Compliance - 6-Schritte-Methode der CNIL

Die französische Datenschutzbehörde (CNIL) hat am 15.3.2017 die "methodologie en 6 etapes" (6-Schritte-Methode, 6 steps methodology) veröffentlicht.


Die französische Datenschutzbehörde CNIL hat am 15.3.2017 eine 6-Schritte-Methode zur Vorbereitung auf die DSGVO veröffentlicht. Diese soll es Unternehmen ermöglichen, sich rechtzeitig auf die Verpflichtungen und Vorgaben der DSGVO vorzubereiten, und die Vorgaben korrekt umzusetzen.

Dieser „Fahrplan“ stellt eine (inoffizielle) Übersetzung und Zusammenfassung der Veröffentlichung der CNIL dar; die Übersetzung wurde mit Links zu www.dataprotect.at versehen.

Die „methodologie en 6 etapes“ („6-Schritte-Methode“) umfasst:

 

Datenschutzbeauftragen bestellen („Désigner un pilote“)        
Datenstruktur erheben („Cartographer“)          
Maßnahmen priorisieren („Prioriser“)
Risiko managen („Gerer le risques“)
      
Organisieren („Organiser“)       

Dokumentieren („Documenter“)

Schritt 1: Datenschutzbeauftragen bestellen („Désigner un pilote“)

 

Es wird empfohlen eine verantwortliche Person (als DSB) zu benennen, die Informations-, Beratungs- und Kontrollaufgaben wahrnimmt.

 

Die verantwortliche Person soll die Compliance mit der DSGVO sicherstellen.

 

Auch wenn das Unternehmen nicht verpflichtet sein sollte (nach Art. 37 DSGVO) einen DSB zu bestellen, sei es sinnvoll, jemanden zu benennen, der als verantwortliche Person tätig ist.

 

Die verantwortliche Person soll als „Pilot“ die Umsetzung der Verpflichtungen der DSGVO auf Basis einer Verpflichtungserklärung ermöglichen, und das Unternehmen hat ihm/ihr die notwendigen Ressourcen zur Verfügung zu stellen.

 

 

Anmerkung:

Auch wenn ein DSB nicht verpflichtend zu bestellen ist, sollte sich die Organisation damit auseinandersetzen und dokumentieren, aus welchen Überlegungen kein DSB (verpflichtend) Bestellt werden muss.

 

Der "Pilot" sollte mE nicht "Datenschutzbeauftragter" genannt werden.

Schritt 2: Datenstruktur erheben („Cartographer“)

 

In diesem Schritt soll die Organisation die Daten im Detail identifizieren, und zwar in der Form, dass ein Verzeichnis von Verarbeitungstätigkeiten iSd Art 30 DSGVO erstellt wird.

 

Es ist eine umfassende Dokumentation der Datenverarbeitungen notwendig, die in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wird. Die CNIL hat eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten entwickelt.

 

Zum nächsten Schritt können Organisationen übergehen, wenn

 

sie die Stellen und/oder Einheiten (in der Organisation) kontaktiert hat, die (personenbezogene) Daten innerhalb der Datenstruktur erheben und verarbeiten
sie ein Verzeichnis der Verarbeitungstätigkeiten mit den (Haupt-)Zwecken der Verarbeitungen und den Kategorien von personenbezogenen Daten erstellt haben
sie die Lieferanten/
Auftragsdatenverarbeiter, die in die Verarbeitungsaktivitäten involviert sind, identifiziert habenund wissen, dass ihre (personenbezogenen) Daten übermittelt werden und an wen, und wo und wie lange die Daten gespeichert werden.

 

Schritt 3: Maßnahmen priorisieren („Prioriser“)

Nach Erstellung des Verzeichnis von Verarbeitungstätigkeiten ist es notwendig, die Maßnahmen zu definieren, die erforderlich sind, um die Compliance mit der geltenden Rechtslage und der DSGVO herzustellen. Diese Maßnahmenfestlegung erfolgt unter Berücksichtigung der Risken in Bezug auf die Rechte und Freiheiten der betroffenen Personen.

 

Folgende Maßnahmen sind durchzuführen bzw. Prinzipien einzuhalten:

 

Datenminimierung, sohin Sicherstellung, dass nur die personenbezogenen Daten erhoben und in der Folge verarbeitet werden, die zur Erfüllung des Zweckes der Datenverarbeitung notwendig sind.Festlegung der Rechtsgrundlage der Verarbeitung der personenbezogenen DatenReview der bestehenden Datenschutzerklärungen, um sicherzustellen, dass diese den Anforderungen der DSGVO entsprechenPrüfung, ob alle Lieferanten / Auftragsdatenverarbeiter mit den neuen Aufgaben und Verpflichtungen der DSGVO vertraut sind und dass angemessene Datenschutzklauseln in den Vereinbarungen enthalten sindFestlegung von Prozessabläufen bei Ausübung der Rechte einer betroffenen PersonPrüfung, ob Datensicherheitsmaßnahmen implementiert sind


Schritt 4: Risiko managen („Gerer le risques“)

 

Wenn sich während der bisherigen Schritte herausgestellt hat, dass eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann, dann ist eine Datenschutz-Folgenabschätzung

iSd Art. 35 DSGVO durchzuführen.

 

Mehr zur Datenschutz-Folgenabschätzung finden sie auf dataprotect.at.

 

Schritt 5: Organisieren („Organiser“)

 

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

 

Im Einzelnen erfordert dies:

  • Berücksichtigung von Datenschutzprinzipien bei der Einführung einer Verarbeitung oder Verarbeitungstätigkeit.

  • Erhöhung des Bewusstseins von Mitarbeitern und Sicherstellung, dass datenschutzrelevante Informationen zu den korrekten Ansprechpartnern kommen (Training, Kommunikations-leitlinien etc…)

  • Richtlinien zur Behandlung von Datenschutzanfragen

  • Antizipieren von Datenschutzverletzungen und Sicherstellung, dass Data Breach Notifications durchgeführt werden können, und auch die Zeitlimits (z.B. 72 Stunden) eingehalten werden können, wobei die CNIL angibt, dass es ein Online-Meldesystem geben wird

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

Schritt 6: Dokumentieren („Documenter“)

 

Für den letzten Schritt ist es notwendig, dass die Organisationen die datenschutzrechtliche Dokumentation zusammenstellen und aufbereiten.

Die Compliance-Aktivitäten und die Dokumente, die in jedem Schritt erstellt werden, müssen in periodischen Abständen geprüft und angepasst werden, um den kontinuierlichen Datenschutz zu gewährleisten.

Im Einzelnen enthält diese Dokumentation:

  1. Verzeichnis von Verarbeitungstätigkeiten iSd Art. 30 DSGVO
  2. Datenschutz-Folgenabschätzungen für Verarbeitungen mit hohen Risken oder die Dokumentation, weshalb keine hohen Risken gegeben sind.
  3. Dokumentation zu den Mechanismen der Datenübermittlungen (z.B. Standardvertragsklauseln, Binding Corporate Rules, Zertifizierungen, sofern anwendbar)
  4. Datenschutzerklärungen
  5. Formulare für die Einwilligungserklärungen von betroffenen Personen, und auch Nachweise, dass die betroffenen Personen die Einwilligung gegeben haben, in den Fällen, in denen die Einwilligung die Rechtsgrundlage darstellt.
  6. Prozesse, die implementiert wurden, um sicherzustellen, dass betroffene Personen ihre Rechte ausüben können;
  7. Vereinbarungen mit Lieferanten und Auftragsdatenverarbeitern; und
  8. Interne Prozesse nach einer Datenschutzverletzung (inkl. Data Breach Notification)

Videoüberwachung und Beschäftigte - drohen ab 25.05.2018 Geldbußen und Schadenersatz?

 

 

Ob eine Videoüberwachung, bei der auch Bilddaten von Beschäftigten (unbewusst) erfasst werden, einer Betriebsvereinbarung bedarf, ist eine Vorfrage, die von der Datenschutzbehörde im Rahmen des Registrierungsverfahrens (Vorabkontrolle einer Videoüberwachung) zu klären ist.

 

 

 

Hat dies auch nach der DSGVO Auswirkungen auf Videoüberwachungen in Betrieben?

 

 

 

Der VwGH am 23.10.2017: […]obliegt es ausgehend vom dargestellten Zusammenhang der Datenschutzbehörde (bzw. im Beschwerdeverfahren: dem Verwaltungsgericht), im Wege der Vorfragenbeurteilung zu prüfen, ob die gemeldete Datenanwendung gemäß § 96a Abs. 1 ArbVG der Zustimmung des Betriebsrates bedarf und demnach eine Betriebsvereinbarung abzuschließen - und somit auch vorzulegen - ist.

 

 

 

Bilddaten wie etwa Videoaufnahmen sind vom Begriff der personenbezogenen Daten umfasst.

 

 

 

§ 96a Abs. 1 Z 1 ArbVG regelt, dass folgende Maßnahme der Zustimmung des Betriebsrates (im Sinne einer Betriebsvereinbarung) bedarf:

 

 

Die Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen. Eine Zustimmung ist nicht erforderlich, soweit die tatsächliche oder vorgesehene Verwendung dieser Daten über die Erfüllung von Verpflichtungen nicht hinausgeht, die sich aus Gesetz, Normen der kollektiven Rechtsgestaltung oder Arbeitsvertrag ergeben;

Diese Bestimmung stellt nicht auf einen bestimmten, vom Arbeitgeber verfolgten Kontrollzweck der Datenanwendung abstellt. Vielmehr ist auf die objektive Eignung der Anwendung abzustellen. Die nur beiläufige oder zufällige Erfassung von Mitarbeiterdaten als „Nebeneffekt“ der Videoüberwachung verhindert nicht, dass § 96a Abs 1 Z 1 ArbVG anzuwenden ist.

 

 

 

Auch bei den Standardanwendungen SA032 der StMV 2004 muss einen Betriebsvereinbarung iSd § 96 a Abs 1 Z 1 ArbVG um die Rechtmäßigkeit der Videoüberwachung zu gewährleisten.

 

Bemerkenswert ist in diesem Zusammenhang, dass der VwGH nicht auf die Bestimmung des § 96 Abs 1 Z 3 ArbVG eingeht, die wie folgt lautet:

 

 

§ 96. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates:

   

 

 

3.

die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren;

 

 

Dabei geht es ebenfalls um technische System zur Kontrolle der Arbeitnehmer, die die Menschenwürde berühren; bei einer erheblichen Kontrollintensität ist davon auszugehen, dass die Menschenwürde berührt wird, und daher aus diesem Grund eine zwingende Betriebsvereinbarung erforderlich ist.

 

Wenn in einem Betrieb kein Betriebsrat bestehen sollte, dann kann die Notwendigkeit der Betriebsvereinbarung darauf gestützt werden, dass eine Einzelvereinbarung mit den Beschäftigten gem. § 10 Abs 1 AVRAG getroffen wird.

 

 

Was sind die Auswirkungen nach der DSGVO und nach DSG ab dem 25.05.2018?

 

Ab 25.05.2018 ist das Datenverarbeitungsregister, und damit auch die Meldung und Vorabkontrolle von Videoüberwachungen durch die Datenschutzbehörde Geschichte. Die Organisationen trifft eine umfassende Selbstverpflichtung, und es sind sämtliche notwendigen Voraussetzungen nach der DSGVO zu erfüllen und deren Erfüllung auch zu dokumentieren.

 

Der Zweck einer Videoüberwachung ist der Eigentumsschutz.

 

Nach Art 88 DSGVO ist die Datenverarbeitung im Beschäftigungskontext zulässig. Die Mitgliedsstaaten können durch Rechtsvorschriften (Gesetz oder Verordnung) oder Kollektivvereinbarungen (Kollektivverträge oder auch Betriebsvereinbarungen; siehe insbes. ErwG 155) spezifischere Vorschriften als die DSGVO vorsehen.  

 

In Österreich findet sich im (neuen) Datenschutzgesetz folgende Bestimmung:

 

 

Verarbeitung personenbezogener Daten im Beschäftigungskontext

 

§ 11. Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.

 

Sofern daher eine Betriebsvereinbarung iSd ArbVG (und zwar gleichgültig, ob wegen "Berührung der Menschenwürde" gem. § 96 Abs 1 Z 3 ArbVG oder weil die Menschenwürde nicht berührt erscheint gem. § 96a Abs 1 Z 1 ArbVG) nicht vorliegt, ist die Verarbeitung der personenbezogenen Daten der Beschäftigten nicht rechtmäßig, da eine spezifischere Norm der kollektiven Rechtssetzung in Bezug auf die Datenverarbeitung im Beschäftigungskontext verletzt ist.

 

Die Datenverarbeitung ist nicht unzulässig, da sie gegen die Bestimmungen des ArbVG verstößt und im DSG (§ 11) auf das ArbVG verwiesen wird.

 

Weiters sind ab 25.05.2018 die Bestimmungen § 12 f DSG zu beachten, die die Bildverarbeitung regeln, und auch auf den Beschäftigungskontext anzuwenden sind:

 

Bildverarbeitung

Zulässigkeit der Bildaufnahme

§ 12. (1) Eine Bildaufnahme im Sinne dieses Abschnittes bezeichnet die durch Verwendung technischer Einrichtungen zur Bildverarbeitung vorgenommene Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken. Zur Bildaufnahme gehören auch dabei mitverarbeitete akustische Informationen. Für eine derartige Bildaufnahme gilt dieser Abschnitt, soweit nicht durch andere Gesetze Besonderes bestimmt ist.

 

(2) Eine Bildaufnahme ist unter Berücksichtigung der Vorgaben gemäß § 13 zulässig, wenn

1.

sie im lebenswichtigen Interesse einer Person erforderlich ist,

2.

die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat,

3.

sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder

4.

im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.

 

(3) Eine Bildaufnahme ist gemäß Abs. 2 Z 4 insbesondere dann zulässig, wenn

 

1.

sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,

2.

sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder

3.

sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.

 

(4) Unzulässig ist

1.

eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichen Lebensbereich,

2.

eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern,

3.

der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten oder

4.

die Auswertung von mittels Bildaufnahmen gewonnenen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium.

 

(5) Im Wege einer zulässigen Bildaufnahme ermittelte personenbezogene Daten dürfen im erforderlichen Ausmaß übermittelt werden, wenn für die Übermittlung eine der Voraussetzungen des Abs. 2 Z 1 bis 4 gegeben ist. Abs. 4 gilt sinngemäß.

 

 

Besondere Datensicherheitsmaßnahmen und Kennzeichnung

 

§ 13. (1) Der Verantwortliche hat dem Risiko des Eingriffs angepasste geeignete Datensicherheitsmaßnahmen zu ergreifen und dafür zu sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung derselben durch Unbefugte ausgeschlossen ist.

 

(2) Der Verantwortliche hat – außer in den Fällen einer Echtzeitüberwachung – jeden Verarbeitungsvorgang zu protokollieren.

 

(3) Aufgenommene personenbezogene Daten sind vom Verantwortlichen zu löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzlich vorgesehene Aufbewahrungspflicht besteht. Eine länger als 72 Stunden andauernde Aufbewahrung muss verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen.

 

(4) Die Abs. 1 bis 3 finden keine Anwendung auf Bildaufnahmen nach § 12 Abs. 3 Z 3.

 

(5) Der Verantwortliche einer Bildaufnahme hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen, es sei denn, dieser ist den betroffenen Personen nach den Umständen des Falles bereits bekannt.

 

(6) Die Kennzeichnungspflicht gilt nicht in den Fällen des § 12 Abs. 3 Z 3 und für zeitlich strikt zu begrenzende Verarbeitungen im Einzelfall, deren Zweck ausschließlich mittels einer verdeckten Ermittlung erreicht werden kann, unter der Bedingung, dass der Verantwortliche ausreichende Garantien zur Wahrung der Betroffeneninteressen vorsieht, insbesondere durch eine nachträgliche Information der betroffenen Personen.

 

(7) Werden entgegen Abs. 5 keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der Auskunft nach Art. 15 DSGVO gleichzuhalten.

 

 

 

Die Folge eine Videoüberwachung ohne Betriebsvereinbarungen oder Einzelvereinbarung mit den betroffenen Beschäftigten iSd § 10 (1) AVRAG  ist

 

 

Prüfungsarbeiten und Auskunftsrecht

 

Einsicht in Prüfungsergebnisse – Umfang des Auskunftsrechtes nach der DatenschutzRL (RL 95/46) – Entscheidung des EuGH vom 20.12.2017, RS C-434/16

 

 

 

 

 

Die Antworten eines Prüflings und die Anmerkungen des Prüfers stellen personenbezogenen Daten dar, und sind daher im Rahmen des Rechts auf Auskunft zu beauskunften.

 

 

 

 

In dieser Entscheidung nahm der EuGH auch auf die DSGVO Bezug wie folgt:

 

 

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1) gilt ausweislich ihres Art. 99 Abs. 2 ab dem 25. Mai 2018. Gemäß Art. 94 Abs. 1 dieser Verordnung wird die Richtlinie 95/46 mit Wirkung von diesem Datum aufgehoben.

 

Die Verordnung 2016/679 sieht in ihrem Art. 15 („Auskunftsrecht der betroffenen Person“) Folgendes vor:

 

„(1)      Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten …

 

 

(3)      Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …

 

(4)      Das Recht auf Erhalt einer Kopie gemäß Absatz [3] darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“

 

In Art. 23 („Beschränkungen“) der Verordnung 2016/679 heißt es:

 

„(1)      Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 … im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

 

 

e)      den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

 

 

i)      den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

 

…“

Der Sachverhalt vor dem EuGH

 

Herr Nowak war Trainee Accountant (Wirtschaftsprüfer/Steuerberater in Ausbildung) und hatte die Prüfungen des Institute of Chartered Accountants of Ireland […] mit Erfolg abgelegt. Er fiel jedoch durch die Prüfung „Strategic Finance und Management Accounting“ durch. […]

 

Nachdem Herr Nowak im Herbst 2009 zum vierten Mal durch diese Prüfung durchgefallen war, reichte er zunächst eine Beschwerde ein, um ihr Ergebnis anzufechten. Nachdem diese Beschwerde im März 2010 zurückgewiesen worden war, stellte er im Mai 2010 gemäß Section 4 des Datenschutzgesetzes einen Antrag auf Auskunft, der sich auf sämtliche ihn betreffenden und im Besitz der CAI befindlichen personenbezogenen Daten bezog.

 

Die Prüfungsstelle verweigerte die Herausgabe der Prüfungsarbeit, und Herr Nowak wandte sich an den Datenschutzbeauftragten, und auch dieser vertrat die Ansicht, dass die Prüfungsarbeit keine personenbezogenen Daten beinhalte. Herr Nowak wandte sich an das Gericht, aber auch dies war derselben Ansicht und Herr Nowak ging durch alle Instanzen bis zum Supreme Court, der u.a. die folgenden Frage dem EuGH vorlegte:

 

Können Informationen, die von einem Prüfling in einer berufsbezogenen Prüfung in seiner Antwort bzw. als Antwort aufgezeichnet wurden, personenbezogene Daten im Sinne der Richtlinie 95/46 darstellen?

 


Die Rechtsansicht des EuGH:

 

Es stellt sich die Frage, ob im Rahmen der DS-RL (RL 95/46) „die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu „personenbezogene Daten“ […] darstellen.

 

Die Frage vor dem EuGH war, ob die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 darstellen. Durch die Verwendung des Ausdruckes „alle Informationen“ ist klargestellt, dass der Begriff „weit“ auszulegen ist. Der Begriff ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Es ist ausreichen, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist.

 

Der EuGH kommt zum Schluss, dass „die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung Informationen darstellen, die aufgrund ihres Inhalts, ihres Zwecks und ihrer Auswirkungen Informationen über diesen Prüfling darstellen.“ Auch „die Anmerkungen des Prüfers zu den Antworten des Prüflings“ sind „Informationen über den betreffenden Prüfling“, wobei es keinen Unterschied macht, dass „diese Anmerkungen zugleich Informationen über den Prüfer darstellen.“

 

Der EuGH hat erklärt, dass das Recht auf Auskunft und Berichtigung auch in Bezug auf die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu gerechtfertigt sein können.

 

Der EuGH hat Weiters festgehalten, dass die Rechte auf Auskunft und Berichtigung nach Art. 12 Buchst. a und b der Richtlinie 95/46 nicht auf Prüfungsfragen erstrecken, die als solche keine personenbezogenen Daten des Prüflings darstellen.        

 

 

 

noyb.eu

 

Investieren Sie in Datenschutz - unterstützen Sie noyb.eu mit Sach- oder Geldspenden ...

 

 

 

Datenschutz in der digitalen Welt und auch außerhalb davon wird immer wichtiger.

 

Die DSGVO allein und die Handhabung durch die Organisationen kann uns nicht schützen, auch wenn darin hohe Anforderungen an Dokumentation und Compliance gestellt werden, und bei Verletzungen Geldbußen und auch Schadenersatz drohen.

 

Max Schrems hat gemeinsam mit Petra Leupold, Christof Tschohl und einigen anderen Personen einen Verein gegründet, der sich um die Durchsetzung von digitalen Rechten der Menschen in der EU kümmern wird. Der Verein ist international vernetzt, und wird nicht nur in Österreich tätig werden. 

 

Die Finanzierung erfolgt über Spenden, und jede/r kann die Tätigkeit von noyb.eu unterstützen. Das Finanzierungsziel von EUR 250.000,-- ist bis dato (Ende Dezember 2017) noch nicht erreicht. 

 

Investieren Sie in Datenschutz --- Invest in Privacy --- www.noyb.eu

 

 

Einwilligung nach der DSGVO

 

Die Art 29 DS-Gruppe (in der DSGVO: Europäischer Datenschutzausschuss (EDSA)) hat in einem 35-seitigen Dokument die Regelungen der DSGVO zur Einwilligung als Grundlage der Rechtmäßigkeit bei der Verarbeitung von personenbezogenen Daten erläutert.

 

Kommentare zum Working-Paper, dass sich im Entwurf-Stadium befindet, sind noch bis zum 23.01.2018 möglich.

 

Die Art 29 DS-Gruppe stellt klar, dass die Einwilligung für jeden Zweck separat abgefragt und auch erteilt werden muss, um die notwendige Freiwilligkeit zu erreichen. Als Beispiel wird angeführt, dass z.B. die Einwilligung für Marketingmaßnahmen (z.B. Email-Newsletter) und Weitergabe der Daten an ein Konzernunternehmen separat möglich sein muss. 

 

Dieses Thema wird ein weiteres Mal in den Leitlinien angesprochen, und klargestellt, dass auch unter dem Gesichtspunkt der Bestimmtheit die Notwendigkeit besteht, dass für separate Zwecke auch separate Einwilligungsmöglichkeiten gegeben werden, um der betroffenen Person die Wahlmöglichkeit zu geben.

 

Fazit: pro Zweck, eine eigene Einwilligung wird notwendig sein, und die Verarbeitung für einen bestimmten Zweck (z.B. Marketing) und Weitergabe an andere Organisationen sind zwei unterschiedliche Zwecke.

 

Um eine wirksame (gültige) Einwilligung zu erhalten, sind folgende Mindestinformationen den betroffenen Personen (vor der Einwilligung) zur Verfügung zu stellen:

 

(i) the controller’s identity, dh die Identität des Verantwortlichen (WER)

(ii) the purpose of each of the processing operations for which consent is sought, dh den Zweck der unterschiedlichen Verarbeitungstätigkeiten, für die die Einwilligung erteilt werden soll (WARUM

(iii) what (type of) data will be collected and used, dh die Datenkategorien, die erhoben und verwendet werden (WAS)

(iv) the existence of the right to withdraw consent, dh Hinweis auf die Möglichkeit des Widerrufes der Einwilligung

(v) information about the use of the data for decisions based solely on automated processing, including profiling, in accordance with Article 22 (2), dh Informationen zu automatisierter Entscheidungfindung, inkl. Profiling

(vi) if the consent relates to transfers, about the possible risks of data transfers to third countries in the absence of an adequacy decision and appropriate safeguards (Article 49 (1a)), sofern die Einwilligung auch in Bezug auf die Datenweitergabe erteilt wird, das Risiko, das durch eine Übermittlung von Daten in Drittländer ohne Angemessenheitsbeschluss oder Garantien (siehe Art 49 Abs 1) entsteht.   

 

Die Leitlinien befassen sich auch damit, wie die notwendigen Informationen für die Einwilligung zur Verfügung gestellt werden (siehe Seite 14 f), wobei es inbes. auch auf das "Zielpublikum" ankommt.

 

Die Art 29-DS-Gruppe betont ein weiteres Mal, dass ein "Statement" der betroffenen Person notwendig ist, um eine Einwilligung annehmen zu können, und verweist auf eine klare bestätigende Handlung ("clear affirmative act"). 

 

Die Verwendung von vorausgefüllten check-boxen (z.B. im Internet oder auch bei Formularen) ist unzulässig.

 

Stillschweigen oder eine Unterlassung auf Seiten der betroffenen Person, oder auch die Fortsetzung einer Dienstleistung kann nicht als aktive Mitteilung einer Auswahl angesehen werden.
(siehe insbes. Seite 16:  The use of pre-ticked opt-in boxes is invalid under the GDPR. Silence or inactivity on the part of the data subject, as well as merely proceeding with a service cannot be regarded as an active indication of choice.

 

Die Art 29-DS-Gruppe setzt sich auch intensiv mit dem Widerruf der Einwilligung auseinander. So ist es der im Dokument geäußerten Ansicht nicht zulässig, die möglichen Kommunikationswege für den Widerruf einzuschränken. 

 

Darüberhinaus wird im Dokument auch die Frage der Einwilligung von Kindern behandelt 

 

mehr lesen 0 Kommentare

Wie kann die Informationspflicht erfüllt werden

 

Die Art 29 DS-Gruppe (in der DSGVO: Europäischer Datenschutzausschuss (EDSA)) hat in einem 30-seitigen Dokument die Regelungen der DSGVO zur Transparenz bei der Verarbeitung von personenbezogenen Daten erläutert.

 

 

Die Aussagen darin sind die zusammengefasste Meinung der Europäischen Datenschutzbehörden und es ist davon auszugehen, dass diese die Leitlinien als Auslegungsmaxime für etwaige Entscheidungen heranziehen werden.

 

 

Die Art 29-DS-Gruppe empfiehlt auch, um die Informationen „verständlich“ iSd Art 12 DSGVO zur Verfügung zu stellen, dies in Form einer „layered privacy notice“ (Datenschutzinformation in Teilschritten) zu machen (siehe Seite – 17 -), insbes. wenn die Datenerhebung im WWW (oder auch in anderen elektronischen Kontexten) geschieht. Wie der Hinweis auf das Impressum an prominenter Stelle auf der Website angegeben wird, sollte gleichzeitig auch mit dem Hinweis: Datenschutz, Datenschutzerklärung, Datenschutzstandards, Privacy, Privacy Notice, Data Protection Notice) auf die notwendigen Informationen hinweisen, und die betroffenen Personen, in dieser Erklärung in mehreren Schritten („layers“ = Schichten) durch die notwendigen Informationen führen, und die Möglichkeit geben, z.B. durch Anklicken weitergehende Informationen zu den einzelnen Themenbereichen (z.B. Speicherdauer, Rechte der betroffenen Personen …) zu erhalten

 

 

Die Art 29-DS-Gruppe beschäftigt sich insbes. auch mit der Frage, in welcher Form die Informationen den betroffenen Personen zur Verfügung zu stellen sind.

 

 

Auf Seite 18 wird dargelegt, dass aufgrund des sehr guten Zugangsmöglichkeit zum Internet und der Tatsache, dass die betroffenen Personen jederzeit online sein können, und zwar von vielen Orten aus und mittels unterschiedlicher Geräte, eine Datenschutzerklärung oder Datenschutz-Information auf einer Homepage die Informationspflichten erfüllen kann, insbes. wenn man zusätzliche oder auch alternative Möglichkeiten dazu (z.B. Papier) nutzt. Eine zusätzliche Möglichkeit oder eine Alternative kann abhängig von der Art und Weise der Datenerhebung notwendig sein.

 

 

Dies ist mE z.B. möglich, wenn bei der Datenerhebung keine ausreichende Möglichkeit gegeben ist, die Informationen iSd Art 13 DSGVO vollumfänglich darzustellen (z.B. auf einem Hinweisschild für eine Videoüberwachung). Beim Hinweis auf die Informationen wird es z.B. mittels QR-Code oder mittels Verweis auf die Datenschutzerklärung auf der Website möglich sein, die Informationen gem. Art 13 DSGVO den betroffenen Personen zur Verfügung zu stellen.

 

 

Es werden auch andere Möglichkeiten für die Informationserteilung angesprochen:

 

·         Papierform, wenn mit den betroffenen Personen über Post kommuniziert wird: durch Folder, in der Vertragsdokumentation etc..

 

·         telefonisch: mündliche Information durch eine natürliche Person, um die Möglichkeit zu geben, Fragen zu stellen, oder auch automatisierte Information oder Information auf Tonband, mit der Möglichkeit zusätzlich Fragen zu stellen.

 

·         Geräte ohne Display (Internet der Dinge): Es könnten z.B. QR-Codes, Bildsymbole, schriftliche Information in Papierform (z.B. in der Bedienungsanleitung), öffentliche Informationskampagnen

 

·         persönliche Kontaktaufnahme, z.B. bei Meinungsumfragen: mündliche Erklärungen oder auch schriftliche Informationen, die ausgehändigt werden

 

·         Videoüberwachung / Drohnen: Schilder, die die Informationen beinhalten, aber auch Informationen in Medien oder Zeitungen

 

mehr lesen 0 Kommentare

unzulässige Videoüberwachung: € 1.000,-- Schadenersatz pro Person?

 

 In einer Entscheidung des Europäischen Gerichtshofes für Menschenrechte (EGMR) - rechts am Bild zu sehen - vom 28.11.2017 wurde zwei Universitätsprofessoren (als Angestellte der Universität) je EUR 1.000,-- an (immateriellem) Schadenersatz für eine unzulässige Videoaufnahme zugesprochen.

 

 

 Die Universität von Montenegro hat (bereits am Frühjahr 2011) u.a. in sieben Amphitheatern (Auditorien) und vor dem Rektorzimmer Videoüberwachungsanlagen installiert und auch die Lehrenden darüber informiert. Im März 2011 haben sich zwei Professoren bei der zuständigen Datenschutzbehörde (Agencija za zaštitu ličnih podataka) beschwert. Sie brachten vor, dass die Räume außerhalb der Vorlesungszeiten zugesperrt seien, und es keine Sicherheitsbedenken gäbe, sodass die Videoüberwachung nicht das gelindeste Mittel sei. Sie forderten die Entfernung der Kameras und die Löschung der Daten.

 

In den Verfahren im Montenegro (bei der Datenschutzbehörde und auch in zivilgerichtlichen Verfahren) hatten die beiden Professoren keinen Erfolg.

 

Sie wendeten sich an den Europäischen Gerichtshof für Menschenrechte wegen der Verletzung des Art. 8. der EMRK, wobei sie das Argument der Verletzung desselben auch bereits – ohne Erfolg - im Zivilverfahren in Montenegro geltend gemacht hatten.

 

Artikel 8 – Recht auf Achtung des Privat- und Familienlebens

 

(1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs.

(2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist.

 

Die beiden Professoren verlangten auch je EUR 1.000,-- an Schadenersatz (immaterieller Schaden), da Art 48 des montenegrinischen Datenschutzgesetzes den Ersatz des Schadens bei der Verletzung der datenschutzrechtlichen Bestimmungen nach den generellen Regelungen des Schadenersatzrechtes vorsieht.

 

In einer Gesamtschau (insbes. §§ 151, 206 und 207) sieht das Obligationenrecht in Montenegro u.a. vor, dass jedermann, der Angst, physische Schmerz oder seelische Schmerzen als Folge der Beeinträchtigung seines/ihres Ansehen oder der Verletzung ihrer Integrität, Freiheit oder von Persönlichkeitsrechten berechtigt ist, eine Unterlassung zu fordern, finanziellen Ersatz oder auch andere Formen von Wiedergutmachung von Schmerzensgeld zu fordern.

 

Der Gerichtshof sprach den beiden Professoren, die in ihren Persönlichkeits- bzw. Freiheitsrechten durch die unzulässige Videoüberwachung verletzt wurden, je EUR 1.000,-- an Schmerzensgeld bzw. Ersatz für die erlittene Beeinträchtigung zu.

 

Die Datenschutzgrundverordnung sieht in Art 82 Abs 1 DSGVO ausdrücklich den Ersatz des immateriellen Schadens vor:

 

Artikel 82

Haftung und Recht auf Schadenersatz

(1)   Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

 

ErwG 85 bezieht sich u.a. auch auf den Schaden, der durch eine Datenschutzverletzung eintreten kann:

 

Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. ()

 

 

Der ErwG 146 bezieht sich explizit auf die Bestimmung zu Haftung und Schadenersatz, und es ist auch ein Hinweis auf die Verschiebung der Beweislast darin enthalten. Der Verantwortliche oder Auftragsverarbeiter hat zu beweisen hat, dass ihn an der Verletzung der Datenschutzvorschriften kein Verschulden trifft:

 

Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. () Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. ()

 

Das (neue) österreichische Datenschutzgesetz, welches am 25.05.2018 gleichzeitig mit der DSGVO in Kraft tritt, beinhaltet ebenfalls eine Bestimmung zum Schadenersatz unter explizitem Hinweis auf den Ersatz des immateriellen Schadens:

 

Haftung und Recht auf Schadenersatz

§ 29. (1) Jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter nach Art. 82 DSGVO. Im Einzelnen gelten für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts.

(2) Für Klagen auf Schadenersatz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat.

 

In beiden Normen ist ein ausdrücklicher Hinweis auf den immateriellen Schaden enthalten. Es ist daher das „Schmerzensgeld“ oder die Beeinträchtigung, die durch eine Verletzung des Datenschutzes für die betroffenen Personen (natürliche Personen im Geltungsbereich der DSGVO bzw. auch juristischer Personen, die im Geltungsbereich des DSG bleiben, wenn es nicht mehr vor Inkrafttreten geändert wird) entsteht, jedenfalls (ab 25.05.2018) zu ersetzen.

 

Der EGMR geht offensichtlich davon aus, dass schon bei der unzulässigen Videoüberwachung durch einen Arbeitgeber (in begrenztem Umfang, nämlich im Hörsaal, bei einer Aufbewahrung von einem Jahr – ohne Offenlegung an dritte Personen – eine Beeinträchtigung des Rechtes auf Geheimhaltung der personenbezogenen Daten (Verlust der Vertraulichkeit) gegeben ist, und dies einen Ersatzbetrag von EUR 1.000,-- rechtfertigt.

 

Dieser Betrag kann daher ein Ansatzpunkt sein, wenn über die Frage der Höhe des eingetretenen immateriellen Schadens diskutiert wird.

VfGH berät über "hohe" Verwaltungsstrafen. Auch nach DSG/DSGVO werden die hohen Geldbußen von der DSB verhängt

 

Das Bundesverwaltungsgericht (BVwG) hat im Jahr 2016 einen Antrag an den Verfassungsgerichtshof (VfGH) gerichtet, da es Bedenken hegt, dass "hohe" Verwaltungsstrafen nicht von einer Verwaltungsbehörde verhängt werden dürfen.

 

"Hohe" Strafen haben in Österreich Gerichte zu verhängen (siehe insbes. Art 91 B-VG). 

 

Der Verfassungsgerichtshof wird vermutlich im Dezember 2017 darüber entscheiden

 

 

mehr lesen

DSGVO & Marketing - Vorträge bei REICHLUNDPARTNER ... was ist ab dem 25.05.2018 noch erlaubt?

 

Am 21.11.2017 (Linz) und 24.11.2017 (Wien) und 28.11.2017 (Linz) sowie am 07.12.2017 (Linz) fanden Informationsveranstaltungen statt, in der sich Kunden von REICHLUNDPARTNER, der größten Fullservice-Agentur Österreichs (Quelle: xpert.net Ranking 2017; Homepage: reichlundpartner.com) über die Datenschutzgrundverordnung (DSGVO) und die Auswirkungen auf Marketing informieren konnten.

   
   
   
   

 

mehr lesen

What's App & Datenschutz

Nutzen Sie What´s APP auf dem Firmensmartphone?

 

Dann stellt dies ein (erhebliches) Risiko aus datenschutzrechtliche Sicht dar.

 

Ihr Unternehmen verarbeitet personenbezogene Daten nicht in Übereinstimmung mit den Verpflichtungen aus dem Datenschutzgesetz bzw. der Datenschutzgrundverordnung.

mehr lesen

Datenschutzbeauftragter: notwendig oder sinnvoll?

Am 23.11.2017 fand ein Datenschutz-Frühstück statt. 

 

"Datenschutzbeauftragte/r: notwendig oder sinnvoll" war das Thema. 

 

ca. 20 Personen, davon einige Vertreter von Behörden und öffentlichen Institutionen, aber auch Vertreter von Unternehmen informierten sich über die Aufgaben und Stellung des Datenschutzbeauftragten (DSBA).

 

Breiten Raum nahm die Diskussion ein, unter welchen konkreten Voraussetzungen ein DSBA (verpflichteten) in privaten Organisationen zu benennen ist. 

 

Sowohl die Art der Datenverarbeitung (Verarbeitung von risikoreichen Daten; systematische und regelmäßiges Beobachten von Verhalten von betroffenen Personen) als auch die konkrete Kerntätigkeit der Organisation ist zu analysieren. Letztlich kommt es auch darauf an, ob die Verarbeitung "umfangreich" iSd Art 37 (1) DSGVO ist, wobei eine Definition von "umfangreich" in der DSGVO oder auch nur in den Erwägungsgründen fehlt. 

 

Informationen über das "Datenschutz-Frühstück" finden Sie auch auf Facebook unter @DSFLinz oder unter www.datenschutz-frühstück.at.

 

 

 

mehr lesen

PriSec 2017

Auch die calpana Business Consulting GmbHJ (www.crisam.net) war mit einem Stand und einem Vortrag (im Bild: Wolfgang Schmidhuber; Senior-Consultant) vertreten.

 

Im Vortrag von calpana wurde dargelegt und auch anschaulich demonstriert den Teilnehmern, welche Möglichkeiten CRISAM als Tool im Bereich Datenschutzmanagement hat

mehr lesen

ÖVI-Vortrag zur DSGVO in Salzburg

 

 

Am 25.10.2017 hielt Dr. Thomas Schweiger, LL.M. (Duke) – als Vertreter von dataprotect – einen Vortrag vor Vertretern der Salzburger Immobilienwirtschaft auf Einladung des ÖVI.

 

 

 

 

Im Vortrag wurden die Grundprinzipien des Datenschutzes (nach DSGVO & DSG) dargelegt:

  • Rechtmäßigkeit (Erlaubtheit der Datenverarbeitung)
  • Transparenz (mit den Informationspflichten)
  • Zweckbindung
  • Datenminimierung (sachlich)
  • Richtigkeit
  •  Speicherbegrenzung (zeitlich)
  •  Integrität & Vertraulichkeit

die grundlegenden Abweichungen des öDSG von der DSGVO und die Möglichkeiten der Umsetzung eines „Datenschutz-Projektes“ dargelegt. Es wurde ein Muster eines Verzeichnisses von Verarbeitungstätigkeiten erläutert und die Teilnehmer hatten die Möglichkeit Fragen zu stellen.

 

Einige Fragen beschäftigten sich insbes. mit der Grundlage für die Verarbeitung von personenbezogenen Daten, dh z.B. den Vertrag bei Kunden und Auftraggebern oder die Vertragsanbahnung bei Interessenten, das Gesetz (inbes. bei den möglichen Aufbewahrungspflichten/fristen) und auch die Einwilligung (insbes. im Bereich des Marketing), wobei es dazu einen Exkurs auch in die Spamming- und Cold-Calling-Regelung des Telekommunikationsgesetzes (§ 107 TKG) mit dem Hinweis auf die Privilegierung für Bestandskunden gab. Ein weiterer Punkt war insbes. die Art und Weise der Abdeckung der Informationsverpflichten gem. Art 13 und Art 14 DSGVO und der Inhalt dieser umfangreichen Informationspflichten.

 

Gemeinsam mit dem Österreichischen Verband der Immobilienwirtschaft (ÖVI) werden von dataprotect Datenschutz-Dokumentationen als Muster für Immobilienmakler und Hausverwaltungen entwickelt, und die aktuellen Formulare an die ab 25.05.2018 geltende Rechtslage angepasst.

 

Spiegel-Online berichtet über Mitarbeiterfotos aus der Homepage

mehr lesen