Publikationen zum IT-Recht

... besuchen sie uns auch auf Twittter & Facebook

Datenschutz-Berater, Heft 2/2022, S 52 - 55

Google Analytics: der nicht rechtskräftige Teilbescheid der DSB

 

Am 21.12.2021 hat die öDSB in einem Verfahren festgestellt, dass die Nutzung von Google Analytics durch einen Webseitenbetreiber in Österreich gegen die DSGVO verstößt, da personenbezogene Daten ohne Rechtsgrundlage in ein unsicheres Drittland übermittelt werden.

 

Mit diesem Bescheid D155.027, 2021-0.586.257 der DSB befasst sich der Aufsatz, der auch Handlungsempfehlungen gibt.

 


DaKo 2020/26 (Heft 2/2020 S. 44ff) - die Entscheidung

 

Erheblichkeitsschwelle bei immateriellem Schadenersatz in der DSGVO - Schadenersatz ohne Schaden?

 

In der DaKo 2/2020 behandelt ein Artikel die Entscheidung des OLG Innsbruck zum immateriellen Schadenersatz bei der unzulässigen Verarbeitung von Daten einer besonderen Kategorie (Verarbeitung der Parteiaffinitäten durch die Österreichische Post AG). 

 

Was ist ein "immaterieller" Schaden iSd Art 82 DSGVO bzw. § 29 DSG? Woran ist das zu messen?

 

Antworten auf diese Fragen erhalten Sie im genannten Fachartikel. 

 


Artikel in der Zeitschrift Datenschutz konkret

Im Artikel in der Dako 5/2019, S. 115 ff wird die (nicht rechtskräftige) Entscheidung des LG Feldkirch zum immateriellen Schadenersatz, der einer Privatperson gegen die Post wegen der Verarbeitung der Parteiaffinitäten zugesprochen wurde, behandelt. 

 

"Immaterieller Schadenersatz für rechtswidrige Verarbeitung - Schadenersatz ohne Schaden?"

 

 

 

Dako 5/2019, Seite 115, LG Feldkirch 7.8.2019, 57 Cg 30/19b


Artikel von Dr. Thomas Schweiger im aktuellen Anwaltsblatt

"Die Sozialversicherungsnummer als personenbezogenes Datum iSd DSGVO und DSG in der anwaltlichen Praxis"

 

Inhalte von Powr.io werden aufgrund deiner aktuellen Cookie-Einstellungen nicht angezeigt. Klicke auf die Cookie-Richtlinie (Funktionell und Marketing), um den Cookie-Richtlinien von Powr.io zuzustimmen und den Inhalt anzusehen. Mehr dazu erfährst du in der Powr.io-Datenschutzerklärung.
Download
Leseprobe zum Download
AnwBl 2019_252_ Die Sozialversicherungsn
Adobe Acrobat Dokument 45.7 KB

aktuelle Publikation zur SVNR

 

In der Zeitschrift für Informationsrecht (ZIIR 2019 / Heft 3/2019, S. 259 ff, Verlag Österreich) erschien ein Artikel mit dem Titel: 

 

"Die Sozialversicherungsnummer
(k)ein Gesundheitsdatum?"

Hier finden Sie eine Leseprobe

Download
Schweiger_ZIIR_03_2019_S1.pdf
Adobe Acrobat Dokument 187.7 KB


Verwaltungsstrafe gegen juristische Personen

In der Dako 4/2019 erschien eine kurze Besprechung einer Entscheidung des VwGH mit dem Titel "Strafbarkeit der juristischen Person".

 

Der VwGH hat in einem Erk. vom 29.03.2019 (Ro 218/02/0223) die Strafbarkeit der juristischen Person im Verwaltungstrafrecht (VStG) im Zusammenhang mit einem finanzmarkt-aufsichtlichen Verfahren bejaht. Dies ist auch auf
§ 30 DSG umlegbar.


Behördliche Entscheidungen und Rechtsprechung zur DSGVO in Österreich

In der PinG 02.19 gibt Dr. Thomas Schweiger, LL.M. (Duke), CIPP/E, zert DSBA einen Überblick über aktuelle wichtige behördliche und gerichtliche Entscheidungen aus Österreich zur DSGVO. 


Digitale Sicherheit für Steuerberater und Wirtschaftsprüfer

Im Verlag LexisNexis ist das Buch zum Thema "Digitale Sicherheit für Steuerberater und Wirtschaftsprüfer" erschienen. Es behandelt Themen vom Datenschutz bis zur Qualitätssicherung. 

 

Hier geht es zum Blogbeitrag.


Zieht Österreich dem Datenschutz wirklich die Zähne? (PinG 04.18)

Zieht Österreich dem Datenschutz
wirklich die Zähne?
Die Änderungen durch das
Datenschutz-DeregulierungsG 2018

 

Der Aufsatz beschäftigt sich u.a. mit "Beraten statt Strafen" und der Einschränkung des Auskunftsrechts. Behandelt wird auch die Straffreiheit von Behörden und öffentlichen Stellen nach § 30 Abs 5 DSG.


DSGVO: Benötigt Ihr Unternehmen einen Datenschutzbeauftragten

Datenschuz Konkret, April 2017 (DaKO 2/2017)


Die DSGVO schreibt verpflichtend einen Datenschutzbeauftragten unter bestimmten Voraussetzungen vor. Doch wann benötigt ein Unternehmen nun einen Datenschutzbeauftragten?

 

In diesem Artikel finden Sie die Antwort auf diese Frage.

 

Download
Benötigt Ihr Unternehmen ab 25.5.2018 einen Datenschutzbeauftragten?
Dako_2017-02, 34 Thomas Schweiger.pdf
Adobe Acrobat Dokument 146.2 KB

Der Mindest-buchpreis im grenzüberschreitenden Internet handel

gemeinsam mit Mag. Wolfgang Lackner

Zeitschrift für Informationsrecht (ZIIR 2016/4, 400) Dieser Artikel beschäftigt sich mit der Frage der Unionsrechtswidrigkeit eines unterschiedlichen Mindestbuchpreises in Ö und D.

 

Datenschutz und Mitarbeiter-                kontrolle am Arbeitsplatz - Strafrisken und aktuelle Rechtsfragen

Im Sonderheft zum ZAS-Tag 2018 der Zeitschrift für Arbeits- und Sozialrecht (ZAS) ist am 18. März 2019 ein Artikel von Dr. Thomas Schweiger, LL.M. (Duke) erschienen.


Rechtsprechung BVwG: Strafbarkeit der juristischen Person

In der DaKo 5/2018 ist ein Artikel zu einer Entscheidung des Bundesverwaltungsgerichtes vom 25.06.2018 erschienen. Das BVwG thematisiert in diesem Verfahren die Frage der Strafbarkeit der juristischen Person und hegt Zweifel. Dies hat auch Auswirkungen auf die Art und Weise der Bestrafung von juristischen Personen im Datenschutzrecht durch die Österreichische Datenschutzbehörde


Dienstleistervertrag bei Datenverarbeitung und Verpflichtung zur Rückgabe bei Beendigung

lex:itec (2010/04, Seite 18) In welcher Form muss der Dienstleister (Auftragsdaten-verarbeiter) bei Beendigung des Vertrages die "Daten" zurückgeben. Kann der Auftraggeber verlangen, dass er diese in sein Datensystem einlesen kann?


Gebührenpflicht von Software-lizenzverträgen

Softwarelizenzverträge sind Mietverträge und Mietverträge unterliegen in Österreich einer Gebühr nach dem Gebührengesetz.

 

Dieser Artikel beschäftigt sich mit der Frage, ob auch Softwarelizenzverträge eine Gebühr auslösen können.

 

 

Nach einem Erkenntnis des VwgH (...) hat der Gesetzgeber die Bestimmungen des Gebührengesetzes "modernisiert" und u.a. Softwarelizenzverträge aus der Gebührenpflicht für "Mietverträge" rückwirkend (mit 1.1.2001) ausge-nommen.

 

 

Löschen in Backups - Anforderungen und rechtliche Möglichkeiten nach der DSGVO

Artikel in der DaKo 1/2018 mit dem das heikle Thema behandelt wird, ob in Sicherungskopien eine Löschung (insbes. bei einem Löschungsersuchen iSd Art 17 DSGVO) nötig ist. Es gibt gute Gründe dafür, davon absehen zu können.

Download
Löschen in Backups
Artikel in der DaKo 1/2018
Dako_2018-01, 10 Thomas Schweiger.pdf
Adobe Acrobat Dokument 1.2 MB

Verhängung hoher Geldstrafen durch Verwaltungsbehörden

Der VfGH hatte sich mit der Frage zu beschäftigen, ob die Verhängung hoher Geldstrafen durch Verwaltungsbehörden zulässig ist. 

 

Dieser Aufsatz erläutert die Entscheidung des VfGH vom 13.12.2018


Die Bedeutung der Nutzung von Social Media im Entlassungsrecht. Dargestellt am Beispiel "Facebook"

gemeinsam mit Mag. Andrea Kern Zeitschrift für Arbeits- und Sozialrecht (ZAS 2013, 302)

 

Dieser Artikel beschäftigt sich mit der Frage der Auswirkungen von (negativen) Facebook-Posts auf das Arbeitsverhältnis.

 

Dieser Artikel ist u.a. in der Ents. des OGH vom 27.11.2014, 9ObA111/14k zitiert: "Mit dem Eintrag im öffentlichen Bereich von Facebook hat der Kläger seine Anfrage gerade nicht im privaten Bereich gehalten, sondern einer großen Öffentlichkeit zugänglich gemacht. Genauso gut hätte er seine Anfrage in eine Tageszeitung setzen können (Kern/Schweiger, Die Bedeutung der Nutzung von Social Media im Entlassungsrecht - Dargestellt am Beispiel „Facebook“, ZAS 2013/51)"


Die Übergabe einer Visitenkarte mit handschriftlicher Angabe der E-Mail-Adresse ist keine konkludente Zustimmung zum Erhalt von Werbemails

mehr lesen 0 Kommentare

Mündliche Überlieferungen im Datenschutzrecht | in einem grenzüberschreitenden Fall hatten sich zwei Aufsichtsbehörden damit zu beschäftigen. Das Ergebnis?

mehr lesen 0 Kommentare

Der Herbst beginnt mit Webinaren, Inhouse-Vorträgen und Vorträgen auf Veranstaltungen zu Whistleblowing und Datenschutz

mehr lesen 0 Kommentare

Musterprozess um Google Fonts geht am 12.09.2023 vor dem Landesgericht für Zivilrechtssachen in Wien weiter

mehr lesen 6 Kommentare

Kundenkonto mit Werbefunktion und Gastkauf – eine Entscheidung des BVwG ermöglicht Werbenutzung von Kundendaten im Kundenkonto, wenn ein Gastkauf möglich ist.

mehr lesen 0 Kommentare

Mitarbeiterin bezeichnet Arbeitgeber als „Idiotenhaufen“ – Einsichtnahme des Geschäftsführers in die E-Mail-Korrespondenz – ist das datenschutzkonform? OGH-Ents

mehr lesen 0 Kommentare

Immaterieller Schadenersatz wegen Datenschutzverletzungen nach Art 82 DSGVO im Lichte der jüngsten EuGH Entscheidung

Grundsätzlich sind materielle Schadenersatzansprüche für Datenschutzverletzungen in der Praxis kaum relevant und auch verhältnismäßig einfach festzustellen und zu beziffern. Immaterielle Schäden stellen die Gerichte – vor allem hinsichtlich der in Art 82 DSGVO vorgesehenen Ersatzfähigkeit – vor schwierige Herausforderungen. Viele Gerichte verlangten hierfür bislang den Nachweis einer gewissen Erheblichkeit der infolge einer Verletzung der DSGVO eingetretenen Folgen, sodass die meisten Klagen aufgrund des Nichterreichens dieser „Erheblichkeitsschwelle“ abgewiesen wurden. Andere Gerichte wiederrum sprachen bereits für verhältnismäßig geringfügige Rechtsverletzungen großzügig Schadenersatz zu.

 

Eine richtungsweisende Entscheidung zu immateriellen Schadenersatzansprüchen für Datenschutzverletzungen nach Art 82 DSGVO erging am 04.05.2023 in der Rechtssache
C-300/21 betreffend ein Vorabentscheidungsersuchen nach Art 267 AEUV, eingereicht vom Obersten Gerichtshof (Österreich) in dem Verfahren UI gegen Österreichische Post AG. Dabei handelt es sich um das erste Urteil des EuGH aus einer langen Reihe an Vorabentscheidungsersuchen zur Auslegung des Art 82 DSGVO.

 

Die Voraussetzungen für die Ersatzfähigkeit – Schaden, Kausalität und Rechtswidrigkeit

Wenig überraschend führte der EuGH zur ersten Vorlagefrage, nämlich ob für einen Schadenersatzanspruch bereits die Verletzung von Bestimmungen der DSGVO als solche ausreicht oder es darüber hinaus eines erlittenen Schadens bedarf, aus, dass die bloße Rechtsverletzung noch nicht ausreiche, um einen Schadenersatzanspruch nach Art 82 DSGVO zu begründen. Der betroffenen Person muss aufgrund der Datenschutzverletzung ein kausaler materieller oder auch immaterieller Schaden entstanden sein.

 

Erheblichkeitsschwelle stünde im Widerspruch zum weiten unionsrechtlichen Schadensbegriff

Die dritte Vorlagefrage, nämlich ob ein immaterieller Schadenersatzanspruch eine Konsequenz oder Folge der Rechtsverletzung von zumindest einigem Gewicht erfordert, die über den dadurch hervorgerufenen Ärger hinausgeht, wurde vom EuGH unter Verweis auf einen Widerspruch zu dem unionsrechtlich weit auszulegenden Schadenbegriff abgelehnt. Die Notwendigkeit einer Erheblichkeitsschwelle wurde somit ausdrücklich vom EuGH abgelehnt, sodass nunmehr unmissverständlich klargestellt wurde, dass auch Rechtsverletzungen mit bloß geringfügigen Konsequenzen zu Schadenersatzansprüchen iSd Art 82 DSGVO führen können.

 

Bemessung des Schadenersatzanspruches

Letztlich wollte der Oberste Gerichtshof noch wissen, ob für die Bemessung des Schadenersatzes nach Art 82 DSGVO neben den Grundsätzen der Effektivität und Äquivalenz weitere Vorgaben des Unionsrecht bestehen. Der EuGH beantwortete diese vorgelegte Frage äußerst spärlich, zumal dieser lediglich auf das Recht der Mitgliedstaaten, welchen die Ausgestaltung von Klageverfahren zum Schutz der aus Art 82 DSGVO erwachsenden Rechte und die Festlegung der Kriterien für die Ermittlung des Umfangs des geschuldeten Schadenersatzes obliege. In diesem Zusammenhang sind jedoch die Grundsätze der Äquivalenz und der Effektivität des Unionsrechts zu beachten und ein „vollständiger und wirksamer Schadenersatz für den erlittenen Schaden“ sicherzustellen.

 

Feststellung und Nachweisbarkeit des Schadens

In der gegenständlichen Entscheidung betont der EuGH, dass eine betroffene Person jedenfalls nicht vom Nachweis, dass die negativen Folgen einer rechtswidrigen Verarbeitung auch einen immateriellen Schaden darstellen, befreit werden soll.

 

Der Nachweis des Vorliegens bzw des Eintritts eines immateriellen Schadens gestaltet sich in der Praxis jedoch äußerst schwierig. Oftmals handelt es sich dabei um Gemütsaufregungen bzw um Schäden, welche ausschließlich in der Sphäre des betroffenen Geschädigten auftreten. Nichtsdestotrotz darf unter Berücksichtigung der Grundsätze der Äquivalenz und der Effektivität keine strengeren Anforderungen an den Eintritt eines Schadens gestellt werden. Für die Praxis ist daher jedenfalls das „Zurückdenken“ an altbekannte immaterielle Schadenersatzansprüche (zB Körperverletzung) sinnvoll, da auch bei Eingriffen in das Rechtsgut Datenschutz ein ähnlicher Maßstab zur Anwendung gelangen sollte. In diesem Sinne ist daher auch bei bestimmten typischen Rechtsverletzungen des Rechtsgutes Datenschutz ein Schadenseintritt anzunehmen.

 

Richterliches Ermessen bei der Schadenbemessung von zentraler Bedeutung

Der EuGH sprach in der zitierten Entscheidung aus, dass ein „vollständiger und wirksamer Ausgleich“ zu erfolgen hat. Was genau unter diesem Stehsatz zu verstehen ist, beantwortete der EuGH jedoch nicht. In diesem Sinne ist daher mE bei der Bemessung des Schadens auf die sogenannte „objektive Maßfigurabzustellen, sodass die Frage, die sich die Gerichte im Zusammenhang mit der Schadenbemessung zu stellen haben, letztlich wie folgt lautet: „Mit welchem Betrag würde eine objektive Maßfigur die erlittene Beeinträchtigung als vollständig und wirksam ausgeglichen sehen?“.

 

Selbstverständlich handelt es sich hierbei um keine Neuerfindung und können auch die bestehenden Schmerzengeldtabellen für Körperverletzungen für die Schadenbemessung im Rahmen einer Datenschutzverletzung beigezogen werden. Nichtsdestotrotz kann das Gericht bei neuartigen Datenschutzverletzungen relativ großzügig von der Möglichkeit des freien richterlichen Ermessens iSd § 273 ZPO Gebrauch machen, sodass die Gefahr des sogenannten Überklagens nach wie vor ein großes Problem darstellt.

 

Es bleibt zu hoffen, dass durch den EuGH in den anderen beiden Vorabentscheidungsersuchen (C-182/22 und C-189/22) eine weitere Klärung in Bezug auf den Eintritt des Schadens sowie zu dessen Bemessung vorgenommen wird. Insgesamt wäre es wünschenswert, dass der EuGH eine unionsweit einheitliche Behandlung von immateriellen Schadenersatzansprüchen durch eine praxistaugliche Vorgehensweise bei der Ermittlung des Schadens schafft.

REMINDER: EU-U.S. Data Privacy Framework ist vor Schrems III.

Am 03.08.2023 findet das nächste Datenschutz-Frühstück zum Thema EU-U.S. Data Privacy Framework und dessen Folgen für die internationale Datenübermittlung" statt. 

Anmeldungen sind selbstverständlich nach wie vor möglich und auch erwünscht.

 

(c) dataprotect / 26.07.2023

Autorin: Mag. Theresa Jenner-Braunschmied

 

0 Kommentare

Beschwerdeverfahren wegen der Übermittlung von Daten an ein Gericht im Rahmen eines Unterhaltsverfahrens

Sachverhalt

In der Beschwerde vom 10.01.2023 brachte die Beschwerdeführerin zusammengefasst vor, durch die vom Beschwerdegegner auf Ersuchen des zuständigen Bezirksgerichtes veranlasste Übermittlung ihrer Daten in ihrem Recht auf Geheimhaltung verletzt worden zu sein. Ihre Daten seien ohne rechtliche Grundlage und ohne ihre Zustimmung im Zusammenhang mit einem laufenden Unterhaltsverfahren an das Bezirksgericht übermittelt worden.

 

Der Beschwerdegegner erwiderte, dass dieser gemäß Art 102 Abs 2 AußStrG zur Auskunftserteilung gegenüber dem Bezirksgericht verpflichtet war, da die Beschwerdeführerin die Sachleistung „Wohnen in einer teilbetreuten Wohneinrichtung“ als Sozialleistung iSd § 12 Abs 2 Z 1 des Landesgesetzes betreffend die Chancengleichheit von Menschen mit Beeinträchtigung („Oö ChG“) in Anspruch nahm. Die Übermittlung der Daten der Beschwerdeführerin sei daher durch § 102 Abs 2 AußStrG gedeckt und gemäß Art 6 Abs 1 lit c DSGVO auch rechtmäßig erfolgt.

 

Rechtliche Beurteilung

Gemäß § 102 Abs 1 AußStrG haben „Personen, deren Einkommen oder Vermögen für die Entscheidung über den gesetzlichen Unterhalt zwischen in gerader Linie verwandten Personen von Belang ist, dem Gericht hierüber Auskunft zu geben und die Überprüfung von deren Richtigkeit zu ermöglichen“. Gemäß § 102 Abs 2 leg cit kann das Gericht dabei auch „das Arbeitsmarktservice, die in Betracht kommenden Träger der Sozialversicherung und andere Sozialleistungen gewährende Stellen um Auskunft über Beschäftigungs- oder Versicherungsverhältnisse oder über Einkommen von Personen ersuchen, deren Einkommen für die Entscheidung über den gesetzlichen Unterhalt zwischen in gerader Linie verwandten Personen von Belang ist“; die ersuchten Personen sind hierbei gemäß § 102 Abs 4 leg cit zur Auskunft verpflichtet.

 

Das in § 1 DSG verankerte Grundrecht auf Datenschutz schützt prinzipiell jedermann, der einen Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten hat, vor der Ermittlung seiner Daten und der Weitergabe der über ihn ermittelten Daten. Dieses Grundrecht gilt jedoch nicht absolut, da dieses durch bestimmte, zulässige Eingriffe beschränkt werden darf.

 

Laut rechtlicher Beurteilung der Datenschutzbehörde stellt die gegenständliche durch den Beschwerdegegner erfolgte Übermittlung der Daten der Beschwerdeführerin an das zuständige Gericht einen solchen zulässigen Eingriff dar. Als Begründung führte die Datenschutzbehörde an, dass der Beschwerdegegner iSd § 102 Abs 2 iVm Abs 4 AußStrG zur Auskunftserteilung gegenüber dem Bezirksgericht verpflichtet gewesen ist, da die Beschwerdeführerin eine Sachleistung als Sozialleistung in Anspruch nahm und der Beschwerdegegner daher als „ausbezahlende“ Stelle zu qualifizieren war. Die Übermittlung der Daten ist somit durch § 102 Abs 2 AußStrG gedeckt und gemäß Art 6 Abs 1 lit c DSGVO auch rechtmäßig erfolgt. Ob die Beschwerdeführerin eine Zustimmung bzw Einwilligung der erteilt hat, ist in einem solchen Fall obsolet, sodass die Beschwerde nicht berechtigt und gemäß § 24 Abs 5 DSG abzuweisen war.

 

FAZIT: Aus dieser Entscheidung der Datenschutzbehörde ergibt sich, dass die Weiterleitung von Daten auf Ersuchen einer zuständigen Stelle keine Verletzung des Grundrechts auf Datenschutz iSd § 1 DSG darstellt und somit rechtmäßig erfolgt. Dies ist meines Erachtens nicht nur bei Unterhaltsverfahren, sondern auch bei sämtlichen anderen Verfahren, bei welchen eine Auskunftspflicht gegeben ist, der Fall.

 

 

REMINDER: am 03.08.2023 findet das nächste Datenschutz-Frühstück zum Thema „EU-U.S. Data Privacy Framework und dessen Folgen für die internationale Datenübermittlung“ statt. Eine Anmeldung ist noch möglich.

 

(c) dataprotect / 25.07.2023

 

Autorin: Mag. Theresa Jenner-Braunschmied

0 Kommentare

Beschwerdeverfahren wegen der Verarbeitung personenbezogener Daten bei der Nutzung der Website www.heise.de im Rahmen des sogenannten Pur-Abo-Modells

mehr lesen

DPF - der 17. Juli 2023 wird spannend - Massnahmen für Unternehmen - EU-US-Datenschutzrahmen - Neue Grundlage für den Datentransfer in die USA -

mehr lesen 0 Kommentare

Datentransfer in die USA - es ist noch keine Registrierung für US-Unternehmen möglich

mehr lesen 0 Kommentare

Datenschutzfrühstück am 3. August 2023 zur internationalen Datenübermittlung - Angemessenheitsbeschluss EU - USA - Was ist nun zu tun?

mehr lesen 1 Kommentare

Datentransfer in die USA - Angemessenheitsbeschluss liegt vor - ab sofort ist keine Einwilligung iSd Art 49 (1) a DSGVO mit Risikohinweis mehr nötig

mehr lesen 0 Kommentare