Informationen über Mail Chimp


... wir verwenden Mail Chimp zur Registrierung, Verwaltung sowie zum Versand des Newsletters.


Datenschutz-Information zur Mail Chimp

 „Mail Chimp“ ist ein Tool des US-Anbieters Rocket Science Group, LLC, 675 Ponce De Leon Ave NE #5000, Atlanta, GA 30308, USA.

 

Obowohl Mail Chimp den Sitz in den USA hat, ist es zulässig, dass personenbezogene Daten an diesen Empfänger in den USA gesendet werden, denn MailChimp ist nach dem "EU- US-Privacy Shield“ zertifiziert, und hat sich daher verpflichtet Vorgaben des Datenschutzrechtes in Europa einzuhalten. Mit Mail Chimp wurde auch ein „Auftragsverarbeitungsvertrag („Data Processing Agreement“ in dokumentierter Form abgeschlossen.

 

Die Datenschutzbestimmungen von MailChimp stehen hier zur Einsicht zur Verfügung.

 

Weiterleitung der Daten an Mail Chimp

Die E-Mail-Adressen unserer Newsletterempfänger, als auch deren weitere, im Rahmen dieser Hinweise beschriebenen Daten, werden auf den Servern von MailChimp in den USA gespeichert. MailChimp verwendet diese Informationen zum Versand und zur Auswertung der Newsletter in unserem Auftrag.

 

Nutzung der technischen Daten (z.B. IP-Adresse, Herkunftsland) durch Mail Chimp

Des Weiteren kann MailChimp nach eigenen Informationen diese Daten zur Optimierung oder Verbesserung der eigenen Services nutzen, z.B. zur technischen Optimierung des Versandes und der Darstellung der Newsletter oder für wirtschaftliche Zwecke, um zu bestimmen aus welchen Ländern die Empfänger kommen. MailChimp nutzt die Daten unserer Newsletterempfänger jedoch nicht, um diese selbst anzuschreiben oder an Dritte weiterzugeben.

 

Weiterleitung auf die Homepage von Mail Chimp

Fallweise leiten wir den  Empfänger eines Newsletters auch auf die Homepage von Mail Chimp direkt weiter, zB Online-Abrufmöglichkeit des Newsletters (bei Darstellungsproblemen). Sie als Abonennt haben auch die Möglichkeit ihre Daten anzupassen oder bestimmte Daten (Name, Vorname, Geburtsdatum) selbst zu löschen. Auch die Datenschutzinformation von Mail Chimp ist auf der Homepage von Mail Chimp abrufbar. 

 

Cookies von Mail Chimp 

In diesem Zusammenhang wiesen wir darauf hin, dass auf den Webseiten von MailChimp Cookies eingesetzt und damit personenbezogene Daten durch MailChimp, deren Partnern und eingesetzten Dienstleistern (z.B. Google Analytics) verarbeitet werden. Auf diese Datenerhebung haben wir keinen Einfluss. Weitere Informationen können Sie der Datenschutzerklärung von MailChimp entnehmen.

 

Es gibt hier Möglichkeiten über folgende Website Widerspruchsmöglichkeiten zu platzieren und zu testen:

http://www.aboutads.info/choices/

http://www.youronlinechoices.com/ (für den Europäischen Raum) 

 

Version 1.1.
Fassung 23.05.2018

 

 

Download
Die Datenschutzinformation zum Newsletter und zur Verwendung von Mail Chimp erhalten Sie auch als PDF
Datenschutzinformation zum Newsletter &
Adobe Acrobat Dokument 369.5 KB

DSGVO: Benötigt Ihr Unternehmen einen Datenschutzbeauftragten

Datenschuz Konkret, April 2017 

(DaKO 2/2017)

Die DSGVO schreibt verpflichtend einen Datenschutzbeauftragten unter bestimmten Voraussetzungen vor. Doch wann benötigt ein Unternehmen nun einen Datenschutzbeauftragten?

 

In diesem Artikel finden Sie die Antwort auf diese Frage.

 


Der Mindestbuchpreis im grenzüberschreitenden Internethandel

gemeinsam mit Mag. Wolfgang Lackner

Zeitschrift für Informationsrecht (ZIIR 2016/4, 400)

Dieser Artikel beschäftigt sich mit der Frage der Unionsrechtswidrigkeit eines unterschiedlichen Mindestbuchpreises in Ö und D.

 

Dienstleistervertrag bei Datenverarbeitung und Verpflichtung zur Rückgabe bei Beendigung

lex:itec (2010/04, Seite 18)

In welcher Form muss der Dienstleister (Auftragsdaten-verarbeiter) bei Beendigung des Vertrages die "Daten" zurückgeben. Kann der Auftraggeber verlangen, dass er diese in sein Datensystem einlesen kann?

Die Bedeutung der Nutzung von Social Media im Entlassungsrecht. Dargestellt am Beispiel "Facebook"

gemeinsam mit Mag. Andrea Kern Zeitschrift für Arbeits- und Sozialrecht (ZAS 2013, 302)

 

Dieser Artikel beschäftigt sich mit der Frage der Auswirkungen von (negativen) Facebook-Posts auf das Arbeitsverhältnis.


 

IRIS 2008 Tagungsband, (Internationales Recht der Informatik Symposion): 
Gebrauchtsoftwarehandel in Österreich und Deutschland

IRIS 2007 - Tagungsband, (Internationales Recht der Informatik Symposion):
Kann die Gebührenpflicht von Softwarelizenzverträgen vermieden werden?

lex:itec (Ausgabe 5/2006)      
Gebührenpflicht von Softwarelizenzverträgen   

IRIS 2005 - Tagungsband, (Internationales Recht der Informatik Symposion):         
E-Commerce: Verantwortlichkeit für Unternehmen und vertretungsbefugte Organe aus verwaltungsstrafrechtlicher und strafrechtlicher Sicht

 

Entscheidung der DSB

 

 

Die Datenschutzbehörde hat in einem Verfahren, das vor dem 25.05.2018 begonnen wurde, ein Auskunftsrecht gem. Art 15 DSGVO bejaht, und das DSG (idF ab 25.05.2018) sowie die DSGVO angewendet.

 

 

 

 

 

Mit erstinstanzlichem Bescheid (soweit überblickbar nicht rechtskräftig) vom 21.6.2018 hat die DSB eine erste Entscheidung zum Auskunftsbegehren gefällt.

 

 

 

1. Anwendbarkeit der DSGVO

 

Die DSB hat trotz der Tatsache, dass sich der Sachverhalt vor dem Geltungsbeginn der DSGVO ereignet hat, und die Auskunftsanfrage des Beschwerdeführers bereits im Jahr 2017 an die Bank gestellt wurde, und auch das Verfahren vor der DSB vor dem 25.05.2018 begonnen hatte, die Entscheidung auf Basis der DSGVO, insbes. des Art 15 DSGVO gefällt.

 

Nach Ansicht der DSB ist – mangels Übergangsfrist in § 69 DSG – die Rechtslage zum Zeitpunkt der Entscheidung anzuwenden. Die DSB verweist darauf, dass sowohl nach der Rechtslage vor dem 25.05.2018 als auch nach der Rechtslage nach dem 25.05.2018 dem Beschwerdegegner die Möglichkeit gegeben gewesen wäre, die Auskunft bis zum Ende des Verfahrens „nachzuholen“, und es nicht darauf ankommt, was an einem bestimmten Stichtag oder in einem konkreten Zeitraum rechtens war.

 

„Die Berufungsbehörde hat zwar im Allgemeinen das im Zeitpunkt der Erlassung ihres Bescheides geltende Recht anzuwenden. Eine andere Betrachtungsweise wird aber insbesondere dann Platz zu greifen haben, wenn darüber abzusprechen ist, was an einem bestimmten Stichtag oder in einem konkreten Zeitraum rechtens war. Im vorliegenden Fall kommt es auf die Abgabe einer Prozesserklärung in einer bestimmten Lage des Baubewilligungsverfahrens an. Um die Wirkungen der Präklusion zu verhindern, hatten die Berufungswerber die für ihre Parteistellung im Baubewilligungsverfahren maßgeblichen materiell-rechtlichen und formalrechtlichen Bestimmungen zu beachten. Für die Beurteilung der Frage, ob den Berufungswerbern im vorliegenden Fall Parteistellung und damit die Legitimation zur Erhebung einer Berufung zukam, hatte die Berufungsbehörde demnach von der im Zeitpunkt der Bauverhandlung geltenden Rechtslage auszugehen (vgl. zum Ganzen VwGH 26.4.2000, 99/05/0239, mwN).“ (RS Fe 2016/06/0001)

 

 

 

Diese Meinung der DSB teile ich nicht. Die Rechtslage nach § 26 DSG und nach Art 15 DSGVO sind mE doch unterschiedlich.

 

Art 15 Abs 3 DSGVO normiert ein Recht auf Datenkopie, und nach der Rspr. der DSB ergibt sich aus § 26 Abs 1 DSG 2000 „kein Recht auf Einsicht in Daten, sondern immer nur ein Recht auf schriftliche Auskunft über eine Person betreffende Daten (VwGH, E 23.05.2005, 2003/06/0021 RS1).

 

Diese Unterscheidung kann mE auch für den vorliegenden Sachverhalt wesentlich sein, denn eine Information darüber, dass bestimmte Dateninhalte und auch Datenarten von einem Auftraggeber (iSd DSG 2000) verarbeitet werden/wurden, und ein Anspruch auf Erhalt einer Kopie der Daten (eingeschränkt um die Rechte und Freiheiten anderer Personen (Art 15 Abs 4 DSGVO) kann unterschiedlich zu beurteilen sein.

 

 

 

2. Subsidiarität des Auskunftsbegehrens

 

Die DSB legt dar, dass in Art 15 DSGVO keine dem § 26 Abs 6 DSG 2000 vergleichbare Bestimmung enthalten ist. Eine etwaige Einschränkung des Auskunftsrechtes ist daher ausschließlich im Rahmen des Art 23 DSGVO zulässig und in dessen Rahmen zu beurteilen. Die DSB geht (erfreulicherweise) davon aus, dass allgemeine Einschränkungen von Betroffenenrechten möglich sind, kommt aber zum Ergebnis, dass das ZaDiG 2018 das Auskunftsrecht nicht beschränkt, da im ZaDiG kein spezielles Auskunftsrecht normiert ist.

 

 

 

3. Umfang der datenschutzrechtlichen Auskunft

 

Die DSB kommt zu folgender differenzierten Schlussfolgerungen:

 

„Der Beschwerdeführer kann das Recht auf Auskunft geltend machen, um die ihn betreffende Datenverarbeitung zu überprüfen.

 

Da Zahlungsbelege üblicherweise weit mehr als personenbezogene Daten der betroffenen Person, in diesem Fall des Beschwerdeführers, beinhalten, kann das datenschutzrechtliche Auskunftsrecht auch nur so weit gehen, als, dass es dem Zweck der Überprüfung der Rechtmäßigkeit der Datenverarbeitung entspricht (vgl. das Urteil des EuGH vom 17. Juli 2014 in den verbundenen Rechtssachen C-141/12 und C-372/12).

 

Die Beschwerdegegnerin hat daher den Beschwerdeführer betreffende personenbezogene Daten dem Auskunftsbegehren folgend, unter Berücksichtigung der Einschränkung des Art. 15 Abs. 4 DSGVO, offenzulegen.“

 

Ein „absolutes“ Recht, eine Datenkopie zu erhalten, und im konkreten Fall Zahlungsbelege „zu beauskunften“ gibt es nicht.

 

Es geht ausschließlich um die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung und die Grenze sind die Rechte und Freiheiten anderer Personen iSd Art 15 Abs 4 DSGVO. Das Auskunftsrecht geht nur so weit, als es dem Zweck der Überprüfung der Rechtmäßigkeit der Datenverarbeitung entspricht (vgl. das Urteil des EuGH vom 17. Juli 2014 in den verbundenen Rechtssachen C-141/12 und C-372/12).

 

Es wird daher mE ausreichend sein, zu beschreiben, welche konkreten Daten in den Zahlungsbelegen verarbeitet werden, und zwar in Bezug auf die Daten der betroffenen Personen.

 

 

 

4. Schikaneverbot / Exzessivität

 

Die DSB beschäftigt sich mit der Exzessivität eines Auskunftsersuchens, und bezieht sich dabei ausschließlich auf eine „zeitliche“ Komponente und Art 12 Abs 5 lit a und b DSGVO und die Möglichkeit bei offensichtlich unbegründeten und exzessiven Auskunftsersuchen Kosten vorzuschreiben und/oder die Auskunft zu verweigern.

 

Nach Ansicht der DSB muss eine „gewisse Intensität“ vorliegen, die es unzumutbar machen würde, das Auskunftsrecht gegen sich gelten lassen zu müssen.

 

Beim erstmaligen Auskunftsersuchen und Verlangen um Auskunft bezüglich Daten, die für den Auskunftswerber im ELBA nicht mehr einsichtig sind, wurde die Exzessivität von der DSB verneint.

 

 

 

Diese Entscheidung der DSB ist in unterschiedlicher Hinsicht bedeutsam, und zwar insbes in Bezug auf die zeitliche Komponente (siehe oben 1.), wobei ich mit der Meinung der DSB über die Anwendung der DSGVO auf den vorliegenden Sachverhalt, der sich vor Geltungsbeginn der DSGVO ereignet hat, nicht konform gehe, insbes da es sich auch um Daten handelt, die vor dem Geltungsbeginn der DSGVO liegen (letzten fünf Jahre vor Auskunftsersuchen). Die Rechtslage ist nicht identisch, sodass die Aussage der DSB, die letztendlich darauf abzielt, dass es keinen Unterschied macht, ob ein Auskunftsersuchen nach dem DSG 2000 oder nach dem DSG bzw. der DSGVO zu beurteilen ist, mE nicht richtig ist.

 

Bedeutsam ist auch, dass mE klargestellt wurde, dass es keinen absoluten Auskunftsanspruch auf Zahlungsbelege gibt, sondern dieser jedenfalls durch Art 15 Abs 4 DSGVO sowie auch den Zweck des Auskunftsanspruches (Überprüfung der Rechtmäßigkeit der Datenverarbeitung) eingeschränkt wird.

 

Insbes ist mE auch die Judikatur der DSB zu berücksichtigen, die judiziert, die unter Bezugnahme auf den Verwaltungsgerichtshof:

 

Aus § 26 Abs. 1 DSG 2000 ergibt sich kein Recht auf Einsicht in Daten, sondern immer nur ein Recht auf schriftliche Auskunft über eine Person betreffende Daten (VwGH, E 23.05.2005, 2003/06/0021 RS1).

 

 

 

mehr lesen

Ärzte & Informationspflicht

 

 

Ärzte müssen Patienten nicht nach Art 13 und 14 DSGVO informieren.

 

 

§ 3b Abs 2 ÄrzteG idF des 2. Materien-Datenschutz-Anpassungsgesetz (BGBl I 37/2018 vom 14.06.2018) legt u.a. fest, dass Ärzte ihre Patienten nicht iSd  Art 13 und 14 DSGVO zu informieren haben.

 

mehr lesen

CRM-Systeme: nicht nur ein Thema des Jahres 2018

mehr lesen

Beschwerden bei den Datenschutzbehörden

 

Im ö1-Morgenjournal am 13.6.2018 sprach dazu auch die Leiterin der Österreichischen Datenschutzbehörde Fr. Dr. Andrea Jelinek

 

 

Verfahren mit internationalen Bezug: 19 internationale Verfahren (zur Zeit hochgeladen am gemeinsamen Sharepoint des Europäischen Datenschutzboard)

 

Weiters gibt es 62 österreichische nationale Verfahren seit 25.05.2018

 

In Irland wurden bereits 1.300 Beschwerden eingebracht

 

 

Facebook Custom Audiences nur mit Einwilligung

 

Entscheidung zu Facebook Custom Audiences in Bayern .... Deutschland stärkt die Rechte von Kunden, Lieferanten und anderen Personen, die Email-Adressen verwenden

Das VG Bayreuth hat am 08.05.2018 (sohin vor Geltungsbeginn der DSGVO) entschieden, dass Facebook Audiences nur mit Einwilligung der betroffenen Personen genützt werden darf.

 

mehr lesen

Facebook Fanpages ... dürfen diese noch verwendet werden?

Der Betreiber einer Facebook - Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich
mehr lesen

private Videoüberwachung und Unterlassungsklage ... OGH entscheidet (sich) für den Nachbarn!

Die Verpixelung jener Bereiche eines Nachbargrundstücks, die Videokameras erfassen und aufzeichnen, reicht nicht aus, um einen Überwachungsdruck für den Nachbarn zu verneinen. (3 Ob  195/17y, 21.03.2018)

mehr lesen

Vermieter und DSGVO

 

 

Hauseigentümer oder Eigentümer von Eigentumswohnungen, die ihre Objekte an natürliche Personen vermieten, sind von der DSGVO betroffen, wie alle anderen Personen, die Verarbeitungstätigkeiten  als „natürliche Personen“ nicht nur zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art 2 Abs 2 lit c DSGVO) vornehmen.

 

 

 

mehr lesen

Informationspflicht: In welcher Sprache sind die betroffenen Personen zu informieren?

mehr lesen

Schwarze Liste nach Art 35 Abs 4 DSGVO

mehr lesen

DSFA-AV - white list in Österreich

Ausnahmen von der Datenschutz-Folgenabschätzung

 

§ 1. (1) Die in der Anlage angeführten Datenverarbeitungen sind von der Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 und 5 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) ausgenommen.

 

(2) Ebenso sind Datenanwendungen, die 
1.gemäß § 18 Abs. 2 und § 50c Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013, der Vorabkontrolle unterlagen und vor Ablauf des 24. Mai 2018 im Datenverarbeitungsregister registriert wurden, oder
2.gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig waren, 

von der Datenschutz-Folgenabschätzung ausgenommen, sofern diese Datenanwendungen mit Ablauf des 24. Mai 2018 den Vorgaben der DSGVO entsprechen und ab dem Inkrafttreten dieser Verordnung keine wesentlichen Änderungen vorgenommen werden.

mehr lesen

Berichte zum 25.05.20187 - D-Day

Heute ist der große Tag. Die Datenschutzgrundverordnung tritt in Geltung.

Auch in den östereichischen Medien wird darüber bereits berichtet.

 

Der ORF: http://orf.at/stories/2439848/

 

Im Morgenjournal kamen Max Schrems (noyb.eu) und Hans Zeger zur Wort. (http://orf.at/stories/2439848/)

 

Max Schrems berichtete zu den vier eingebrachten Beschwerden gegen Facebook, Google, Instagram und What´ ´ s App. Die Beschwerden sind online auf der Website von NOYB einzusehen.

 

Hans Zeger empfahl nicht den Weg über eine Beschwerde bei der Datenschutzbehörde zu gehen, sondern den Schadenersatzanspruch gem Art 82 DSGVO (ideeler und materieller Schaden) gegen die Verletzer geltend zu machen, und verwies darauf, dass bereits ein Datenverlust zu einem Schaden führen kann. Er hat ausgeführt, dass der Schadenersatzanspruch wohl ca bei EUR 1.000,-- liegen würde (pro Verletzung).

 

Ich werde Sie insbesondere zum Schadenersatzanspruch von betroffenen Personen bei Datenschutzverletzungen auf dem Laufenden halten, da ich im DaKomm (Manz-Kommentar zum Datenschutz) u.a. den Art 82 DSGVO kommentiere.

 

 

mehr lesen

DSGVO - Die Kommissarin hilft per Email persönlich

Es geht Ihnen wie vielen Unternehmern oder Vertretern in Vereinen oder sonstigen Organisationen. 

 

Sie haben Fragen zur DSGVO?

Sie wissen nicht, an welchem Rädchen Sie drehen sollen, um die Compliance herzustellen?

Es ist ihnen das "Licht zu DSGVO" noch nicht aufgegangen?

Sie stehen vor den Herausforderungen der Umsetzung in Ihrem Unternehmen?

 

Die EU-Kommissarin Vera Jurova hat die Lösung für Sie:

 

(https://www.zeit.de/digital/datenschutz/2018-05/vera-jourova-eu-kommissarin-datenschutz-grundverordnung-dsgvo/seite-2)

Věra Jourová:"Selbst ich könnte die Regeln der DSGVO umsetzen"

mehr lesen

Visitenkarten & DSGVO

 

Jetzt werden sogar Visitenkarten zur Datenschutz-Falle

Die Welt (online:  https://www.welt.de/wirtschaft/article176468214/DSGVO-Visitenkarten-werden-durch-neue-EU-Regel-zum-Datenschutz-Problem.html)

 

Wie ist die Rechtslage nach dem 25.05.2018?

mehr lesen