Im Rahmen unserer Website werden ausschließlich zwei technisch notwendige Cookies gesetzt, um die grundlegende Funktionalität der Website - in technischer Hinsicht - zu gewährleisten. Datenschutzerklärung

Bekanntmachungen der Datenschutzbehörde

Schwerpunktverfahren 2024 – Recht auf Auskunft

Die DSB führte im Jahr 2023 eine Schwerpunktprüfung im Finanzsektor durch. In diesen Verfahren lag der Fokus insbesondere auf die Einbindung des Datenschutzbeauftragten im Unternehmen. Der Fragenkatalog zum Datenschutzbeauftragten wurde von den europäischen Datenschutzbehörden im Rahmen des sogenannten „Coordinated Enforcement Framework“ (CEF) – einer jährlich stattfindenden koordinierten Prüftätigkeit – erarbeitet.

Im Jahr 2024 wird erneut eine Schwerpunktprüfung durch die DSB durchgeführt, der konkrete Sektor wird noch bekannt gegeben.

Dieses Jahr liegt der Fokus des CEF – und damit der Schwerpunktprüfungen der DSB – auf der Umsetzung von Artikel 15 DSGVO. Beim Recht auf Auskunft handelt es sich um eines jener Betroffenenrechte, welches am häufigsten Gegenstand einer Datenschutzbeschwerde ist. Diesbezüglich wird wiederum ein gemeinsamer Fragenkatalog von den europäischen Aufsichtsbehörden ausgearbeitet.

Im Jahr 2023 verabschiedete der EDSA Leitlinien zum Recht auf Auskunft, um Verantwortlichen Hilfestellungen bei der Bearbeitung von Auskunftsanträgen zu geben.

ORF-Beitrag (vormals: GIS-Rundfunkgebühren)

Allgemeines:

Die GIS Gebühren Info Service GmbH (GIS) wurde gemäß § 21 Abs. 1 ORF-Beitrags-Gesetz 2024 in ORF-Beitrags Service GmbH (OBS) umbenannt.

Der OBS obliegt gemäß § 10 ORF-Beitrags-Gesetz 2024 die Aufgabe, den ORF-Beitrag zu erheben sowie die Beitragsschuldner zu ermitteln. Beim ORF-Beitrag handelt es sich vereinfacht gesagt um ein Bündel gesetzlich geregelter Zahlungsverpflichtungen. Anders als nach der alten Rechtslage kommt es nicht mehr darauf an, ob ein Rundfunkempfangsgerät bereitgehalten wird.

Der ORF-Beitrag ist kein vertragliches Abo-Entgelt für den Empfang der Programme des öffentlich-rechtlichen Österreichischen Rundfunks (ORF). Man kann den ORF-Empfang oder den ORF-Beitrag daher auch nicht „kündigen“.

Zulässigkeit:

Der OBS ist nach Maßgabe des § 13 ORF-Beitrags-Gesetz 2024 ein privilegierter Zugang zu den Daten der Meldebehörden eingeräumt. Sie erhält dazu Daten aus den Melderegistern. Die OBS ist darüber hinaus berechtigt, jedenfalls die in § 9 Abs. 2 ORF-Beitrags-Gesetzes 2024 angeführten Datenkategorien sowie die entsprechenden Meldedaten zu verarbeiten.

Bitte beachten Sie, dass eine Beschwerde bei der Datenschutzbehörde nicht zur Befreiung vom ORF-Beitrag führen kann. Die Datenschutzbehörde kann im Rahmen einer Datenschutzbeschwerde nur über eine behauptete Verletzung datenschutzrechtlicher Bestimmungen absprechen. Eine Befreiung von der ORF-Beitragspflicht ist nur nach Maßgabe des § 4a ORF-Beitrags-Gesetzes 2024 möglich.

Schwerpunktprüfung des Finanzsektors: positive Bilanz

Datenschutzbehörde zieht nach Prüfung des Finanzsektors positive Bilanz

Im Rahmen der jährlichen Schwerpunktprüfung evaluierte die Datenschutzbehörde im Jahr 2023 ausgewählte Institute im Finanzbereich. Besonders im Fokus standen dabei die Verwendung von personenbezogenen Daten für Werbezwecke und die Stellung der Datenschutzbeauftragten.

Im Rahmen der Schwerpunktprüfung 2023 untersuchte die in Wien ansässige Behörde ausgewählte Kreditinstitute.

Das Resümee ist durchaus positiv. „Die DSGVO ist in der Praxis angekommen“, sagt Matthias Schmidl, seit 1. Jänner 2024 Leiter der Datenschutzbehörde.

Branche „gut aufgestellt“

Im besonderen Fokus der Schwerpunktprüfung standen die (Weiter-)Verarbeitung von Bank- und Kontodaten zu Werbezwecken und die Prüfung der Stellung der Datenschutzbeauftragten. Datenschutzbeauftragte nehmen in Unternehmen als Bindeglied zwischen Datenschutz und Management eine zentrale Rolle bei der Umsetzung und Einhaltung der Datenschutzvorschriften ein. Mit der Evaluierung der Rolle der Datenschutzbeauftragten setzte die DSB auch die vom Europäischen Datenschutzausschuss im vergangenen Jahr vereinbarte koordinierte Prüftätigkeit im Rahmen des "Coordinated Enforcement Framework" um.

Im Zuge der Untersuchung ergaben sich vor allem Fragen zu den Rechtsgrundlagen der Datenverarbeitungen, zur Speicherdauer und zu internationalen Datenübermittlungen. Grobe Verfehlungen entdeckte die DSB im Finanzsektor keine, die meisten Verfahren wurden bereits eingestellt. „Die Branche ist gut aufgestellt“, resümiert Behördenleiter Schmidl.

Auch für das Jahr 2024 ist wieder ein Schwerpunktverfahren geplant. Welcher Sektor diesmal evaluiert wird, wird nach Beginn bekannt gegeben.

Schwerpunktprüfungen der DSB können mit einschneidende Maßnahmen bei Verstößen enden

Die DSB führt jährlich Schwerpunktprüfungen verschiedener Branchen und Sektoren durch. Zweck dieser amtswegigen Untersuchungen ist die Sicherstellung von datenschutzrechtlicher Standards und die Sensibilisierung für neue Herausforderungen und Risiken im digitalen Zeitalter. Im Zuge dieser Verfahren müssen Verantwortliche umfangreiche Fragebögen zu datenschutzrechtlichen Themen beantworten. Auch Inspektionen vor Ort und mündliche Einvernahmen können durchgeführt werden.

Bei schwerwiegenden Verstößen kann die DSB einschneidende Maßnahmen ergreifen, auch außerhalb dieser Verfahren. So verhängte die Behörde etwa eine Geldbuße in Höhe von 18 Millionen Euro gegen ein Unternehmen, auch wurde dem AMS bspw. die Verwendung des sogenannten „AMS-Algorithmus“ untersagt. In beiden Verfahren ist noch eine Entscheidung des Verwaltungsgerichtshofs ausständig.

Vorläufige neue Rechtsansicht der Datenschutzbehörde bezüglich Auskunfteien über Kreditverhältnisse gemäß § 152 GewO aufgrund der Urteile des EuGH vom 07.12.2023, C-634/21 sowie der verbundenen Rechtssachen C-26/22 und C-64/22 ("SCHUFA-Urteile")

EuGH schränkt Speicherzeitraum für bestimmte Daten ein

In zwei maßgeblichen Urteilen hat der Europäische Gerichtshof (EuGH) über die Rahmenbedingungen für bestimmte Datenverarbeitungen durch Kreditauskunfteien entschieden. Die beiden Entscheidungen des EuGH (C-634/21 sowie die verbundenen Verfahren C-26/22 und C-64/22), die Anfang Dezember 2023 ergingen, wirken sich vordergründig auf die Speicherdauer von Daten über Insolvenzen und Zahlungsausfällen sowie auf das sogenannte „Scoring“ aus. Keine längere Speicherdauer als in öffentlichen Registern

Kreditauskunfteien erteilen grundsätzlich kostenpflichtig Auskunft über die Bonität, also Zahlungsfähigkeit, von Unternehmen aber auch Privatpersonen. Für diese Einschätzung der Bonität ist ein möglichst großer Datensatz über die wirtschaftliche Vergangenheit einer Person selbstverständlich nützlich. Das Interesse daran ist aber mit dem datenschutzrechtlichen Interesse der Betroffenen auszubalancieren.

Bis zuletzt war es für Kreditauskunfteien in Österreich möglich, Insolvenzdaten in der Regel fünf Jahre nach Löschung aus der Ediktsdatei, zu speichern. Aufgrund der genannten Urteile steht nunmehr fest, dass private Kreditauskunfteien aus einem öffentlichen Register stammende Daten über Insolvenzen, bei denen es zu einer Restschuldbefreiung gekommen ist, nicht länger speichern dürfen, als sie auch in diesen abrufbar sind.

Mit anderen Worten: Private Kreditauskunfteien haben derartige Daten sofort zu löschen, wenn diese nicht mehr in der Ediktsdatei öffentlich einsehbar sind.

EuGH erlaubt „Scoring“ nur mehr im Einzelfall

Auch in Bezug auf das sogenannte „Scoring“ sind die jüngsten EuGH-Urteile wesentlich. Unter Scoring versteht man die Berechnung eines bestimmten Wahrscheinlichkeitswertes („Score“), der Aufschluss über die (vermutete) Zahlungsfähigkeit einer Person geben soll. Dazu wird ein Bündel an personenbezogenen Daten wie etwa Alter, Geschlecht, Beruf oder Zahlungserfahrungsdaten verwendet und durch mathematische Berechnungen ein Wert ermittelt, der darüber Auskunft geben soll, wie hoch die Wahrscheinlichkeit eines Zahlungsausfalls dieser Person ist Dieser Wert wird anderen Unternehmen über Anfrage zur Verfügung gestellt, die dann die Entscheidung treffen, ob sie mit dieser Person ein Geschäft (vor allem ein Fernabsatzgeschäft) abschließen.

Der Gerichtshof hat nun entschieden, dass die Datenverarbeitung zwecks „Scoring“ unter Art. 22 DSGVO (Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling) fällt, sofern von diesem Wert maßgeblich abhängt, ob ein Dritter mit dem Betroffenen einen Vertrag abschließt. Demnach können sich Kreditauskunfteien nicht mehr pauschal auf ihr „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DSGVO) stützen, sondern nur auf eine Ausnahmebestimmung nach Art. 22 Abs. 2 DSGVO.

Dies bedeutet, dass Kreditauskunfteien zukünftig bei jedem Einzelfall im Streitfall nachweisen müssen, ob diese Art der „automatisierten Entscheidung im Einzelfall“ gemäß Art. 22 DSGVO gerechtfertigt ist.

2023-0.891.733-2-A - Erledigung_20.12.2023 (PDF, 330 KB)

Information der Datenschutzbehörde zur Entscheidung über den sogenannten „GIS Data Breach“

Die Datenschutzbehörde hat im Verlauf des Jahres 2023 mehrere Datenschutzbeschwerden erhalten, die gegen die GIS Gebühren Info Service GmbH („GIS“) gerichtet waren. Gegenstand dieser Datenschutzbeschwerden war der sogenannte „GIS Data Breach“. Zusammengefasst handelt es sich um einen Vorfall aus dem Jahre 2020, bei dem es zu einer Kompromittierung von Meldedaten gekommen ist.

Im Rahmen des Ermittlungsverfahrens gelangte die Datenschutzbehörde in den meisten Fällen zu dem Ergebnis, dass die jeweils beschwerdeführende Partei von dem gegenständlichen Vorfall betroffen ist. Das bedeutet, dass die Meldedaten der beschwerdeführenden Partei zum damaligen Zeitpunkt im Internet zum Verkauf angeboten wurden. Sofern in diesen Fällen eine Verletzung im Recht auf Geheimhaltung oder die Rechtmäßigkeit der Datenverarbeitung geltend gemacht wurde, hat die Datenschutzbehörde einen entsprechenden Verstoß der GIS gegen datenschutzrechtliche Bestimmungen bescheidmäßig festgestellt. Diese Bescheide sind nicht rechtskräftig.

Bitte beachten Sie, dass allfällige Schadenersatzansprüche nicht von der Datenschutzbehörde zugesprochen werden können. Diesbezügliche Eingaben an die Datenschutzbehörde sind daher nicht zielführend. Allfällige Schadenersatzansprüche sind ausschließlich bei den Zivilgerichten geltend zu machen.

Hier finden Sie einen (nicht rechtskräftigen) Musterbescheid zu Ihrer Information (Dateigröße: 387 KB).

Dringlichkeitsentscheidung des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten für verhaltensbezogene Werbung durch Meta

Am 27. Oktober 2023 erließ der Europäische Datenschutzausschuss (EDSA) eine verbindliche Entscheidung im Dringlichkeitsverfahren gemäß Art. 66 DSGVO (EDSA Pressemitteilung Dringlichkeitsentscheidung Meta), mit der die irische Datenschutzbehörde (DPC) als federführende Aufsichtsbehörde angewiesen wird, innerhalb von zwei Wochen endgültige Maßnahmen in Bezug auf Meta Ireland Limited (Meta IE) zu ergreifen und ein Verbot der Verarbeitung personenbezogener Daten für verhaltensbezogene Werbung auf der Rechtsgrundlage von Verträgen (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) im gesamten Europäischen Wirtschaftsraum zu verhängen.

Diese Dringlichkeitsentscheidung folgt einem Ersuchen der norwegischen Datenschutzbehörde gemäß Art. 66 Abs. 2 DSGVO, hinsichtlich ihres vorübergehenden Verbots von personalisierter Werbung auf Facebook und Instagram vom 4. August 2023 (datatilsynet.no_temporary-ban-of-behavioural-advertising-on-facebook-and-instagram) endgültige Maßnahmen zu ergreifen, die im gesamten Europäischen Wirtschaftsraum wirksam sind.

Das Verbot der Verarbeitung wird eine Woche nach der Mitteilung der endgültigen Maßnahmen durch die irische Datenschutzbehörde an Meta in Kraft treten.

Die irische Datenschutzbehörde hat Meta am 31. Oktober 2023 über die verbindliche Dringlichkeitsentscheidung des EDSA informiert.

Information der Datenschutzbehörde zum Google Fonts-Prüfverfahren, Stand 19. Oktober 2023

Die Datenschutzbehörde hat in der Vergangenheit vermehrt Anfragen zum Thema „Abmahnungen“ wegen Google Fonts erhalten. Laut den der Datenschutzbehörde vorliegenden Informationen haben zahlreiche Unternehmen ein anwaltliches Schreiben erhalten, mit dem diese u.a. aufgefordert wurden, aufgrund der Einbindung von Google Fonts auf der Unternehmenswebsite einen Schadenersatzanspruch anzuerkennen. Darüber hinaus wurden zahlreiche Unternehmen aufgefordert, eine Unterlassungserklärung abzugeben.

Zur Klärung des Sachverhalts hat die Datenschutzbehörde gemäß Art. 58 Abs. 1 lit. b DSGVO eine Datenschutzüberprüfung (amtswegiges Prüfverfahren) gegen Google LLC eingeleitet. Gegenstand dieser Datenschutzüberprüfung war das Produkt Google Fonts und die mit diesem Produkt im Zusammenhang stehende Verarbeitung personenbezogener Daten.

Im Rahmen des Prüfverfahrens wurden mehrere schriftliche Stellungnahmen von Google LLC eingeholt. Es wurden Fragen zu rechtlichen und technischen Aspekten des Produkts Google Fonts gestellt. Darüber hinaus wurde eine mündliche Verhandlung durchgeführt. An der Verhandlung nahmen Vertreterinnen und Vertreter von Google LLC teil.

Ausgehend von den Ermittlungsergebnissen hat die Datenschutzbehörde die folgenden Schlussfolgerungen gezogen:

  • Es kommt nur dann zu einer Datenübermittlung an die Server von Google LLC oder Google Ireland Limited, wenn Google Fonts über einen Google-Server (nach)geladen werden. Bei einer lokalen Einbindung der Schriftarten am eigenen Server kommt es zu keiner solchen Datenübermittlung.

Die folgenden Überlegungen stehen unter der Prämisse, dass Google Fonts nicht-lokal eingebunden sind:

  • Es kommt nicht in allen Fällen zu einer Datenübermittlung an die Server von Google LLC in den USA. Vielmehr ist dies insbesondere davon abhängig, an welchem geografischen Standort sich der Nutzer (bzw. der Server seines Internetproviders) befindet, welcher eine Anwendung aufruft, die Google Fonts eingebunden hat. Im Streitfall hat eine einzelfallbezogene Prüfung des Datenflusses zu erfolgen.
  • Als Folge der Einbindung von Google Fonts in einer Anwendung erhalten Google LLC oder Google Ireland Limited zumindest die folgenden Daten: IP-Adresse, HTTP-Header einschließlich „Referrer“ sowie den „User-Agent“ des Internetbrowsers.
  • Anders als bei einigen anderen Google-Produkten (wie Google Analytics) ist eine Verknüpfung zwischen Google Fonts Daten und einem Google-Account jedoch unter keinen Voraussetzungen vorgesehen. So sind Schriftartenanfragen getrennt von google.com und enthalten keine Anmeldeinformationen, die bei der authentifizierten Nutzung anderer Google-Dienste (wie etwa Gmail) an google.com gesendet werden. Als weitere Schutzmaßnahme werden IP-Adressen und HTTP-Header einschließlich „Referer“ sowie „User-Agent“ des Internetbrowsers getrennt verarbeitet.
  • Die IP-Adressen werden zu dem Zweck verarbeitet, Angriffe (wie „DoS-Angriffe“) zu erkennen, zu verhindern und zu bekämpfen. Soweit IP-Adressen im Einzelfall als personenbezogene Daten zu qualifizieren sind, kann die Verarbeitung zu den angeführten Zwecken durch berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gedeckt sein. Die IP-Adressen einschließlich „Referer“ und „User-Agent“ des Internetbrowsers werden nicht zu Werbezwecken verarbeitet.
  • Aus Sicht der Datenschutzbehörde werden allerdings die Vorgaben der datenschutzrechtlichen Informationspflicht gemäß Art. 12 Abs. 1 und Art. 13 DSGVO nicht vollständig erfüllt, zumal es sich bei IP-Adressen – je nach Einzelfall – um personenbezogene Daten handeln kann. Dieser Umstand wurde an Google LLC herangetragen.

Diese Schlussfolgerungen beziehen sich nur auf das Produkt Google Fonts und sind vorbehaltlich allfälliger Änderungen des Produkts Google Fonts nach Abschluss der Datenschutzüberprüfung zu verstehen.

Abschließend ist klarzustellen, dass die formale Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist.

Information der Datenschutzbehörde zum neuen Angemessenheitsbeschluss für die Vereinigten Staaten

Am 10. Juli 2023 wurde von der Europäischen Kommission ein neuer Angemessenheitsbeschluss gemäß Art. 45 DSGVO für die Vereinigten Staaten von Amerika angenommen, das sog. EU-U.S. Data Privacy Framework (siehe https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721).

Zu beachten ist, dass der Angemessenheitsbeschluss nur partiell gilt und nur Datenübermittlungen an jene Datenimporteure in den Vereinigten Staaten abdeckt, die in der sog. Data Privacy Framework List aufscheinen (eine Suche ist unter https://www.dataprivacyframework.gov/s/participant-search möglich).

Scheint ein Datenimporteur in den Vereinigten Staaten in dieser Liste auf, ist die Übermittlung personenbezogener Daten allein auf Basis des Angemessenheitsbeschlusses möglich und müssen keine weiteren Maßnahmen iSd. Art. 46 DSGVO gesetzt werden.

Hingegen müssen Datenübermittlungen an Datenimporteure in den Vereinigten Staaten, welche nicht unter das EU-U.S. Data Privacy Framework fallen, weiterhin auf andere geeignete Garantieinstrumente iSd. Art. 46 DSGVO (bspw. Standarddatenschutzklauseln samt ggf. zusätzlicher Maßnahmen) oder – falls anwendbar – auf Ausnahmetatbestände iSd. Art. 49 DSGVO gestützt werden.

Verantwortliche Datenexporteure haben daher vor Durchführung der jeweiligen Datenübermittlung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu prüfen, ob die Übermittlung in den Anwendungsbereich des neuen Angemessenheitsbeschlusses fällt, oder ob anderweitige Übermittlungsgrundlagen heranzuziehen sind.

Der neue Angemessenheitsbeschluss wird ein Jahr nach seinem Inkrafttreten einer ersten Überprüfung durch die Europäischen Kommission unterzogen.

Relevante Dokumente:

COMMISSION IMPLEMENTING DECISION of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework

Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework

Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023

Amtswegige Prüfverfahren im Finanzbereich eingeleitet

Die DSB führt heuer wieder Schwerpunktverfahren durch, in welchen Verantwortliche eines bestimmten Sektors einer vertieften Prüfung unterzogen werden.

Im Rahmen der Schwerpunktverfahren 2023 werden mehrere Kreditinstitute in Hinblick auf die Einhaltung der DSGVO untersucht. Die Überprüfungen beginnen in der Regel mit der Anweisung das Verzeichnis von Verarbeitungstätigkeiten vorzulegen sowie mit der Versendung eines Fragebogens, in welchem der Verantwortliche aufgefordert wird, zu allgemeinen und sektorspezifischen datenschutzrechtlichen Fragen Stellung zu nehmen. Im weiteren Verfahren sind auch Einschauen und mündliche Verhandlungen möglich.

Im Zuge dieser Prüfverfahren wird auch die Rolle der Datenschutzbeauftragten der jeweiligen untersuchten Finanzunternehmen genauer unter die Lupe genommen. Zu diesem Zweck haben die europäischen Datenschutzbehörden im Rahmen des sogenannten „Coordinated Enforcement Framework“ (CEF) einen entsprechenden Fragebogen ausgearbeitet.

Jahrestagung der öffentlichen Datenschutzbeauftragten am 4. und 5. Mai 2023 in Graz

Datenschutz-Expert*innen von Bund, Ländern, Städten und Gemeinden, aber auch aus dem Ausland, kamen in der Messe Graz zusammen, um sich austauschen und die neuesten Informationen zu datenschutzrechtlichen Fragestellungen zu erhalten.

Copyright © Stadt Graz, Foto Fischer

v. l. n. r. Dr. Johannes Schmid (stv. Generalsekretär des Österreichischen Städtebundes), Dr. Matthias Schmidl (stv. Leiter der Österreichischen Datenschutzbehörde), Dr. Ulrike Wimmer-Heller, (Datenschutzbeauftragte des Bundeskanzleramtes), Mag. Judith Schwentner (Vize-Bürgermeisterin der Stadt Graz), Dr. Walther Nauta (Datenschutzbeauftragter der Stadt Graz)

Bei der hybrid ausgetragenen Jahrestagung der Datenschutzbeauftragten am 4. und 5. Mai 2023 in Graz, gemeinsam veranstaltet vom Bundeskanzleramt, dem Österreichischen Städtebund und der österreichischen Datenschutzbehörde, mit über 150 Teilnehmer*innen standen unter anderem folgende Themen am Programm:

Datenschutz-Grundverordnung, Maßnahmen zur Steigerung der Datensicherheit, Datenaustausch zwischen den USA und der Europäischen Union, Rechtsprechung des Europäischen Gerichtshofes, Rechtsprechung des Bundesverwaltungsgerichts, Entscheidungen der Datenschutzbehörde, Social Media-Auftritte von Verwaltung und Politik oder ChatGPT.

Hier finden Sie eine Aufzählung der Vortragenden und Themen der Jahrestagung:

  • Eva Souhrada-Kirchmayer (Richterin am Bundesverwaltungsgericht) – Rechtsprechung des BVwG zur DSGVO und zum DSG
  • Günter Wildmann (Corporate Privacy Officer der Kapsch Group) – Einfache Maßnahmen zur Steigerung der Datensicherheit
  • Marit Hansen (Landesbeauftragte für Datenschutz in Schleswig-Holstein) – Risiko und Rechenschaftspflicht (Online-Vortrag)
  • Marie-Louise Gächter (Leiterin der Datenschutzstelle Liechtenstein) – EU-USA Data Privacy Framework
  • Gerhard Kunnert (Verfassungsdienst Bundeskanzleramt) – Rechtsprechung des EuGH
  • Georg Miernicki (Amt der Niederösterreichischen Landesregierung) – Artikel 20. Abs. 5 B-VG - Veröffentlichungspflicht von Studien etc.
  • Matthias Schmidl (stv. Leiter der Datenschutzbehörde) – relevante Entscheidungen der Datenschutzbehörde
  • Christiane Lackner (Mitarbeiterin der Datenschutzbehörde) – Social Media und öffentliche Verantwortliche
  • Gerald Trieb (Partner der Rechtsanwaltskanzlei Knyrim Trieb Rechtsanwälte OG) - Betroffenenanfragen, Medienprivileg und internationaler Datentransfer
  • Christof Tschohl (Digital Human Rights Center) – Kommunale Themen samt anschließender Diskussion

Die so zahlreiche Teilnahme von Vertreter*innen aus Bundesministerien, Ämtern der Landesregierung, Stadtverwaltungen, aber auch von den Gerichtshöfen des öffentlichen Rechts und Landesverwaltungsgerichten unterstreicht einmal mehr die zentrale Rolle, die den Datenschutzbeauftragten in Zeiten von immer rasanter werdenden technischen Entwicklungen (Social Media, künstliche Intelligenz u.v.m.) zukommt.

Ein besonderer Dank gilt der Stadt Graz für die ausgezeichnete Organisation vor Ort.

Die Veranstalter freuen sich bereits auf die nächste Jahrestagung der öffentlichen Datenschutzbeauftragten, welche 2024 voraussichtlich in Linz stattfinden wird!

Information der Datenschutzbehörde zum vollständigen Auslaufen der Standardvertragsklauseln

Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO werden von der Europäischen Kommission erlassen und können bei Fehlen eines Angemessenheitsbeschlusses iSd. Art. 45 DSGVO als geeignete Garantien – ggf. unter Ergänzung zusätzlicher Maßnahmen – für die Übermittlung personenbezogener Daten an Empfänger in Drittländern herangezogen werden.

Die Europäische Kommission hat am 4. Juni 2021 mit Durchführungsbeschluss (EU) 2021/914 „neue“ Standarddatenschutzklauseln erlassen. Gemäß dessen Art. 4 Abs. 2 und Abs. 3 wurden die auf Basis der ehemaligen Richtlinie 95/46/EG mit Entscheidung 2001/497/EG und Beschluss 2010/87/EU erlassenen Standardvertragsklauseln mit Wirkung vom 27. September 2021 aufgehoben und können gemäß Art. 4 Abs. 4 auf vor diesem Zeitpunkt abgeschlossene Vereinbarungen nur mehr bis zum 27. Dezember 2022 herangezogen werden.

Dies hat zur Folge, dass die auf Basis der Richtlinie 95/46/EG erlassenen Standardvertragsklauseln mit Ablauf des 27. Dezember 2022 ihre Gültigkeit zur Gänze verlieren und keine Grundlage für die Übermittlung personenbezogener Daten iSd. Kapitels V der DSGVO mehr darstellen.

Verantwortliche und Auftragsverarbeiter sollten daher prüfen, ob ihre Datenübermittlungen noch auf Grundlage der „alten“ Standardvertragsklauseln erfolgen und – wenn ja – diese durch die neue Version bzw. andere geeignete Garantien ersetzen.

Relevante Dokumente:

Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates

Europäische Kommission, Questions and Answers for the two sets of Standard Contractual Clauses

Start einer koordinierten Maßnahme betreffend die Nutzung von Cloud basierten Diensten im öffentlichen Sektor

Der 15. Februar 2022 markierte den Start der ersten „koordinierten Maßnahme“ des Europäischen Datenschutzausschusses (EDSA) zum Thema „Nutzung von Cloud-gestützten Diensten durch öffentliche Stellen“.

Im Wesentlichen werden beginnend mit Februar 2022 insgesamt 22 nationale Aufsichtsbehörden (einschließlich des Europäischen Datenschutzbeauftragten) im gesamten Europäischen Wirtschaftsraum Untersuchungen zur Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor einleiten bzw. haben solche eingeleitet.

Hierbei werden über 80 öffentliche Institutionen, großteils aus den Bereichen Gesundheit, Finanzen, Bildung und öffentlicher Beschaffung, angesprochen. Aufbauend auf der gemeinsamen Vorbereitungsarbeit der teilnehmenden Aufsichtsbehörden – insbesondere wurde gemeinsam ein Fragebogen zu den relevanten Datenschutzaspekten erstellt – sollen auf nationaler Ebene die Herausforderungen öffentlicher Stellen bei einer DSGVO konformen Auswahl und Nutzung von Cloud-basierten Diensten untersucht werden. Vornehmlich werden die notwendigen Prozesse und Sicherheitsvorkehrungen beim Erwerb bzw. Problembereiche im Zusammenhang mit internationalem Datenverkehr, sowie jene Bestimmungen, die die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter regeln, beleuchtet.

Auch die österreichische Datenschutzbehörde beteiligt sich an dieser umfassenden Initiative und es wurde hierzu – in Übereinstimmung mit dem nationalen Verfahrensrecht – ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Art. 57 Abs. 1 lit. h iVm Art. 58 Abs. 1 lit. b DSGVO iVm § 22 Abs. 1 DSG gegen eine aus Sicht der Datenschutzbehörde geeignete Institution der öffentlichen (Bundes ) Verwaltung eingeleitet.

Die Ergebnisse werden anschließend zusammengefasst analysiert und mit Ende des Jahres 2022 in einem EWR-weiten Bericht in anonymisierter Form veröffentlicht.

Für weiterführende Informationen darf auf die korrespondierende Pressemitteilung des Europäischen Datenschutzausschusses verwiesen werden:

https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_de

Information der Datenschutzbehörde zur Entscheidung über die Verwendung von Google Analytics

Die Datenschutzbehörde hat sich im Rahmen eines Beschwerdeverfahrens mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) befasst. Bei Google Analytics handelt es sich um ein Google-Tool, mit dem Betreiber einer Website detaillierte Berichte über das Nutzerverhalten von Website-Besuchern erstellen können.
Beim Aufruf einer Website, die Google Analytics verwendet, wird dem Browser des Besuchers eine Google Analytics Kennnummer zugeordnet. Besucher können anhand dieser Kennnummer individualisiert und unterschiedlich behandelt werden. Zusätzlich besteht die Möglichkeit, diese Kennnummer mit weiteren Informationen zu kombinieren, wie etwa mit der IP-Adresse oder gewissen Browserdaten. Durch diese Kombination entsteht ein einzigartiger digitaler Fußabdruck, der dem Benutzer des Browsers zugeordnet werden kann. Wenn ein Besucher während des Aufrufs einer solchen Website in sein Google Konto eingeloggt ist, kann die Information über den Websitebesuch auch dem jeweiligen Google Konto zugeordnet werden.
Im Beschwerdeverfahren wurde festgestellt, dass dieser digitale Fußabdruck auch an die Server von Google LLC mit Sitz in den USA übermittelt wurde. Der Betreiber der Website und Google LLC haben Standarddatenschutzklauseln (in der Fassung des Durchführungsbeschlusses der Europäischen Kommission 2010/87/EU vom 5. Februar 2010) abgeschlossen. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union in C‑311/18 („Schrems II“) wurde diese Datenübermittlung als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie gemäß Artikel 44 DSGVO gefordert, gegeben war. Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigt haben.
Die Datenschutzbehörde hat daher mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können. Dieser Bescheid ist nicht rechtskräftig.
Bescheid: D155.027 GA (PDF, 907 KB)

Informationen zu Auskunftsbegehren an die Datenschutzbehörde

Die Datenschutzbehörde erhält derzeit eine hohe Anzahl an Auskunftsbegehren infolge der Versendung von Informationsschreiben zur COVID-19-Schutzimpfung.
Die Datenschutzbehörde speichert Ihre personenbezogenen Daten nur dann, wenn Sie mit der Datenschutzbehörde in Kontakt treten. Wenn Sie mit der Datenschutzbehörde bislang noch nicht in Kontakt waren, wird Ihnen die Datenschutzbehörde mitteilen, dass keine Daten zu Ihnen verarbeitet werden („Negativauskunft“).
Die Datenschutzbehörde weist darauf hin, dass sie keine Kenntnis über die Datenverarbeitung anderer Stellen hat.
Soweit Sie daher eine Auskunft über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dem Erhalt eines Informationsschreibens zur COVID 19-Schutzimpfung begehren, müssen Sie sich an die jeweilige Stelle, die das Informationsschreiben versandt hat, wenden.