JavaScript ist in Ihrem Browser deaktiviert.
Sie können manche Teile der Website daher leider nicht verwenden.
Zeitschriften Cover

Datenschutz konkret
Recht - Projekte - Lösungen

Inhaltsverzeichnis

ISSN: 2313-5409
Reihe: Dako - Datenschutz konkret
Verlag: Manz Verlag Wien
Format: Zeitschrift
Jahrgang 2019 - mehr unter http://dako.manz.at
DatKomm – der große Bruder der Dako
Rainer Knyrim
 
Datenschutz ist ein lebendes Konstrukt
Interview mit Peter Lohberger, Leiter der Rechtsabteilung und Datenschutzbeauftragter der Landesholding Burgenland.
Peter Lohberger spricht über die koordinierte Umsetzung der DSGVO in der Landesholding Burgenland und den zukunftsorientierten Umgang mit datenschutzrechtlichen Herausforderungen.
Rainer Knyrim, Tobias Tretzmüller / Alexander Maurer
 
Citizen Science-Projekte datenschutzkonform gestalten – ein Leitfaden (Teil 2)
Drittland; Nutzerverwaltung; Einwilligungserklärung; Betroffenenrechte.
Welche datenschutzrechtlichen Anforderungen im Hinblick auf teilnehmende Citizen Scientists müssen Citizen Science-Projekte einhalten? Nachdem der erste Teil des Beitrags datenschutzrechtliche Grundlagen erläutert hat, bietet der zweite Teil einen praxisnahen Leitfaden zur datenschutzkonformen Gestaltung eines Citizen Science-Projekts.
Annemarie Hofer, Stefan Steininger / Iris Eisenberger
 
EuGH C-210/16: Steht der digitale Unternehmensauftritt vor dem Aus?
Besprechung von EuGH 5. 6. 2018, C-210/16, Wirtschaftsakademie Schleswig-Holstein (Teil 2).
Der eigene Unternehmensauftritt in sozialen Medien ist in der heutigen Zeit unabdingbar. Der EuGH könnte mit dem Urteil die Regeln dafür neu geschrieben haben. Der erste Teil des Beitrags (Dako 2018/45) befasste sich mit den rechtlichen Fragen; der zweite erläutert die Bedeutung für die Praxis.
Maximilian Kröpfl
Keine Verjährung für die Verhängung von Geldbußen
Verjährungsprivileg; Verfolgungsverjährung; Verjährungsfrist; Kumulationsprinzip.
Der Beitrag zeigt die Folgewirkungen eines VwGH-Erkenntnisses aus dem Vergaberecht zur Verjährung im Datenschutzrecht.
Ernst M. Weiss
Das Sanktionsregime der DSGVO bei Verstößen gegen den Datenschutz
Das neue EU-Datenschutzrecht – Teil 15.
Wem drohen welche Sanktionen und – vor allem – in welcher Höhe? Dass der DSGVO weltweit so viel Aufmerksamkeit zuteil wird, liegt wohl nicht nur an dem gestiegenen Interesse an Privatsphäre und Schutz von Daten (Stichwort „Facebook“ und „Cambridge Analytica“), sondern va an den Strafen in Millionenhöhe, welche bei Verstößen gegen das neue Datenschutzrecht drohen.
Jennifer Maria Held
Datenschutzrechtliche Zulässigkeit von Background-Checks bei Bewerbern
Security- und Risikomanagement; internes Kontrollsystem; Fürsorgepflicht.
Dieser Beitrag nimmt Bezug auf die Beiträge von Dolamic (Background-Checks bei Bewerbern, Dako 2017/65) und die Replik von Hitz (Internet-Recherchen über BewerberInnen – warum und in welcher Form Backgound-Checks doch möglich sind, Dako 2018/8). In den folgenden Zeilen werden Standpunkte des Security- und Risikomanagements in die Diskussion eingebracht und dargelegt, in welchen Fällen die Verarbeitung von Daten, die durch Background-Checks gewonnen werden, als erforderlich anzusehen ist und wie umfangreich die Verarbeitung durchgeführt werden darf.
Bernhard Maier
Erste Entscheidung der DSB zu Speicherfristen: Welche Rolle spielt die Interessenabwägung?
Besprechung von DSB-D216.471/0001-DSB/2018 und der Rechtslage außerhalb des TKG.
Die Datenschutzbehörde (DSB) hat infolge der Beschwerde einer betroffenen Person ausgesprochen, dass ein Betreiber eines Telekommunikationsdiensts das Recht der Betroffenen auf Geheimhaltung dadurch verletzt hat, dass dieser personenbezogene Daten über den zulässigen Zeitraum hinaus speicherte. Gegen diese E wurde kein Rechtsmittel eingelegt, sodass sie in Rechtskraft erwachsen ist. In der Datenschutzpraxis führte diese E zu Vermutungen, die DSB würde damit eine generelle, sehr restriktive Haltung in Bezug auf legitime Aufbewahrungsdauer und -zwecke einnehmen. Der vorliegende Beitrag zeigt, warum diese E nicht verallgemeinerungsfähig ist und bei der Betrachtung dieser Themen Umsicht und Differenzierung geboten sind.
Walter Hötzendorfer, Markus Kastelitz / Heidi Scheichenbauer / Christof Tschohl
 
Rechtsprechung
Strafbarkeit der juristischen Person.
Das BVwG hegt in der Entscheidung Bedenken gegen die Möglichkeit, die juristische Person direkt mit einer Geldstrafe zu belegen. Nach Ansicht des BVwG in der Begründung der Zulässigkeit der Revision stellt sich die Frage, ob das bei der Bestrafung der juristischen Person anzuwendende System ein zweistufiges Prüfsystem verschreibt.
§ 30 DSG; § 5 Abs 1, § 9 VStG; § 5 Abs 1a VStG ab 1. 1. 2019
BVwG 25. 6. 2018, W210 2138108-1
Thomas Schweiger
Anwendbares Recht, Ermittlungsbefugnis von Behörden im Verwaltungsverfahren.
Denkmöglichkeit der Beweismittelerhebung.
Art 6 Abs 1 lit e DSGVO iVm § 34 NÖ BauO 2014 iVm § 54 AVG
BVwG 11. 7. 2018, W214 2183935–1
Viktoria Haidinger, Ernst M. Weiss
Zeitpunkt der Beurteilung des anwendbaren Rechts.
Auch das BVwG hat bereits das neue Datenschutzregime anzuwenden.
§ 69 Abs 4 DSG
BVwG 3. 7. 2018, W258 2192861–1
Viktoria Haidinger, Ernst M. Weiss
Löschfristen.
Die Speicherung von Bewerberdaten für die Dauer von sieben Monaten ist gerechtfertigt, angemessen und verhältnismäßig.
Art 5, 17 DSGVO
DSB 27. 8. 2018, DSB-D123.085/0003-DSB/2018
Viktoria Haidinger, Ernst M. Weiss
 
Buchtipp
DS-GVO
Dietmar Jahnel und Christian Bergauer, Teilkommentar zur DS-GVO. Jan Sramek Verlag, Wien 2018. VIII, 156 Seiten, br, Euro 39,90.
Die Jus-Professoren Jahnel und Bergauer planen eine vollständige Kommentierung von DSGVO und DSG. Ein erster Teilkommentar behandelt Art 2–4, 13–14, 30, 35 und 37–39.
In Art 2 „Sachlicher Anwendungsbereich“, der iZm § 4 DSG zu verstehen ist, werden die Begriffe Verarbeitung sowie ganz oder teilweise automatisierte Verarbeitung und die nichtautomatisierte Verarbeitung in einem Dateisystem erläutert. Keine Anwendung finden die DSGVO sowie der einfachgesetzliche Teil des DSG auf Akte der Gesetzgebung und Gerichtsbarkeit, auf juristische Personen, auf reine sog Papierakten, auf Bereiche außerhalb des Unionsrechts, Verarbeitungen im Rahmen der GASP, Tätigkeiten im Rahmen der Haushaltsausnahme sowie auf Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr, wobei die entsprechende VO noch an die Grundsätze und Vorschriften der DSGVO anzupassen ist, und schließlich auf Daten Verstorbener. Der letzte Halbsatz des § 4 Abs 1 DSG verweist auf die Umsetzung der DS-RL-PJ (RL 2016/680) im 3. Hauptstück des DSG, wobei diese speziellen Bestimmungen dem restlichen DSG vorgehen.
Wichtig ist der Hinweis, dass Art 2 Abs 4 DSGVO nicht die Anwendung der E-Commerce-RL berührt.
Art 3 „Räumlicher Anwendungsbereich“ ist iZm § 3 DSG zu verstehen. Die Autoren befassen sich zu Abs 1 insb mit dem Begriff der Niederlassung und meinen, dass der räumliche Anwendungsbereich grundsätzlich sehr weit auszulegen ist, und verweisen va darauf, dass dieser räumliche Anwendungsbereich gegenüber der bisherigen DS-RL in Abs 2 deutlich ausgedehnt wurde. Erörtert werden dazu Begriffe wie das sog Marktortprinzip und Internetaktivitäten wie Online-Tracking und Profiling. Wichtig dabei: die Benennung eines Vertreters von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern gem Art 27 DSGVO.
Als Beispiel zu Abs 3 wird die österreichische Botschaft in Kuwait genannt, die im Rahmen ihrer Datenverarbeitungstätigkeit die DSGVO anzuwenden hat, weil sie auf Grund völkerrechtlicher Vorgaben dem österr Recht unterliegt.
Abschließend halten die Autoren fest, dass die DSGVO nichts über den räumlichen Anwendungsbereich der nationalen Anpassungs- bzw Durchführungsgesetze sagt und auch der einfachgesetzliche Teil des DSG dazu nur in den Materialien schlicht auf den räumlichen Anwendungsbereich der DSGVO verweist.
Zu Art 4 „Begriffsbestimmungen“ werden ausführlich die Ausdrücke personenbezogene Daten, Verantwortlicher und Auftragsverarbeiter; kommentiert hier ist die Abgrenzung zwischen einem Verantwortlichen und einem Auftragsverarbeiter wichtig. Es folgen die Begriffe Empfänger der Z 9 und Dritter der Z 10.
Der 2. Abschnitt „Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten“ behandelt das Thema Transparenz in der Datenverarbeitung.
Art 13 „Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person“ stellt sich nach Meinung der Autoren als bloße Ordnungsvorschrift und nicht als Rechtmäßigkeitsvoraussetzung dar. Es handelt sich dabei um eine proaktive Verpflichtung des Verantwortlichen, die keinen Antrag voraussetzt.
Art 14 „Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben werden“: Zu beachten ist, dass im Fall der Übermittlung den Verantwortlichen, der die Daten erhält, die Informationspflicht trifft. Der weitergebende ursprüngliche Verantwortliche ist idR bereits nach Art 13 Abs 1 lit e dazu verpflichtet. Art 14 enthält im Vergleich zu Art 13 wesentlich weiter reichende Ausnahmen von der Pflicht zur Informationserteilung. Praxisgerecht aufgearbeitet sind die Form der Information sowie deren verschiedenen Zeitpunkte und ihr Inhalt.
Art 30 „Verzeichnis von Verarbeitungstätigkeiten“: Die neue Aufzeichnungspflicht wurde gleichfalls so detailliert beschrieben, dass auch diese Neuerung ihren Schrecken verliert. Dazu kommt, dass nicht sofort horrende Strafen bei Verstößen verhängt werden müssen, sondern es bei Hinweisen und Verwarnungen bleiben kann.
Der 3. Abschnitt „Datenschutz-Folgenabschätzung und vorherige Konsultation“ beginnt mit der nächsten Neuerung, nämlich Art 35 „Datenschutz-Folgenabschätzung“. Eine DSFA ist ein Verfahren zur Sicherstellung und zum Nachweis der Einhaltung gesetzlicher Anforderungen. Für die Praxis folgen wieder Ausführungen, wann eine DSFA obligatorisch ist, deren Zeitpunkt und welche Punkte eine DSFA enthalten muss. Zu Sanktionen siehe oben zu Art 30; im Übrigen meinen die Autoren, dass ein Schadenersatz nach Art 82 nicht in Betracht kommen wird, weil ein Verstoß gegen Art 35 kaum zum Eintritt eines materiellen oder ideellen Schadens führen wird.
Der letzte Abschnitt des geplanten Kommentars befasst sich mit Art 37 „Benennung eines Datenschutzbeauftragten“. Die Autoren empfehlen für die Beurteilung, ob ein DSBA verpflichtend zu benennen ist, eine interne Analyse, deren Durchführung und Ergebnisse auch dokumentiert wird. Herausgearbeitet werden die Unterschiede zwischen Behörde und Kerntätigkeit im privaten Sektor, aber auch der Begriff Konzerndatenschutzbeauftragter und Behördendatenschutzbeauftragter, die freiwillige Benennung und Verbandsdatenschutzbeauftragte, die Qualifikation eines DSBA, interner und externer DSBA. Da die Form der Benennung in der DSGVO nicht geregelt ist, folgen Empfehlungen der Autoren: Strafen nur bei Privaten, gegen Behörden können keine Geldbußen verhängt werden.
Art 38 „Stellung des Datenschutzbeauftragten“: Dazu sei nur auf die Schlagworte Weisungsfreiheit, Abberufungs- sowie Benachteiligungsverbot, Kontaktstelle für die betroffene Person, Geheimhaltungspflicht, Datengeheimnis und Berichtspflicht verwiesen.
Art 39 „Aufgaben des Datenschutzbeauftragten“: Dieser Art normiert Mindestaufgaben, die ein DSBA jedenfalls zu erfüllen hat.
Die Autoren haben mit diesem Werk ihr Ziel erreicht, nämlich eine ausführliche, praxisorientierte und verständliche Kommentierung aus einem Guss. Man freut sich auf die Fortsetzung!
Ernst M. Weiss
 
Viktoria Haidinger, Wirtschaftskammer Österreich
JUDIKATUR
Update: Anwendbares Recht beim BVwG
„Recht auf Vergessenwerden“ – Räumlicher Anwendungsbereich
Anonymisierung von EuGH-Urteilen
Entscheidung des OGH zum Koppelungsverbot
LEGISLATIVE
Kundmachung Black List
VERWALTUNG
Neue Zahlen zur Auslastung der DSB
3. Vollversammlung des EDSA