Leistungen im Datenschutz

Datenschutzpolicy (DP)

Beratung und Support bei der Erstellung einer Datenschutzpolicy für Unternehmen oder öffentliche Stellen


Verzeichnis von Verarbeitungstätigkeiten (VV)

Verantwortliche und Auftragsdatenverarbeiter sind verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten (record of processing activities) zu erstellen und zu führen. 

Meine Partner und ich unterstützen sie bei der Frage, ob sie verpflichtet sind, ein Verzeichnis von Verarbeitungstätigkeiten (VV) zu erstellen, und dokumentieren mit ihnen die Entscheidungskriterien und Überlegungen. Weiters erstellen wir mit ihnen ein Verzeichnis von Verarbeitungstätigkeiten (VV) als notwendige Dokumentation.


Datenschutzbeauftragter (DSB)

Mein Team und ich stehen als externer DSB zur Verfügung oder unterstützen und beraten sie, ob sie einen DSB brauchen oder nicht.

 

Der DSB unterstützt und berät den Verantwortlichen.

 

Der DSB ist gegenüber der Aufsichtsbehörde zu benennen; die Bekanntgabe des Namen und der Adresse ist nicht erforderlich.


Datenschutz-Folgenabschätzung (PIA)

Privacy Impact Assesments sind z.B. in Großbritannien bereits notwendig.

In Österreich ist es ab 25.5.2018 notwendig, vor Beginn (!) einer Datenverarbeitung (dh vor der tatsächlichen Inbetriebnahme) eine sog. PIA (Datenschutzfolgenabschätzung) durchzuführen, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge hat


Beratung des Betriebsrates (BR)

Dem Betriebsrat (BR) kommt im Unternehmen in Zusammenhang mit dem Schutz personenbezogener Daten von Arbeitnehmerinnen große Bedeutung zu.

 

Das ArbVG gibt dem BR Rechte und weist dem Unternehmer Pflichten in Bezug auf die Einbindung des BR bei Datenanwendungen mit personenbezogenen Daten zu


Data Breach Notification (DBN)

Im Falle einer Datenschutzverletzung (Data Breach) sind sowohl die betroffenen Personen (unverzüglich) - siehe u.a. Art 34 DSGVO -  als auch die Aufsichtsbehörde (binnen 72 Stunden) - siehe u.a. Art 33 DSGVO  zu verständigen.

 

Ist ihr Unternehmen in der Lage, diese Fristen einzuhalten? Sind sie auf Datenschutzverletzungen vorbereitet?

 

Schon der Verlust oder Diebstahl eines Laptops oder eines Mobiltelefons, auf dem personenbezogene Daten gespeichert sind, z.B. auch in Emails, kann eine Datenschutzverletzung darstellen.



Videoüberwachung und Beschäftigte - drohen ab 25.05.2018 Geldbußen und Schadenersatz?

 

 

Ob eine Videoüberwachung, bei der auch Bilddaten von Beschäftigten (unbewusst) erfasst werden, einer Betriebsvereinbarung bedarf, ist eine Vorfrage, die von der Datenschutzbehörde im Rahmen des Registrierungsverfahrens (Vorabkontrolle einer Videoüberwachung) zu klären ist.

 

 

 

Hat dies auch nach der DSGVO Auswirkungen auf Videoüberwachungen in Betrieben?

 

 

 

Der VwGH am 23.10.2017: […]obliegt es ausgehend vom dargestellten Zusammenhang der Datenschutzbehörde (bzw. im Beschwerdeverfahren: dem Verwaltungsgericht), im Wege der Vorfragenbeurteilung zu prüfen, ob die gemeldete Datenanwendung gemäß § 96a Abs. 1 ArbVG der Zustimmung des Betriebsrates bedarf und demnach eine Betriebsvereinbarung abzuschließen - und somit auch vorzulegen - ist.

 

 

 

Bilddaten wie etwa Videoaufnahmen sind vom Begriff der personenbezogenen Daten umfasst.

 

 

 

§ 96a Abs. 1 Z 1 ArbVG regelt, dass folgende Maßnahme der Zustimmung des Betriebsrates (im Sinne einer Betriebsvereinbarung) bedarf:

 

 

Die Einführung von Systemen zur automationsunterstützten Ermittlung, Verarbeitung und Übermittlung von personenbezogenen Daten des Arbeitnehmers, die über die Ermittlung von allgemeinen Angaben zur Person und fachlichen Voraussetzungen hinausgehen. Eine Zustimmung ist nicht erforderlich, soweit die tatsächliche oder vorgesehene Verwendung dieser Daten über die Erfüllung von Verpflichtungen nicht hinausgeht, die sich aus Gesetz, Normen der kollektiven Rechtsgestaltung oder Arbeitsvertrag ergeben;

Diese Bestimmung stellt nicht auf einen bestimmten, vom Arbeitgeber verfolgten Kontrollzweck der Datenanwendung abstellt. Vielmehr ist auf die objektive Eignung der Anwendung abzustellen. Die nur beiläufige oder zufällige Erfassung von Mitarbeiterdaten als „Nebeneffekt“ der Videoüberwachung verhindert nicht, dass § 96a Abs 1 Z 1 ArbVG anzuwenden ist.

 

 

 

Auch bei den Standardanwendungen SA032 der StMV 2004 muss einen Betriebsvereinbarung iSd § 96 a Abs 1 Z 1 ArbVG um die Rechtmäßigkeit der Videoüberwachung zu gewährleisten.

 

Bemerkenswert ist in diesem Zusammenhang, dass der VwGH nicht auf die Bestimmung des § 96 Abs 1 Z 3 ArbVG eingeht, die wie folgt lautet:

 

 

§ 96. (1) Folgende Maßnahmen des Betriebsinhabers bedürfen zu ihrer Rechtswirksamkeit der Zustimmung des Betriebsrates:

   

 

 

3.

die Einführung von Kontrollmaßnahmen und technischen Systemen zur Kontrolle der Arbeitnehmer, sofern diese Maßnahmen (Systeme) die Menschenwürde berühren;

 

 

Dabei geht es ebenfalls um technische System zur Kontrolle der Arbeitnehmer, die die Menschenwürde berühren; bei einer erheblichen Kontrollintensität ist davon auszugehen, dass die Menschenwürde berührt wird, und daher aus diesem Grund eine zwingende Betriebsvereinbarung erforderlich ist.

 

Wenn in einem Betrieb kein Betriebsrat bestehen sollte, dann kann die Notwendigkeit der Betriebsvereinbarung darauf gestützt werden, dass eine Einzelvereinbarung mit den Beschäftigten gem. § 10 Abs 1 AVRAG getroffen wird.

 

 

Was sind die Auswirkungen nach der DSGVO und nach DSG ab dem 25.05.2018?

 

Ab 25.05.2018 ist das Datenverarbeitungsregister, und damit auch die Meldung und Vorabkontrolle von Videoüberwachungen durch die Datenschutzbehörde Geschichte. Die Organisationen trifft eine umfassende Selbstverpflichtung, und es sind sämtliche notwendigen Voraussetzungen nach der DSGVO zu erfüllen und deren Erfüllung auch zu dokumentieren.

 

Der Zweck einer Videoüberwachung ist der Eigentumsschutz.

 

Nach Art 88 DSGVO ist die Datenverarbeitung im Beschäftigungskontext zulässig. Die Mitgliedsstaaten können durch Rechtsvorschriften (Gesetz oder Verordnung) oder Kollektivvereinbarungen (Kollektivverträge oder auch Betriebsvereinbarungen; siehe insbes. ErwG 155) spezifischere Vorschriften als die DSGVO vorsehen.  

 

In Österreich findet sich im (neuen) Datenschutzgesetz folgende Bestimmung:

 

 

Verarbeitung personenbezogener Daten im Beschäftigungskontext

 

§ 11. Das Arbeitsverfassungsgesetz – ArbVG, BGBl. Nr. 22/1974, ist, soweit es die Verarbeitung personenbezogener Daten regelt, eine Vorschrift im Sinne des Art. 88 DSGVO. Die dem Betriebsrat nach dem ArbVG zustehenden Befugnisse bleiben unberührt.

 

Sofern daher eine Betriebsvereinbarung iSd ArbVG (und zwar gleichgültig, ob wegen "Berührung der Menschenwürde" gem. § 96 Abs 1 Z 3 ArbVG oder weil die Menschenwürde nicht berührt erscheint gem. § 96a Abs 1 Z 1 ArbVG) nicht vorliegt, ist die Verarbeitung der personenbezogenen Daten der Beschäftigten nicht rechtmäßig, da eine spezifischere Norm der kollektiven Rechtssetzung in Bezug auf die Datenverarbeitung im Beschäftigungskontext verletzt ist.

 

Die Datenverarbeitung ist nicht unzulässig, da sie gegen die Bestimmungen des ArbVG verstößt und im DSG (§ 11) auf das ArbVG verwiesen wird.

 

Weiters sind ab 25.05.2018 die Bestimmungen § 12 f DSG zu beachten, die die Bildverarbeitung regeln, und auch auf den Beschäftigungskontext anzuwenden sind:

 

Bildverarbeitung

Zulässigkeit der Bildaufnahme

§ 12. (1) Eine Bildaufnahme im Sinne dieses Abschnittes bezeichnet die durch Verwendung technischer Einrichtungen zur Bildverarbeitung vorgenommene Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken. Zur Bildaufnahme gehören auch dabei mitverarbeitete akustische Informationen. Für eine derartige Bildaufnahme gilt dieser Abschnitt, soweit nicht durch andere Gesetze Besonderes bestimmt ist.

 

(2) Eine Bildaufnahme ist unter Berücksichtigung der Vorgaben gemäß § 13 zulässig, wenn

1.

sie im lebenswichtigen Interesse einer Person erforderlich ist,

2.

die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat,

3.

sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder

4.

im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.

 

(3) Eine Bildaufnahme ist gemäß Abs. 2 Z 4 insbesondere dann zulässig, wenn

 

1.

sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,

2.

sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder

3.

sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.

 

(4) Unzulässig ist

1.

eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichen Lebensbereich,

2.

eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern,

3.

der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen personenbezogenen Daten oder

4.

die Auswertung von mittels Bildaufnahmen gewonnenen personenbezogenen Daten anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium.

 

(5) Im Wege einer zulässigen Bildaufnahme ermittelte personenbezogene Daten dürfen im erforderlichen Ausmaß übermittelt werden, wenn für die Übermittlung eine der Voraussetzungen des Abs. 2 Z 1 bis 4 gegeben ist. Abs. 4 gilt sinngemäß.

 

 

Besondere Datensicherheitsmaßnahmen und Kennzeichnung

 

§ 13. (1) Der Verantwortliche hat dem Risiko des Eingriffs angepasste geeignete Datensicherheitsmaßnahmen zu ergreifen und dafür zu sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung derselben durch Unbefugte ausgeschlossen ist.

 

(2) Der Verantwortliche hat – außer in den Fällen einer Echtzeitüberwachung – jeden Verarbeitungsvorgang zu protokollieren.

 

(3) Aufgenommene personenbezogene Daten sind vom Verantwortlichen zu löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzlich vorgesehene Aufbewahrungspflicht besteht. Eine länger als 72 Stunden andauernde Aufbewahrung muss verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen.

 

(4) Die Abs. 1 bis 3 finden keine Anwendung auf Bildaufnahmen nach § 12 Abs. 3 Z 3.

 

(5) Der Verantwortliche einer Bildaufnahme hat diese geeignet zu kennzeichnen. Aus der Kennzeichnung hat jedenfalls der Verantwortliche eindeutig hervorzugehen, es sei denn, dieser ist den betroffenen Personen nach den Umständen des Falles bereits bekannt.

 

(6) Die Kennzeichnungspflicht gilt nicht in den Fällen des § 12 Abs. 3 Z 3 und für zeitlich strikt zu begrenzende Verarbeitungen im Einzelfall, deren Zweck ausschließlich mittels einer verdeckten Ermittlung erreicht werden kann, unter der Bedingung, dass der Verantwortliche ausreichende Garantien zur Wahrung der Betroffeneninteressen vorsieht, insbesondere durch eine nachträgliche Information der betroffenen Personen.

 

(7) Werden entgegen Abs. 5 keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potenziell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren. Die unbegründete Nichterteilung einer derartigen Auskunft ist einer Verweigerung der Auskunft nach Art. 15 DSGVO gleichzuhalten.

 

 

 

Die Folge eine Videoüberwachung ohne Betriebsvereinbarungen oder Einzelvereinbarung mit den betroffenen Beschäftigten iSd § 10 (1) AVRAG  ist

 

 

Prüfungsarbeiten und Auskunftsrecht

 

Einsicht in Prüfungsergebnisse – Umfang des Auskunftsrechtes nach der DatenschutzRL (RL 95/46) – Entscheidung des EuGH vom 20.12.2017, RS C-434/16

 

 

 

 

 

Die Antworten eines Prüflings und die Anmerkungen des Prüfers stellen personenbezogenen Daten dar, und sind daher im Rahmen des Rechts auf Auskunft zu beauskunften.

 

 

 

 

In dieser Entscheidung nahm der EuGH auch auf die DSGVO Bezug wie folgt:

 

 

Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46 (Datenschutz-Grundverordnung) (ABl. 2016, L 119, S. 1) gilt ausweislich ihres Art. 99 Abs. 2 ab dem 25. Mai 2018. Gemäß Art. 94 Abs. 1 dieser Verordnung wird die Richtlinie 95/46 mit Wirkung von diesem Datum aufgehoben.

 

Die Verordnung 2016/679 sieht in ihrem Art. 15 („Auskunftsrecht der betroffenen Person“) Folgendes vor:

 

„(1)      Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten …

 

 

(3)      Der Verantwortliche stellt eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung. …

 

(4)      Das Recht auf Erhalt einer Kopie gemäß Absatz [3] darf die Rechte und Freiheiten anderer Personen nicht beeinträchtigen.“

 

In Art. 23 („Beschränkungen“) der Verordnung 2016/679 heißt es:

 

„(1)      Durch Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche oder der Auftragsverarbeiter unterliegt, können die Pflichten und Rechte gemäß den Artikeln 12 bis 22 … im Wege von Gesetzgebungsmaßnahmen beschränkt werden, sofern eine solche Beschränkung den Wesensgehalt der Grundrechte und Grundfreiheiten achtet und in einer demokratischen Gesellschaft eine notwendige und verhältnismäßige Maßnahme darstellt, die Folgendes sicherstellt:

 

 

e)      den Schutz sonstiger wichtiger Ziele des allgemeinen öffentlichen Interesses der Union oder eines Mitgliedstaats, insbesondere eines wichtigen wirtschaftlichen oder finanziellen Interesses der Union oder eines Mitgliedstaats, etwa im Währungs-, Haushalts- und Steuerbereich sowie im Bereich der öffentlichen Gesundheit und der sozialen Sicherheit;

 

 

i)      den Schutz der betroffenen Person oder der Rechte und Freiheiten anderer Personen;

 

…“

Der Sachverhalt vor dem EuGH

 

Herr Nowak war Trainee Accountant (Wirtschaftsprüfer/Steuerberater in Ausbildung) und hatte die Prüfungen des Institute of Chartered Accountants of Ireland […] mit Erfolg abgelegt. Er fiel jedoch durch die Prüfung „Strategic Finance und Management Accounting“ durch. […]

 

Nachdem Herr Nowak im Herbst 2009 zum vierten Mal durch diese Prüfung durchgefallen war, reichte er zunächst eine Beschwerde ein, um ihr Ergebnis anzufechten. Nachdem diese Beschwerde im März 2010 zurückgewiesen worden war, stellte er im Mai 2010 gemäß Section 4 des Datenschutzgesetzes einen Antrag auf Auskunft, der sich auf sämtliche ihn betreffenden und im Besitz der CAI befindlichen personenbezogenen Daten bezog.

 

Die Prüfungsstelle verweigerte die Herausgabe der Prüfungsarbeit, und Herr Nowak wandte sich an den Datenschutzbeauftragten, und auch dieser vertrat die Ansicht, dass die Prüfungsarbeit keine personenbezogenen Daten beinhalte. Herr Nowak wandte sich an das Gericht, aber auch dies war derselben Ansicht und Herr Nowak ging durch alle Instanzen bis zum Supreme Court, der u.a. die folgenden Frage dem EuGH vorlegte:

 

Können Informationen, die von einem Prüfling in einer berufsbezogenen Prüfung in seiner Antwort bzw. als Antwort aufgezeichnet wurden, personenbezogene Daten im Sinne der Richtlinie 95/46 darstellen?

 


Die Rechtsansicht des EuGH:

 

Es stellt sich die Frage, ob im Rahmen der DS-RL (RL 95/46) „die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu „personenbezogene Daten“ […] darstellen.

 

Die Frage vor dem EuGH war, ob die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu Informationen über den Prüfling im Sinne von Art. 2 Buchst. a der Richtlinie 95/46 darstellen. Durch die Verwendung des Ausdruckes „alle Informationen“ ist klargestellt, dass der Begriff „weit“ auszulegen ist. Der Begriff ist nicht auf sensible oder private Informationen beschränkt, sondern umfasst potenziell alle Arten von Informationen sowohl objektiver als auch subjektiver Natur in Form von Stellungnahmen oder Beurteilungen, unter der Voraussetzung, dass es sich um Informationen „über“ die in Rede stehende Person handelt. Es ist ausreichen, wenn die Information aufgrund ihres Inhalts, ihres Zwecks oder ihrer Auswirkungen mit einer bestimmten Person verknüpft ist.

 

Der EuGH kommt zum Schluss, dass „die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung Informationen darstellen, die aufgrund ihres Inhalts, ihres Zwecks und ihrer Auswirkungen Informationen über diesen Prüfling darstellen.“ Auch „die Anmerkungen des Prüfers zu den Antworten des Prüflings“ sind „Informationen über den betreffenden Prüfling“, wobei es keinen Unterschied macht, dass „diese Anmerkungen zugleich Informationen über den Prüfer darstellen.“

 

Der EuGH hat erklärt, dass das Recht auf Auskunft und Berichtigung auch in Bezug auf die schriftlichen Antworten eines Prüflings in einer berufsbezogenen Prüfung und etwaige Anmerkungen des Prüfers dazu gerechtfertigt sein können.

 

Der EuGH hat Weiters festgehalten, dass die Rechte auf Auskunft und Berichtigung nach Art. 12 Buchst. a und b der Richtlinie 95/46 nicht auf Prüfungsfragen erstrecken, die als solche keine personenbezogenen Daten des Prüflings darstellen.        

 

 

 

noyb.eu

 

Investieren Sie in Datenschutz - unterstützen Sie noyb.eu mit Sach- oder Geldspenden ...

 

 

 

Datenschutz in der digitalen Welt und auch außerhalb davon wird immer wichtiger.

 

Die DSGVO allein und die Handhabung durch die Organisationen kann uns nicht schützen, auch wenn darin hohe Anforderungen an Dokumentation und Compliance gestellt werden, und bei Verletzungen Geldbußen und auch Schadenersatz drohen.

 

Max Schrems hat gemeinsam mit Petra Leupold, Christof Tschohl und einigen anderen Personen einen Verein gegründet, der sich um die Durchsetzung von digitalen Rechten der Menschen in der EU kümmern wird. Der Verein ist international vernetzt, und wird nicht nur in Österreich tätig werden. 

 

Die Finanzierung erfolgt über Spenden, und jede/r kann die Tätigkeit von noyb.eu unterstützen. Das Finanzierungsziel von EUR 250.000,-- ist bis dato (Ende Dezember 2017) noch nicht erreicht. 

 

Investieren Sie in Datenschutz --- Invest in Privacy --- www.noyb.eu

 

 

Einwilligung nach der DSGVO

 

Die Art 29 DS-Gruppe (in der DSGVO: Europäischer Datenschutzausschuss (EDSA)) hat in einem 35-seitigen Dokument die Regelungen der DSGVO zur Einwilligung als Grundlage der Rechtmäßigkeit bei der Verarbeitung von personenbezogenen Daten erläutert.

 

Kommentare zum Working-Paper, dass sich im Entwurf-Stadium befindet, sind noch bis zum 23.01.2018 möglich.

 

Die Art 29 DS-Gruppe stellt klar, dass die Einwilligung für jeden Zweck separat abgefragt und auch erteilt werden muss, um die notwendige Freiwilligkeit zu erreichen. Als Beispiel wird angeführt, dass z.B. die Einwilligung für Marketingmaßnahmen (z.B. Email-Newsletter) und Weitergabe der Daten an ein Konzernunternehmen separat möglich sein muss. 

 

Dieses Thema wird ein weiteres Mal in den Leitlinien angesprochen, und klargestellt, dass auch unter dem Gesichtspunkt der Bestimmtheit die Notwendigkeit besteht, dass für separate Zwecke auch separate Einwilligungsmöglichkeiten gegeben werden, um der betroffenen Person die Wahlmöglichkeit zu geben.

 

Fazit: pro Zweck, eine eigene Einwilligung wird notwendig sein, und die Verarbeitung für einen bestimmten Zweck (z.B. Marketing) und Weitergabe an andere Organisationen sind zwei unterschiedliche Zwecke.

 

Um eine wirksame (gültige) Einwilligung zu erhalten, sind folgende Mindestinformationen den betroffenen Personen (vor der Einwilligung) zur Verfügung zu stellen:

 

(i) the controller’s identity, dh die Identität des Verantwortlichen (WER)

(ii) the purpose of each of the processing operations for which consent is sought, dh den Zweck der unterschiedlichen Verarbeitungstätigkeiten, für die die Einwilligung erteilt werden soll (WARUM

(iii) what (type of) data will be collected and used, dh die Datenkategorien, die erhoben und verwendet werden (WAS)

(iv) the existence of the right to withdraw consent, dh Hinweis auf die Möglichkeit des Widerrufes der Einwilligung

(v) information about the use of the data for decisions based solely on automated processing, including profiling, in accordance with Article 22 (2), dh Informationen zu automatisierter Entscheidungfindung, inkl. Profiling

(vi) if the consent relates to transfers, about the possible risks of data transfers to third countries in the absence of an adequacy decision and appropriate safeguards (Article 49 (1a)), sofern die Einwilligung auch in Bezug auf die Datenweitergabe erteilt wird, das Risiko, das durch eine Übermittlung von Daten in Drittländer ohne Angemessenheitsbeschluss oder Garantien (siehe Art 49 Abs 1) entsteht.   

 

Die Leitlinien befassen sich auch damit, wie die notwendigen Informationen für die Einwilligung zur Verfügung gestellt werden (siehe Seite 14 f), wobei es inbes. auch auf das "Zielpublikum" ankommt.

 

Die Art 29-DS-Gruppe betont ein weiteres Mal, dass ein "Statement" der betroffenen Person notwendig ist, um eine Einwilligung annehmen zu können, und verweist auf eine klare bestätigende Handlung ("clear affirmative act"). 

 

Die Verwendung von vorausgefüllten check-boxen (z.B. im Internet oder auch bei Formularen) ist unzulässig.

 

Stillschweigen oder eine Unterlassung auf Seiten der betroffenen Person, oder auch die Fortsetzung einer Dienstleistung kann nicht als aktive Mitteilung einer Auswahl angesehen werden.
(siehe insbes. Seite 16:  The use of pre-ticked opt-in boxes is invalid under the GDPR. Silence or inactivity on the part of the data subject, as well as merely proceeding with a service cannot be regarded as an active indication of choice.

 

Die Art 29-DS-Gruppe setzt sich auch intensiv mit dem Widerruf der Einwilligung auseinander. So ist es der im Dokument geäußerten Ansicht nicht zulässig, die möglichen Kommunikationswege für den Widerruf einzuschränken. 

 

Darüberhinaus wird im Dokument auch die Frage der Einwilligung von Kindern behandelt 

 

mehr lesen 0 Kommentare