Datenschutz-Information

Löschung von Daten:

DSB weist Beschwerde eines Users in einem Online-Forum wegen der Löschung von User-Kommentaren zurück  

(13.08.2018;  DSB-D123.077/0003-DSB/2018 (rk)

Die DSB hat die erste Geldstrafe verhängt.

EUR 4.800,-- für eine nicht korrekt gekennzeichnete Videoüberwachung, die den öffentlichen Raum mitüberwachte.

Eine Kundenzufriedenheitsbefragung in einer E-Mail fällt auch dann unter den Begriff der (Direkt-)Werbung, wenn mit der E-Mail die Übersendung einer Rechnung für ein zuvor gekauftes Produkt erfolgt. (BGH VI ZR 225/17 10. Juli 2018)

Ohne Zustimmung des Empfänger ist eine derartige Zusendung rechtswidrig. Es handelt sich um "unzumutbare Belästigung" und kein transaktionsbezogenes Email.

Der EuGH hat am 05.06.2018 eine Entscheidung zu Facebook Fanpages gefällt, die nun drei Monate danach zu einem Beschluss der deutschen Datenschutzkonferenz geführt hat. 

"Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig."

Auftragsverarbeiter und Verantwortlicher

Der Versuch einer Anleitung zur Abgrenzung in Vertragsverhältnissen

Im Rahmen der Veranstaltung "IT-Sicherheit am Donaustrand" des Bayer. IT-Sicherheitscluster e.V. haben Sie die Möglichkeit unterschiedliche Vorträge zu Datenschutz und IT-Sicherheit zu hören. 

Etwa 4 Monate nach Geltungsbeginn der DSGVO gibt es folgendes Programm:

Am 6.9.2018 findet vor dem EuGH eine Verhandlung statt, die für Websitenbetreiber, die Social-Plugins einbinden, bedeutsam ist.

Das Wiener Datenschutz-Anpassungsgesetz (LGBl. 44/2018) - kurz WDSAG - trat am 25.05.2018 in Kraft, und es wurde das bisherige Wiener Datenschutzgesetz (Wr. DSG; LGBl 125/2001) aufgehoben. 

Seit diesem Zeitpunkt gilt das Gesetz über den Schutz personenbezogener Daten (Wiener Datenschutzgesetz – Wr. DSG)  neben der DSGVO und dem DSG und den Materiengesetzen, die datenschutzrechtliche Regelungen enthalten.

 Kann eine beabsichtigte Dokumentation, um für den Fall eines Finanzverfahrens Daten zur Verfügung zu haben, eine Aufbewahrung von Daten rechtfertigen?

Die Datenschutzbehörde hat dazu am 28.05.2018 (in Anwendung der DSGVO) eine Entscheidung gefällt. (DSB-D216.471/0001-DSB/2018)

Die BAO normiert in § 207 Abs 2 die Verjährungsfrist bei der Abgabenhinterziehung mit 10 Jahre. Aus der Entscheidung ist nicht ersichtlich, wie der Beschwerdegegner, der folgende Daten über einen Zeitraum von 10 Jahren nach Vertragsbeendigung aufbewahrte, argumentiert hat, wobei davon auszugehen ist, dass dies zu Dokumentations- und Nachweiszwecken im Rahmen von etwaigen finanzstrafrechtlichen Verfahren erfolgte, da auf die BAO und deren Verjährungsfrist hingewiesen wurde:

Die DSB führt dazu aus:

Gemäß Art. 5 Abs. 1 lit. e DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer oder organisatorischer Maßnahmen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden („Speicherbegrenzung“) (Hervorhebungen durch die Datenschutzbehörde).

Die DSB wies darauf hin, dass § 207 Abs 2 BAO keine Verpflichtung zur Speicherung von Daten vorsehe, sondern nur eine Verjährungsfrist bei Finanzvergehen normiert.

Aus den Entscheidungsgründen:

"Auch der Verfassungsgerichtshof geht in einer Entscheidung davon aus, dass "nur ein konkret sich abzeichnendes Verfahren" eine Speicherung von personenbezogenen Daten rechtfertigen kann.

Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht nicht aus".
(Erkenntnis vom 12.12.2017, GZ E3249/2016)" 

Die DSB versendet mehrmals im Jahr einen Newsletter, für den man sich registrieren kann. Bei einer Registrierung erhält man den Newsletter einige Tage vor dem Zeitpunkt, in dem dieser online gestellt wird … 

Darf ein potenzieller Arbeitgeber eine Strafregisterbescheinigung im Rahmen eines Bewerbungsverfahren verlangen oder von MitarbeiterInnen speichern?

Eine kurze Übersicht nach den Bestimmungen der DSGVO

Die IVVA (Interessensverband der Österreichischen Versicherungsagenten) und Fondsprofessionell berichteten übereinstimmend am 20.8.2018 auf der jeweiligen Website über Vor-Ort-Kontrollen der österreichischen Datenschutzbehörde.

Die IVVA meldete im Newsletter (NL 19/18): Behörde startet Kontrollen, bitte um Details.

Es seien Vor-Ort-Kontrollen durchgeführt worden, und die DSB habe sich

hauptsächlich um den Bereich der Versicherungsvermittlung interessiert. Es

wurde ersucht, Informationen an die IVVA zu senden, um diese zu sammeln, und mehr über den Ablauf/Inhalt der Kontrollen zu erfahren. 

Fondsprofessionell (Online) titelte am 20.8.2018: Datenschutz-Beamte

klopfen zuerst bei Versicherungsvermittlern an.

Wir haben keine persönlichen Informationen über eine Schwerpunkt-Prüfung der Datenschutzbehörde im Bereich der Finanzdienstleister, insbes. Versicherungsvermittler, -agenten oder -makler.

Es gab in den Jahren 2017/2018 eine Schwerpunktprüfung der DSB bei Versicherungen, die unseres Wissens nach bereits abgeschlossen ist.  Eine Empfehlung aus dieser Prüfung ist auch veröffentlicht, bei der es u.a. auch um eine unbefristete Speicherung von Protokolldaten geht, die nach Ansicht der DSB nicht zulässig ist.

Bitte teilen sie auch uns mit, wenn es Vor-Ort-Kontrollen der DSB oder Anfragen der DSB bei ihnen gibt oder ihnen derartige bekannt sind, insbes. wenn diese ohne Anlassfall (zB Beschwerde) von der Behörde durchgeführt werden.

Wir versuchen, weitere Infos zum Thema zu erhalten, und werden weitere berichten.

Gerne unterstützen wir bei etwaigen Anfragen oder Vor-Ort-Kontrollen der Datenschutzbehörde mit unserem Fachwissen.

Was darf bei einer (berechtigten) Löschungsanfrage dokumentiert werden und nach Löschung noch aufbewahrt (gespeichert) werden?

Die Datenschutzbehörde hat dazu am 28.05.2018 (in Anwendung der DSGVO) eine Entscheidung gefällt. (DSB-D216.580/0002-DSB/2018)

Eine natürliche Person wendete sich im November 2017 an die Datenschutzbehörde. Sie brachte vor, dass ein Gläubigerschutzverband deren personenbezogene Daten ohne Rechtsgrundlage und ohne Zustimmung gespeichert habe, und auch den Anträgen auf gänzliche Löschung nicht nachgekommen sei, obwohl diese mehrmals verlangt wurde.

Der Beschwerdegegner (ein Gläubigerschutzverband) teilte mit, dass bereit im Jahr 2012 die Löschung aus der Datenbank beantragt worden sei, und diese auch durchgeführt worden sei. Vorname, Zuname, Geburtsdatum und Adresse seien „aus sicher amtsbekannten Gründen“ in einem internen Arbeitsverzeichnis gem. § 8 Abs 3 Z 5 DSG (zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden). Die Speicherung der Daten sei aufgrund der häufigen Kommunikation mit dem Beschwerdeführer und zur Sicherstellung, dass es zu keiner Neuaufnahme in die Datenbank kommt notwendig.

Der Beschwerdeführer begehrte im Juli 2017 neuerlich die Löschung seiner Daten aus der Datenbank des Gläubigerschutzverbandes. Die Daten wurden aus der Datenbank gelöscht, aber Vorname, Name, Geburtsdatum und aktuelle Adresse zu Dokumentations- und Kommunikationszwecken weiter gespeichert.

Der Beschwerdeführer verlangte darauhin auch die Löschung dieser Daten, da es keine Rechtsgrundlage für diese Speicherung zu Dokumentations- und Kommunikationszwecken gäbe.

Diesem weiteren Antrag auf Löschung entsprach der Gläubigerschutzverband nicht.

Die betroffene Person hat iSd Art 17 Abs 1 DSGVO die Löschung der Daten (Vorname, Name, Geburtsdatum und Adresse) verlangt.

Im vorliegenden Fall hat der Beschwerdeführer entsprechend Art. 17 Abs. 1 DSGVO verlangt, die ihn betreffenden personenbezogenen Daten unverzüglich zu löschen.

Der Gläubigerschutzverband stützt sich auf Art 17 Abs 3 lit e DSGVO (Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich).

Aus der Entscheidung der DSB:

Der kurze Verweis des Beschwerdegegners auf „sicher amtsbekannte Gründe“ stellt jedoch keinesfalls einen ausreichenden Beweis dar, um die Erforderlichkeit der Verarbeitung gemäß Art. 17 Abs. 3 DSGVO zu belegen.

Insbesondere die Speicherung der Daten im Hinblick auf eine eventuell zukünftige Kontaktaufnahme mit dem Beschwerdeführer, wenn dieser die Löschung seiner gesamten Daten verlangt und daraus zu schließen ist, dass eine derartige Kommunikation nicht mehr erfolgen wird, ist gemäß Art. 17 Abs. 1 lit. a DSGVO nicht notwendig.

Die zeitlich unbegrenzte Speicherung von personenbezogenen Daten für eine eventuell zukünftige Kontaktaufnahme stellt außerdem eine Verletzung des Grundsatzes der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO dar.

Andere, eine fortgesetzte Datenspeicherung rechtfertigende Gründe, wurden vom Beschwerdegegner nicht vorgebracht.

Aus Sicht der Datenschutzbehörde liegt im Ergebnis daher keine erforderliche Datenverarbeitung des Beschwerdegegners nach Art. 17 Abs. 3 DSGVO vor und erweist sich der Antrag des Beschwerdeführers auf Löschung seiner personenbezogenen Daten aus den oben erörterten Gründen als berechtigt.

Schlussfolgerungen aus dem Verfahren:

1. Konkretes Vorbringen und konkrete Nachweise:       

Ein Verweis auf “sicher amtsbekannte Gründe” ist kein ausreichender Nachweis/Beweis im Verfahren vor der DSB, dass der Ausnahmetatbestand des Art 17 Abs 3 DSGVO erfüllt ist. Im Verfahren sind ist der Zweck ausreichend konkret zu behaupten und auch zu begründen und sind Nachweise für die Zweckerreichung notwendig; pauschale Aussagen führen dazu, dass der Nachweis/Beweis nicht erbracht wird, da die Behörde diese nicht prüfen kann.       

2. Zweck: „zukünftige Kommunikation“:  
Eine Aufbewahrung/Speicherung von personenbezogenen Daten (Vorname, Name, Geburtsdatum und Adresse zur zukünftigen Kommunikation ist nicht „erforderlich“ iSd Art 17 Abs 3 lit e DSGVO, wenn die Löschung begehrt wurde, und daraus ersichtlich ist, dass eine Kommunikation nicht mehr erfolgen wird.       

3. Löschfrist: 
Eine zeitliche unbegrenzte Speicherung von Kontaktdaten zur zukünftigen Kommunikation widerspricht dem Grundsatz der zeitlichen Speicherbegrenzung (§ 5 Abs 1 lit e DSGVO)

Die Datenschutzbehörde hat ihren aktuellen Newsletter versendet.

Inhalt:

• INFORMATION zur DSGVO:
  DATENSCHUTZGRUNDVERORDNUNG KAPITEL IX
  („Vorschriften für besondere Verarbeitungssituationen“)
  
• aktuelle Entscheidungen der DSB:
  
• Keine Datenspeicherung zum Zweck einer eventuell zukünftigen Kontaktaufnahme
• Gesetzlich zulässiger Speicherzeitraum von Stammdaten und Verkehrsdaten
• Löschung Verkehrsdaten

The Chair of the French data protection authority (CNIL) publicly issued a formal notice to the company GENESIS INDUSTRIES LIMITED on 20 November 2017 regarding the security of the connected toys « My Friend Cayla » and « I-QUE ». In view of the given responses, the Chair has decided to close the formal notice procedure.