betreffen

 

 

 

Die Publikation in französischer Sprache finden hier: <<< DPIA-Belgium >>>

 

 

 

Bis Ende April 2018 soll nun die Art 29 DS-Gruppe einen gemeinsamen Standpunkt dazu einnehmen und eine einheitliche Liste erstellen.

 

0 Kommentare

Versandhandel und Weitergabe der Email-Adresse des Kunden an den Zusteller

 

 Beschluss der DSK vom 23.03.2018

  

Übermittlung von E-Mail-Adressen durch Onlineversandhändler an Postdienstleister

 

Die Übermittlung von E-Mail-Adressen durch Onlinehändler an Postdienstleister ist nur bei Vorliegen einer Einwilligung der Kunden in eben diese Übermittlung rechtmäßig.

 

Die Praxis hat gezeigt, dass es vielen Onlinehändlern möglich ist, die Zustellinformationen selbst an den Kunden weiterzugeben bzw. einen Link zur Sendungsverfolgung in die eigene Bestellbestätigung einzubinden. Dies stellt jedenfalls eine objektiv zumutbare Alternative dar.

 

 

 

Aus dem gleichen Grund wird auch die Erforderlichkeit im Rahmen des § 28 Abs. 1 Satz 1 Nr. 2 BDSG bzw. Art. 6 Abs. 1 Satz 1 lit. f DS-GVO verneint.

 

Dieser strenge Standpunkt wird von der Datenschutzkonferenz in Deutschland (DSK) in einem Beschluss vom 23.03.2018 eingenommen.

 

 

 

DSFA white list - Verordnungsentwurf

Haben Sie sich schon mit der Frage beschäftigt, ob Verarbeitungsvorgänge, die in Ihrer Organisation durchgeführt werden, ein "hohes Risiko" für die Rechte und Freiheiten der natürlichen Personen bewirken können?

 

Sie müssen sich das wie einen "Domino-Effekt" vorstellen! Die Verarbeitung der personenbezogenen Daten verursacht bei den betroffenen Personen grundsätzlich ein Risiko. Doch was geschieht konkret, wenn es zu einem Datenschutzvorfall komm? Haben Sie sich das schon überlegt?

 

Haben Sie schon "Datenschutz-Folgenabschätzungen" für risikoreiche Verarbeitungsvorgänge durchgeführt? Wissen Sie überhaupt, welche Verarbeitungsvorgänge eine Datenschutz-Folgenabschätzung erfordern?

 

Die Datenschutzbehörde hilft Ihnen dabei, Verarbeitungsvorgänge, die keine DSFA erforderlich machen, herauszufinden. Dies mit einem Entwurf einer Verordnung, in der derartige Verarbeitungsvorgänge definiert werden.

 

 

Nach Art 35 Abs 1 DSGVO erfordern unterschiedliche Szenarien eine sog. Datenschutz-Folgenabschätzung (DSFA), und zwar dann, wenn die Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat.

 

 

Eine Datenschutz-Folgenabschätzung gemäß Art 35 Abs 1 DSGVO ist insbesondere in folgenden Fällen erforderlich:

  1. systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;

  2. umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Artikel 9 Absatz 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 oder

  3. systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche;

Die Datenschutzbehörde wird von der Öffnungsklausel des Art 35 Abs 5 DSGVO Gebrauch machen, und mittels einer Verordnung eine Liste von Verarbeitungsvorgängen festlegen, die keine DSFA erforderlich machen.

 

Der Entwurf der

 

 

Verordnung der Datenschutzbehörde über die Ausnahmen

von der Datenschutz-Folgenabschätzung (DSFA-AV)

 

ist von der Datenschutzbehörde versandt worden und liegt nun vor.

 

Folgende Verarbeitungsvorgänge sind derzeit im Entwurf enthalten:

 

 

 

DSFA-A01

Kundenverwaltung, Rechnungswesen, Logistik, Buchführung

DSFA-A02

Personalverwaltung für privatrechtliche und öffentlich-rechtliche Dienstverhältnisse

DSFA-A03

Mitgliederverwaltung

DSFA-A04

Kundenbetreuung und Marketing für eigene Zwecke

DSFA-A05

Sach- und Inventarverwaltung

DSFA-A06

Register, Evidenzen, Bücher

DSFA-A07

Zugriffsverwaltung für EDV-Systeme

DSFA-A08

Zutrittskontrollsysteme

DSFA-A09

 

Stationäre Bildverarbeitung und die damit verbundene Akustikverarbeitung zu Überwachungszwecken (Videoüberwachung)


 

a) Räumlicher Erfassungsbereich

 

 

Örtlichkeiten, über welche der Verantwortliche verfügungsbefugt ist. Die Videoüberwachung darf räumlich nicht über die Liegenschaft hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen im Ausmaß von bis zu einem halben Meter gemessen von der Grundstücksgrenze des überwachten Objekts.

Die Videoüberwachung darf überdies nicht an Orten betrieben werden, welche den höchstpersönlichen Lebensbereich von Personen darstellen.

 

 

b) Speicherdauer

 

 

Aufgenommene personenbezogene Daten sind vom Verantwortlichen spätestens nach 72 Stunden zu löschen, es sei denn eine längere Speicherdauer wurde in einem Gesetz, durch einen behördlichen Rechtsakt, in einer Betriebsvereinbarung oder mit Zustimmung der Personalvertretung ausdrücklich festgelegt.

 

 

c) Kennzeichnung

 

 

Voraussetzung für die Ausnahme ist die geeignete Kennzeichnung der Bildverarbeitung durch den Verantwortlichen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen.

 

2. Zweck der Datenverarbeitung:

 

A. Einfamilienhaus samt Grundstück, eigene Wohnung

 

 

Bild- und Akustikverarbeitungen, welche dem vorbeugenden Schutz von Personen oder Sachen auf privaten, zu Wohnzwecken dienenden Liegenschaften, die ausschließlich vom Verantwortlichen und von allen im gemeinsamen Haushalt lebenden Nutzungsberechtigten genutzt werden, dienen. Voraussetzung ist die Einwilligung aller Nutzungsberechtigten.

 

 

B. Allgemein zugängliche Örtlichkeiten, die dem Hausrecht des Verantwortlichen unterliegen

 

 

Bild- und Akustikverarbeitungen, welche für den vorbeugenden Schutz von Personen oder Sachen an allgemein zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich sind und kein gelinderes geeignetes Mittel zur Verfügung steht. In Fällen, in denen Arbeitnehmervertretungen gesetzlich verpflichtend einzurichten sind, ist das Vorliegen einer gültigen Betriebsvereinbarung oder einer gültigen Zustimmung der Personalvertretung, welche die Durchführung der Videoüberwachung regeln, Voraussetzung.

 

Keine Anwendung findet diese Ausnahme auf Örtlichkeiten, welche aufgrund eines bestehenden Kontrahierungszwanges oder aufgrund des öffentlichen Interesses von jedermann betreten werden dürfen.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

DSFA-A10

Bild- und Akustikdatenverarbeitung in Echtzeit

 

DSFA-A11

Bild- und Akustikverarbeitungen zu Dokumentationszwecken

DSFA-A12

Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdiensteanbieter und Apotheker

 

Patientenverwaltung und Honorarabrechnung von einzelnen Ärzten, Zahnärzten und Dentisten sowie Patienten-/Klientenverwaltung und Honorarabrechnung anderer freiberuflich einzeln tätiger Gesundheitsdiensteanbieter und Apotheker.

DSFA-A13

Rechts- und Beratungsberufe

 

Datenverarbeitung von rechtsberatenden und unternehmensberatenden Berufen, wie einzelne Rechtsanwälte, Notare, Wirtschaftstreuhänder, Steuerberater und Unternehmensberater im Rahmen ihrer Berufsausübung.

DSFA-A14

Wissenschaftliche Forschung und Statistik

DSFA-A15

Unterstützungsbekundungen im Rahmen von Bürgerinitiativen

DSFA-A16

Haushaltsführung der Gebietskörperschaften und sonstigen juristischen Personen öffentlichen Rechts

DSFA-A17

Öffentliche Abgabenverwaltung

DSFA-A18

Förderverwaltung

DSFA-A19

Öffentlichkeitsarbeit und Informationstätigkeit durch öffentliche Funktionsträger und deren Geschäftsapparate

DSFA-A20

Aktenverwaltung (Büroautomation) und Verfahrensführung

DSFA-A21

Organisation von Veranstaltungen

 

 

.

Art 29 Weisungen des Verantwortlichen

 

 Was ist der Regelungsinhalt von Art 29 DSGVO (Verarbeitung unter Aufsicht des Verantwortlichen oder des Auftragsverarbeiters)?

 

 

Art 29 DSGVO lautet:

 

Der Auftragsverarbeiter und jede dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Person, die Zugang zu personenbezogenen Daten hat, dürfen diese Daten ausschließlich auf Weisung des Verantwortlichen verarbeiten, es sei denn, dass sie nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zur Verarbeitung verpflichtet sind.

 

Die zwei Regelungsbereiche des Art 29 DSGVO:

 

Diese Regelung bringt außerhalb von gesetzlich angeordneten Verarbeitungsvorgängen die „Weisungsgebundenheit

 

1.       der Personen, die für einen Verantwortlichen oder einen Auftragsverarbeiter tätig sind,

 

2.       und des Auftragsverarbeiters

 

gegenüber dem Verantwortlichen und hat in Art 16 DSRL eine unmittelbare Vorgängerbestimmung, und ist daher nicht neu. Die Überschrift des Art 16 DSRL lautet: „Vertraulichkeit der Verarbeitung“.

 

 

 

Auswirkungen auf „Personen, die Zugang zu den personenbezogenen Daten haben“ und auf Auftragsverarbeiter:

 

Mit der Bestimmung des Artikel 29 DSGVO soll sichergestellt werden, dass der Verantwortliche seine Entscheidungen in Bezug auf die Art und Weise der Verarbeitung der personenbezogenen Daten auch gegenüber den Personen, die dann die Verarbeitung auch tatsächlich durchführen, durchsetzen kann.

 

Die Weisungsgebundenheit (bzw. Auftragsgebundenheit) bezieht sich insbes. auf Mitarbeiter, freie Dienstnehmer, Freelancer oder Berater auf Werkvertragsbasis bzw. auch Unter-Auftragsverarbeiter, sofern diese Zugang zu den personenbezogenen Daten haben. In jedem vertraglichen Verhältnis zu Personen, die Zugang zu den Daten haben, ist es mE vertragsimmanent, dass der Verantwortliche das Weisungsrecht in Bezug auf die Verarbeitungen wahrnimmt.

 

Im Rahmen der Auftragsverarbeitung ist in Art 28 DSGVO der notwendige Vertragsinhalt normiert, und auch dort findet sich eine Bezugnahme auf die Weisungsmöglichkeit des Verantwortlichen gegenüber dem Auftragsverarbeiter. Aus Art 29 DSGVO ergibt sich diese ausdrückliche, sich direkt aus dem Gesetz ergebende Pflicht, Weisungen des Verantwortlichen zu befolgen.

 

Da der Verantwortliche für die Verarbeitung der Daten und die Einhaltung der Bestimmungen der DSGVO verantwortlich ist, und auch unter der Strafsanktion bzw. der anderen Sanktionen der DSGVO steht, ist es nur verständlich, dass er die Möglichkeit erhalten muss, auch durch Weisungen auf die Art und Weise der Verarbeitungen Einfluss nehmen zu können.

 

Vertraulichkeit und Integrität sind Prinzipien des Datenschutzes, die vom Verantwortlichen zu wahren sind, und auch aus Art 29 DSGVO ergibt sich mE, dass der Verantwortliche jenen Personen, die Zugang zu den personenbezogenen Daten haben, „unter seiner Kontrolle“ haben muss, um diese Prinzipien erfüllen zu können.

 

Bei Mitarbeitern oder Vertragspartnern, die im Auftrag des Verantwortlichen tätig sind, ist die Weisung bereits in der Aufgabenverteilung und Aufgabenbeschreibung enthalten, denn im Rahmen des Aufgabengebietes, das der Verantwortliche an die konkrete Person delegiert hat, ist diese Person für ihn tätig. Wenn jedoch der Mitarbeiter oder der Vertragspartner den Auftrag oder das Aufgabengebiet überschreiten, dann sind diese nicht mehr unter der Kontrolle des Verantwortlichen, und damit verlassen auch die personenbezogenen Daten den Bereich, den der Verantwortliche kontrollieren kann, und es kommt zum Verlust der Vertraulichkeit.

 

mehr lesen

Optiker und die Verarbeitung von "sensiblen Daten"

Im DSG 2000 heißen sie "sensible Daten". In der DSGVO gibt es diesen Begriff nicht mehr, sondern ist die Definition der "Daten besonderer Kategorien" in Art 9 DSGVO zu finden:

 

Nach Art 9 Abs 1 DSGVO sind folgende Daten "besonders", dh sie bedürfen einer besonderen Rechtsgrundlage für die Zulässigkeit (Rechtmäßigkeit) der Verarbeitung. Art 9 Abs 1 DSGVO "untersagt", dh verbietet die Verarbeitung von bestimmten Kategorien von Daten:

 

Die Verarbeitung von Daten, aus denen die

 

  • rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder
  • die Gewerkschaftszugehörigkeit hervorgehen,

 

sowie die Verarbeitung

 

  • von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
  • Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person

 

ist untersagt.

 

Diese Daten dürfen nur unter "erschwerten Umständen" vom Verantwortlichen erhoben werden, die in Art 9 Abs 2 DSGVO aufgezählt sind:

 

  1. Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot nach Absatz 1 durch die Einwilligung der betroffenen Person nicht aufgehoben werden,
  2. Die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist.
  3. Die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
  4. DieVerarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
  5. Die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
  6. Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
  7. Die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
  8. Die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs und vorbehaltlich der in Absatz 3 genannten Bedingungen und Garantien erforderlich,
  9. Die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
  10. DieVerarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

Eine Verarbeitung von "Daten besonderer Kategorien" ist im Bereich der Gesundheitsvorsorge (siehe oben 8) nur zulässig, sofern Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt.

 

Es ist sohin eine satzungsmäßige Geheimhaltungspflicht oder eine gesetzliches Berufsgeheimnis notwendig.

 

mehr lesen

Dr. Andrea Jelinek im Interview im Trend

Im Trend erschien vor Kurzem ein interessantes Interview mit der Leiterin der Österreichischen Datenschutzbehörde Fr. Dr. Andrea Jelinek mit dem Titel: Datenschutz: "Geldbußen müssen wirksam sein"

 

 

Hier der Link zum Nachlesen:

https://www.trend.at/branchen/digital/datenschutz-geldbussen-9251275

 

Im Entwurf des Datenschutz-Regulierungsgesetz werden nun auch Geldstrafen für Behörden und öffentliche Stellen vorgesehen, wenn diese nicht in Vollziehung der Gesetze tätig sind. Eine Information dazu finden Sie hier >>>

juristische Person wird aus dem Schutzbereich des DSG entfernt

Doch nur mehr die „natürliche Person“ im Schutzbereich des Österreichischen Datenschutzgesetzes … das „Datenschutz-DeregulierungsG 2018“ bringt Klarheit..

mehr lesen