Unsere DSG-Info Nr. 106:
- Happy Birthday, DSGVO: Die ersten fünf Jahre
- Politisches Gerangel um Datentransfer in die USA: EU-Überwachungspraktiken im Radar des US-Justizministeriums
- EuGH-Urteil im „Post-Datenskandal“: Mehr Aufwand durch Pflicht zur Benennung konkreter Empfänger
- Wichtige EuGH-Entscheidung zum Schadenersatz
Am 25. Mai 2023 feiert die DSGVO ihren fünften Geburtstag, das ist Anlass und Gelegenheit für zahlreiche Fachveranstaltungen zum Thema. Finden Sie dazu einige Tipps unserer Redaktion.
Ein weiterer Dauerbrenner und datenschutzrechtlich höchst umstritten: Die sich rapide weiterentwickelnde KI und ihre vielfältigen Spielarten und Anwendungsmöglichkeiten. Finden Sie auch dazu unsere ausführliche Analyse.
Mit der ersten EuGH-Entscheidung zum Schadenersatzanspruch nach Art. 82 DSGVO haben Datenschutzexpert*innen endlich eine valide Rechtsgrundlage zur Einschätzung einschlägiger Sachverhalte. Auch die Ausführungen des Höchstgerichts über den notwendigen Umfang einer Kopie lassen die Fachwelt intensiv diskutieren.
Zu guter Letzt gibt’s noch Aktuelles rund um den US-Datentransfer sowie – schon bewährt – die Top-Bußgelder des vergangenen Monats und ein kleines Aviso für unser Datenschutz-Praxisseminar im Herbst. Wir wünschen viel Vergnügen bei der Lektüre!
DPO Open Talks: Wie beeinflussen die neuen EU Digital Acts die Rolle des Data Privacy Officers (DPOs)?
Lissabon, 27.04.2023 Thematisierte schon das internationale Data Symposium in Venedig die wachsenden Aufgaben für Datenschutzbeauftragte im Lichte der neuen EU Digital Acts, so widmete sich auch die heutige Ausgabe der DPO Open Talks den neuen EU-Regulativen und ihren Auswirkungen auf die verschiedenen datenschutzrechtlichen Rolleninhaber.
Bei der von Moderatorin Judith Leschanz, Geschäftsführerin der Secur-Data Betriebsberatungs-Gesellschaft m.b.H. und Vorstandsvorsitzende des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter, geleiteten Veranstaltung diskutierten Christoph Bausewein von der German Association for Data Protection and Data Security (BvD), František Nonnemann vom Tschechischen Datenschutzverband sowie sein griechischer Kollege Spiros Tassis über die Möglichkeiten und Wege, die Tätigkeiten des Datenschutzbeauftragten an die neuen europarechtlichen Regulierungen anzupassen. Ziel war es, einen Überblick über unterschiedliche datenschutzrechtliche Positionierungen einzelner EU-Mitgliedstaaten zu geben.
Die Veranstaltungsreihe wird organisiert von der European Federation of Data Protection Officers (EFDPO) gemeinsam mit der portugiesischen Vereinigung der Datenschutzbeauftragten (APDPO).

Privacy Symposium: Hochkarätiges Datenschutztreffen in Venedig
Mit am Panel: Secur-Data-Geschäftsführerin Judith Leschanz
Venedig, 24.04.2023 Bei der gemeinsam vom Europarat, der Ca’ Foscari Unversity of Venice und der italienischen Aufsichtsbehörde Garante per la protezione dei dati personali (GPDP) in diesem Frühjahr zum zweiten Mal in Venedig veranstalteten internationalen Datenschutzkonferenz war auch Österreich prominent vertreten: Judith Leschanz, Geschäftsführerin von Secur-Data und Vorstandsvorsitzende des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter, referierte über neue Herausforderungen für Data Privacy Officers (DPOs).
„Datenschutzkonforme Kommunikation wird rechtlich und technisch anspruchsvoller, insbesondere infolge neuer EU-Datenschutz-Acts und digitaler disruptiver Technologien“, verweist Leschanz auf die zunehmende Komplexität des rechtlichen Regelwerks. „Insbesondere die Rolle und die Aufgaben des Datenschutzbeauftragten werden dadurch erweitert und aufgewertet“, so die engagierte Managerin weiter.
Die fünftägige hochkarätige Konferenz hatte über 200 Expert*innen aus allen Bereichen des Datenschutzes zum fachlichen Dialog und Wissensaustausch in der Lagunenstadt geladen. „Auch für uns war die Konferenz ein wichtiger Input, um unser Leistungsspektrum an die neuen Regulative anzupassen“, so Leschanz abschließend.
Tesla-Mitarbeiter teilen private Aufnahmen von Kunden
San Francisco, 06.04.2023 Ein möglicher Skandal erschüttert das Vertrauen in den US-Elektroautohersteller Tesla. Wie die Nachrichtenagentur Reuters berichtet, sollen Mitarbeiter zwischen 2019 und 2022 Bilder und Videos, die von den eingebauten Kameras ihrer Kunden aufgenommen wurden, über ein internes Messaging-System untereinander geteilt haben. Darunter waren nicht nur intime Einblicke in das Privatleben der Kunden, sondern auch tragische Unfälle wurden zur Belustigung in „Memes“ verwandelt.
So berichten neun Ex-Mitarbeiter, dass Kunden nackt in deren Garage gefilmt wurden. Auch die Familienmitglieder der Tesla-Besitzer waren zu sehen. Ein Video zeigte, wie ein Tesla-Fahrer mit hoher Geschwindigkeit durch ein Wohngebiet raste und dabei ein Kind auf dessen Fahrrad traf.
Zweck der Verarbeitung war das Training des KI-Systems von Tesla, um die verschiedenen Verkehrsteilnehmer, Straßen und Verkehrsschilder automatisch zu erkennen und so Funktionen wie den Autopiloten zu ermöglichen. Hunderte Mitarbeiter erhalten diese Aufnahmen mit dem Auftrag, sie einer bestimmten Kategorie zuzuordnen. Tesla-Fahrer werden über diesen Vorgang informiert und müssen ihre Einwilligung erteilen. Diese umfasst aber eben nur den Zweck des KI-Trainings und nicht die Verbreitung zu anderen Zwecken.
Im Februar hatte bereits die niederländische Datenschutzbehörde Ermittlungen wegen Teslas „Sentry Mode“ aufgenommen. Dieser ermöglicht die Aufnahme von Bildmaterial, wenn verdächtige Aktivitäten um das geparkte Fahrzeug registriert werden. Nun hat Tesla reagiert und sämtliche Änderungen vorgenommen, sodass die Datenschutzbehörde von weiteren Strafverfahren absieht.
In einer Stellungnahme an Reuters konnte Tesla die datenschutzrechtlichen Bedenken nicht ausräumen. Es gibt keine Sicherheitsvorkehrungen, die eine unbefugte Weitergabe privater Daten durch Konzernmitarbeiter verhindern könnten.
Italienische Datenschutzbehörde untersagt ChatGPT-Verarbeitung
Rom, 31.03.2023 Die italienische Datenschutzbehörde GPDP (Garante per la Protezione dei Dati Personali, „Garante della privacy“) hat am 31. März den KI-Dienst ChatGPT mit sofortiger Wirkung im gesamten Land sperren lassen und ein Verfahren wegen Datenschutzverstößen gegen den US-Betreiber OpenAI eingeleitet. Grund dafür ist der Verdacht auf die nicht rechtmäßige Verarbeitung personenbezogener Daten und der fehlende Jugendschutz der KI-Plattform.
Der Chatbot genießt seit seiner Veröffentlichung im November 2022 vor allem bei Jugendlichen große Popularität. Die Website verzeichnete im Januar 2023 durchschnittlich 13 Millionen Besucher pro Tag. Mithilfe von künstlicher Intelligenz werden (auch komplexe) Fragen beantwortet und Texte anhand weniger Stichworte erstellt.
„Es fehlt die Rechtsgrundlage für eine massenhafte Erhebung und Speicherung personenbezogener Daten, um die dem Betrieb der Plattform zugrunde liegenden Algorithmen zu trainieren“, gab die italienische Datenschutzbehörde in einer Aussendung bekannt. Außerdem wurde das Fehlen eines Altersfilters, um Minderjährige vor verstörenden Inhalten zu schützen, beanstandet.
Das Unternehmen hat nun 20 Tage Zeit um den Behörden geeignete Datenschutzmaßnahmen zu präsentieren. Andernfalls droht eine Geldstrafe bis zu 20 Mio. Euro oder vier Prozent seines weltweiten Jahresumsatzes.

Intensives Update zum Datenschutz
Wien, 31.03.2023 Das neue HinweisgeberInnenschutzgesetz (HSchG) sowie eine ganze Reihe neuer EU-Acts standen bei der jüngsten Ausgabe der bewährten Praxis-Updates zum Datenschutz im Zentrum der Diskussion.
Das zweitägige Datenschutz-Follow-Up vom Beratungsunternehmen rund um Geschäftsführerin und Datenschutz-Managerin Judith Leschanz und „Branchendoyen“ Professor Hans-Jürgen Pollirer wurde wieder im bewährten Setting des Vienna Hilton Plaza veranstaltet. Die Teilnehmerinnen und Teilnehmer zeigten sich zufrieden mit dem Praxisbezug und jahrzehntelangen Branchenwissen der Vortragenden. Besonderes Highlight: Eine Analyse jüngster Entscheidungen, präsentiert von einem Gastreferenten der Österreichischen Datenschutzbehörde.
Das zweitägige Datenschutz-Follow-Up vom Beratungsunternehmen rund um Geschäftsführerin und Datenschutz-Managerin Judith Leschanz und „Branchendoyen“ Professor Hans-Jürgen Pollirer wurde wieder im bewährten Setting des Vienna Hilton Plaza veranstaltet. Die Teilnehmerinnen und Teilnehmer aus Branchen wie Finanzwesen, Automotive, Gesundheitsmanagement und öffentlicher Verwaltung zeigten sich zufrieden mit dem Praxisbezug und jahrzehntelangen Branchenwissen der Vortragenden. Besonderes Highlight: Eine Analyse jüngster Entscheidungen, präsentiert von einem Gastreferenten der Österreichischen Datenschutzbehörde.
„2023 bringt einiges an datenschutzrechtlicher Arbeit für heimische Führungskräfte. Als Symbiose von Praxis und Wissenschaft in Datenschutz und Informationssicherheit unterstützt Secur-Data heimische Führungskräfte aus allen Branchen bei der Implementierung komplexer nationaler und europarechtlicher Regelwerke“, so die engagierte Managerin. „Unser Beratungs-USP ist neben jahrzehntelanger Branchenexpertise die Verbindung von Recht und IT in unserem gesamten Portfolio“, so Leschanz weiter. Die Seminarteilnehmer freute das, gilt es doch, aktuelle Gesetze wie das HinweisgeberInnenschutzgesetz und eine ganze Reihe neuer EU-Acts zeitnah und datenschutzrechtskonform umzusetzen.
Das nächste Seminar kommt im Herbst 2023 – mit einer ersten Evaluierung der neuen Regelungen.
DSB beurteilt Facebook Tracking-Dienste als nicht datenschutzkonform
Wien, 22.03.2023 In einer kürzlich von noyb veröffentlichten Entscheidung behandelt die österreichische Datenschutzbehörde (DSB) eine Beschwerde gegen den Einsatz der Facebook Business Tools auf der Website eines österreichischen Medienunternehmens. Die DSB beurteilte diesen als mit der DSGVO unvereinbar, da von Facebook Login und Facebook Pixel personenbezogene Daten an die Facebook-Mutter Meta in die USA transferiert werden. Damit habe das Medienunternehmen gegen Art. 44 DSGVO verstoßen. Der Bescheid ist noch nicht rechtkräftig.
Die Beschwerde betraf einen Fall aus August 2020. Facebook berief sich zu diesem Zeitpunkt auf den Privacy Shield, der infolge von Schrems II bereits außer Kraft war. Die Gültigkeit der EU-Standardvertragsklauseln (SCC), auf die sich Meta seitdem beruft, wurde von der Behörde nicht geprüft. Sie ist aber angesichts der Schwierigkeiten, das erforderliche Transfer Impact Assessment (TIA) zu erstellen, äußerst fragwürdig, u.a. da sich die DSB in ihrer Beweiswürdigung auf den Meta-Transparenzbericht bezog und befand, „dass die US-Geheimbehörden regelmäßig […] Anfragen stellen.“
Für Datenschutzinsider ein Déjà-vu: Schon Anfang 2022 hatte die DSB den Einsatz von Google Analytics als nicht rechtskonform beurteilt. Nun sind auch die Tracking Tools von Facebook betroffen. Der Einsatz von US-Anbietern bleibt riskant.
Europäisches Parlament stimmt für Datengesetz
Strasbourg, 14.03.2023 Mit 500 zu 23 Stimmen – bei 110 Enthaltungen – wurde gestern der Vorschlag der Europäischen Kommission für ein Europäisches Datengesetz (Data Act) angenommen.
Das Datengesetz regelt den Umgang mit nicht-personalisierten Daten und soll neue Dienste ermöglichen, insbesondere im Bereich der künstlichen Intelligenz, wo große Datenmengen für die Entwicklung von Algorithmen verwendet werden. Der Data Act sollte auch Verbraucher*innen besser schützen, etwa durch den erleichterten Zugang zu Daten, die durch die Verwendung vernetzter Produkte wie intelligenter Hausgeräte, moderner Autos und/oder damit verbundener Dienste im IoT erzeugt werden.
Der am Dienstag im Europäischen Parlament in Straßburg angenommene Gesetzesentwurf ist Ausgangsposition des Parlaments für die Verhandlungen mit den EU-Mitgliedstaaten.
Unsere DSG-Info Nr. 105:
- Endlich beschlossen: Das neue HinweisgeberInnenschutzgesetz
- Datentransfer USA – TADPF: EU-Angemessenheitsbeschluss wackelt
- Top 3 DSGVO-Bußgelder: Meta und ByteDance ganz vorne
- Abrufbarkeit des Datenschutzbeauftragten nach Art. 38 DSGVO
Das Datenschutzjahr 2023 zeigt sich schon zu Beginn spannend: Ende Februar wurde endlich das HinweisgeberInnenschutzgesetz 2023 (HSchG) nach heftiger innenpolitischer Diskussion beschlossen. Finden Sie im Newsletter eine erste Analyse.
Genauer informieren dazu können Sie sich in unserem bereits bewährten Praxisseminar, Termin 28. und 29. März im Hilton Vienna Plaza. Anmeldungen nehmen wir gerne unter seminare@secur-data.at entgegen.
Aber auch zum Trans Atlantic Data Privacy Framework (TADPF), das den rechtskonformen Datenverkehr in die USA sicherstellen soll, gibt es Gegenwind. Das LIBE Commitee (Ausschuss für bürgerliche Freiheiten, Justiz und Inneres des Europäischen Parlaments) hat jüngst in einer Stellungnahme der Europäischen Kommission vom Angemessenheitsbeschluss abgeraten. Lesen Sie auch dazu unseren Kommentar.
Ein Blick auf die Top-DSGVO-Bußgelder sowie aktuelle Gerichtsurteile zu Art. 13 DSGVO (Informationspflicht und Recht auf Auskunft) und Art. 38 DSGVO (Stellung des Datenschutzbeauftragten) ergänzen unseren Querschnitt.
Viel Vergnügen bei der Lektüre!
Die vorhergehenden Ausgaben finden Sie hier, ebenso die Anmeldung für unser Praxisseminar.
Unsere DSG-Info Nr. 104:
- DSA, DGA, DMA – Was bringen die neuen „digitalen“ EU-Acts?
- Top 5 DSGVO-Bußgelder
- In der Pipeline: Trans-Atlantic Data Privacy Framework
- Aus für Medienprivileg, Post-Datenskandal – jüngste Gerichtsurteile
Auch 2023 stehen die Themen Internationaler Datenverkehr, Künstliche Intelligenz und Digitale Fairness auf der Agenda weit vorne.
So bringen eine ganze Reihe neuer „digitaler“ EU-Acts Regelungen für die kommerzielle Weiternutzung von Daten des öffentlichen Sektors (Data Governance Act, DGS) sowie eine bessere Absicherung der Nutzer*innen von großen Online-Plattformen (Digital Markets Act, DMA). Finden Sie dazu im Newsletter unsere Einschätzung zu den neuen EU-Bestimmungen.
Der Dauerbrenner KI bleibt Zukunftsthema Nummer eins – mit großen datenschutzrechtlichen Herausforderungen an die Sicherheit, Transparenz und Wahrung der Grundrechte. Der aktuelle EU-Entwurf setzt auf einen risikobasierten Ansatz. Mehr dazu in unserem Kommentar.
Spannende aktuelle Gerichtsurteile – wie etwa zum Aus für das Medienprivileg oder zum Post-Datenskandal – ergänzen unsere News-Palette, ebenso wie ein Screening der schmerzhaftesten DSVGO-Bußgelder. Viel Vergnügen bei der Lektüre!
Seminarankündigung 28./29. März 2023:
Wir laden Sie ein, an unseren DSGVO- und IT-Security Seminaren im März 2023 teilzunehmen. Wir vermitteln sowohl Grundlagenwissen als auch umfassende Updates zur Datenschutz-Entwicklung, wie gewohnt informativ, praxisnah und im kleinen Rahmen.
Auch dieses Jahr wird Ihnen wieder ein Vertreter der Österreichischen Datenschutzbehörde zur Verfügung stehen, aktuelle Entscheidungen präsentieren und auf Ihre Fragen eingehen.
28. März 2023: „DSGVO Praxisseminar: Rechtsentwicklung und Best Practices“
Referenten: Prof. KommR Hans-Jürgen Pollirer, Mag. Judith Leschanz, Mag. Sylvia Metenczuk, MAS
Gastreferent: Mag. Andreas Rohner (Datenschutzbehörde Österreich).
29. März 2023: „Praxis-Updates zu Datensicherheit & Informationssicherheit“
Referenten: Prof. KommR Hans-Jürgen Pollirer, Mag. Jürgen Stöger.
Ort: Hilton Vienna Plaza, Schottenring 11, 1010 Wien.
Selbstverständlich stehen wir auch für Inhouse-Schulungen oder Seminare zu Spezialthemen zur Verfügung.
Weitere Informationen zu unseren Datenschutzseminaren finden Sie hier.
Unsere DSG-Info Nr. 103:
- Abmahnwelle
- Datensicherheit in Österreich
- Entscheidungen zu Google Analytics
- EuGH zum Kündigungsschutz des Datenschutzbeauftragten
- Verbandsklagen-Richtlinie
- Exkurs: USA und UK
- Seminareinladung für Oktober 2022
Wir behandeln die aktuelle Google Fonts-Abmahnwelle sowie neue Entscheidungen europäischer Datenschutzbehörden zum Einsatz von Google Analytics. Ein weiterer Schwerpunkt betrifft Datensicherheitsvorfälle in Österreich und fehlende technisch-organisatorische Sicherheitsmaßnahmen, die sie erst möglich gemacht haben.
Weiters informieren wir zum gesetzlichen Umsetzungsbedarf in den Bereichen Whistleblowing- und EU-Verbandsklagen-Richtlinie und der geplanten Änderung des Datenschutzrechts in Großbritannien.
Schließlich möchten wir Sie zu unseren Seminaren im Oktober einladen und würden uns über Ihre Teilnahme freuen.
Seminarankündigung Oktober 2022:
Wir laden Sie ein, an unseren DSGVO- und IT-Security Seminaren im Herbst teilzunehmen. Wir vermitteln sowohl Grundlagenwissen als auch umfassende Updates zur Datenschutz-Entwicklung, wie gewohnt informativ, praxisnah und im kleinen Rahmen.
Dieses Jahr wird Ihnen Frau Mag. Katharina Mayrhofer als Vertreterin der Österreichischen Datenschutzbehörde die aktuelle Judikatur der DSB präsentieren und auf Ihre Fragen eingehen.
5. Oktober 2022: „Rechtsentwicklung und Best Practices“
Referenten: Prof. KommR Hans-Jürgen Pollirer, Mag. Judith Leschanz, Mag. Katja Wyrobek.
Gastreferentin: Mag. Katharina Mayrhofer (Datenschutzbehörde Österreich).
6. Oktober 2022: „Praxis-Updates zu Datensicherheit & Informationssicherheit“
Referenten: Prof. KommR Hans-Jürgen Pollirer, Mag. Katja Wyrobek, Mag. Jürgen Stöger.
Ort: Hilton Vienna Plaza, Schottenring 11, 1010 Wien.
Selbstverständlich stehen wir auch für Inhouse-Schulungen oder Seminare zu Spezialthemen zur Verfügung.
Weitere Informationen zu unseren Datenschutzseminaren finden Sie hier.
Unsere DSG-Info Nr. 102:
- DSB: Einsatz von Google Analytics unzulässig – eine Einordnung
- Belgische Behörde straft Werbe-Organisation IAB Europe für Real-Time Advertising
- DSB: Strafe wg. Verletzung der Kooperationsverpflichtung
- DSB: Erneutes Bußgeld für Jö Bonus Club
- DSB: Ermittlung gegen Austrian Airlines wegen Speicherung des 2G-Nachweises
- EuGH-Vorlage zu BVT-U-Ausschuss
- EDSA beschließt Leitlinien zum Auskunftsrecht
- Internationale Erkenntnisse in Kürze
Wir eröffnen 2022 mit einer Reihe behördlicher Entscheidungen, die insbesondere den Online-Bereich betreffen. Die Entscheidung der österreichischen DSB zu Google Analytics wurde ja vielfach publiziert, weniger bekannt sind aber richtungsweisende Entscheidungen anderer europäischer Behörden und Gerichte zu diesem Thema, die beinahe zur gleichen Zeit getroffen wurden.
Auch sonst blieb die österreichische Datenschutzbehörde nicht untätig. Unter anderem verhängte sie wieder ein Bußgeld in Höhe von EUR 8 Mio.
Schließlich sind noch die Leitlinien des Europäischen Datenschutzausschusses zum Auskunftsrecht zu erwähnen, die hoffentlich mehr Klarheit zu umstrittenen Auslegungsfragen bringen werden.
Zuletzt möchten wir Sie zu unseren Seminaren Ende März einladen und würden uns über Ihre Teilnahme freuen.
Seminarankündigung März 2022:
Im Frühjahr möchten wir Sie zur Teilnahme an unseren DSGVO- und IT-Security Seminaren einladen. Buchen Sie Ihren Platz für umfassende Wissensvermittlung, einschließlich Mustern und Vorlagen durch unsere Experten in kleinem Rahmen.
Gastreferent: Dieses Jahr wird Ihnen Herr Mag. Andreas Rohner als Vertreter der Österreichischen Datenschutzbehörde
die aktuelle Judikatur der DSB präsentieren und auf Ihre Fragen eingehen.
30. März 2022: „Datenschutz, Online-Marketing und aktuelle Rechtsfragen“
Referenten: Prof. KommR Hans-Jürgen Pollirer, Mag. Judith Leschanz, Mag. Katja Wyrobek.
Gastreferent: Mag. Andreas Rohner (Datenschutzbehörde Österreich).
31. März 2022: „Praxis-Updates zu Datensicherheit & Informationssicherheit“
Referenten: Prof. KommR Hans-Jürgen Pollirer, Mag. Katja Wyrobek, Mag. Jürgen Stöger.
Ort: Hilton Vienna Plaza, Schottenring 11, 1010 Wien.
Selbstverständlich stehen wir auch für Inhouse-Schulungen oder Seminare zu Spezialthemen zur Verfügung.
Weitere Informationen zu unseren Datenschutzseminaren finden Sie hier.
Unsere DSG-Info Nr. 101:
- Verbraucherrechtsnovelle – das neue Gewährleistungsrecht
- Das neue Whistleblowing-Gesetz im Überblick
- TTDSG – neue Cookie-Gesetzgebung aus Deutschland
- Internationale Erkenntnisse aus Europa
Wir möchten das Jahr 2021 mit einer umfassenden Information zu den kommenden Gesetzen mit Ihnen abschließen. Im kommenden Jahr werden wesentliche Änderungen im Konsumentenschutz, Telekommunikationsrecht und Whistleblowing eine Rolle spielen. Das Vertrags- und Konsumentenschutzrecht wird ab 1. Jänner 2022 durch das VGG geändert und wird sich auf alle Verträge über digitale Dienstleistungen und Inhalte auswirken.
Ein weiteres To-do für das kommende Jahr ist die Umsetzung der Whistleblowing-Richtlinie für Gesetzgeber und Unternehmen. Auch wenn der Gesetzgeber nicht pünktlich mit der Erlassung eines Gesetzes war, können wir Ihnen bereits den Entwurf überblicksartig erörtern und den entsprechenden Handlungsbedarf evaluieren.
Darüber hinaus wurde in Österreich das TKG grundlegend novelliert und auch der deutsche Gesetzgeber hat eigene Regelungen für den Einsatz und die Verarbeitung von Cookies erlassen.
Zu guter Letzt möchten wir uns bei Ihnen für die Zusammenarbeit bedanken und wünschen Ihnen und Ihrer Familie frohe Festtage und einen gesunden Start in das neue Jahr 2022!
Unsere DSG-Info Nr. 100:
- Millionenbußgelder aus Österreich – Mythos: Beraten statt strafen
- Datenschutz im Strafrecht: Verurteilung zu Hacking
- Whistleblowing-Gesetz in der Pipeline
- Exklusiv: Liste an EuGH-Verfahren zum Datenschutz
- Seminareinladung: 13. und 14. Oktober 2021
In dieser 100. Ausgabe der DSG-Info möchten wir Ihnen den Status Quo der Bußgeldpraxis der österreichischen Datenschutzbehörde bekanntgeben und auf eines der seltenen Strafrechtsverfahren im Datenschutz hinweisen. Darüber hinaus haben wir eine Liste aktueller EuGH-Verfahren und Vorlagefragen zusammengestellt, die in den kommenden Monaten wichtige Datenschutzfragen klären werden.
Zuletzt möchten wir Sie zu unseren Seminaren im Oktober einladen und würden uns über Ihre Teilnahme freuen.
Seminarankündigung Oktober 2021
Kommenden Herbst finden unsere DSGVO- und IT-Security Seminare wieder statt. Buchen Sie Ihren Platz für umfassende Wissensvermittlung durch unsere Experten in vertrautem Rahmen.
Als besonderen Gastreferenten dürfen wir einen Vertreter der Österreichischen Datenschutzbehörde begrüßen, der die Judikaturanalyse präsentieren wird.
13. Oktober 2021: „Datenschutz, Online-Marketing und aktuelle Rechtsfragen“
Referenten: Prof. KommR Hans-Jürgen Pollirer, Mag. Judith Leschanz, Mag. Katja Wyrobek.
Gastreferent: Mag. Andreas Rohner (Datenschutzbehörde Österreich).
Ort: Hilton Vienna Plaza, Schottenring 11, 1010 Wien.
14. Oktober 2021: „Praxisnahe Updates zu Datenschutz und Informationssicherheit“
Referenten: Prof. KommR Hans-Jürgen Pollirer, Mag. Katja Wyrobek, Mag. Jürgen Stöger.
Ort: Hilton Vienna Plaza, Schottenring 11, 1010 Wien.
Weitere Informationen zu unseren Datenschutzseminaren finden Sie hier.
Website- und Cookie Compliance Check
Selbstverständlich sind wir auch gerne bereit, Sie bei allen weiteren Verbesserungsmaßnahmen zu unterstützen.
Unsere DSG-Info Nr. 99:
- Koordinierte Aktion der deutschen Behörden zu Schrems-II-Umsetzung
- Neue Standardvertragsklauseln erlassen
- Schrems leitet Beschwerdeverfahren wegen unrechtmäßiger Cookie-Banner ein
- Brexit-Angemessenheitsbeschluss steht bevor
- EuGH-Verfahren aus Österreich: Auskunftsrecht und immaterieller Schadenersatz auf dem Prüfstand
In dieser Ausgabe berichten wir über drei Jahre DSGVO in Österreich und informieren Sie über wichtige Änderungen im internationalen Datenverkehr. Es wird bald der Neuabschluss von Standardvertragsklauseln verpflichtend. Für die Datenübermittlung in „unsichere Drittländer“ hat die Europäische Kommission nun die längst überfälligen Musterverträge bereitgestellt. Nach Ablauf einer finalen Frist müssen alle alten Verträge durch die neuen Standardvertragsklauseln ersetzt werden.
Max Schrems geht mit seiner Datenschutz-NGO NOYB gegen unrechtmäßige Cookie-Banner vor. Prüfen Sie, ob Ihr Cookie-Banner im Einklang mit der geltenden Rechtslage ist.
Darüber hinaus besprechen wir zwei EuGH-Vorlageverfahren aus Österreich, die sich mit den praxisrelevanten Fragen des Auskunftsanspruches und dessen Umfang sowie dem Zuspruch und der Bemessung eines immateriellen Schadenersatzes wegen Datenschutzverstößen auseinandersetzen.
Unsere DSG-Info Nr. 98:
- Datenschutzbehörden vs. Rechtsmittelgerichte
- Home-Office-Gesetzespaket 2021
- Brexit und der internationale Datenverkehr
- Internationale Erkenntnisse
- E-Privacy-VO im Trilog-Verfahren
- Hinweis: Whistleblowing und Publikationen
Auch im Jahr 2021 möchten wir Sie wie gewohnt mit den neuesten Ereignissen aus dem Datenschutz- und IT-Bereich versorgen.
In dieser Ausgabe der DSG-Info präsentieren wir Ihnen den Schlagabtausch zwischen Datenschutzbehörden und Rechtsmittelgerichten, eine Erläuterung zum Home-Office-Gesetzespaket und internationale Entscheidungen zum Datenschutz.
Zudem haben wir die aktuelle Checkliste zur Videoüberwachung von Prof. KommR Pollirer aus der Dako 1/2021 für Sie eingefügt.
Ein Hinweis in eigener Sache: Aufgrund der gegenwärtigen Situation ist es leider nicht möglich, unsere Praxisseminare durchzuführen. Aber selbstverständlich stehen wir für Inhouse-Schulungen oder Coachings zur Verfügung.
Stöbern Sie in unserem Archiv oder melden Sie sich für unser DSG-Info-Service an, um regelmäßig informiert zu werden:
Unsere DSG-Info Nr. 97:
- Umgang mit den diesjährigen EuGH-Entscheidungen
- Datenschutz-Erkenntnisse im Rechtsmittelverfahren
- Überblick zu internationalen Erkenntnissen
- Ausblick auf den Brexit
- Hinweis: Datenschutz- und Informationssicherheits-Zertifizierungen
- Hinweis: Seminarankündigung 2021
Wir möchten das Jahr mit unserer letzten DSG-Info 2020 abschließen und einen Blick auf die datenschutzrechtlichen Ereignisse diesen Jahres werfen. Hierzu haben wir Ihnen wie gewohnt aktuelle internationale Erkenntnisse und Entwicklungen der Rechtsprechung in Europa zusammengefasst. In diesem Jahr wurden einige Entscheidungen von großer wirtschaftlicher Relevanz getroffen, deren Auswirkungen für Unternehmen und Verantwortliche besonders wichtig sind.
Für das kommende Jahr wünschen wir Ihnen einen gesunden und erfolgreichen Start und frohe Feiertage!
EuGH Urteil zu Orange Romania C-61/19
Der europäische Gerichtshof bestätigt seine strenge Linie zur datenschutzrechtlichen Einwilligung und dem Verbot von Opt-Out Mechanismen.
In seinem Urteil vom 11. November 2020 hat der EuGH in der Rs. C-61/19 die strengen Voraussetzungen der datenschutzrechtlichen Einwilligung bestätigt. Ein rumänischer Telekommunikationsanbieter forderte bei Abschluss eines schriftlichen Vertrages die Ausweiskopien seiner Kunden ein, um diese aufzubewahren. Hierzu wählte er die datenschutzrechtliche Rechtsgrundlage der Einwilligung (Art. 6 Abs 1 lit a DSGVO) und forderte im Rahmen eines Opt-Out Verfahrens, dass Kunden die Speicherung nachträglich schriftlich widerrufen müssen. Diese Vorgehensweise wurde von der rumänischen Datenschutzbehörde gerügt und das Unternehmen mit einem Bußgeld belegt sowie aufgefordert, die unrechtmäßig erhobenen Ausweiskopien zu löschen. Der Telekommunikationsanbieter bekämpfte die Entscheidung vor dem Landesgericht, welches dann die Frage aufgeworfen hat, ob diese Vorgehensweise des Opt-Outs (vorausgefülltes Häkchen im Vertrag) der freiwilligen, informierten und aktiven Einwilligung entspreche.
Die DSGVO verlangt für die Rechtmäßigkeit der Datenverarbeitung eine freiwillige, informierte, bestimmte und aktiv erteilte Einwilligung des Betroffenen. Ein vorausgefülltes Häkchen in einer Vertragsklausel sowie die Anforderung eines nachträglichen schriftlichen Widerrufs genügen der freiwilligen und aktiven Einwilligung nicht, da sie die tatsächliche Kenntnis des Kunden nicht garantiert und unklar ist, ob der Widerruf keine vertragsrelevanten Konsequenzen haben könnte.
Zudem ist die mündliche Informationserteilung durch den Telekommunikationsanbieter unzureichend, da die Rechenschaftspflicht über die erteilte Einwilligung nicht ausreichend erfüllt werden kann. Der EuGH bestätigt somit die strengen Anforderungen an die Einwilligung und bleibt seiner bisherigen Linie nach dem Planet49-Urteil treu.
Umsetzung der Whistleblowing-RL
Im Oktober 2019 ist die sog. „Whistleblowing-Richtlinie“ beschlossen worden. Die EU-Mitgliedstaaten haben nun 2 Jahre Zeit für die Umsetzung in das nationale Recht. Der österreichische Gesetzgeber hat sich angesichts der Corona-Pandemie noch nicht zu seinen legislativen Vorhaben geäußert, es ist allerdings im Frühjahr 2021 mit einem Gesetzesentwurf zu rechnen.
Der Anwendungsbereich umfasst Meldungen von Verstößen gegen das EU-Recht.
Die Adressaten der Richtlinie sind:
Private Unternehmen | Öffentliche Stellen |
---|---|
|
|
Das Ziel ist ein wirksamer Schutz und Mechanismen zur Vermeidung von Vergeltungsmaßnahmen gegen Whistleblower (wie Belästigung am Arbeitsplatz, Diskriminierung bzw. Benachteiligungen oder Entlassung) mit Hilfe von Meldekanälen oder anderen Hinweisgebersystemen.
Wir beraten Sie gerne bei der Einführung eines Whistleblowing-Systems in Ihrem Unternehmen.
Unsere DSG-Info Nr. 96:
- Schadenersatz für DSGVO-Verstöße
- EuGH Entscheidung Schrems II – Eine Annäherung für die Praxis
- Online-Gewinnspiele und Adventkalender: Was gilt es zu beachten?
- Internationale Bußgelder
- Temperaturmessung bei Mitarbeitern
Das Jahr neigt sich dem Ende zu und es waren turbulente Zeiten voller Herausforderungen und Chancen. Der Umstieg vieler Unternehmen in Richtung Home-Office hat einen Digitalisierungsschub in nahezu allen Branchen gebracht, der nun weiter ausgebaut werden kann. Wir informieren Sie über Möglichkeiten, wie Sie von der Digitalisierung profitieren können.
Einen Link zu unserem DSG-Info-Archiv, das bis in das Jahr 1993 zurückreicht, sowie ein Anmeldeformular für die Zusendung der DSG-Info finden Sie auf unserer Seite DSG-Info-Service.
Der Website-Check
Die EuGH-Rechtsprechung zu Cookies und Tracking hat zu einer wesentlichen Änderung der Marketing-Strategie vieler Unternehmen geführt. Überprüfen Sie, ob Ihre Website im Einklang mit der Rechtslage ist. Wir bieten Ihnen hierzu den Secur-Data Website-Check an, der Ihre Online-Präsenz auf die gesetzlichen Grundlagen überprüft und Sie bei Schwachstellen oder Optimierungen unterstützt.
Wir prüfen Ihre Website von Verschlüsselung über die Offenlegung und Impressumspflichten bis hin zur korrekten Implementierung des Cookie-Banners, der Opt-In-Mechanismen und der Datenschutzerklärung.
Dazu kommt auch eine Durchschau Ihrer Einwilligungserklärung sowie etwaiger Newsletter–Masken, die wir für Sie in eine transparente und verständliche Formulierung bringen.
Unsere jährlichen DSGVO-Praxisseminare
Wenn die Corona-Krise eines gezeigt hat, dann dass Datenschutz und IT-Sicherheit in aller Munde sind. Die Grundrechtsdebatte beim Einsatz von Gesundheits- und Standortdaten und die Schwierigkeiten bei der Einführung von sicheren Strukturen für Home-Office haben deutlich gemacht, dass Nachbesserungsbedarf bei vielen Unternehmen besteht.
Profitieren Sie von unseren jährlichen DSGVO-Praxisseminaren, wo Ihnen von Prof. KommR Hans-Jürgen Pollirer und Mag. Judith Leschanz mit ihrem Team aus Datenschutzexperten die Best Practices aus unseren Beratungstätigkeiten präsentiert werden. Zur Auswahl stehen zwei Module, die gemeinsam oder getrennt gebucht werden können. Wir statten Sie mit Mustern und Vorlagen aus, die Sie unmittelbar für Ihr Unternehmen nutzen können. Die Termine für das Jahr 2021 werden demnächst bekannt gegeben.
Der DSGVO Compliance Check

Datenschutz ist kein einmaliges Projekt. Für die rechtskonforme und angemessene Umsetzung bedarf es regelmäßiger Überprüfungen und Anpassungen. Eine jährliche Bestandsaufnahme ist in den meisten Fällen das Mindestmaß.
Secur-Data hat ein Prüfverfahren entwickelt, mit dem die Untersuchung der DSGVO Compliance effizient, in kurzer Zeit und bei minimaler Belastung Ihres Unternehmens erfolgt. Wir berücksichtigen sowohl die spezielle Situation und Charakteristik Ihres Unternehmens als auch das Wissen zu bestimmten Problemfeldern, das Sie bereits gesammelt haben. Dabei nutzen wir unsere jahrzehntelange Erfahrung auf dem Gebiet des Datenschutzrechts und unsere langjährige Praxis als Unternehmensberater.
Als Ergebnis erhalten Sie einen Bericht, der Ihnen den raschen Überblick über alle relevanten Bereiche der Datenschutz-Umsetzung ermöglicht. Die enthaltenen Empfehlungen können unmittelbar zur Planung der notwendigen Ergänzungen und Verbesserungen herangezogen werden. Selbstverständlich kann der Auditbericht auch als Nachweis im Sinne der Rechenschaftspflicht gegenüber der Datenschutzbehörde eingesetzt werden.
Nähere Details sowie einen Überblick über die Prüfungsbereiche finden Sie hier.
Lassen Sie sich mit dem EuroPriSe Datenschutz-Gütesiegel zertifizieren
Sichern Sie sich Ihren Wettbewerbsvorteil für Ihre IT-Produkte und IT-Services durch das Europäische Datenschutz-Gütesiegel. Die zertifizierten Auditoren der Secur-Data begleiten Sie bis zum Erhalt dieser Auszeichnung als Ihr Alleinstellungsmerkmal und Wettbewerbsvorteil.

Details betreffend EuroPriSe Europäisches Datenschutz-Gütesiegel stehen hier zur Verfügung.
Hier geht es zu weiteren Informationen über die Zertifizierung von IT-Produkten oder Dienstleistungen.
Unsere DSG-Info Nr. 95:
- EDSA-Guideline zur Einwilligung
- Datenschutzbericht der DSB
- Entwurf zur ZeStAkk-V
In DSG-Info Nr. 95 berichten wir über die wichtigsten Entscheidungen und Entwicklungen innerhalb der EU, darunter auch über die Leitlinie des Europäische Datenschutzausschusses zum Thema Einwilligung. Der aktuelle Datenschutzbericht der DSB, der u.a. die Unionsrechtswidrigkeit der österreichischen Bestimmungen zur Videoüberwachung behandelt, bildet einen weiteren Schwerpunkt.
Außerdem befassen wir uns mit dem österreichischen Entwurf einer Zertifizierungsstellen-Akkreditierungs-Verordnung und fassen aktuelle Judikatur sowie Neuigkeiten zu Corona und Online-Tracking zusammen.
Unsere DSG-Info Nr. 94:
- Covid‑19-Sonderausgabe: Arbeitsrecht und Datenschutz
- FAQ zur Datenverarbeitung
- Wissenswertes zu Home-Office
Aus aktuellem Anlass widmen wir unsere DSG‑Info den Herausforderungen des Home‑Office in Zeiten des Corona-Virus.
Die Bedeutung des Datenschutzes bleibt ungebrochen und vor allem im Home-Office kommen noch weitere Schwerpunkte hinzu, wie der Betriebs- und Geheimnisschutz und der unbeabsichtigte Verlust von Daten. Vor allem bei der IT-Sicherheit zeigen sich Lücken in vielen Unternehmen.
Wir möchten Sie über die Eckpfeiler einer erfolgreichen Home-Office-Strategie informieren und sind für Ihre Fragen und Anliegen erreichbar.