Die österreichische Datenschutzbehörde veröffentlicht eine Mitteilung zum besonderen Auskunftsanspruch im Rahmen von „Bonitätsscoring“ und zur Sensibilisierung von Verantwortlichen und Auftragsverarbeitern nach Art. 57 Abs. 1 lit. d DSGVO.
Kategorie: News und Events
KI MADE IN AUSTRIA – Chancen, Herausforderungen & Zukunftsperspektiven
Künstliche Intelligenz verändert Wirtschaft und Gesellschaft. Doch welche Chancen ergeben sich für Unternehmen in Österreich, und welche Herausforderungen müssen bewältigt werden? Das Event KI Made in Austria bietet eine exklusive Gelegenheit, sich über bahnbrechende KI-Technologien und die neuesten regulatorischen Anforderungen zu informieren! Gemeinsam mit Secur-Data und dem österreichischen KI-Anbieter goodguys GmbH beleuchtet die OCG:
- AI-Act im Fokus – Expert*innen erklären die neuesten regulatorischen Entwicklungen und ihre Auswirkungen auf österreichische Unternehmen.
- Revolutionäre KI in der Praxis – Der österreichische KI-Pionier präsentiert eine wegweisende Innovation und zeigt, wie sie DSGVO-konform Branchen transformiert.
Neben spannenden Fachvorträgen und Diskussionen bietet die Veranstaltung Networking-Möglichkeiten mit Branchenführern. KI Made in Austria richtet sich an Unternehmen, Start-ups und Entscheidungsträger*innen, die die Zukunft aktiv mitgestalten wollen.
Datum: 7. Mai 2025
Zeit: ab 16 Uhr
Ort: OCG, Wollzeile 1, 1010 Wien
Programm:
- Ab 15:30 Uhr Registrierung
- 16:00 Uhr Begrüßung, OCG Präsident Wilfried Seyruck
- 16:10 Uhr Vortrag AI-Act und Schnittstellen zum Datenschutz, Judith Leschanz, Secur-Data
- 16:40 Uhr Vortrag KI-Lösungen in Anwendung, Josef Füricht, goodguys
- 17:10 Uhr Vortrag Ihr Einstieg in die Künstliche Intelligenz – Das OCG/ICDL KI Modul, Martin Kandlhofer, OCG
- 17:40 Uhr Get-together mit Brötchen und Wein
Vortragende:
- Mag. Judith Leschanz ist studierte Juristin und seit mehr als 20 Jahren im Bereich Datenschutz tätig. Sie hatte mehrere Managementpositionen im In- und Ausland der A1 inne und ist aktuell Datenschutzbeauftragte der A1 und Geschäftsführerin der Secur-Data Betriebsberatungs-Ges.m.b.H., Vizepräsidentin des EFDPO (European expert network of data protection officers) sowie Vorstandsvorsitzende des Vereins der österreichischen betrieblichen und behördlichen Datenschutzbeauftragen.
- Dr. Josef Füricht ist einer der Gründer der goodguys gmbh, einem Unternehmen, das mit modernster generativer KI die digitale Zukunft gestaltet. Als Partner und Impulsgeber verantwortet er Vertrieb, Business Development und Projektabwicklung – und sorgt dabei für höchste Effizienz, Qualität und Effektivität in der Nutzung der GenAI-Produkte. Bei goodguys stehen zukunftsweisende SaaS-Lösungen wie der AI-Concierge, eine generische Agentic-Pipeline und ein Email basierter Antwort-Service im Fokus, die mit Hilfe von Technologien wie OpenAI wie auch anderen Playern (Online und OnPremises) am Markt realisiert werden. Josef Füricht verbindet technologischen Fortschritt mit strenger Einhaltung von Datenschutz- und AI-Act-relevanten Vorgaben, um nachhaltige Lösungen für den digitalen Wandel zu schaffen. So ebnet er und die goodguys den Weg in eine spannende, digitalisierte Zukunft.
- DI Dr. Martin Kandlhofer arbeitet im Bereich Forschung, Innovation und internationale Projekte bei der Österreichischen Computer Gesellschaft (OCG). Er beschäftigt sich mit der Umsetzung und Evaluierung von Lehrkonzepten speziell im Bereich Robotik und Künstliche Intelligenz. Neben seiner Forschungs-, Review-, Editor und Publikationstätigkeit im Rahmen von verschiedenen internationalen und nationalen Projekten zum Thema Educational Robotics und Education in Artificial Intelligence (u.a. als Senior Researcher und Projektkoordinator im EU Projekt ‚EDLRIS – European Driving License for Robots and Intelligent Systems‘) absolvierte er Forschungsaufenthalte in Irland und den USA.
Rückblick: Datenschutz-Praxisseminar 2025
Rückblick zum Datenschutz-Praxisseminar 2025
Das kürzlich abgehaltene Datenschutz-Praxisseminar der Secur-Data bot Fach- und Führungskräften eine umfassende Schulung zur Datenschutz-Grundverordnung (DSGVO) sowie zur praktischen Umsetzung datenschutzrechtlicher Vorgaben. Die Veranstaltung richtete sich insbesondere an Datenschutzbeauftragte, IT-Manager, Compliance-Beauftragte, Juristen und Unternehmensberater.
Seminarinhalte und Schwerpunkte
Das Seminar gliederte sich in zwei thematische Blöcke. Der erste Tag konzentrierte sich auf die rechtlichen Entwicklungen der DSGVO sowie bewährte Best Practices. Die Teilnehmenden erhielten eine detaillierte Einführung in die gesetzlichen Anforderungen und wurden über die neuesten nationalen und europäischen Entwicklungen informiert. Besonders die jüngsten Änderungen und ihre Auswirkungen auf Unternehmen wurden intensiv diskutiert, um ein solides Verständnis für die rechtlichen Rahmenbedingungen zu gewährleisten.
Am zweiten Tag lag der Fokus auf der praktischen Anwendbarkeit der Datenschutzregelungen im Unternehmensalltag. Neben Themen wie Informationssicherheit und technischen und organisatorischen Maßnahmen (TOM) wurde auch das Verfahren vor der Datenschutzbehörde besprochen. Ein besonderes Highlight war die Auseinandersetzung mit der Schnittstelle zwischen DSGVO und Künstlicher Intelligenz (KI), die immer mehr an Bedeutung gewinnt.
Die Teilnehmenden konnten praxisnahes Wissen zur effektiven Umsetzung der DSGVO und zur Stärkung der Datensicherheit erwerben.
Fazit und Zitat der Geschäftsführerin
Das Seminar bot den Teilnehmern nicht nur wertvolle Einblicke in aktuelle Datenschutzregelungen, sondern auch praxisnahe Lösungsansätze für den Arbeitsalltag. Frau Mag. Leschanz, Geschäftsführerin der Secur-Data, betonte die Relevanz solcher Seminare: „Datenschutz ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Unser Seminar hilft Unternehmen, sich auf die dynamischen Herausforderungen des Datenschutzes vorzubereiten und innovative Lösungen zu entwickeln.“
Mit praxisnahen Fallbeispielen und interaktiven Diskussionen war das Datenschutz-Praxisseminar ein voller Erfolg und unterstrich die Bedeutung einer fundierten Datenschutzstrategie für Unternehmen aller Branchen.
Rückblick: 13. Privacy Ring in Luzern – Datenschutz @AI
Am 13. März fand in Luzern der 13. Privacy Ring zum hochaktuellen Thema Datenschutz und Künstliche Intelligenz (KI) statt. Expertinnen und Experten aus verschiedenen Bereichen beleuchteten in spannenden Vorträgen die Herausforderungen und Chancen, die KI für den Datenschutz mit sich bringt.
Von den Auswirkungen auf KMU über das Zusammenspiel von DSGVO und AI Act, das noch viele offene Fragen in der praktischen Umsetzung aufwirft, bis hin zu einer wertebasierten Datenkultur Schweizer Prägung wurden zentrale Aspekte diskutiert. Im Rahmen der Veranstaltung wurden auch erste Praxiserfahrungen aus dem Einsatz von KI in der Versicherungsbranche zur Schadenerfassung oder Prozessautomatisierung geteilt und mit dem Publikum diskutiert.
Den Abschluss bildete eine Podiumsdiskussion mit den Vortragenden, einem österreichischen KI-Anbieter und einer Rechtsanwältin – ein wertvoller Austausch über die Zukunft von KI und Datenschutz.
Save the Date!
Nach dieser erfolgreichen Veranstaltung geht es weiter: Der 14. Privacy Ring findet am 18.09.2025 in Wien statt! Weitere Details folgen in Kürze.
DSB veröffentlicht Leitfaden zum Informationsfreiheitsgesetz
Am 13. Jänner 2025 legte die Datenschutzbehörde den Entwurf eines Leitfadens zum Informationsfreiheitsgesetz (IFG) vor. Das IFG räumt der Datenschutzbehörde eine zentrale Rolle bei der Umsetzung des Gesetzes ein, indem sie „Leitfäden und Angebote zur Fortbildung in datenschutzrechtlichen Belangen der Vollziehung der Informationsfreiheit“ bereitstellt.
Das IFG tritt am 1. September 2025 in Kraft. Es soll für Transparenz im öffentlichen Bereich sorgen und den Zugang zu Informationen von allgemeinem Interesse erleichtern. Das Gesetz ist ein wichtiger Schritt in Richtung größerer Transparenz und Bürgerbeteiligung in Österreich. Es bringt aber auch neue Herausforderungen für die Adressaten, insbesondere im Hinblick auf Informationsmanagement, Sicherheit und Datenschutz.
Das IFG normiert eine Verpflichtung zur proaktiven Veröffentlichung, der u.a. Legislative, Verwaltungsbehörden und Gerichte unterliegen. Private Stellen wie Stiftungen, Fonds und Unternehmen, die der Kontrolle des Rechnungshofes oder eines Landesrechnungshofes unterliegen, sind von dieser Verpflichtung ausgenommen. Sie müssen jedoch Zugang zu Informationen gewähren, wenn ein entsprechender Antrag gestellt wird.
Das Gesetz sieht einige Ausnahmen vor, bei denen der Zugang zu Informationen verweigert werden kann. Besonders für private Stellen ist es unbedingt notwendig, diese Fragen im Vorfeld zu klären und Unsicherheiten auszuräumen. Antragsteller können sich zur Berufung an das zuständige Bundes- oder Landesverwaltungsgericht wenden, wenn sie mit der Beantwortung nicht einverstanden sind. Für die Verweigerung einer Information muss die betroffene Stelle daher eine stichhaltige und nachvollziehbare Begründung liefern. Ein klar definierter interner Arbeitsablauf ist besonders wichtig, da zur Bearbeitung nur vier Wochen zur Verfügung stehen.
EuGH: Abfrage der Geschlechtsidentität bei Bahntickets unzulässig
Der Europäische Gerichtshof (EuGH) hat entschieden (Urteil vom 9.1.2025 – C-394/23), dass Eisenbahnunternehmen ihre Kunden nicht verpflichten dürfen, beim Ticketkauf über die Wahl einer Anrede ihr Geschlecht offenzulegen. Diese Praxis verstößt gegen die Datenschutzgrundverordnung (DSGVO), da eine geeignete Rechtsgrundlage für die Verarbeitung fehlt und sie zudem nicht mit dem Grundsatz der Datenminimierung vereinbar ist.
Hintergrund des Verfahrens
Anlass des Vorabentscheidungsverfahrens war eine Beschwerde des Verbands Mousse, der sich gegen sexuelle Diskriminierung einsetzt. Mousse beanstandete vor der französischen Datenschutzbehörde CNIL die Praxis des Unternehmens SNCF Connect. Dieses verlangte von seinen Kunden, beim Online-Kauf von Fahrscheinen zwischen den Anreden „Herr“ und „Frau“ zu wählen. Nach Ansicht von Mousse handelt es sich hierbei um eine unverhältnismäßige Datenerhebung, die gegen die Grundsätze der DSGVO verstößt, insbesondere die der Rechtmäßigkeit und der Datenminimierung. Die CNIL wies die Beschwerde jedoch 2021 zurück, woraufhin Mousse den französischen Staatsrat anrief. Dieser legte die Frage dem EuGH vor.
EuGH: Anrede ist nicht erforderlich
Der EuGH stellte klar, dass für die Verarbeitung der gegenständlichen Daten als Rechtsgrundlage nur die Erfüllung des jeweiligen Vertrags (Art. 6 Abs. 1 lit. b DSGVO) oder die Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommen. Im vorliegenden Fall sei die Angabe der Anrede bzw. des Geschlechts für die Erfüllung eines Schienentransportvertrags aber nicht erforderlich. Die ordnungsgemäße Durchführung hänge nicht davon ab, wie ein Kunde angesprochen wird.
Kein berechtigtes Interesse der Unternehmen
Der EuGH verwarf auch die Anwendung der Rechtsgrundlage eines berechtigten Interesses des Unternehmens. Die Datenverarbeitung müsse dafür objektiv notwendig sein und dürfe die Rechte und Freiheiten der betroffenen Personen nicht überwiegen. Die Verpflichtung zur Angabe der Anrede könne jedoch zu einer Diskriminierung aufgrund der Geschlechtsidentität führen und sei daher nicht verhältnismäßig. Zudem sei den Kunden das berechtigte Interesse nicht kommuniziert worden, zu dessen Umsetzung diese Daten erhoben wurden.
Bedeutung des Urteils
Das Urteil unterstreicht, dass Unternehmen bei der Verarbeitung personenbezogener Daten strikte Maßstäbe anlegen müssen. Insbesondere der Grundsatz der Datenminimierung schränkt die Erhebung von Daten ein, die nicht zwingend notwendig sind. Dies gilt auch für Angaben wie die Anrede oder das Geschlecht.
Für Unternehmen bedeutet das Urteil, dass sie ihre Datenverarbeitungspraxis kritisch prüfen und gegebenenfalls anpassen müssen, um rechtskonform zu handeln. Gleichzeitig stärkt die Entscheidung den Schutz vor unnötigen Datenerhebungen und potenzieller Diskriminierung.
Rückblick: DSGVO Praxisseminar 2024
Wien, 11. November 2024 – Österreichische Unternehmen sahen sich in den letzten Monaten zunehmendem Druck ausgesetzt, sowohl die Anforderungen aus neuen europäischen und nationalen Rechtsvorschriften zu erfüllen als auch erreichte datenschutzrechtliche Standards aufrechtzuerhalten. In diesem Kontext fand am 11. und 12. November 2024 in Wien unser Praxisseminar für Datenschutzexperten statt, das gezielt auf die aktuellen Entwicklungen und rechtlichen Anforderungen sowie deren praktische Umsetzung im Unternehmenskontext ausgerichtet ist.
Das Seminar bot eine breite Palette an Fachvorträgen, die Themen von den Grundlagen des Datenschutzrechts bis hin zur aktuellen EU-Gesetzgebung und Rechtsprechung abdecken. Ein besonderes Highlight war die praxisnahe Einführung in das behördliche Prüfverfahren, bei der die Teilnehmer tiefen Einblick in die neuesten Entwicklungen und aktuelle Informationen zu behördlichen Abläufen aus erster Hand erhielten.
Das Teilnehmerfeld umfasste Vertreter verschiedenster Branchen, darunter der öffentliche Bereich, das Gesundheitswesen, die Industrie und der Glücksspielsektor. Zu den zentralen Themen zählten die DSGVO-konforme Implementierung künstlicher Intelligenz sowie die Anpassung interner Richtlinien an die fortschreitende Digitalisierung.
Die Veranstaltung eröffnete den Teilnehmern nicht nur aktuelle rechtliche und technische Einblicke, sondern auch eine Plattform zum Austausch über individuelle Herausforderungen. Das nächste Praxisseminar, geplant für 7. und 8. April 2025, wird erneut Gelegenheit zur Vertiefung im Datenschutz bieten und Anlass geben, sich mit den neuesten Anforderungen zur praktischen Umsetzung der DSGVO vertraut zu machen.
91 Millionen Euro Bußgeld für Meta
Die irische Datenschutzbehörde (DPC) hat Meta erneut mit einer Strafe belegt – diesmal in Höhe von 91 Millionen Euro. Grund dafür war ein Sicherheitsvorfall im Jahr 2019, bei dem Meta ca. hundert Millionen Passwörter unverschlüsselt auf seinen Servern speicherte.
Die DPC begann im April 2019 mit der Untersuchung, nachdem Meta den Vorfall gemeldet hatte. Dabei stellte sich heraus, dass Meta aufgrund unzulänglicher Sicherheitsmaßnahmen gegen die DSGVO verstoßen hatte. Das Risiko war erheblich, da unbefugte Dritte dadurch auf Social-Media-Konten und möglicherweise auch auf sensible Informationen zugreifen konnten. Zusätzlich meldete Meta den Vorfall nicht innerhalb der vorgeschriebenen 72 Stunden und dokumentierte ihn nicht korrekt.
Graham Doyle, der stellvertretende Kommissar der DPC, betonte, dass es allgemein als Standard gilt, Passwörter niemals unverschlüsselt oder im Klartext zu speichern, da dies mit hohem Missbrauchsrisiko verbunden ist.
Meta erklärte, dass der Fehler in den Passwortmanagement-Prozessen nach einer internen Überprüfung im Jahr 2019 entdeckt und umgehend behoben wurde. Es gebe keine Hinweise darauf, dass die Passwörter missbraucht oder unbefugt abgerufen wurden.
Die Geldstrafe ist höher als ein früheres Bußgeld von 17 Mio. EUR, das Meta 2022 für einen Vorfall erhielt, bei dem bis zu 30 Mio. Nutzer betroffen waren. Dies spiegelt eine Tendenz zu höheren Bußgeldern wider, die sich zunehmend durchsetzt und darauf abzielt, Unternehmen stärker für den Schutz von Nutzerdaten zur Verantwortung zu ziehen.
Rückblick auf den 12. Privacy Ring Wien am 19. September 2024
Am 19. September 2024 fand in der Universität Wien der 12. Privacy Ring Wien unter dem Titel “Transparenz im Spannungsfeld des Datenschutzes” statt. Die Veranstaltung zog Datenschutzinteressierte aus verschiedenen Sektoren an, die sich mit den aktuellen Herausforderungen und Chancen im Bereich des Datenschutzes, der Informationsfreiheit und des Schutzes der Privatsphäre befassten.
In Zeiten zunehmender Bedeutung des Datenschutzes und steigender Forderungen nach mehr Transparenz bot der Privacy Ring Wien eine exzellente Plattform für den Austausch von Wissen und Meinungen. Von 14:00 bis 17:30 Uhr fanden im Hörsaal der Universität Wien Vorträge und Diskussionen statt, die durch Beiträge führender Expertinnen und Experten bereichert wurden.
Vortragende und ihre Themen
Zu den Hauptrednern zählten:
- Bettina Blawert, Syndikusrechtsanwältin bei Sovendus GmbH, die praxisnahe Einblicke in das Rechtsverhältnis zwischen der DSGVO und der KI-VO gab.
- Dr. Marie-Louise Gächter, Leiterin der Datenschutzstelle Liechtenstein, die Chancen und Herausforderungen für eine digitale Zukunft in der EU thematisierte.
- Dr. Mathias Schmidl, Leiter der Datenschutzbehörde Österreich, der über aktuelle Regulierungen und deren Umsetzung in Österreich sprach.
- Prof. Ursula Sury, Professorin an der Hochschule Luzern, die die unternehmerische Verantwortung hinsichtlich der Transparenz beleuchtete.
- Dr. Wienfried Veil, Referat Datenpolitik im Bundesministerium des Inneren und für Heimat, der spannende Einblicke in die Themen Open Data und Informationsfreiheit bot.
Diskussion und Get-Together
Die Vorträge führten zu einer lebhaften Podiumsdiskussion, in der die Teilnehmer über die richtige Balance zwischen Datenschutz und Transparenz debattierten. Dabei wurde deutlich, dass trotz unterschiedlicher Positionen ein gemeinsames Ziel besteht: den Schutz der Privatsphäre zu gewährleisten und gleichzeitig dem wachsenden Bedarf an Transparenz gerecht zu werden.
Abgerundet wurde die Veranstaltung durch ein Get-Together, bei dem sich die Teilnehmenden in entspannter Atmosphäre weiter austauschen konnten.
Fazit von Mag. Judith Leschanz
Mag. Judith Leschanz, Mitbegründerin des Privacy Rings und Geschäftsführerin der Secur-Data GmbH, betonte die Bedeutung solcher Veranstaltungen: “Der Privacy Ring bietet eine einzigartige Gelegenheit, um aktuelle Entwicklungen und Herausforderungen im Datenschutz zu beleuchten. Es ist entscheidend, dass wir alle – von der Wissenschaft bis zur Praxis – an einem Strang ziehen, um den Spagat zwischen Datenschutz und Transparenz zu meistern.”
Dank des vielseitigen Programms und der hochkarätigen Redner war der 12. Privacy Ring Wien ein großer Erfolg, der den Diskurs über die Balance zwischen Transparenz und Datenschutz maßgeblich vorantrieb. Der nächste Privacy Ring wurde für das Frühjahr 2025 in Luzern angekündigt.
Auskunftsrecht genießt Vorrang vor Geschäftsgeheimnisinteresse eines Glücksspielanbieters
Das Oberlandesgericht Wien hat in einem Urteil vom 10. Juni 2024 (GZ 14 R 48/24t) entschieden, dass einer von einem Glücksspielanbieter geschädigten Person das Recht auf Auskunft nach Art. 15 DSGVO zusteht. Der Anbieter argumentierte, dass die betroffene Person das Auskunftsrecht lediglich zur Erlangung von Beweismitteln für einen Zivilprozess missbrauchen wolle und daher kein legitimes Auskunftsbegehren vorliege. Das Gericht wiederholte die Auffassung des EuGH, dass ein Auskunftsersuchen auch dann zulässig ist, wenn es datenschutzfremde Ziele verfolgt. Da es aber seit der Veröffentlichung des EuGH-Urteils noch keine Entscheidung eines österreichischen Höchstgerichts gibt, erklärte das Gericht die ordentliche Revision für zulässig.
Der Fall begann, als ein Geschädigter vom Glücksspielanbieter Auskunft über seine personenbezogenen Daten forderte, um eine mögliche Rückforderungsklage vorzubereiten. Der Anbieter verweigerte diese Auskunft mit der Begründung, dass dem Kläger kein Auskunftsrecht nach Art. 15 DSGVO zustehe. Er argumentierte, der Kläger wolle nur Beweismittel für einen drohenden Zivilprozess erlangen und nicht die Rechtmäßigkeit der Datenverarbeitung überprüfen, was das Auskunftsrecht rechtsmissbräuchlich mache. Darüber hinaus gab der Anbieter an, dass die angeforderten Informationen einem berechtigten Geheimhaltungsinteresse gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO unterlägen, da eine Schwächung seiner Rechtsposition drohe.
Das Oberlandesgericht Wien lehnte diese Argumentation ab. Es betonte, dass das berechtigte Geheimhaltungsinteresse des Anbieters gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO zwar die Rechte und Freiheiten anderer Personen, einschließlich Geschäfts- und Betriebsgeheimnissen schützen solle, jedoch nicht dazu führen dürfe, dass der betroffenen Person jegliche Auskunft verweigert wird. Dies werde insbesondere im letzten Satz von Erwägungsgrund 63 der DSGVO deutlich gemacht.
In der Begründung verweist das Gericht auf das EuGH-Urteil (C-307/22) vom 26. Oktober 2023. In einem ähnlich gelagerten Fall hatte der EuGH entschieden, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, auch dann gilt, wenn der Antrag mit anderen als den in Satz 1 von ErwGr 63 DSGVO genannten Zwecken begründet wird. Es wurde klargestellt, dass betroffene Personen das Recht auf freien Zugang zu ihren Daten haben, ohne dass sie ihren Antrag begründen müssen. Eine Ausnahme besteht nur, wenn der Antrag offenkundig unbegründet oder exzessiv ist.