Publikationen zum IT-Recht

... besuchen sie uns auch auf Twittter & Facebook


DSGVO: Benötigt Ihr Unternehmen einen Datenschutzbeauftragten

Datenschuz Konkret, April 2017 

(DaKO 2/2017)

Die DSGVO schreibt verpflichtend einen Datenschutzbeauftragten unter bestimmten Voraussetzungen vor. Doch wann benötigt ein Unternehmen nun einen Datenschutzbeauftragten?

 

In diesem Artikel finden Sie die Antwort auf diese Frage.

 

Download
Benötigt Ihr Unternehmen ab 25.5.2018 einen Datenschutzbeauftragten?
Dako_2017-02, 34 Thomas Schweiger.pdf
Adobe Acrobat Dokument 146.2 KB

Der Mindestbuchpreis im grenzüberschreitenden Internethandel

gemeinsam mit Mag. Wolfgang Lackner

Zeitschrift für Informationsrecht (ZIIR 2016/4, 400)

Dieser Artikel beschäftigt sich mit der Frage der Unionsrechtswidrigkeit eines unterschiedlichen Mindestbuchpreises in Ö und D.

 

Dienstleistervertrag bei Datenverarbeitung und Verpflichtung zur Rückgabe bei Beendigung

lex:itec (2010/04, Seite 18)

In welcher Form muss der Dienstleister (Auftragsdaten-verarbeiter) bei Beendigung des Vertrages die "Daten" zurückgeben. Kann der Auftraggeber verlangen, dass er diese in sein Datensystem einlesen kann?


Gebührenpflicht von Softwarlizenzverträgen

Softwarelizenzverträge sind Mietverträge und Mietverträge unterliegen in Österreich einer Gebühr nach dem Gebührengesetz.

 

Dieser Artikel beschäftigt sich mit der Frage, ob auch Softwarelizenzverträge eine Gebühr auslösen können.

 

 

Nach einem Erkenntnis des VwgH (...) hat der Gesetzgeber die Bestimmungen des Gebührengesetzes "modernisiert" und u.a. Softwarelizenzverträge aus der Gebührenpflicht für "Mietverträge" rückwirkend (mit 1.1.2001) ausge-nommen.

 

 

Die Bedeutung der Nutzung von Social Media im Entlassungsrecht. Dargestellt am Beispiel "Facebook"

gemeinsam mit Mag. Andrea Kern Zeitschrift für Arbeits- und Sozialrecht (ZAS 2013, 302)

 

Dieser Artikel beschäftigt sich mit der Frage der Auswirkungen von (negativen) Facebook-Posts auf das Arbeitsverhältnis.

 

Dieser Artikel ist u.a. in der Ents. des OGH vom 27.11.2014, 9ObA111/14k zitiert: "Mit dem Eintrag im öffentlichen Bereich von Facebook hat der Kläger seine Anfrage gerade nicht im privaten Bereich gehalten, sondern einer großen Öffentlichkeit zugänglich gemacht. Genauso gut hätte er seine Anfrage in eine Tageszeitung setzen können (Kern/Schweiger, Die Bedeutung der Nutzung von Social Media im Entlassungsrecht - Dargestellt am Beispiel „Facebook“, ZAS 2013/51)"


 

IRIS 2008 Tagungsband, (Internationales Recht der Informatik Symposion): 
Gebrauchtsoftwarehandel in Österreich und Deutschland

IRIS 2007 - Tagungsband, (Internationales Recht der Informatik Symposion):
Kann die Gebührenpflicht von Softwarelizenzverträgen vermieden werden?

lex:itec (Ausgabe 5/2006)      
Gebührenpflicht von Softwarelizenzverträgen   

IRIS 2005 - Tagungsband, (Internationales Recht der Informatik Symposion):         
E-Commerce: Verantwortlichkeit für Unternehmen und vertretungsbefugte Organe aus verwaltungsstrafrechtlicher und strafrechtlicher Sicht

 

Newsletter der DSB

Die Datenschutzbehörde hat ihren aktuellen Newsletter versendet.

 

 

 

 

 

 

Inhalt:

  • INFORMATION zur DSGVO:
    DATENSCHUTZGRUNDVERORDNUNG KAPITEL IX
    („Vorschriften für besondere Verarbeitungssituationen“)
  • aktuelle Entscheidungen der DSB:
  • Keine Datenspeicherung zum Zweck einer eventuell zukünftigen Kontaktaufnahme
  • Gesetzlich zulässiger Speicherzeitraum von Stammdaten und Verkehrsdaten
  • Löschung Verkehrsdaten
mehr lesen

Spielzeug im Fokus der französichen Aufsichtsbehörde

The Chair of the French data protection authority (CNIL) publicly issued a formal notice to the company GENESIS INDUSTRIES LIMITED on 20 November 2017 regarding the security of the connected toys « My Friend Cayla » and « I-QUE ». In view of the given responses, the Chair has decided to close the formal notice procedure.

 

mehr lesen

Steuerberater: Verantwortliche auch bei der Lohnverrechnung

 

Sind Steuerberater Auftragsverarbeiter oder eigene Verantwortliche nach der DSGVO?

Eine Entscheidung der DSB vom 22.1.2018 bringt eine Klärung, oder doch nicht?

 

mehr lesen

Personal Intensiv mit Trescon - Datenschutz & Bewerbermanagment

mehr lesen

OGH: Videokamera zur Beweissicherung unzulässig

OGH (6 Ob 16/18y), 24.05.2018

Eine private Videoüberwachung eines Weges zur Gewinnung von Beweismitteln für einen Zivilrechtsstreit ist nicht zulässig.

 

mehr lesen

Artikel in der PinG

Dr. Thomas Schweiger, LL.M. hat sich in der Privacy in Germany (4/2018) mit der Frage auseinandergesetzt, ob "Österreich dem Datenschutz wirklich die Zähne zieht".

 

 

mehr lesen

Fragen zur Fotoverwendung ... Bayerisches Landesamt für Datenschutzaufsicht antwortet

 

Die Verwendung von Fotos oder Videos ist immer wieder eine Frage, die uns in Vorträgen oder bei Workshops gestellt wird. 

 

 

 

 

Braucht man tatsächlich immer eine Einwilligung?

 

Muss das schriftlich erfolgen?

 

Was ist, wenn diese widerrufen wird? ...

mehr lesen

Notizen als "Dateisystem" nach der DSGVO?

 Das Verfahren des EuGH (C-25/17) zum Thema „Notizen und Notizbücher“ als „Daten“ ist seit 10.7.2018 entschieden.   

 

 

  • „ausschließlich persönliche oder familiäre Tätigkeit“ / Haushaltsausnahme
  • Handschriftliche Notizen im Anwendungsbereich des Datenschutzrechts
  • Prinzipien der „gemeinsamen Verantwortlichen

 

 

 

Zum vorherigen Artikel: http://www.dataprotect.at/notizen-und-datenschutz/

 

  

„ausschließlich persönliche oder familiäre Tätigkeit“ / Haushaltsausnahme"

 

Als erste Frage klärte der EuGH, ob Notizen, die von einem Verantwortlichen im Rahmen von Gesprächen durch Personen, die für eine Organisation tätig sind, angefertigt werden, als „ausschließlich persönliche oder familiäre Tätigkeit“ anzusehen ist, und damit nicht den datenschutzrechtlichen Vorgaben unterliegt.

 

Die Entscheidung erging zur Datenschutz-Richtlinie, insbes. deren Art 3 Abs 1:

„Diese RL gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nicht automatisierte Verarbeitung personenbezogener Daten, die einer Datei gespeichert sind oder in einer Datei gespeichert werden sollen.“

 

In Art 3 Abs 2 findet man aber zwei Ausnahmen:

„Diese RL findet keine Anwendung auf die Verarbeitung personenbezogener Daten,

 

  1. die für die Ausübung von Tätigkeiten erfolgt, die nicht in den Anwendungsbereich des Gemeinschaftsrechts fallen, wie zum Beispiel […] Verarbeitung betreffend die öffentliche Sicherheit, die Landesverteidigung, Sicherheit des Staates (…) und die Tätigkeit des Staates im strafrechtlichen Bereich. 
  2.  die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten vorgenommen werden.“

 

Die Rechtslage nach der DSGVO ist identisch, denn dort findet sich die Haushaltsausnahme in Art 2 Abs 2 DSGVO

Der EuGH hat zu RL Abs. 1 (Punkt 1) im Jahr 2017 entschieden, dass nur spezifische Tätigkeiten nicht unter diese RL fallen. Diese Ausnahmen sind in der Vorschrift beispielhaft ausgeführt.

 

 

Die Ausnahme ist nur dann anwendbar, wenn tatsächlich ausschließlich persönliche und familiäre Tätigkeiten erfolgen, und die Tätigkeit keinen sonstigen (zB gewerblichen, unternehmerischen oder auch einen sonstigen ideellen oder weltanschaulichen) Zweck hat. Nach der Rechtsprechung ist die Tätigkeit der Mitglieder der Zeugen Jehovas nicht ausschließlich privat, da sie zum Zweck hat, den Glauben und die Werte der Vereinigung zu vermitteln, und in diesem Rahmen die Datenerhebung und sonstige Verarbeitung erfolgt. 

 

„handschriftliche Notizen“ im Anwendungsbereich des Datenschutzrechts"

 

Die zweite Frage, die geklärt werden musste war, ob die handschriftlichen Notizen, die von den Zeugen Jehovas im Rahmen der Missionierung angefertigt werden, als „Datei“ oder „Dateisystem“ im Sinne der datenschutzrechtlichen Bestimmungen anzusehen sind, oder nicht.  Die Definition des Begriffs „Dateisystem“ findet man in Art. 4 DSGVO Abs. 6: „jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, […].“

 

Die Datenschutzgrundverordnung (und auch die DSRL) ist grundsätzlich technologieneutral und betrifft sämtliche strukturierten Daten unabhängig von der Frage, ob diese automationsunterstützt oder manuelle verarbeitet werden. Da die Daten nach gewissen funktionalen Kriterien strukturiert werden müssen, um zum Beispiel Listen von Personen, die nicht mehr besucht/ noch einmal besucht werden wollen, zu erstellen, ist die Frage nach welchem Kriterium Daten organisiert werden ohne Belang, soweit der Datensatz einer Person in der Sammlung leicht wiederzufinden ist. Dies ist aber vom Gericht in jedem Fall einzeln zu prüfen. Der EuGH kam also zum Schluss, dass es sich im Fall der Zeugen Jehovas um ein Dateisystem handelt. Weitere Ausführungen dazu finden sich im Erwägungsgrund 15 der DSGVO. Dieser lautet:

 

"Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen. Der Schutz natürlicher Personen sollte für die automatisierte Verarbeitung personenbezogener Daten ebenso gelten wie für die manuelle Verarbeitung von personenbezogenen Daten, wenn die personenbezogenen Daten in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, sollten nicht in den Anwendungsbereich dieser Verordnung fallen."

  

 

„gemeinsam Verantwortliche“

Als dritte und letzte Frage wurde noch geklärt ob die Vereinigung der Zeugen Jehovas mit deren Mitgliedern, die von Haus zu Haus gehen und Daten sammeln, gemeinsam als Verantwortliche für die Verarbeitung (im Sinne der DSGVO) angesehen werden können und, ob es erforderlich ist, dass die Vereinigung Zugriff auf die Daten hat bzw. Anweisung oder Anleitungen zur Sammlung der Daten gegeben hat.

 

Im Art. 4 Abs. 7 findet man die Definition des „Verantwortlichen“: „… die natürliche oder juristische Person, […], die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. […]“

 

Demnach bezieht sich der Begriff Verantwortlicher nicht zwingend auf eine einzelne natürliche oder juristische Person. Jeder beteiligte Akteur würde also den Datenschutzbestimmungen unterliegen.

 

Wie aus einer anderen Entscheidung des EuGH (GZ: C-210/16; siehe dazu auch: https://www.dataprotect.at/2018/06/27/facebook-fanpages-konsequenzen-aus-dem-urteil/)  hervorgeht soll der Begriff des Verantwortlichen breit definiert sein, um umfassenden Schutz für Betroffene zu bieten. Aus der DSGVO kann auch nicht entnommen werden, dass Entscheidungen über Mittel und Zwecken durch Anweisungen oder schriftlich zu erfolgen haben. Hingegen kann aber daraus geschlossen werden, dass eine nat./jur. Person, die aus Eigeninteresse Einfluss auf die Verarbeitung von Daten nimmt und somit auch auf die Zwecke oder auch Mittel nimmt, auch als Verantwortlicher zu sehen ist.

 

 

Im vorliegenden Falls ist es zwar Sache der Verkündigenden, welche Daten und auf welche Art sie Daten erheben, dieses Verhalten wird aber auf jeden Fall von der Vereinigung unterstützt und auch gefördert. Diese führt auch Listen von Personen, die wünschen noch einmal oder nicht mehr besucht werden wollen. Die Erhebung der Daten dient folglich zur Verbreitung des Glaubens der Organisation.             

 

 

 

mehr lesen

Facebook-Konto jetzt vererbbar?

 

Facebook-Konto jetzt vererbbar?

 

 

 

Der deutsche Bundesgerichtshof hat am 12. Juli 2018 eine Entscheidung über die Vererbbarkeit eines Social Media Accounts getroffen.

 

 

 

 

 

 

Der Sachverhalt vor Gericht:
Eltern wurde der Zugang zum Benutzerkonto bei Facebook der verstorbenen Tochter verwehrt. Die Umstände des Todesfalls (U-Bahnunglück) im Jahr 2012 sind immer noch nicht vollständig geklärt. Die Eltern wollten mit dem Zugang zum Benutzerkonto Aufschluss darüber erhalten, ob die Tochter Suizidabsichten hatte und Schadenersatzansprüche eines U-Bahnfahrers abwehren.

 

 

 

Als die Mutter nach dem Tod der Tochter auf das Konto zugreifen wollte wurde ihr der Zugriff nicht gestattet, da das Konto schon in den sog. Gedenkzustand geschaltet wurde. Im Gedenkzustand bleiben zwar alle vorhandenen Beiträge einsehbar, doch jeglicher Zugriff auf das Konto wird untersagt.

 

 

 

Die Entscheidung des BGH:

 

Der Nutzungsvertrag der Verstorbenen ging im Wege der Gesamtrechtsnachfolge nach

 

§ 1922 BGB (vgl. § 547 ABGB) auf die Erben über. Eine Vererblichkeit wurde im Vertrag auch nicht ausgeschlossen. Die Klausel, die den Gedenkzustand enthält wurde durch die AGB-Inhaltskontrolle des § 307 BGB (vgl. § 879 Abs 3 ABGB) als gröblich benachteiligend, also als unzulässig eingestuft und wurde somit nicht Teil des Vertrags.

 

 

 

Der Abschluss eines Nutzungsvertrags scheint bei Social Media Accounts höchstpersönlicher Natur zu sein, jedoch wird beim Vertragsabschluss nur garantiert, dass vertrauliche Nachrichten, Beitrage, etc. zum richtigen Benutzerkonto gelangen. Der Vertrag ist also nur kontobezogen. Es kann kein schutzwürdiges Vertrauen bestehen, dass eine Nachricht zu Lebzeiten eines Benutzers nicht durch Missbrauch des Zugangs durch Dritte oder durch eine Zugangserlaubnis des Benutzers von Dritten mitgelesen wird. Nach dem Tod muss auch damit gerechnet werden, dass das Vertragsverhältnis vererbt wird.

 

 

 

Auch das Telekommunikationsgesetz steht der Vererbung von solchen Benutzerkonten nicht entgegen, da der Erbe voll in die Rechtsposition des Erblassers eintritt, also kein „anderer“ im Sinne des § 88 Abs. 3 TKG (deutsches Telekommunikationsgesetz) ist.

 

 

 

Letztendlich kollidiert der Anspruch auch nicht mit der DSGVO. Diese Verordnung schützt nur die Interessen lebender Personen (siehe ErwG 27: Die Mitgliedstaaten können Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen).

 

 

 

Die Vermittlung und Bereitstellung von Inhalten und Nachrichten ist sowohl nach Art 6 Abs 1 lit b DSGVO als auch nach Art 6 Abs 1 lit f DSGVO zulässig, da die Erfüllung vertraglicher Pflichten gegenüber Kommunikationspartner bestehen und auch ein berechtigtes Interesse der Erben besteht.

 

 

 

Auch nach österreichischer Zivilrechtslage ist die Angelegenheit mE gleich zu beurteilen.

 

mehr lesen

Datengeheimnis & Verarbeitung von personenbezogenen Daten durch MitarbeiterInnen

Das "Datengeheimnis" des § 6 DSG ist vielen Verantwortlichen in Organisationen bekannt.

Doch was ist die Konsequenz?

Was ist mit MitarbeiterInnen zu vereinbaren? Worüber sind MitarbeiterInnen zu informieren?dataprotect hat ein White-Paper dazu für Sie vorbereitet.

mehr lesen

Datenschutz in der Betriebsratsarbeit

 

 

Gastbeitrag von Dr. Thomas Schweiger, LL.M. (Duke) in Kammer-Aktuell, Ausgabe Juni 2018 der Kammer der Arbeiter und Angestellten in der Land- und Forstwirtschaft für OÖ

 

 

 

Datenschutz in der Betriebsratsarbeit 

Welche MitarbeiterInnendaten dürfen verarbeitet werden? Wo sind die Grenzen?

 

Im Beitrag werden die allgemeinen Grundsätze der Verarbeitung von personenbezogenen Daten im Arbeitsumfeld beleuchtet. Es geht um Geburtstagslisten oder Information über persönliche Verhältnisse am Schwarzen Brett, aber auch die gesetzlichen Regelungen zur Verarbeitung von personenbezogenen Daten von beschäftigten Personen im Arbeitsalltag.

 

Der Artikel im Download.

mehr lesen

Artikel zum Datenschutz in ÖVI-News

In der aktuellen Ausgabe der ÖVI NEWS finden sich mehrere Seiten zum Thema Datenschutz

mehr lesen

Fragebogen von Aufsichtsbehörde versendet

 

Die Landesbeauftragte für den Datenschutz Niedersachsen hat an 50 Unternehmen einen Fragebogen versendet.

mehr lesen

Facebook-Fanpages: Konsequenzen aus dem Urteil

Können Facebook-Fanpages noch genutzt werden?
(EuGH, 05.06.2018)

 

 

 

 

 

 

 

Der EuGH hat am 05.06.2018 in einem Vorabentscheidungsverfahren festgestellt, dass Facebook und ein Betreiber einer Fanpage „gemeinsame Verantwortliche“ sind.

 

 

1. Das Verfahren vor dem EuGH

 

Im Verfahren vor dem EuGH ging es um eine Fanpage der Wirtschaftsakademie Schleswig-Holtstein GmbH.  Im Rahmen dieser Fanpage verarbeitet der Betreiber (über Facebook Insights, und ohne die Möglichkeit, dies zu unterbinden) personenbezogene Daten der Besucher der Fanpage. Die zuständige (deutsche) Aufsichtsbehörde hat die Meinung vertreten, dass die Nutzung der Fanpage datenschutzrechtlich nicht korrekt erfolgt, wobei sich die nunmehrige Entscheidung des EuGH vom 05.06.2018 auf die Datenschutz-Richtlinie bezieht.

 

 

2. Die Entscheidung des EuGH vom 05.06.2018

 

Der EuGH hat in seiner Entscheidung C-210/16 festgestellt, dass der Betreiber der Fanpage und Facebook sog „gemeinsame Verantwortliche“ sind, dh nicht nur Facebook für die Verarbeitung der Daten verantwortlich ist, sondern auch der Betreiber der Fanpage dafür verantwortlich ist, wie die erhobenen Daten (von Facebook) verarbeitet werden. Ein Betreiber einer Fanpage ist daher nicht nur für seine eigenen Veröffentlichungen verantwortlich, sondern auch für die Art und Weise wie Facebook mit den personenbezogenen Daten natürlicher Personen umgeht und diese verarbeitet.

 

3. Die DSGVO ändert nichts an der Verantwortung

Auch die DSGVO kennt in Art 26 DSGVO die Konstruktion der „gemeinsamen Verantwortlichen“, und die Verantwortlichen, dh Facebook und der Betreiber einer Fanpage sind verpflichtet, im Rahmen einer Vereinbarung die unterschiedlichen Verarbeitungsschritte und die unterschiedlichen Aufgabenbereiche festzulegen. Gibt es keine Vereinbarung (und Facebook bietet derzeit keine derartige Vereinbarung an), kommt es dazu, dass der Betreiber einer Fanpage mit Facebook gemeinsam für die Verarbeitung sehr umfangreich verantwortlich. Der Betreiber der Fanpage kann mE für etwaige Verstöße von Facebook (mit)-verantwortlich gemacht werden.

 

 

4. Reicht ein Hinweis in einer Datenschutzerklärung/information?

Meines Erachtens ist ein Hinweis in einer Datenschutzerklärung/information nicht ausreichend, denn es stellt sich die Frage, wie diese Information „zum Zeitpunkt der Erhebung“ (siehe Art 13 DSGVO), dh letztlich vor der Erhebung der personenbezogenen Daten zur Verfügung gestellt werden kann, um der betroffenen Person (Besucher der Fanpage) die Möglichkeit zu geben, die Erhebung der Daten „zu unterbinden“, indem zB die Fanpage nicht besucht wird. Derzeit gibt es keine technische Möglichkeit, dies sicherzustellen.

 

Weiters ist es nicht ausreichend, darauf hinzuweisen, welche Erhebungen Facebook durchführt und auf die Datenschutzinformation von Facebook zu verweisen, denn es fehlt noch immer an der Vereinbarung zur gemeinsamen Verantwortlichkeit, die in den wesentlichen Bestandteilen den betroffenen Personen auch zur Verfügung zu stellen ist.

 

 

5. Was soll ein Fanpage-Betreiber derzeit tun

Der Fanpage-Betreiber sollte selbst einschätzen, ob er das Risiko sieht, dass eine Aufsichtsbehörde (in Ö: die Österreichische Datenschutzbehörde) gegen ihn vorgehen wird, wenn er die Fanpage in der bisherigen Form weiterbetreibt.

Jedenfalls sollte ein Betreiber einer Fanpage eine umfassende Information zum Datenschutz bereit stellen, und darauf hinweisen, dass Daten von Facebook erhoben und auch verwendet werden und auf die Datenschutzinformation von Facebook hinweisen und gegebenenfalls verlinken.

Facebook hat vor kurzem bekannt gegeben, dass eine Vereinbarung zur Verfügung gestellt werden wird, bzw ein Mechanismus die DSGVO-Konformität herstellen soll. Die weitere Entwicklung in diesem Bereich bleibt abzuwarten.

Eine Aufsichtsbehörde hat einen Betreiber einer Fanpage bereits aufgefordert, diese abzuschalten.

 

Weitere Informationen finden Sie hier:

 

Interview mit Peter Schaar (Vorsitzender der Europäischen Akademie für Informationsfreiheit und Datenschutz (EAID) und war von 2003 bis 2013 Bundesbeauftragter für den Datenschutz und die Informationsfreiheit)

 

Informationen von Prof. Nikolaus Härting (RA in Berlin)

 

Entschließung der (dt) DSK zum Fanpage-Urteil

 

                 

 

Ich persönlich habe derzeit meine Fanpage abgeschaltet!