Der betroffenen Person (das ist die natürliche Person, deren personenbezogene Daten verarbeitet werden) sind die Informationen zur Speicherdauer bzw. Löschung der Daten zur Verfügung zu stellen.
Nach dem Grundsatz der (zeitlichen) Speicherbegrenzung dürfen die personenbezogenen Daten nur für eine zeitlich begrenzte Dauer verarbeitet werden.
Speicherdauer (Löschfristen):
· generelle Speicherfrist:
Grundsätzlich werden die Daten am Ende des 7. (siebenten) Jahres nach Verbuchung des letzten Beleges in Bezug auf
den geführten Akt gelöscht; Aufbewahrungsfrist nach § 132 BAO.
· Testamente:
Daten über Testamente und Akten in Zusammenhang mit Testamenten werden ständig aufbewahrt (bzw. bis zum Widerruf durch den Mandanten).
·
Archivium-Urkunden:
Bei Einwilligung zur Speicherung von Urkunden im Archivium werden diese so lange gespeichert wie die betroffene Person eingewilligt hat, dh entweder 10 Jahre oder 30 Jahres (siehe auch hier).
·
Marketingdaten:
Marketingdaten werden bis 3 Jahre nach dem letzten Kontakt
aufbewahrt.
Gesetzliche/rechtliche Aufbewahrungspflichten oder vertragliche Verpflichtungen z.B. gegenüber Kunden aus Gewährleistung oder Schadenersatz oder gegenüber Vertragspartnern sind eine Grundlage die personenbezogenen Daten weiterhin zu speichern. (Art 6 Abs 1 lit c DSGVO - Grundlage der Rechtmäßigkeit der Verarbeitung: gesetzliche / rechtliche Verpflichtung)
Die Daten dürfen nur in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen, die von dieser Verordnung zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art 89 Abs 1 DSGVO verarbeitet werden („Speicherbegrenzung“); (siehe Art 5 Abs 1 lit e DSGVO)
Wenn Sie sich zu unserem Newsletter anmelden, erteilen Sie die Einwilligung ihre Email-Adresse (und wenn angegeben ihren Namen und Vornamen und Geburtsdatum) (Datenkategorien) automationsunterstützt zu verarbeiten, dh zu speichern und zur Zusendung unseres Newsletters "dataprotect" (Thema: Datenschutz) (Zweck der Datenverarbeitung) zu verwenden.
Wir speichern
auch ihr Reaktionen auf den Newsletter.
Verantwortlicher: SMP Schweiger Mohr & Partner Rechtsanwälte
OG, Huemerstr. 1, A-4020 Linz,
Email-Adresse: office@dataprotect.at
siehe: www.s-m-p.at
Die Daten werden nicht an Dritte weitergegeben (Empfänger).
Ein Datenschutzbeauftragter wurde nicht bestellt, da dies nicht gesetzlich
vorgeschrieben ist.
Sie haben folgende Rechte:
Auskunftsrecht
Recht auf Berichtigung
Recht auf Löschung oder Einschränkung der Verarbeitung sowie
Beschwerderecht bei der Datenschutzbehörde
Zur Ausübung Ihrer Rechte wenden Sie sich bitte an office@dataprotect.at oder schreiben Sie uns an die oben angegebene Anschrift.
Da die Verarbeitung der Daten auf der Einwilligung (= Grundlage für
die Rechtmäßigkeit) beruht, können Sie diese
jederzeit widerrufen und Sie erhalten keinen Newsletter mehr.
Die Daten werden dann lediglich zum Nachweis der korrekten Abwicklung der bisherigen Rechtsbeziehung (z.B. Dokumentation der Einwilligung, Zusendung der Newsletter) verwendet. Durch den Widerruf
der Einwilligung wird die Rechtsmäßigkeit der aufgrund der Einwilligung bis zum Widerruf verarbeiteten Daten nicht berührt.
Den Widerruf der Einwilligung richten Sie bitte an office@dataprotect.at (sie
können uns aber auch anrufen oder auf andere Art vom Widerruf der Einwilligung verständigen).
Löschfrist: Die Daten werden nach drei (3) Jahren nach der
letzten Verwendung gelöscht.
Datenschuz Konkret, April 2017
(DaKO 2/2017)
Die DSGVO schreibt verpflichtend einen Datenschutzbeauftragten unter bestimmten Voraussetzungen vor. Doch wann benötigt ein Unternehmen nun
einen Datenschutzbeauftragten?
In diesem Artikel finden Sie die Antwort auf diese Frage.
gemeinsam mit Mag. Wolfgang Lackner
Zeitschrift für Informationsrecht (ZIIR 2016/4,
400)
Dieser Artikel beschäftigt sich mit der Frage der Unionsrechtswidrigkeit eines unterschiedlichen Mindestbuchpreises in Ö und D.
lex:itec (2010/04, Seite 18)
In welcher Form muss der Dienstleister (Auftragsdaten-verarbeiter) bei Beendigung des Vertrages die "Daten" zurückgeben. Kann der Auftraggeber verlangen, dass er diese in sein Datensystem
einlesen kann?
gemeinsam mit Mag. Andrea Kern Zeitschrift für Arbeits- und Sozialrecht (ZAS 2013, 302)
Dieser Artikel beschäftigt sich mit der Frage der Auswirkungen von (negativen) Facebook-Posts auf das Arbeitsverhältnis.
IRIS 2008 Tagungsband, (Internationales Recht der Informatik
Symposion):
Gebrauchtsoftwarehandel in Österreich und Deutschland
IRIS 2007 - Tagungsband, (Internationales Recht der Informatik Symposion):
Kann die Gebührenpflicht von Softwarelizenzverträgen vermieden werden?
lex:itec (Ausgabe 5/2006)
Gebührenpflicht von Softwarelizenzverträgen
IRIS 2005 - Tagungsband, (Internationales Recht der Informatik Symposion):
E-Commerce: Verantwortlichkeit für Unternehmen und vertretungsbefugte Organe aus verwaltungsstrafrechtlicher und strafrechtlicher Sicht
Grundsätzlich sind materielle Schadenersatzansprüche für Datenschutzverletzungen in der Praxis kaum relevant und auch verhältnismäßig einfach festzustellen und zu beziffern. Immaterielle Schäden stellen die Gerichte – vor allem hinsichtlich der in Art 82 DSGVO vorgesehenen Ersatzfähigkeit – vor schwierige Herausforderungen. Viele Gerichte verlangten hierfür bislang den Nachweis einer gewissen Erheblichkeit der infolge einer Verletzung der DSGVO eingetretenen Folgen, sodass die meisten Klagen aufgrund des Nichterreichens dieser „Erheblichkeitsschwelle“ abgewiesen wurden. Andere Gerichte wiederrum sprachen bereits für verhältnismäßig geringfügige Rechtsverletzungen großzügig Schadenersatz zu.
Eine
richtungsweisende Entscheidung zu immateriellen Schadenersatzansprüchen für Datenschutzverletzungen nach Art 82 DSGVO erging am 04.05.2023 in der Rechtssache
C-300/21 betreffend ein Vorabentscheidungsersuchen nach Art 267 AEUV, eingereicht vom Obersten Gerichtshof (Österreich) in dem Verfahren UI gegen Österreichische Post AG.
Dabei handelt es sich um das erste Urteil des EuGH aus einer langen Reihe an Vorabentscheidungsersuchen zur Auslegung des Art 82 DSGVO.
Die Voraussetzungen für die Ersatzfähigkeit – Schaden, Kausalität und Rechtswidrigkeit
Wenig überraschend führte der EuGH zur ersten Vorlagefrage, nämlich ob für einen Schadenersatzanspruch bereits die Verletzung von Bestimmungen der DSGVO als solche ausreicht oder es darüber hinaus eines erlittenen Schadens bedarf, aus, dass die bloße Rechtsverletzung noch nicht ausreiche, um einen Schadenersatzanspruch nach Art 82 DSGVO zu begründen. Der betroffenen Person muss aufgrund der Datenschutzverletzung ein kausaler materieller oder auch immaterieller Schaden entstanden sein.
Erheblichkeitsschwelle stünde im Widerspruch zum weiten unionsrechtlichen Schadensbegriff
Die dritte Vorlagefrage, nämlich ob ein immaterieller Schadenersatzanspruch eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht erfordert, die über den dadurch hervorgerufenen Ärger hinausgeht, wurde vom EuGH unter Verweis auf einen Widerspruch zu dem unionsrechtlich weit auszulegenden Schadenbegriff abgelehnt. Die Notwendigkeit einer Erheblichkeitsschwelle wurde somit ausdrücklich vom EuGH abgelehnt, sodass nunmehr unmissverständlich klargestellt wurde, dass auch Rechtsverletzungen mit bloß geringfügigen Konsequenzen zu Schadenersatzansprüchen iSd Art 82 DSGVO führen können.
Bemessung des Schadenersatzanspruches
Letztlich wollte der Oberste Gerichtshof noch wissen, ob für die Bemessung des Schadenersatzes nach Art 82 DSGVO neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrecht bestehen. Der EuGH beantwortete diese vorgelegte Frage äußerst spärlich, zumal dieser lediglich auf das Recht der Mitgliedstaaten, welchen die Ausgestaltung von Klageverfahren zum Schutz der aus Art 82 DSGVO erwachsenden Rechte und die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes obliege. In diesem Zusammenhang sind jedoch die Grundsätze der Äquivalenz und der Effektivität des Unionsrechts zu beachten und ein „vollständiger und wirksamer Schadenersatz für den erlittenen Schaden“ sicherzustellen.
Feststellung und Nachweisbarkeit des Schadens
In der gegenständlichen Entscheidung betont der EuGH, dass eine betroffene Person jedenfalls nicht vom Nachweis, dass die negativen Folgen einer rechtswidrigen Verarbeitung auch einen immateriellen Schaden darstellen, befreit werden soll.
Der Nachweis des Vorliegens bzw des Eintritts eines immateriellen Schadens gestaltet sich in der Praxis jedoch äußerst schwierig. Oftmals handelt es sich dabei um Gemütsaufregungen bzw um Schäden, welche ausschließlich in der Sphäre des betroffenen Geschädigten auftreten. Nichtsdestotrotz darf unter Berücksichtigung der Grundsätze der Äquivalenz und der Effektivität keine strengeren Anforderungen an den Eintritt eines Schadens gestellt werden. Für die Praxis ist daher jedenfalls das „Zurückdenken“ an altbekannte immaterielle Schadenersatzansprüche (zB Körperverletzung) sinnvoll, da auch bei Eingriffen in das Rechtsgut Datenschutz ein ähnlicher Maßstab zur Anwendung gelangen sollte. In diesem Sinne ist daher auch bei bestimmten typischen Rechtsverletzungen des Rechtsgutes Datenschutz ein Schadenseintritt anzunehmen.
Richterliches Ermessen bei der Schadenbemessung von zentraler Bedeutung
Der EuGH sprach in der zitierten Entscheidung aus, dass ein „vollständiger und wirksamer Ausgleich“ zu erfolgen hat. Was genau unter diesem Stehsatz zu verstehen ist, beantwortete der EuGH jedoch nicht. In diesem Sinne ist daher mE bei der Bemessung des Schadens auf die sogenannte „objektive Maßfigur“ abzustellen, sodass die Frage, die sich die Gerichte im Zusammenhang mit der Schadenbemessung zu stellen haben, letztlich wie folgt lautet: „Mit welchem Betrag würde eine objektive Maßfigur die erlittene Beeinträchtigung als vollständig und wirksam ausgeglichen sehen?“.
Selbstverständlich handelt es sich hierbei um keine Neuerfindung und können auch die bestehenden Schmerzengeldtabellen für Körperverletzungen für die Schadenbemessung im Rahmen einer Datenschutzverletzung beigezogen werden. Nichtsdestotrotz kann das Gericht bei neuartigen Datenschutzverletzungen relativ großzügig von der Möglichkeit des freien richterlichen Ermessens iSd § 273 ZPO Gebrauch machen, sodass die Gefahr des sogenannten Überklagens nach wie vor ein großes Problem darstellt.
Es bleibt zu hoffen, dass durch den EuGH in den anderen beiden Vorabentscheidungsersuchen (C-182/22 und C-189/22) eine weitere Klärung in Bezug auf den Eintritt des Schadens sowie zu dessen Bemessung vorgenommen wird. Insgesamt wäre es wünschenswert, dass der EuGH eine unionsweit einheitliche Behandlung von immateriellen Schadenersatzansprüchen durch eine praxistaugliche Vorgehensweise bei der Ermittlung des Schadens schafft.
REMINDER: EU-U.S. Data Privacy Framework ist vor Schrems III.
Am 03.08.2023 findet das nächste Datenschutz-Frühstück zum Thema „EU-U.S. Data Privacy Framework und dessen Folgen für die internationale Datenübermittlung" statt.
Anmeldungen sind selbstverständlich nach wie vor möglich und auch erwünscht.
(c) dataprotect / 26.07.2023
Autorin: Mag. Theresa Jenner-Braunschmied
In der Beschwerde vom 10.01.2023 brachte die Beschwerdeführerin zusammengefasst vor, durch die vom Beschwerdegegner auf Ersuchen des zuständigen Bezirksgerichtes veranlasste Übermittlung ihrer Daten in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Ihre Daten seien ohne rechtliche Grundlage und ohne ihre Zustimmung im Zusammenhang mit einem laufenden Unterhaltsverfahren an das Bezirksgericht übermittelt worden.
Der Beschwerdegegner erwiderte, dass dieser gemäß Art 102 Abs 2 AußStrG zur Auskunftserteilung gegenüber dem Bezirksgericht verpflichtet war, da die Beschwerdeführerin die Sachleistung „Wohnen in einer teilbetreuten Wohneinrichtung“ als Sozialleistung iSd § 12 Abs 2 Z 1 des Landesgesetzes betreffend die Chancengleichheit von Menschen mit Beeinträchtigung („Oö ChG“) in Anspruch nahm. Die Übermittlung der Daten der Beschwerdeführerin sei daher durch § 102 Abs 2 AußStrG gedeckt und gemäß Art 6 Abs 1 lit c DSGVO auch rechtmäßig erfolgt.
Gemäß § 102 Abs 1 AußStrG haben „Personen, deren Einkommen oder Vermögen für die Entscheidung über den gesetzlichen Unterhalt zwischen in gerader Linie verwandten Personen von Belang ist, dem Gericht hierüber Auskunft zu geben und die Überprüfung von deren Richtigkeit zu ermöglichen“. Gemäß § 102 Abs 2 leg cit kann das Gericht dabei auch „das Arbeitsmarktservice, die in Betracht kommenden Träger der Sozialversicherung und andere Sozialleistungen gewährende Stellen um Auskunft über Beschäftigungs- oder Versicherungsverhältnisse oder über Einkommen von Personen ersuchen, deren Einkommen für die Entscheidung über den gesetzlichen Unterhalt zwischen in gerader Linie verwandten Personen von Belang ist“; die ersuchten Personen sind hierbei gemäß § 102 Abs 4 leg cit zur Auskunft verpflichtet.
Das in § 1 DSG verankerte Grundrecht auf Datenschutz schützt prinzipiell jedermann, der einen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, vor der Ermittlung seiner Daten und der Weitergabe der über ihn ermittelten Daten. Dieses Grundrecht gilt jedoch nicht absolut, da dieses durch bestimmte, zulässige Eingriffe beschränkt werden darf.
Laut rechtlicher Beurteilung der Datenschutzbehörde stellt die gegenständliche durch den Beschwerdegegner erfolgte Übermittlung der Daten der Beschwerdeführerin an das zuständige Gericht einen solchen zulässigen Eingriff dar. Als Begründung führte die Datenschutzbehörde an, dass der Beschwerdegegner iSd § 102 Abs 2 iVm Abs 4 AußStrG zur Auskunftserteilung gegenüber dem Bezirksgericht verpflichtet gewesen ist, da die Beschwerdeführerin eine Sachleistung als Sozialleistung in Anspruch nahm und der Beschwerdegegner daher als „ausbezahlende“ Stelle zu qualifizieren war. Die Übermittlung der Daten ist somit durch § 102 Abs 2 AußStrG gedeckt und gemäß Art 6 Abs 1 lit c DSGVO auch rechtmäßig erfolgt. Ob die Beschwerdeführerin eine Zustimmung bzw Einwilligung der erteilt hat, ist in einem solchen Fall obsolet, sodass die Beschwerde nicht berechtigt und gemäß § 24 Abs 5 DSG abzuweisen war.
FAZIT: Aus dieser Entscheidung der Datenschutzbehörde ergibt sich, dass die Weiterleitung von Daten auf Ersuchen einer zuständigen Stelle keine Verletzung des Grundrechts auf Datenschutz iSd § 1 DSG darstellt und somit rechtmäßig erfolgt. Dies ist meines Erachtens nicht nur bei Unterhaltsverfahren, sondern auch bei sämtlichen anderen Verfahren, bei welchen eine Auskunftspflicht gegeben ist, der Fall.
(c) dataprotect / 25.07.2023
Autorin: Mag. Theresa Jenner-Braunschmied