DSGVO / BLOG

DSGVO.CARE / BLOG

DSGVO / Blog

Der einfühlsamste, etwas humoristische und alles Wichtige auf den Punkt bringende DSGVO-Blog in diesem Universum.


Nein, die Strafen werden euch nicht bezahlt! Aber immerhin die Anwalts- und Prozesskosten bis zu 1 Mio €. Und weil man ja nicht immer gleich alles vor Gericht austragen muss, gibts Mediationskosten bis 10.000 € ebenso ersetzt. Ermöglicht wird das Ganze vom deutschen Start-Up hepster in Kooperation mit der etablierten ROLAND Rechtsschutz-Versicherungs-AG.
Wir halten das für eine gute, weil äußerst überschaubare Investition - vor allem im Vergleich zu den vielen Cyber Seciurity Versicherungen, welche ebenfalls teils als DSGVO-Versicherungen angepriesen werden.

Das Bayrische Oberste Landesgericht entscheidet, dass potentielle Gerichtsverfahren eine pauschale Aufbewahrung personenbezogener Daten rechtfertigen. Die Österreichische Datenschutzbehörde entscheidet dies sei nur in konkreten Verdachtsfällen erlaubt. So what ? Bitte gebt uns endlich die europäische Super-Datenschutzbehörde!

Das macht alles natürlich mal wieder etwas komplizierter. In Österreich würden wir dazu raten, im Bereich des Abgabenrechts vorsichtig zu sein bei der Aufbewahrung von Daten, in anderen Bereichen würden wir - im Moment - dazu tendieren die Daten bis zum Ende der Verjährung aufzubewahren. Nun es könnte auch einfacher Sein - könnte - ist es aber mal weider nicht ;)

Viele sehen nur die horrenden Strafandrohungen der Behörden und denken damit wäre es getan. Doch so einfach war die Welt noch nie - und ist es auch in diesem Fall nicht. Wurde nämlich von der Behörde eine Strafe verhängt, ist dies der Moment für Betroffene, sich Gedanken zu machen, in wie weit die Verfehlungen des sanktionierten Unternehmens, negative Auswirkungen auf das eigene Leben haben (könnten). Der Weg zum Zivilgericht steht offen - und was dort passiert, kann für die Unternehmen noch wesentlich bedrohlicher sein als das DSGVO-Bußgeld...

WhatsApp ist grundsätzlich heikel, warum, denke ich, müssen wir hier nicht noch mal erläutern. Wenn ich jetzt noch eine WhatsApp-Gruppe einrichte und in dieser die Krankenstandsmeldungen einzelner Mitarbeiter poste, wirds richtig spannend - vor allem, wenn sich in dieser Gruppe sozusagen "Kraut & Rüben" an Mitarbeitern befinden. Handelt es sich bei einer Krankenstandsmeldung ohne Diganose wie man vielleicht intuitiv annehmen könnte um Artikel 9 (sensible) Daten? Eher nicht. Wenn man jedoch neben Daten welche die Arbeitsunfähigkeit betreffen (dies lässt sich natürlich argumentieren) auch noch die Sozialversicherungsnummer munter mit teilt, stellt sich die Frage, auf welcher Rechtsgrundlage dies den geschieht?

Dashcams sind des Teufels! Sie sind absolut verboten und seit wir die DSGVO haben sowieso und überhaupt! Diese Meinung wurde hierzulande lange Zeit vertreten. Doch mittlerweile hat die österreichische Behörde ihre Meinung, so scheint es, geändert - zumindest "vorläufig" wenn man sich dem bewährten Juristen-Deutsch etwas intimer widmet. Ein Hoch auf diese Einigkeit in der EU und den nationalistischen Eifer der dieser Einigkeit stets so zuträglich ist ;)

1.500€ - dafür muss man bei einem Preis von 4,50€ rund 333 Döner Kebap verkaufen, wenn wenn man keinen Wareneinsatz zu bezahlen hat und von jeglichen Abgaben befreit sowie die Arbeit dazu gratis ist. Weg von diesem Unrealistischen Beispiel, hin zum realistischen Urteil der Datenschutzbehörde: 1.500€ für generöses Anfertigen von Videomaterial der umliegenden Gegend - so könnte man das pointiert zusammen fassen, doch lesen Sie mehr dazu im Artikel.

Einerseits die DSGVO, andererseits zahlreiche andere Verpflichtungen, und manchmal kommen sich diese in die Quere. So erging es bestimmt schon zahlreichen Unternehmen. Einander widersprechende Formulierungen sind leider kein Einzelfall und bereiten oftmals Kopfzerbrechen. Wenns um Gesundheitsdaten geht, schrillen bei vielen zum Glück die Alarmglocken. Derzeitige Praxis: Die Daten müssen für eine Prüfung durch das Finanzamt zuvor anonymisiert werden, damit man nicht gegen eine berufliche Schweigepflicht verstößt zum Beispiel!

Die Rumänische Datenschutzbehörde hat bei einem österreichsichen Unternehmen zugeschlagen - Raiffeisen. Die Begründung; Austausch vertraulicher Kunden-Daten mittels Whatsapp, nicht ausreichende interne Kontrollmaßnahmen, und eine fehlende Riskioanalyse. Ja da hätte man wohl DSGVO.CARE/Consulting benötigt.

Es ist so weit. Erste DSGVO-Millionenstrafe in Österreich - für die österreichische Post. Begründung; Das Erstellen von politischen Profilen von rund 2,2 Millionen Personen. Gegen den Bescheid wurde berufen.
Weiter gehts beim Bundesverwaltungsgerichtshof.

Google Analytics steht mal wieder in der Kritik dieses mal bei der Hambunger Aufsichtsbehörde. Die Datenschutzkonferenz (DSK) hat bereits klar gemacht, dass Tracking künftig nicht mehr DSGVO-konform ist ohne eine Einwilligung des Betroffenen. Dazu kommt darüber hinaus das laut Beschwerdeführer rund 20.000 Webseiten Google Analytics nicht nach den Empfehlungen der DSK implementiert haben.

Ein medizinisches Ambulatorium ohne Datenschutzbeauftragten oder Datenschutzfolgeabschätzung + weiterer kleiner Mängel ist der DSB 50.000€ wert. Die Argumentation, wonach die Rechtslage in diesen Punkten nicht eindeutig war, wertet die DSB als vorwerfbaren Rechtsirrtum, ein teurer "Irrtum"!

Mal wieder große Unterschiede zwischen Österreich und Deutschland. In Österreich benötigt man nur unter bestimmten Umständen einen Datenschutzbeauftragten, in Deutschland ab 20 Mitarbeitern (sofern diese auch etwas mit der Datenverarbeitung zu tun haben). Ja richtig, Deutschland hat nachgebessert noch vor nicht allzu langer Zeit lag die Grenze noch bei 10 Mitarbeitern.

Kein Angst vor der Data-Breach-Notification zumindest dann nicht, wenn man sein Möglichstes getan hat, vernünftige Technische und Organisatorische Maßnahmen (TOMs) hat. Zumindest wenn Sie in Deutschland melden. In Österreiche sieht das unter Umständen anders aus. Hier kann unter Umständen "alles was Sie sagen gegen Sie verwendet werden!"

Dieses heikle Thema beschäftigte das deutsche Bundesgericht nach Beschwerde eines Betriebsrates. Kurz und Knapp; dass der Widerspruch der schwangeren Arbeitnehmerinnen läuft unter bestimmten Umständen ins leere, wenn, wenn der BR darlegen kann, dass die Kenntnis des Namens der Arbeitnehmerin unerlässlich ist für die Erfüllung der gesetzlichen Verpflichtungen des BR.

Der Generalunternehmer/Bauträger gibt die Kontaktdaten der (End-)Kunden an Professionisten weiter. Soweit normal und logisch. Er macht dies zur Abwicklung von Gewährleistungsansprüchen. Nicht ok findet ein Betroffener - doch ok in diesem Fall, sagt die Datenschutzbehörde (DSB). Wichtig die Weitergabe von Daten an Subunternehmer sollte bereits Vertragsbestandteil sein. In Deutschland sieht das wiederum ganz anders aus und ist abhängig vom jeweiligen Bundesland...

Die deutschen Aufsichtsbehörden haben sich im Juni auf einen gemeinsamen Bußgeldkatalog geeinigt, und sie arbeitet auch bereits mit diesem! Unternehmensumsatz, Schweregrad des Verstoßes (Dauer, Zahl der Betroffenen, Ausmaß des Schadens), Zusammenarbeit mit der Behörde, getroffenen Maßnahmen zur Schadensminimierung und Verschulden fließen in die Kalkulation mit ein. Ordentliche Aufschläge für Wiederholungstäter:
bei mehr als 3 gleichen Verstößen, drohen Aufschläge bis zu 300%...