Ergebnis 1 bis 7 von 7

Thema: Entscheidungen der österreichischen Datenschutzbehörde

  1. #1
    Registriert seit
    29.05.2018
    Beiträge
    16

    Standard Entscheidungen der österreichischen Datenschutzbehörde

    Benachrichtigung von betroffenen Personen im Zuge einer Sicherheitsverletzung
    Im Bescheid vom 8. August 2018, GZ: DSB-D084.133/0002-DSB/2018, hatte sich die DSB mit den Voraussetzungen, unter welchen die Datenschutzbehör¬de von datenschutzrechtlich Verantwortlichen verlangen kann, eine nach Art. 34 Abs. 1 DSGVO gebotene Benach¬richtigung nachzuholen, zu befassen.
    Der Verantwortliche meldete der Datenschutzbehörde, dass ein Suchtmittelbuch verloren worden sei, in dem von ca. 150 Patienten in unverschlüsselter Form der Name, der körperliche Gesundheitszustand sowie die verabreichte Menge des Suchtgiftes enthalten waren. Der Verantwortliche ging im vorliegenden Fall davon aus, dass die betroffenen Patienten nicht zu benachrichtigen seien, weil kein hohes Risiko für diese vorläge. Insbeson¬dere könnten die verarbeiteten Daten in den „falschen Händen“ eine Bloßstellung bzw. einen Identitätsdieb¬stahl-/betrug nur mit großem Rechercheaufwand er¬möglichen. Die DSB sah dies anders und trug dem Ver-antwortlichen die Benachrichtigung der Betroffenen auf. Begründet wurde dies damit, dass im Suchtgiftbuch auch Gesundheitsdaten gemäß Art. 4 Z 15 DSGVO enthalten waren.
    Ein hohes Risiko für die Rechte und Freiheiten betrof¬fener Personen besteht nämlich jedenfalls, bei umfang¬reicher Verarbeitung besonderer Kategorien von Daten, worunter auch Gesundheitsdaten fallen. Ausnahmen der Benachrichtigungspflicht gemäß Art. 34 Abs. 3 DSGVO la¬gen nicht vor. Dieser Bescheid ist rechtskräftig.

    Kein Recht auf Löschung von Beiträgen aus Diskus¬sionsforen eines Online-Zeitungsartikels
    Im Bescheid vom 13. August 2018 zur GZ: DSB-D123.077/0003-DSB/2018 hatte sich die Datenschutzbe¬hörde mit der Frage zu beschäftigten, ob ein Recht auf Lö¬schung von Beiträgen einer betroffenen Person besteht, die diese im Rahmen eines Diskussionsforums unterhalb eines Online-Zeitungsartikels gepostet hat. Zweifelsfrei war, dass der Online-Artikel als solches unter das in § 9 Abs. 1 DSG normierte Medienprivileg fällt. Mit Bezug auf die Judikatur des EuGH wurde ausgesprochen, dass – um der Bedeutung des Rechts auf freie Meinungsäußerung in einer demokratischen Gesellschaft Rechnung zu tragen – Begriffe wie Journalismus weit ausgelegt werden müs¬sen. Vor diesem Hintergrund muss das Privileg nach § 9 Abs. 1 DSG nach unionsrechtlichem Verständnis betrach¬tet werden und kann auch „Bürgerjournalismus“ umfas¬sen (wie etwa Internet-Diskussionsforen). Insbesondere war zu berücksichtigen, dass gegenständlich mit den Beiträgen der betroffenen Person auch Beiträge anderer Benutzer (in Form von Antworten oder „Diskussionsbäu-men“) verkettet waren. Die Beschwerde war daher im Er¬gebnis abzuweisen. Dieser Bescheid ist rechtskräftig.

    Keine freiwillige Einwilligung zur Verwendung eines „GPS-Trackers“ in Firmenfahrzeugen
    Im Rahmen eines amtswegigen Prüfverfahrens wurde im Bescheid vom 8. August 2018 zur GZ: DSB-D213.658/0002-DSB/2018 festgehalten, dass die Ein¬willigung der Arbeitnehmer zur Nutzung eines GPS-Sys¬tems für firmeneigene Fahrzeuge nicht freiwillig erfolgt. Im gegenständlichen Fall wurde ein „GPS-Tracker“ in Firmenfahrzeugen installiert und die Einwilligung der Arbeitnehmer bzw. Fahrer als Erlaubnistatbestand zur Verarbeitung herangezogen. Der Verantwortliche führ¬te dabei Schutz bzw. Sicherheit des Firmeneigentums, Erleichterung der monatlichen Abrechnung mit der Leasingfirma, Routenplanung und -optimierung sowie einen Versicherungsbonus ins Treffen, übersah dabei
    jedoch, dass diese Faktoren zwar im Rahmen einer Be¬urteilung von berechtigten Interessen iSv Art. 6 Abs. 1 lit f berücksichtigt werden können, jedoch nicht im Rahmen der Beurteilung der Freiwilligkeit einer Einwil¬ligung. Hinzu kam, dass die GPS-Daten 93 Tage gespei¬chert wurden und somit objektiv ein Leistungsprofil des Arbeitnehmers erstellt werden konnte, wie schnell bzw. pünktlich dieser Fahrten erledigt. Ein klar erkennbarer Vorteil durch dieses GPS-System war für den Arbeitneh¬mer nicht ersichtlich, weshalb dem Verantwortlichen im Ergebnis aufgetragen wurde, die Verarbeitung (Nutzung des GPS-Systems für firmeneigene Fahrzeuge) in Einklang mit der Datenschutz-Grundverordnung zu bringen, da die Einwilligung im vorliegenden Fall mangels Freiwillig¬keit nicht als Erlaubnistatbestand herangezogen werden kann. Dieser Bescheid ist nicht rechtskräftig.

    DSGVO-konforme, vorformulierte Einwilligungserklärungen
    Im Bescheid vom 31. Juli 2018, GZ: DSB-D213.642/0002-DSB/2018, hatte sich die Datenschutz¬behörde im Zuge eines amtswegigen Prüfverfahrens mit der DSGVO-konformen Ausgestaltung vorformulierter Einwilligungserklärungen zu befassen. Verfahrensein¬leitender Gegenstand war der Textabschnitt eines Mit¬gliederanmeldeformulars, in welchem die datenschutz¬rechtliche Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO zu Marketingzwecken eingeholt wurde. Hierbei hielt die Datenschutzbehörde drei wesentliche Punkte fest:
    Zum einen erfolgt die Einwilligung nur dann freiwil¬lig, wenn die betroffene Person frei entscheiden kann, ob und in welcher Form sie der Datenverarbeitung zu¬stimmt. Der suggerierte Eindruck, lediglich bestimmen zu können durch welches Medium (Post, elektronischen Übermittlungsweg oder Telefon) Marketing-Zusendun¬gen erhalten werden, widerspricht daher einerseits dem Kriterium der Freiwilligkeit als auch jenem der Verständ¬lichkeit, welche für eine DSGVO-konforme Einwilligung nach Art. 7 iVm Art. 4 Z 11 DSGVO jedoch essenziell sind.
    Zum anderen entspricht auch die Platzierung der Ein¬willigungserklärung direkt über der Unterschrift, welche die Anmeldung zur Mitgliedschaft bestätigt, nicht den genannten Kriterien, da durch einen solchen Aufbau der irrige Eindruck erweckt wird, die Einwilligung zu einer Datenverarbeitung für Marketingzwecke sei für die An¬meldung zur Mitgliedschaft erforderlich.
    Obendrein ist auch die Darstellung der Einwilligungserklä¬rung in einem unmittelbaren textlichen Zusammenhang mit der Widerrufsmöglichkeit nicht DSGVO-konform, weil für die betroffene Person hierdurch der fälschliche Anschein entsteht, der Datenverarbeitung vorerst jeden¬falls zustimmen zu müssen und diese erst durch späteren Widerruf unterbinden zu können (nicht zulässige „opt-out“-Lösung). Dieser Bescheid ist rechtskräftig

  2. #2
    Registriert seit
    11.10.2011
    Beiträge
    43

    Standard

    Hallo phelp,

    danke für die Infos. Aus welcher Quelle stammen sie?

    Viele Grüße

    kastanie

  3. #3
    Registriert seit
    23.02.2017
    Beiträge
    464

    Standard

    Hallo Kastanie


    ich vermute mal diese Quelle hier:

    https://www.ris.bka.gv.at/Dsk/

    Ist ne interessante Seite phelp

  4. #4
    Registriert seit
    29.05.2018
    Beiträge
    16

    Standard

    Der Link auf das RIS zeigt nur die Entscheidungen vor 2014.
    Ich beziehe meine Informationen aus dem Newsletter der österreichischen Datenschutzbehörde.
    Die Newsletter werden auch zeitverzögert auf der Webseite angeboten (https://www.dsb.gv.at/newsletter)

  5. #5
    Gast3 Gast

    Standard

    Vielleicht eine dumme Frage, aber sind Urteile in solchen Datenschutzangelegenheiten aus dem EU-Raum 1:1 auf das eigene Land (also in meinem Fall Deutschland) zu beziehen? Klar, die DSGVO ist eine EU-weite Sache, aber wie es mit solchen Entscheidungen aussieht, weiß ich nicht.

  6. #6
    Registriert seit
    19.06.2009
    Beiträge
    5.125

    Standard

    Eine rechtliche Bindungswirkung haben die Entscheidungen von ASB anderer Mitgliedstaaten ebenso wenig wie die der deutschen.
    Das praktische Gewicht würde ich grundsätzlich gleich einschätzen. Die ASB hat - soweit ersichtlich - keine formelle EU-weite Abstimmung unternommen, geht also davon aus, dass die anderen gleicher Meinung sind. Meist wird das zutreffen. Wir werden aber sicher auch bald erleben, dass nachträglich andere ASBs andere Positionen vertreten und die Abstimmung dann zu einem anderen Ergebnis führt.

    Bei Gerichtsurteilen sieht es übrigens genauso aus.
    Ulrich Dammann
    Moderator - Administrator

  7. #7
    Gast3 Gast

    Standard

    Danke für die Erläuterung.

Ähnliche Themen

  1. Anzeigepflicht in ADV gegenüber Datenschutzbehörde?
    Von Jan.Werth im Forum AV Auftragsverarbeitung
    Antworten: 1
    Letzter Beitrag: 10.06.2013, 14:14
  2. Antworten: 2
    Letzter Beitrag: 22.09.2010, 08:17
  3. Datenschutzbehörde missachtet selbst Datenschutzanforderungen?!?
    Von juliasinger im Forum Datenschutz - Gesellschaft - Politik
    Antworten: 6
    Letzter Beitrag: 19.08.2010, 15:36

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •