Datenschutz-Information

Speicherdauer / Löschfristen


Der betroffenen Person (das ist die natürliche Person, deren personenbezogene Daten verarbeitet werden) sind die Informationen zur Speicherdauer bzw. Löschung der Daten zur Verfügung zu stellen. 

 

Nach dem Grundsatz der (zeitlichen) Speicherbegrenzung dürfen die personenbezogenen Daten nur für eine zeitlich begrenzte Dauer verarbeitet werden.

 

Speicherdauer (Löschfristen):

·         generelle Speicherfrist:

Grundsätzlich werden die Daten am Ende des 7. (siebenten) Jahres nach Verbuchung des letzten Beleges in Bezug auf den geführten Akt gelöscht; Aufbewahrungsfrist nach § 132 BAO. 

·         Testamente:

Daten über Testamente und Akten in Zusammenhang mit Testamenten werden ständig aufbewahrt (bzw. bis zum Widerruf durch den Mandanten).


·        
Archivium-Urkunden:

Bei Einwilligung zur Speicherung von Urkunden im Archivium werden diese so lange gespeichert wie die betroffene Person eingewilligt hat, dh entweder 10 Jahre oder 30 Jahres (siehe auch hier).


·        
Marketingdaten:

Marketingdaten werden bis 3 Jahre nach dem letzten Kontakt aufbewahrt.


Gesetzliche/rechtliche Aufbewahrungspflichten oder vertragliche Verpflichtungen z.B. gegenüber Kunden aus Gewährleistung oder Schadenersatz oder gegenüber Vertragspartnern sind eine Grundlage die personenbezogenen Daten weiterhin zu speichern. (Art 6 Abs 1 lit c DSGVO - Grundlage der Rechtmäßigkeit der Verarbeitung: gesetzliche / rechtliche Verpflichtung)

 

Die Daten dürfen nur in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art 89 Abs 1 DSGVO verarbeitet werden („Speicherbegrenzung“); (siehe Art 5 Abs 1 lit e DSGVO)   


... melden Sie sich an um aktuelle Infos zum Datenschutz in Österreich und der EU zu erhalten


zum dataprotect-Newsletter anmelden

* indicates required
/ ( mm / dd )

View previous campaigns.


Datenschutz-Information zum Newsletter

 Wenn Sie sich zu unserem Newsletter anmelden, erteilen Sie die Einwilligung ihre Email-Adresse (und wenn angegeben ihren Namen und Vornamen und Geburtsdatum) (Datenkategorien) automationsunterstützt zu verarbeiten, dh zu speichern und zur Zusendung unseres Newsletters "dataprotect" (Thema: Datenschutz) (Zweck der Datenverarbeitung) zu verwenden.

Wir speichern auch ihr Reaktionen auf den Newsletter.
 
Verantwortlicher: SMP Schweiger Mohr & Partner Rechtsanwälte OG, Huemerstr. 1, A-4020 Linz,
Email-Adresse:
office@dataprotect.at
siehe: www.s-m-p.at

Die Daten werden nicht an Dritte weitergegeben (
Empfänger). 

Ein
Datenschutzbeauftragter wurde nicht bestellt, da dies nicht gesetzlich vorgeschrieben ist.

Sie haben folgende
Rechte:
Auskunftsrecht
Recht auf Berichtigung
Recht auf Löschung oder Einschränkung der Verarbeitung sowie
Beschwerderecht bei der Datenschutzbehörde
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an o
ffice@dataprotect.at oder schreiben Sie uns an die oben angegebene Anschrift.

Da die Verarbeitung der Daten auf der
Einwilligung (= Grundlage für die Rechtmäßigkeit) beruht, können Sie diese jederzeit widerrufen und Sie erhalten keinen Newsletter mehr.
Die Daten werden dann lediglich zum Nachweis der korrekten Abwicklung der bisherigen Rechtsbeziehung (z.B. Dokumentation der Einwilligung, Zusendung der Newsletter) verwendet. Durch den Widerruf der Einwilligung wird die Rechtsmäßigkeit der aufgrund der Einwilligung bis zum Widerruf verarbeiteten Daten nicht berührt.  

Den
Widerruf der Einwilligung richten Sie bitte an office@dataprotect.at (sie können uns aber auch anrufen oder auf andere Art vom Widerruf der Einwilligung verständigen).  

Löschfrist: Die Daten werden nach drei (3) Jahren nach der letzten Verwendung gelöscht.

 

... besuchen sie uns auch auf Twittter & Facebook


DSGVO: Benötigt Ihr Unternehmen einen Datenschutzbeauftragten

Datenschuz Konkret, April 2017 

(DaKO 2/2017)

Die DSGVO schreibt verpflichtend einen Datenschutzbeauftragten unter bestimmten Voraussetzungen vor. Doch wann benötigt ein Unternehmen nun einen Datenschutzbeauftragten?

 

In diesem Artikel finden Sie die Antwort auf diese Frage.

 


Der Mindestbuchpreis im grenzüberschreitenden Internethandel

gemeinsam mit Mag. Wolfgang Lackner

Zeitschrift für Informationsrecht (ZIIR 2016/4, 400)

Dieser Artikel beschäftigt sich mit der Frage der Unionsrechtswidrigkeit eines unterschiedlichen Mindestbuchpreises in Ö und D.

 

Dienstleistervertrag bei Datenverarbeitung und Verpflichtung zur Rückgabe bei Beendigung

lex:itec (2010/04, Seite 18)

In welcher Form muss der Dienstleister (Auftragsdaten-verarbeiter) bei Beendigung des Vertrages die "Daten" zurückgeben. Kann der Auftraggeber verlangen, dass er diese in sein Datensystem einlesen kann?

Die Bedeutung der Nutzung von Social Media im Entlassungsrecht. Dargestellt am Beispiel "Facebook"

gemeinsam mit Mag. Andrea Kern Zeitschrift für Arbeits- und Sozialrecht (ZAS 2013, 302)

 

Dieser Artikel beschäftigt sich mit der Frage der Auswirkungen von (negativen) Facebook-Posts auf das Arbeitsverhältnis.


 

IRIS 2008 Tagungsband, (Internationales Recht der Informatik Symposion): 
Gebrauchtsoftwarehandel in Österreich und Deutschland

IRIS 2007 - Tagungsband, (Internationales Recht der Informatik Symposion):
Kann die Gebührenpflicht von Softwarelizenzverträgen vermieden werden?

lex:itec (Ausgabe 5/2006)      
Gebührenpflicht von Softwarelizenzverträgen   

IRIS 2005 - Tagungsband, (Internationales Recht der Informatik Symposion):         
E-Commerce: Verantwortlichkeit für Unternehmen und vertretungsbefugte Organe aus verwaltungsstrafrechtlicher und strafrechtlicher Sicht

 

Die Übergabe einer Visitenkarte mit handschriftlicher Angabe der E-Mail-Adresse ist keine konkludente Zustimmung zum Erhalt von Werbemails

mehr lesen 0 Kommentare

Mündliche Überlieferungen im Datenschutzrecht | in einem grenzüberschreitenden Fall hatten sich zwei Aufsichtsbehörden damit zu beschäftigen. Das Ergebnis?

mehr lesen 0 Kommentare

Der Herbst beginnt mit Webinaren, Inhouse-Vorträgen und Vorträgen auf Veranstaltungen zu Whistleblowing und Datenschutz

mehr lesen 0 Kommentare

Musterprozess um Google Fonts geht am 12.09.2023 vor dem Landesgericht für Zivilrechtssachen in Wien weiter

mehr lesen 6 Kommentare

Kundenkonto mit Werbefunktion und Gastkauf – eine Entscheidung des BVwG ermöglicht Werbenutzung von Kundendaten im Kundenkonto, wenn ein Gastkauf möglich ist.

mehr lesen 0 Kommentare

Mitarbeiterin bezeichnet Arbeitgeber als „Idiotenhaufen“ – Einsichtnahme des Geschäftsführers in die E-Mail-Korrespondenz – ist das datenschutzkonform? OGH-Ents

mehr lesen 0 Kommentare

Immaterieller Schadenersatz wegen Datenschutzverletzungen nach Art 82 DSGVO im Lichte der jüngsten EuGH Entscheidung

Grundsätzlich sind materielle Schadenersatzansprüche für Datenschutzverletzungen in der Praxis kaum relevant und auch verhältnismäßig einfach festzustellen und zu beziffern. Immaterielle Schäden stellen die Gerichte – vor allem hinsichtlich der in Art 82 DSGVO vorgesehenen Ersatzfähigkeit – vor schwierige Herausforderungen. Viele Gerichte verlangten hierfür bislang den Nachweis einer gewissen Erheblichkeit der infolge einer Verletzung der DSGVO eingetretenen Folgen, sodass die meisten Klagen aufgrund des Nichterreichens dieser „Erheblichkeitsschwelle“ abgewiesen wurden. Andere Gerichte wiederrum sprachen bereits für verhältnismäßig geringfügige Rechtsverletzungen großzügig Schadenersatz zu.

 

Eine richtungsweisende Entscheidung zu immateriellen Schadenersatzansprüchen für Datenschutzverletzungen nach Art 82 DSGVO erging am 04.05.2023 in der Rechtssache
C-300/21 betreffend ein Vorabentscheidungsersuchen nach Art 267 AEUV, eingereicht vom Obersten Gerichtshof (Österreich) in dem Verfahren UI gegen Österreichische Post AG. Dabei handelt es sich um das erste Urteil des EuGH aus einer langen Reihe an Vorabentscheidungsersuchen zur Auslegung des Art 82 DSGVO.

 

Die Voraussetzungen für die Ersatzfähigkeit – Schaden, Kausalität und Rechtswidrigkeit

Wenig überraschend führte der EuGH zur ersten Vorlagefrage, nämlich ob für einen Schadenersatzanspruch bereits die Verletzung von Bestimmungen der DSGVO als solche ausreicht oder es darüber hinaus eines erlittenen Schadens bedarf, aus, dass die bloße Rechtsverletzung noch nicht ausreiche, um einen Schadenersatzanspruch nach Art 82 DSGVO zu begründen. Der betroffenen Person muss aufgrund der Datenschutzverletzung ein kausaler materieller oder auch immaterieller Schaden entstanden sein.

 

Erheblichkeitsschwelle stünde im Widerspruch zum weiten unionsrechtlichen Schadensbegriff

Die dritte Vorlagefrage, nämlich ob ein immaterieller Schadenersatzanspruch eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht erfordert, die über den dadurch hervorgerufenen Ärger hinausgeht, wurde vom EuGH unter Verweis auf einen Widerspruch zu dem unionsrechtlich weit auszulegenden Schadenbegriff abgelehnt. Die Notwendigkeit einer Erheblichkeitsschwelle wurde somit ausdrücklich vom EuGH abgelehnt, sodass nunmehr unmissverständlich klargestellt wurde, dass auch Rechtsverletzungen mit bloß geringfügigen Konsequenzen zu Schadenersatzansprüchen iSd Art 82 DSGVO führen können.

 

Bemessung des Schadenersatzanspruches

Letztlich wollte der Oberste Gerichtshof noch wissen, ob für die Bemessung des Schadenersatzes nach Art 82 DSGVO neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrecht bestehen. Der EuGH beantwortete diese vorgelegte Frage äußerst spärlich, zumal dieser lediglich auf das Recht der Mitgliedstaaten, welchen die Ausgestaltung von Klageverfahren zum Schutz der aus Art 82 DSGVO erwachsenden Rechte und die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes obliege. In diesem Zusammenhang sind jedoch die Grundsätze der Äquivalenz und der Effektivität des Unionsrechts zu beachten und ein „vollständiger und wirksamer Schadenersatz für den erlittenen Schaden“ sicherzustellen.

 

Feststellung und Nachweisbarkeit des Schadens

In der gegenständlichen Entscheidung betont der EuGH, dass eine betroffene Person jedenfalls nicht vom Nachweis, dass die negativen Folgen einer rechtswidrigen Verarbeitung auch einen immateriellen Schaden darstellen, befreit werden soll.

 

Der Nachweis des Vorliegens bzw des Eintritts eines immateriellen Schadens gestaltet sich in der Praxis jedoch äußerst schwierig. Oftmals handelt es sich dabei um Gemütsaufregungen bzw um Schäden, welche ausschließlich in der Sphäre des betroffenen Geschädigten auftreten. Nichtsdestotrotz darf unter Berücksichtigung der Grundsätze der Äquivalenz und der Effektivität keine strengeren Anforderungen an den Eintritt eines Schadens gestellt werden. Für die Praxis ist daher jedenfalls das „Zurückdenken“ an altbekannte immaterielle Schadenersatzansprüche (zB Körperverletzung) sinnvoll, da auch bei Eingriffen in das Rechtsgut Datenschutz ein ähnlicher Maßstab zur Anwendung gelangen sollte. In diesem Sinne ist daher auch bei bestimmten typischen Rechtsverletzungen des Rechtsgutes Datenschutz ein Schadenseintritt anzunehmen.

 

Richterliches Ermessen bei der Schadenbemessung von zentraler Bedeutung

Der EuGH sprach in der zitierten Entscheidung aus, dass ein „vollständiger und wirksamer Ausgleich“ zu erfolgen hat. Was genau unter diesem Stehsatz zu verstehen ist, beantwortete der EuGH jedoch nicht. In diesem Sinne ist daher mE bei der Bemessung des Schadens auf die sogenannte „objektive Maßfigurabzustellen, sodass die Frage, die sich die Gerichte im Zusammenhang mit der Schadenbemessung zu stellen haben, letztlich wie folgt lautet: „Mit welchem Betrag würde eine objektive Maßfigur die erlittene Beeinträchtigung als vollständig und wirksam ausgeglichen sehen?“.

 

Selbstverständlich handelt es sich hierbei um keine Neuerfindung und können auch die bestehenden Schmerzengeldtabellen für Körperverletzungen für die Schadenbemessung im Rahmen einer Datenschutzverletzung beigezogen werden. Nichtsdestotrotz kann das Gericht bei neuartigen Datenschutzverletzungen relativ großzügig von der Möglichkeit des freien richterlichen Ermessens iSd § 273 ZPO Gebrauch machen, sodass die Gefahr des sogenannten Überklagens nach wie vor ein großes Problem darstellt.

 

Es bleibt zu hoffen, dass durch den EuGH in den anderen beiden Vorabentscheidungsersuchen (C-182/22 und C-189/22) eine weitere Klärung in Bezug auf den Eintritt des Schadens sowie zu dessen Bemessung vorgenommen wird. Insgesamt wäre es wünschenswert, dass der EuGH eine unionsweit einheitliche Behandlung von immateriellen Schadenersatzansprüchen durch eine praxistaugliche Vorgehensweise bei der Ermittlung des Schadens schafft.

REMINDER: EU-U.S. Data Privacy Framework ist vor Schrems III.

Am 03.08.2023 findet das nächste Datenschutz-Frühstück zum Thema EU-U.S. Data Privacy Framework und dessen Folgen für die internationale Datenübermittlung" statt. 

Anmeldungen sind selbstverständlich nach wie vor möglich und auch erwünscht.

 

(c) dataprotect / 26.07.2023

Autorin: Mag. Theresa Jenner-Braunschmied

 

0 Kommentare

Beschwerdeverfahren wegen der Übermittlung von Daten an ein Gericht im Rahmen eines Unterhaltsverfahrens

Sachverhalt

In der Beschwerde vom 10.01.2023 brachte die Beschwerdeführerin zusammengefasst vor, durch die vom Beschwerdegegner auf Ersuchen des zuständigen Bezirksgerichtes veranlasste Übermittlung ihrer Daten in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Ihre Daten seien ohne rechtliche Grundlage und ohne ihre Zustimmung im Zusammenhang mit einem laufenden Unterhaltsverfahren an das Bezirksgericht übermittelt worden.

 

Der Beschwerdegegner erwiderte, dass dieser gemäß Art 102 Abs 2 AußStrG zur Auskunftserteilung gegenüber dem Bezirksgericht verpflichtet war, da die Beschwerdeführerin die Sachleistung „Wohnen in einer teilbetreuten Wohneinrichtung“ als Sozialleistung iSd § 12 Abs 2 Z 1 des Landesgesetzes betreffend die Chancengleichheit von Menschen mit Beeinträchtigung („Oö ChG“) in Anspruch nahm. Die Übermittlung der Daten der Beschwerdeführerin sei daher durch § 102 Abs 2 AußStrG gedeckt und gemäß Art 6 Abs 1 lit c DSGVO auch rechtmäßig erfolgt.

 

Rechtliche Beurteilung

Gemäß § 102 Abs 1 AußStrG haben „Personen, deren Einkommen oder Vermögen für die Entscheidung über den gesetzlichen Unterhalt zwischen in gerader Linie verwandten Personen von Belang ist, dem Gericht hierüber Auskunft zu geben und die Überprüfung von deren Richtigkeit zu ermöglichen“. Gemäß § 102 Abs 2 leg cit kann das Gericht dabei auch „das Arbeitsmarktservice, die in Betracht kommenden Träger der Sozialversicherung und andere Sozialleistungen gewährende Stellen um Auskunft über Beschäftigungs- oder Versicherungsverhältnisse oder über Einkommen von Personen ersuchen, deren Einkommen für die Entscheidung über den gesetzlichen Unterhalt zwischen in gerader Linie verwandten Personen von Belang ist“; die ersuchten Personen sind hierbei gemäß § 102 Abs 4 leg cit zur Auskunft verpflichtet.

 

Das in § 1 DSG verankerte Grundrecht auf Datenschutz schützt prinzipiell jedermann, der einen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, vor der Ermittlung seiner Daten und der Weitergabe der über ihn ermittelten Daten. Dieses Grundrecht gilt jedoch nicht absolut, da dieses durch bestimmte, zulässige Eingriffe beschränkt werden darf.

 

Laut rechtlicher Beurteilung der Datenschutzbehörde stellt die gegenständliche durch den Beschwerdegegner erfolgte Übermittlung der Daten der Beschwerdeführerin an das zuständige Gericht einen solchen zulässigen Eingriff dar. Als Begründung führte die Datenschutzbehörde an, dass der Beschwerdegegner iSd § 102 Abs 2 iVm Abs 4 AußStrG zur Auskunftserteilung gegenüber dem Bezirksgericht verpflichtet gewesen ist, da die Beschwerdeführerin eine Sachleistung als Sozialleistung in Anspruch nahm und der Beschwerdegegner daher als „ausbezahlende“ Stelle zu qualifizieren war. Die Übermittlung der Daten ist somit durch § 102 Abs 2 AußStrG gedeckt und gemäß Art 6 Abs 1 lit c DSGVO auch rechtmäßig erfolgt. Ob die Beschwerdeführerin eine Zustimmung bzw Einwilligung der erteilt hat, ist in einem solchen Fall obsolet, sodass die Beschwerde nicht berechtigt und gemäß § 24 Abs 5 DSG abzuweisen war.

 

FAZIT: Aus dieser Entscheidung der Datenschutzbehörde ergibt sich, dass die Weiterleitung von Daten auf Ersuchen einer zuständigen Stelle keine Verletzung des Grundrechts auf Datenschutz iSd § 1 DSG darstellt und somit rechtmäßig erfolgt. Dies ist meines Erachtens nicht nur bei Unterhaltsverfahren, sondern auch bei sämtlichen anderen Verfahren, bei welchen eine Auskunftspflicht gegeben ist, der Fall.

 

 

REMINDER: am 03.08.2023 findet das nächste Datenschutz-Frühstück zum Thema „EU-U.S. Data Privacy Framework und dessen Folgen für die internationale Datenübermittlung“ statt. Eine Anmeldung ist noch möglich.

 

(c) dataprotect / 25.07.2023

 

Autorin: Mag. Theresa Jenner-Braunschmied

0 Kommentare

Beschwerdeverfahren wegen der Verarbeitung personenbezogener Daten bei der Nutzung der Website www.heise.de im Rahmen des sogenannten Pur-Abo-Modells

mehr lesen

DPF - der 17. Juli 2023 wird spannend - Massnahmen für Unternehmen - EU-US-Datenschutzrahmen - Neue Grundlage für den Datentransfer in die USA -

mehr lesen 0 Kommentare

Datentransfer in die USA - es ist noch keine Registrierung für US-Unternehmen möglich

mehr lesen 0 Kommentare

Datenschutzfrühstück am 3. August 2023 zur internationalen Datenübermittlung - Angemessenheitsbeschluss EU - USA - Was ist nun zu tun?

mehr lesen 1 Kommentare

Datentransfer in die USA - Angemessenheitsbeschluss liegt vor - ab sofort ist keine Einwilligung iSd Art 49 (1) a DSGVO mit Risikohinweis mehr nötig

mehr lesen 0 Kommentare