Publikationen zum IT-Recht

... besuchen sie uns auch auf Twittter & Facebook


DSGVO: Benötigt Ihr Unternehmen einen Datenschutzbeauftragten

Datenschuz Konkret, April 2017 

(DaKO 2/2017)

Die DSGVO schreibt verpflichtend einen Datenschutzbeauftragten unter bestimmten Voraussetzungen vor. Doch wann benötigt ein Unternehmen nun einen Datenschutzbeauftragten?

 

In diesem Artikel finden Sie die Antwort auf diese Frage.

 

Download
Benötigt Ihr Unternehmen ab 25.5.2018 einen Datenschutzbeauftragten?
Dako_2017-02, 34 Thomas Schweiger.pdf
Adobe Acrobat Dokument 146.2 KB

Der Mindestbuchpreis im grenzüberschreitenden Internethandel

gemeinsam mit Mag. Wolfgang Lackner

Zeitschrift für Informationsrecht (ZIIR 2016/4, 400)

Dieser Artikel beschäftigt sich mit der Frage der Unionsrechtswidrigkeit eines unterschiedlichen Mindestbuchpreises in Ö und D.

 

Dienstleistervertrag bei Datenverarbeitung und Verpflichtung zur Rückgabe bei Beendigung

lex:itec (2010/04, Seite 18)

In welcher Form muss der Dienstleister (Auftragsdaten-verarbeiter) bei Beendigung des Vertrages die "Daten" zurückgeben. Kann der Auftraggeber verlangen, dass er diese in sein Datensystem einlesen kann?


Gebührenpflicht von Softwarlizenzverträgen

Softwarelizenzverträge sind Mietverträge und Mietverträge unterliegen in Österreich einer Gebühr nach dem Gebührengesetz.

 

Dieser Artikel beschäftigt sich mit der Frage, ob auch Softwarelizenzverträge eine Gebühr auslösen können.

 

 

Nach einem Erkenntnis des VwgH (...) hat der Gesetzgeber die Bestimmungen des Gebührengesetzes "modernisiert" und u.a. Softwarelizenzverträge aus der Gebührenpflicht für "Mietverträge" rückwirkend (mit 1.1.2001) ausge-nommen.

 

 

Die Bedeutung der Nutzung von Social Media im Entlassungsrecht. Dargestellt am Beispiel "Facebook"

gemeinsam mit Mag. Andrea Kern Zeitschrift für Arbeits- und Sozialrecht (ZAS 2013, 302)

 

Dieser Artikel beschäftigt sich mit der Frage der Auswirkungen von (negativen) Facebook-Posts auf das Arbeitsverhältnis.

 

Dieser Artikel ist u.a. in der Ents. des OGH vom 27.11.2014, 9ObA111/14k zitiert: "Mit dem Eintrag im öffentlichen Bereich von Facebook hat der Kläger seine Anfrage gerade nicht im privaten Bereich gehalten, sondern einer großen Öffentlichkeit zugänglich gemacht. Genauso gut hätte er seine Anfrage in eine Tageszeitung setzen können (Kern/Schweiger, Die Bedeutung der Nutzung von Social Media im Entlassungsrecht - Dargestellt am Beispiel „Facebook“, ZAS 2013/51)"


 

IRIS 2008 Tagungsband, (Internationales Recht der Informatik Symposion): 
Gebrauchtsoftwarehandel in Österreich und Deutschland

IRIS 2007 - Tagungsband, (Internationales Recht der Informatik Symposion):
Kann die Gebührenpflicht von Softwarelizenzverträgen vermieden werden?

lex:itec (Ausgabe 5/2006)      
Gebührenpflicht von Softwarelizenzverträgen   

IRIS 2005 - Tagungsband, (Internationales Recht der Informatik Symposion):         
E-Commerce: Verantwortlichkeit für Unternehmen und vertretungsbefugte Organe aus verwaltungsstrafrechtlicher und strafrechtlicher Sicht

 

Microsoft Windows 10 - datenschutzwidrig

Freitag, der 13. für Microsoft Windows

mehr lesen

Auskunft & Betriebs- und Geschäftsgeheimnis

Können Betriebs- und Geschäftsgeheimnisse des Verantwortlichen Grenzen für das Auskunftsrecht bringen?

mehr lesen 0 Kommentare

TOMs nach Art 32 DSGVO - ein Überblick

Technische und organisatorische Maßnahmen iSd Art 32 DSGVO (TOMs) & Datensicherheitsmaßnahmen des § 54 DSG

mehr lesen 0 Kommentare

Sozialversicherungsnummer - Verwendung als eindeutiges Kennzeichen?

 

Der Sachverhalt:

 

Ein Unternehmen (eine Versicherung) versandte Schreiben an Versicherungsnehmer, in denen diese gebeten wurden, die Sozialversicherungsnummer bekannt zu geben, damit diese Kunden „eindeutig identifiziert werden können.“

 

Die Datenschutzbehörde nahm diese zum Anlass nach einer Meldung durch eine betroffene Person, die von der Versicherung dieses Schreiben erhielt, die Versicherung zu einer Stellungnahme aufzufordern.

 

Die Stellungnahme:

Die Versicherung erläuterte, dass sie u.a. Lebens- und Unfallversicherungen anbiete und diese Zwecke sind in unmittelbaren Zusammenhang mit sozialversicherungsrechtlichen Sachverhalten. Bei der Sparte Lebensversicherung ist die Verwendung notwendig, damit man diese mit den übermittelten Listen über die verstorbenen Personen abgleichen könne. Im Bereich der Unfallversicherung basiert der gesamte Datenaustausch im Gesundheitsbereich über das Kennzeichen der Sozialversicherungsnummer. Überdies sei man gem. FM-GwG verpflichtet, die Identität zweifelsfrei festzustellen.

 

 

Die Entscheidung der Datenschutzbehörde (vom 28.06.2017) als „Empfehlung“:

 

V** AG möge von der Verwendung der Sozialversicherungsnummer zur eindeutigen Identifizierung von Versicherungsnehmern außerhalb von sozialversicherungsrechtlichen Sachverhalten absehen.

 

 

Die Grundlage der Empfehlung der Datenschutzbehörde:

 

1. Die Sozialversicherungsnummer ist ohne Zweifel ein personenbezogenes Datum im Sinne des § 4 Z 1 DSG 2000, an dem der Versicherte ein schutzwürdiges Geheimhaltungsinteresse hat. […]

 

2. § 31 Abs. 4 ASVG gibt den Zweck der Sozialversicherungsnummer klar vor. Demnach darf diese nur zur Verwaltung personenbezogener Daten im Rahmen der der Sozialversicherung gesetzlich übertragenen Aufgaben verwendet werden. Auch § 460d ASVG hält fest, dass die Versicherungsnummer nach § 31 Abs. 4 Z 1 ASVG in der elektronischen Datenverarbeitung für Zwecke der Sozialversicherung und des Arbeitsmarktservices verwendet werden kann. Die zitierten Bestimmungen des ASVG sind in diesem Zusammenhang als die spezielleren Normen (lex specialis) im Vergleich zu § 6 FM-GwG anzusehen. § 6 FM-GwG verlangt zwar, die Identität eines Kunden festzustellen, normiert jedoch, dass dies bei natürlichen Personen etwa „durch die persönliche Vorlage eines amtlichen Lichtbildausweises zu erfolgen [hat]“ (§ 6 Abs. 2 Z 1 FM-GwG). Auf die Sozialversicherungsnummer wird hingegen nicht Bezug genommen.

 

3. Auch nach der Rechtsprechung der Datenschutzbehörde darf die Sozialversicherungsnummer nicht als „genereller Identifikator“ verwendet werden, d.h. in Zusammenhängen, die mit sozialversicherungsrechtlichen Sachverhalten nichts zu tun haben; eine solche Verwendung wurde von der Datenschutzbehörde und der ehemaligen Datenschutzkommission bereits wiederholt als unzulässig erachtet (vgl. dazu bspw. die Empfehlung vom 23. Mai 2014, GZ DSB-D213.131/0002-DSB/2014).

 

4. Soweit die V** AG im Rahmen der Lebens- bzw. Unfallversicherung und damit in tatsächlichem Zusammenhang mit sozialversicherungsrechtlichen Sachverhalten tätig wird, ist die Verwendung der Sozialversicherungsnummer daher dann nicht zu beanstanden, wenn dies für den Verkehr mit Sozialversicherungsträgern erforderlich ist (etwa zu Abrechnungszwecken).

Wird die V** AG jedoch in anderen Bereichen bzw. Versicherungszweigen tätig, wo dieser Zusammenhang nicht gegeben ist, so ist die Verwendung der Sozialversicherungsnummer nicht zulässig bzw. entspräche deren dortige Verwendung jener als allgemeinem Identifikator. Ist die Verwendung bereits gesetzlich nicht erlaubt, so kann dieser Mangel auch nicht durch eine Zustimmung im Einzelfall saniert werden.

 

 

Fazit:

 

1.  Die Datenschutzbehörde hat wiederholt ausgesprochen, dass die Sozialversicherungsnummer außerhalb des sozialversicherungsrechtlichen Kontextes (z.B. Abrechnung bei Lebens- und Unfallversicherung) nicht zulässigerweise verarbeitet werden darf. Eine andere Verwendung derselben ist daher rechtswidrig.

2. Auch nach der DSGVO wird sich daran nichts ändern, insbes. da die DSGVO festlegt, dass „auch […] Nummern, Symbole oder Kennzeichen, die einer natürlichen Person zugeteilt wurden, um diese natürliche Person für gesundheitliche Zwecke eindeutig zu identifizieren“ als Gesundheitsdaten und damit Daten besonderer Kategorie iSd Art 9 DSGVO sind, die besonderen Bestimmungen in der Verarbeitung der Daten unterliegen.

 

3. Wenn die DSGVO mit 25.05.2018 in Kraft tritt, werden nur die potentiellen Sanktionen sehr viel schwerwiegender, da die Geldbußen auf das 800-fache (20 Mio € oder 4 % des Jahresumsatzes, was immer höher ist) ansteigen.

0 Kommentare

Vortrag zur DSGVO auf der Schallaburg

mehr lesen 0 Kommentare

Datenschutz-Frühstück am 28.09.2017

mehr lesen 0 Kommentare

OVI-News - DSGVO

mehr lesen

Vortrag bei der Fachgruppentagung "Finanzdienstleister" der Wirtschaftskammer Niederösterreich

mehr lesen

Bleibt der Datenschutz für juristische Personen nach dem 25.05.2018 in Österreich bestehen?

 

Datenschutz auch für juristische Personen nach dem 25.05.2018?

Dr. Riedl, der Legist im Bundeskanzleramt, der u.a. das Datenschutz-Anpassungsgesetz 2018, mit dem das Datenschutzgesetz 2000 geändert wird, maßgeblich „mitentworfen“ hat, vertritt in einem Interview in der Datenschutz-Konkret 4/2017, S. 75 die Meinung, dass der Datenschutz in Österreich für juristische Personen bestehen bleibt.

Diese Ansicht stützt er darauf, dass § 1 (1) DSG (Verfassungsbestimmung: Grundrecht auf Datenschutz) im neuen Datenschutzgesetz (es heißt ab 25.5.2018 wirklich so, und nicht mehr Datenschutzgesetz 2000) nicht geändert wurde.

 

Die ersten drei Paragraphen des DSG 2000 bleiben unverändert, und das Datenschutz-Anpassungsgesetz 2018 novelliert nur die Paragraphen des DSG 2000 ab § 4. Geändert wird auch der Titel des Gesetzes, denn es heißt in Zukunft: „Bundesgesetz zum Schutz personenbezogener Daten natürlicher Personen“.

 

Aus dem Titel wäre daher mE abzuleiten, dass das Wort „Jedermann“, das weiterhin unverändert in § 1 (1) DSG enthalten ist, daher in seiner Bedeutung, die mittels Auslegung zu ermitteln ist, eingeschränkt wird, und ab  25.5.2018 so auszulegen ist, dass es „natürliche Person“ heißt, da ja auch im Titel des Gesetzes zum Ausdruck kommt, dass der Schutz der natürlichen Personen bei der Verarbeitung personenbezogener Daten vom Datenschutzgesetz umfasst sein soll (und eben nichts anderes damit gemeint sein kann).

 

Andererseits hat auch das Argument von Dr. Riedl etwas für sich, dass man durch eine einfachgesetzliche Reglung (ein Bundesgesetz) eine verfasssungsrechtliche Regelung (das Grundrecht auf Datenschutz) nicht einfach ändern kann bzw. dessen Bedeutung reduzieren kann, sodass sich der „Träger des Grundrechts nicht ändern“ (Riedl in DaKo 4/2017, S. 75) kann. Nach dieser Schlussfolgerung wäre die juristische Person weiterhin vom Schutz des Datenschutzgesetzes umfasst.

 

Entgegenzusetzen ist dieser Auslegung jedoch, dass im DSG 2000 in § 4 Z 3 der „Betroffene“ definiert wird, und zwar als „jede vom Auftraggeber (Z 4) verschiedene juristische oder natürliche Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden“.

 

Das Grundrecht auf Datenschutz in § 1 (1) DSG, welches „jedermann“ gewährt wird, wird daher im subjektiven Anwendungsbereich der verfassungsrechtlichen Norm des § 1 (1) DSG in einer einfachgesetzlichen Norm, nämlich § 4 Z 3 DSG näher definiert. Ab 25.5.2018  ändert sih das, da § 4 DSG geändert wird und  in Art 4 Z 1 DSGVO festgelegt ist, dass personenbezogene Daten alle Informationen sind, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.

Daher könnte man auch den Schluss ziehen, dass „jedermann“ iSd § 1 (1) DSG ab 25.05.2018 nur die in Art 4 Z 1 DSGVO definierten „betroffenen Personen“, dh identifizierte und identifizierbare natürliche Personen sind.

 

Es mag dahingestellt bleiben, ob Dr. Riedl Recht hat oder Recht behalten wird, dass die juristischen Personen (in Österreich) unter dem Schutz des Datenschutzgesetzes stehen. Vielmehr stellt sich die Frage der praktischen Auswirkungen:

 

 

 

1.       Gehört eine juristische Person in die Kategorien der Betroffenen iSd § 30 (1) lit c DSGVO und ist diese daher ins Verzeichnis von Verarbeitungstätigkeiten aufzunehmen?

 

Nein, denn „betroffene Person“ iSd DSGVO ist ausschließlich eine natürliche Person, deren personenbezogene Daten verarbeitet werden, und eben nicht die juristische Person. Diese sind daher nicht als „Betroffene“ im Rahmen der Erstellung des Verzeichnisses von Verarbeitungstätigkeiten zu identifizieren.

 

 

 

2.       Sind gegenüber juristischen Personen die Informationspflichten gem. Art 13 oder 14 DSGVO zu erfüllen?

Art 13 und 14 DSGVO befinden sich in Kapitel III der DSGVO, welches mit „Rechte der betroffenen Personen“ betitelt ist. „Betroffene Personen“ iSd DSGVO sind natürliche Personen (siehe Art 4 Z 1 DSGVO).

 

Auch in Art 13 und Art 14 DSGVO wird explizit auf „betroffene Personen“ Bezug genommen, und die Informationspflicht wird durch die Erhebung der Daten „bei der betroffenen Person“ bzw. „nicht bei der betroffenen Person“. Von den Verpflichtungen sind daher nur natürliche Personen umfasst.

 

 

 

3.       Haben juristische Personen Betroffenenrechte iSd Art 15 ff. DSGVO, z.B. Recht auf Auskunft, Einschränkung, Löschung, Berichtigung oder Datenübertragbarkeit?

 

Auch in den Bestimmungen, die die Rechte der betroffenen Personen beschreiben, wird immer explizit auf die betroffenen Personen (iSd Art 1 Z 2 DSGVO) Bezug genommen, weil es dort immer heißt „Die betroffene Person hat das Recht …“ .

 

Daraus ist zu schließen, dass diese Rechte den juristischen Personen nicht zukommen.

 

 

 

4.       Gehört eine juristische Person in die Kategorien von Empfängern im Verzeichnis von Verarbeitungstätigkeiten?

 

Ja, aber das ist nicht davon abhängig, ob die juristische Person im Österreich in Anwendungsumfang des Grundrechtes auf Datenschutz fällt, denn jede Empfängerkategorie (unabhängig ob es sich um natürliche oder juristische Personen handelt) ist ins Verzeichnis von Verarbeitungstätigkeiten aufzunehmen.

 

 

 

5.       Sind die Auswirkungen von Verarbeitungsvorgängen auf juristische Personen im Rahmen der Datenschutz-Folgenabschätzung zu bewerten und zu berücksichtigen?

 

Nein, denn in Art. 35 DSGVO ist explizit die Rede von „Risiko für Rechte und Freiheiten natürlicher Personen“; die juristischen Personen bzw. deren Daten fallen nicht in eine Kategorie, die im Rahmen einer Datenschutz-Folgenabschätzung zu berücksichtigen sind. Wenn daher Risiken auf diese (personenbezogenen) Daten wirken, dann ist dies nicht im Rahmen der DSFA gem. Art 35 DSGVO zu berücksichtigen.

 

 

 

6.       Ist von einem Unternehmen ein Datenschutzbeauftragter zu bestellen, wenn Daten von juristischen Personen verarbeitet werden?

 

Insbes. die Verarbeitung von Art. 9 Daten (besondere Datenkategorien) kann die Verpflichtung auslösen, einen Datenschutzbeauftragten zu bestellen. Die Art. 9 Daten beziehen sich jedoch ausschließlich auf die persönlichen Verhältnisse natürlicher Personen, und es mE auszuschließen, dass die (besonderen) Datenkategorien des Art. 9 DSGVO juristische Personen betreffen können.

 

Anders ist dies bei Art 10 Daten, denn in Österreich besteht die Möglichkeit, dass juristische Personen direkt als „Täter“ iSd VerbandsverantwortlichkeitsG strafrechtlich oder auch Unternehmen im Rahmen von Kartellstrafen bzw. auch bei Datenschutzverletzungen oder auch bei Verletzungen des Bankwesengesetz verfolgt werden. Dann wenn „umfangreiche Verarbeitungen“ von derartigen Daten von juristischen Personen erfolgt, dann könnte man argumentieren, dass in diesem Fall ein Datenschutzbeauftragter zu bestellen ist. Wenn jedoch derartige Daten „umfangreich“ verarbeitet werden, dann ist vermutlich auch die „umfangreiche Verarbeitung“ von derartigen Daten natürlicher Personen umfasst, sodass aus diesem Grund ein DSB zu bestellen sein wird.

 

Wenn die Kerntätigkeit i in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, dann sind damit betroffene Personen iSd Art 4 Z 1 DSGVO gemeint, nämlich natürliche Personen. Die regelmäßige und systematische Überwachung von juristischen Personen löst keine Verpflichtung zur Bestellung eines DSB aus, wenn nicht auch natürliche Personen betroffen sind.

 

 

 

7.       Was ist bei Übermittlungen von personenbezogenen Daten von juristischen Personen in Drittländer zu beachten?

 

Die Übermittlung von personenbezogenen Daten in Drittländer ist nur unter bestimmten in der DSGVO festgelegten Voraussetzungen zulässig. In diesen Bestimmungen wird nicht auf betroffene Personen explizit Bezug genommen, sondern „nur“ auf personenbezogene Daten. Die „personenbezogenen Daten“ sind jedoch (ebenfalls) in Art 1 Z 2 DSGVO definiert, und ist dort festgelegt, dass dies Daten von identifizierten bzw. identifizierbaren natürlichen Personen sind.

 

Wenn daher in den Bestimmungen zur Datenübermittlung von „personenbezogenen Daten“ dir Rede ist, dann sind das Daten von natürlichen Personen, aber nicht von juristischen Personen.

 

 

 

8.       Fazit:

 

Selbst wenn juristische Personen (in Österreich) weiter unter dem Schutz des Datenschutzgesetzes stehen sollten, dann sind die Auswirkungen auf das Datenschutz-Managementsystem, insbes. das Verzeichnis von Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzungen, Erfüllung von Informationspflichten oder auch Betroffenenrechte als äußerst gering einzuschätzen.

 

 

 

Veranstaltungen mit dataprotect in der nächsten Woche

mehr lesen

28.09.2017: Datenschutz-Frühstück - DSGVO: Auswirkungen auf Marketing

mehr lesen