Publikationen zum IT-Recht

... besuchen sie uns auch auf Twittter & Facebook


DSGVOÖ: Löschen in Backups

DaKo 1/2018: Artikel zur Löschpflicht in Sicherungskopien zur Frage, ob bei einem berechtigten Löschungsersuchen, auch in Sicherungskopie gelöscht werden muss.

Download
DSGVO: Löschen in Backups
Sicherungskopien und Löschung von Daten
Dako_2018-01, 10 Thomas Schweiger.pdf
Adobe Acrobat Dokument 1.2 MB

DSGVO: Benötigt Ihr Unternehmen einen Datenschutzbeauftragten

Datenschuz Konkret, April 2017 

(DaKO 2/2017)

Die DSGVO schreibt verpflichtend einen Datenschutzbeauftragten unter bestimmten Voraussetzungen vor. Doch wann benötigt ein Unternehmen nun einen Datenschutzbeauftragten?

 

In diesem Artikel finden Sie die Antwort auf diese Frage.

 


Der Mindestbuchpreis im grenzüberschreitenden Internethandel

gemeinsam mit Mag. Wolfgang Lackner

Zeitschrift für Informationsrecht (ZIIR 2016/4, 400)

Dieser Artikel beschäftigt sich mit der Frage der Unionsrechtswidrigkeit eines unterschiedlichen Mindestbuchpreises in Ö und D.

 

Dienstleistervertrag bei Datenverarbeitung und Verpflichtung zur Rückgabe bei Beendigung

lex:itec (2010/04, Seite 18)

In welcher Form muss der Dienstleister (Auftragsdaten-verarbeiter) bei Beendigung des Vertrages die "Daten" zurückgeben. Kann der Auftraggeber verlangen, dass er diese in sein Datensystem einlesen kann?

Die Bedeutung der Nutzung von Social Media im Entlassungsrecht. Dargestellt am Beispiel "Facebook"

gemeinsam mit Mag. Andrea Kern Zeitschrift für Arbeits- und Sozialrecht (ZAS 2013, 302)

 

Dieser Artikel beschäftigt sich mit der Frage der Auswirkungen von (negativen) Facebook-Posts auf das Arbeitsverhältnis.


 

IRIS 2008 Tagungsband, (Internationales Recht der Informatik Symposion): 
Gebrauchtsoftwarehandel in Österreich und Deutschland

IRIS 2007 - Tagungsband, (Internationales Recht der Informatik Symposion):
Kann die Gebührenpflicht von Softwarelizenzverträgen vermieden werden?

lex:itec (Ausgabe 5/2006)      
Gebührenpflicht von Softwarelizenzverträgen   

IRIS 2005 - Tagungsband, (Internationales Recht der Informatik Symposion):         
E-Commerce: Verantwortlichkeit für Unternehmen und vertretungsbefugte Organe aus verwaltungsstrafrechtlicher und strafrechtlicher Sicht

 

Löschung in einem Online-Forum - Medienprivleg des § 9 DSG

 

Löschung von Daten:

DSB weist Beschwerde eines Users in einem Online-Forum wegen der Löschung von User-Kommentaren zurück  

(13.08.2018;  DSB-D123.077/0003-DSB/2018 (rk)

 

mehr lesen

erste Geldstrafe durch die DSB in Österreich

 

Die DSB hat die erste Geldstrafe verhängt.

EUR 4.800,-- für eine nicht korrekt gekennzeichnete Videoüberwachung, die den öffentlichen Raum mitüberwachte.

 

mehr lesen

Achtung im Marketing: BGH verhindert auch Werbung bei der Versendung von Rechnungen

Eine Kundenzufriedenheitsbefragung in einer E-Mail fällt auch dann unter den Begriff der (Direkt-)Werbung, wenn mit der E-Mail die Übersendung einer Rechnung für ein zuvor gekauftes Produkt erfolgt. (BGH VI ZR 225/17 10. Juli 2018)

 

Ohne Zustimmung des Empfänger ist eine derartige Zusendung rechtswidrigEs handelt sich um "unzumutbare Belästigung" und kein transaktionsbezogenes Email.

 

mehr lesen

Datenschutzkonferenz zu Facebook Fanpages und gemeinsamer Verantwortlichkeit

 

 

Der EuGH hat am 05.06.2018 eine Entscheidung zu Facebook Fanpages gefällt, die nun drei Monate danach zu einem Beschluss der deutschen Datenschutzkonferenz geführt hat. 

 

 

"Auch Fanpage-Betreiberinnen und Betreiber müssen sich ihrer datenschutzrechtlichen Verantwortung stellen. Ohne Vereinbarung nach Art. 26 DSGVO ist der Betrieb einer Fanpage, wie sie derzeit von Facebook angeboten wird, rechtswidrig."

 

 

mehr lesen

Auftragsverarbeitung - oder nicht

 

Auftragsverarbeiter und Verantwortlicher

 

Der Versuch einer Anleitung zur Abgrenzung in Vertragsverhältnissen

 

mehr lesen

IT-Sicherheit am Donaustrand - 27.09.2018, Linz, 15:00 Uhr, Sky-Loft im AEC

 

 

Im Rahmen der Veranstaltung "IT-Sicherheit am Donaustrand" des Bayer. IT-Sicherheitscluster e.V. haben Sie die Möglichkeit unterschiedliche Vorträge zu Datenschutz und IT-Sicherheit zu hören. 

 

 

Etwa 4 Monate nach Geltungsbeginn der DSGVO gibt es folgendes Programm:

mehr lesen

EuGH-Verhandlung zu Social Plugins

 

Am 6.9.2018 findet vor dem EuGH eine Verhandlung statt, die für Websitenbetreiber, die Social-Plugins einbinden, bedeutsam ist.

mehr lesen

Wiener Datenschutzgesetz

 

Das Wiener Datenschutz-Anpassungsgesetz (LGBl. 44/2018) - kurz WDSAG - trat am 25.05.2018 in Kraft, und es wurde das bisherige Wiener Datenschutzgesetz (Wr. DSG; LGBl 125/2001) aufgehoben. 

 

 

 

Seit diesem Zeitpunkt gilt das Gesetz über den Schutz personenbezogener Daten (Wiener Datenschutzgesetz – Wr. DSG)  neben der DSGVO und dem DSG und den Materiengesetzen, die datenschutzrechtliche Regelungen enthalten.

mehr lesen

Rechtfertigt eine Verjährungsfrist die Aufbewahrung von Daten?

 Kann eine beabsichtigte Dokumentation, um für den Fall eines Finanzverfahrens Daten zur Verfügung zu haben, eine Aufbewahrung von Daten rechtfertigen?

  

Die Datenschutzbehörde hat dazu am 28.05.2018 (in Anwendung der DSGVO) eine Entscheidung gefällt. (DSB-D216.471/0001-DSB/2018)

 

Die BAO normiert in § 207 Abs 2 die Verjährungsfrist bei der Abgabenhinterziehung mit 10 Jahre. Aus der Entscheidung ist nicht ersichtlich, wie der Beschwerdegegner, der folgende Daten über einen Zeitraum von 10 Jahren nach Vertragsbeendigung aufbewahrte, argumentiert hat, wobei davon auszugehen ist, dass dies zu Dokumentations- und Nachweiszwecken im Rahmen von etwaigen finanzstrafrechtlichen Verfahren erfolgte, da auf die BAO und deren Verjährungsfrist hingewiesen wurde:

Vertragsname:

Alice A***

Anschrift:

***dorf *4, A-*45* ***Dorf

Anschrift:

***dorf *4, A-*45* O**markt-***wang

Geburtsdatum:

**.**.199*

Geburtsort:

H**stadt

Ausweistyp:

Reisepass

Ausweisnummer:

*2*4*56*0

Behörde:

BH R***

Nat.:

AT

IBAN:

AT8xxxxxxxxxxxxxx4*5

BIC:

R**4*5U

Bank:

RAIFFEISENBANK ***** EGEN

Kontoinhaber:

Peter Z***

Anmerkung:

Der IBAN wird aus Sicherheitsgründen nur verkürzt dargestellt.

Werbung:

Ja

 

Vertragsart:

 

mobil

Kundennummer:

*5*8**33*27

Rufnummer:

+43 6** 5*4*8*3**

SIM Tausch:

**.**.2013

SIM alt:

A*4*76**2*6****

SIM neu:

A74*77*1*6*8**5

Erste Aktivierung:

**,**,2009

Tarif:

*****

Status:

**.**.2015 gekündigt / Port Out

Hilfs-Rufnummer für Port-Out:

+43 6** *78*3**1 – geheim

SIM:

A74*77*1*6*8**5

Erste Aktivierung:

**.**.2015

Tarif:

*****

Status:

**.**.2015 gekündigt

 

Die DSB führt dazu aus:

Gemäß Art. 5 Abs. 1 lit. e DSGVO müssen personenbezogene Daten in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; personenbezogene Daten dürfen länger gespeichert werden, soweit die personenbezogenen Daten vorbehaltlich der Durchführung geeigneter technischer oder organisatorischer Maßnahmen, die von der DSGVO zum Schutz der Rechte und Freiheiten der betroffenen Person gefordert werden, ausschließlich für im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke gemäß Art. 89 Abs. 1 verarbeitet werden („Speicherbegrenzung“) (Hervorhebungen durch die Datenschutzbehörde).

 

Die DSB wies darauf hin, dass § 207 Abs 2 BAO keine Verpflichtung zur Speicherung von Daten vorsehe, sondern nur eine Verjährungsfrist bei Finanzvergehen normiert.

Aus den Entscheidungsgründen:

"Auch der Verfassungsgerichtshof geht in einer Entscheidung davon aus, dass "nur ein konkret sich abzeichnendes Verfahren" eine Speicherung von personenbezogenen Daten rechtfertigen kann.

Die bloße Möglichkeit, dass ein Verfahren eingeleitet wird, reicht nicht aus".
(Erkenntnis vom 12.12.2017, GZ E3249/2016)" 

0 Kommentare

Newsletter der DSB ist nun auch online

 

Die DSB versendet mehrmals im Jahr einen Newsletter, für den man sich registrieren kann. Bei einer Registrierung erhält man den Newsletter einige Tage vor dem Zeitpunkt, in dem dieser online gestellt wird … 

mehr lesen

Dürfen Arbeitgeber Strafregisterdaten von beschäftigten Personen verarbeiten?

Darf ein potenzieller Arbeitgeber eine Strafregisterbescheinigung im Rahmen eines Bewerbungsverfahren verlangen oder von MitarbeiterInnen speichern?

 

Eine kurze Übersicht nach den Bestimmungen der DSGVO

mehr lesen

Versicherungsvermittler: Vor-Ort-Kontrollen durch die Datenschutzbehörde?

 

Die IVVA (Interessensverband der Österreichischen Versicherungsagenten) und Fondsprofessionell berichteten übereinstimmend am 20.8.2018 auf der jeweiligen Website über Vor-Ort-Kontrollen der österreichischen Datenschutzbehörde.

 

 

Die IVVA meldete im Newsletter (NL 19/18): Behörde startet Kontrollen, bitte um Details.

 

Es seien Vor-Ort-Kontrollen durchgeführt worden, und die DSB habe sich

hauptsächlich um den Bereich der Versicherungsvermittlung interessiert. Es

wurde ersucht, Informationen an die IVVA zu senden, um diese zu sammeln, und mehr über den Ablauf/Inhalt der Kontrollen zu erfahren. 

 

 

Fondsprofessionell (Online) titelte am 20.8.2018: Datenschutz-Beamte

klopfen zuerst bei Versicherungsvermittlern an.

 

 

Wir haben keine persönlichen Informationen über eine Schwerpunkt-Prüfung der Datenschutzbehörde im Bereich der Finanzdienstleister, insbes. Versicherungsvermittler, -agenten oder -makler.

 

Es gab in den Jahren 2017/2018 eine Schwerpunktprüfung der DSB bei Versicherungen, die unseres Wissens nach bereits abgeschlossen ist.  Eine Empfehlung aus dieser Prüfung ist auch veröffentlicht, bei der es u.a. auch um eine unbefristete Speicherung von Protokolldaten geht, die nach Ansicht der DSB nicht zulässig ist.

 

 

Bitte teilen sie auch uns mit, wenn es Vor-Ort-Kontrollen der DSB oder Anfragen der DSB bei ihnen gibt oder ihnen derartige bekannt sind, insbes. wenn diese ohne Anlassfall (zB Beschwerde) von der Behörde durchgeführt werden.

 

Wir versuchen, weitere Infos zum Thema zu erhalten, und werden weitere berichten.

 

Gerne unterstützen wir bei etwaigen Anfragen oder Vor-Ort-Kontrollen der Datenschutzbehörde mit unserem Fachwissen.

Löschung von Daten

 

 

Was darf bei einer (berechtigten) Löschungsanfrage dokumentiert werden und nach Löschung noch aufbewahrt (gespeichert) werden?

 

 

Die Datenschutzbehörde hat dazu am 28.05.2018 (in Anwendung der DSGVO) eine Entscheidung gefällt. (DSB-D216.580/0002-DSB/2018)

 

 

Eine natürliche Person wendete sich im November 2017 an die Datenschutzbehörde. Sie brachte vor, dass ein Gläubigerschutzverband deren personenbezogene Daten ohne Rechtsgrundlage und ohne Zustimmung gespeichert habe, und auch den Anträgen auf gänzliche Löschung nicht nachgekommen sei, obwohl diese mehrmals verlangt wurde.

 

Der Beschwerdegegner (ein Gläubigerschutzverband) teilte mit, dass bereit im Jahr 2012 die Löschung aus der Datenbank beantragt worden sei, und diese auch durchgeführt worden sei. Vorname, Zuname, Geburtsdatum und Adresse seien „aus sicher amtsbekannten Gründen“ in einem internen Arbeitsverzeichnis gem. § 8 Abs 3 Z 5 DSG (zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers vor einer Behörde notwendig ist und die Daten rechtmäßig ermittelt wurden). Die Speicherung der Daten sei aufgrund der häufigen Kommunikation mit dem Beschwerdeführer und zur Sicherstellung, dass es zu keiner Neuaufnahme in die Datenbank kommt notwendig.

 

Der Beschwerdeführer begehrte im Juli 2017 neuerlich die Löschung seiner Daten aus der Datenbank des Gläubigerschutzverbandes. Die Daten wurden aus der Datenbank gelöscht, aber Vorname, Name, Geburtsdatum und aktuelle Adresse zu Dokumentations- und Kommunikationszwecken weiter gespeichert.

 

Der Beschwerdeführer verlangte darauhin auch die Löschung dieser Daten, da es keine Rechtsgrundlage für diese Speicherung zu Dokumentations- und Kommunikationszwecken gäbe.

Diesem weiteren Antrag auf Löschung entsprach der Gläubigerschutzverband nicht.

 

 

Die betroffene Person hat iSd Art 17 Abs 1 DSGVO die Löschung der Daten (Vorname, Name, Geburtsdatum und Adresse) verlangt.

Im vorliegenden Fall hat der Beschwerdeführer entsprechend Art. 17 Abs. 1 DSGVO verlangt, die ihn betreffenden personenbezogenen Daten unverzüglich zu löschen.

Der Gläubigerschutzverband stützt sich auf Art 17 Abs 3 lit e DSGVO (Die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich).

 

 

Aus der Entscheidung der DSB:

 

Der kurze Verweis des Beschwerdegegners auf „sicher amtsbekannte Gründe“ stellt jedoch keinesfalls einen ausreichenden Beweis dar, um die Erforderlichkeit der Verarbeitung gemäß Art. 17 Abs. 3 DSGVO zu belegen.

 

Insbesondere die Speicherung der Daten im Hinblick auf eine eventuell zukünftige Kontaktaufnahme mit dem Beschwerdeführer, wenn dieser die Löschung seiner gesamten Daten verlangt und daraus zu schließen ist, dass eine derartige Kommunikation nicht mehr erfolgen wird, ist gemäß Art. 17 Abs. 1 lit. a DSGVO nicht notwendig.

 

Die zeitlich unbegrenzte Speicherung von personenbezogenen Daten für eine eventuell zukünftige Kontaktaufnahme stellt außerdem eine Verletzung des Grundsatzes der Speicherbegrenzung nach Art. 5 Abs. 1 lit. e DSGVO dar.

 

Andere, eine fortgesetzte Datenspeicherung rechtfertigende Gründe, wurden vom Beschwerdegegner nicht vorgebracht.

 

Aus Sicht der Datenschutzbehörde liegt im Ergebnis daher keine erforderliche Datenverarbeitung des Beschwerdegegners nach Art. 17 Abs. 3 DSGVO vor und erweist sich der Antrag des Beschwerdeführers auf Löschung seiner personenbezogenen Daten aus den oben erörterten Gründen als berechtigt.

 

 

 

Schlussfolgerungen aus dem Verfahren:

1. Konkretes Vorbringen und konkrete Nachweise:       

Ein Verweis auf “sicher amtsbekannte Gründe” ist kein ausreichender Nachweis/Beweis im Verfahren vor der DSB, dass der Ausnahmetatbestand des Art 17 Abs 3 DSGVO erfüllt ist. Im Verfahren sind ist der Zweck ausreichend konkret zu behaupten und auch zu begründen und sind Nachweise für die Zweckerreichung notwendig; pauschale Aussagen führen dazu, dass der Nachweis/Beweis nicht erbracht wird, da die Behörde diese nicht prüfen kann.       

 

2. Zweck: „zukünftige Kommunikation“:  
Eine Aufbewahrung/Speicherung von personenbezogenen Daten (Vorname, Name, Geburtsdatum und Adresse zur zukünftigen Kommunikation ist nicht „erforderlich“ iSd Art 17 Abs 3 lit e DSGVO, wenn die Löschung begehrt wurde, und daraus ersichtlich ist, dass eine Kommunikation nicht mehr erfolgen wird.       

 

3. Löschfrist: 
Eine zeitliche unbegrenzte Speicherung von Kontaktdaten zur zukünftigen Kommunikation widerspricht dem Grundsatz der zeitlichen Speicherbegrenzung (§ 5 Abs 1 lit e DSGVO)

mehr lesen

Newsletter der DSB

Die Datenschutzbehörde hat ihren aktuellen Newsletter versendet.

 

 

 

 

 

 

Inhalt:

  • INFORMATION zur DSGVO:
    DATENSCHUTZGRUNDVERORDNUNG KAPITEL IX
    („Vorschriften für besondere Verarbeitungssituationen“)
  • aktuelle Entscheidungen der DSB:
  • Keine Datenspeicherung zum Zweck einer eventuell zukünftigen Kontaktaufnahme
  • Gesetzlich zulässiger Speicherzeitraum von Stammdaten und Verkehrsdaten
  • Löschung Verkehrsdaten
mehr lesen

Spielzeug im Fokus der französichen Aufsichtsbehörde

The Chair of the French data protection authority (CNIL) publicly issued a formal notice to the company GENESIS INDUSTRIES LIMITED on 20 November 2017 regarding the security of the connected toys « My Friend Cayla » and « I-QUE ». In view of the given responses, the Chair has decided to close the formal notice procedure.

 

mehr lesen