Die österreichische Datenschutzbehörde veröffentlicht eine Mitteilung zum besonderen Auskunftsanspruch im Rahmen von „Bonitätsscoring“ und zur Sensibilisierung von Verantwortlichen und Auftragsverarbeitern nach Art. 57 Abs. 1 lit. d DSGVO.
Kategorie: News
Rückblick: Datenschutz-Praxisseminar 2025
Rückblick zum Datenschutz-Praxisseminar 2025
Das kürzlich abgehaltene Datenschutz-Praxisseminar der Secur-Data bot Fach- und Führungskräften eine umfassende Schulung zur Datenschutz-Grundverordnung (DSGVO) sowie zur praktischen Umsetzung datenschutzrechtlicher Vorgaben. Die Veranstaltung richtete sich insbesondere an Datenschutzbeauftragte, IT-Manager, Compliance-Beauftragte, Juristen und Unternehmensberater.
Seminarinhalte und Schwerpunkte
Das Seminar gliederte sich in zwei thematische Blöcke. Der erste Tag konzentrierte sich auf die rechtlichen Entwicklungen der DSGVO sowie bewährte Best Practices. Die Teilnehmenden erhielten eine detaillierte Einführung in die gesetzlichen Anforderungen und wurden über die neuesten nationalen und europäischen Entwicklungen informiert. Besonders die jüngsten Änderungen und ihre Auswirkungen auf Unternehmen wurden intensiv diskutiert, um ein solides Verständnis für die rechtlichen Rahmenbedingungen zu gewährleisten.
Am zweiten Tag lag der Fokus auf der praktischen Anwendbarkeit der Datenschutzregelungen im Unternehmensalltag. Neben Themen wie Informationssicherheit und technischen und organisatorischen Maßnahmen (TOM) wurde auch das Verfahren vor der Datenschutzbehörde besprochen. Ein besonderes Highlight war die Auseinandersetzung mit der Schnittstelle zwischen DSGVO und Künstlicher Intelligenz (KI), die immer mehr an Bedeutung gewinnt.
Die Teilnehmenden konnten praxisnahes Wissen zur effektiven Umsetzung der DSGVO und zur Stärkung der Datensicherheit erwerben.
Fazit und Zitat der Geschäftsführerin
Das Seminar bot den Teilnehmern nicht nur wertvolle Einblicke in aktuelle Datenschutzregelungen, sondern auch praxisnahe Lösungsansätze für den Arbeitsalltag. Frau Mag. Leschanz, Geschäftsführerin der Secur-Data, betonte die Relevanz solcher Seminare: „Datenschutz ist keine einmalige Aufgabe, sondern ein kontinuierlicher Prozess. Unser Seminar hilft Unternehmen, sich auf die dynamischen Herausforderungen des Datenschutzes vorzubereiten und innovative Lösungen zu entwickeln.“
Mit praxisnahen Fallbeispielen und interaktiven Diskussionen war das Datenschutz-Praxisseminar ein voller Erfolg und unterstrich die Bedeutung einer fundierten Datenschutzstrategie für Unternehmen aller Branchen.
DSB veröffentlicht Leitfaden zum Informationsfreiheitsgesetz
Am 13. Jänner 2025 legte die Datenschutzbehörde den Entwurf eines Leitfadens zum Informationsfreiheitsgesetz (IFG) vor. Das IFG räumt der Datenschutzbehörde eine zentrale Rolle bei der Umsetzung des Gesetzes ein, indem sie „Leitfäden und Angebote zur Fortbildung in datenschutzrechtlichen Belangen der Vollziehung der Informationsfreiheit“ bereitstellt.
Das IFG tritt am 1. September 2025 in Kraft. Es soll für Transparenz im öffentlichen Bereich sorgen und den Zugang zu Informationen von allgemeinem Interesse erleichtern. Das Gesetz ist ein wichtiger Schritt in Richtung größerer Transparenz und Bürgerbeteiligung in Österreich. Es bringt aber auch neue Herausforderungen für die Adressaten, insbesondere im Hinblick auf Informationsmanagement, Sicherheit und Datenschutz.
Das IFG normiert eine Verpflichtung zur proaktiven Veröffentlichung, der u.a. Legislative, Verwaltungsbehörden und Gerichte unterliegen. Private Stellen wie Stiftungen, Fonds und Unternehmen, die der Kontrolle des Rechnungshofes oder eines Landesrechnungshofes unterliegen, sind von dieser Verpflichtung ausgenommen. Sie müssen jedoch Zugang zu Informationen gewähren, wenn ein entsprechender Antrag gestellt wird.
Das Gesetz sieht einige Ausnahmen vor, bei denen der Zugang zu Informationen verweigert werden kann. Besonders für private Stellen ist es unbedingt notwendig, diese Fragen im Vorfeld zu klären und Unsicherheiten auszuräumen. Antragsteller können sich zur Berufung an das zuständige Bundes- oder Landesverwaltungsgericht wenden, wenn sie mit der Beantwortung nicht einverstanden sind. Für die Verweigerung einer Information muss die betroffene Stelle daher eine stichhaltige und nachvollziehbare Begründung liefern. Ein klar definierter interner Arbeitsablauf ist besonders wichtig, da zur Bearbeitung nur vier Wochen zur Verfügung stehen.
EuGH: Abfrage der Geschlechtsidentität bei Bahntickets unzulässig
Der Europäische Gerichtshof (EuGH) hat entschieden (Urteil vom 9.1.2025 – C-394/23), dass Eisenbahnunternehmen ihre Kunden nicht verpflichten dürfen, beim Ticketkauf über die Wahl einer Anrede ihr Geschlecht offenzulegen. Diese Praxis verstößt gegen die Datenschutzgrundverordnung (DSGVO), da eine geeignete Rechtsgrundlage für die Verarbeitung fehlt und sie zudem nicht mit dem Grundsatz der Datenminimierung vereinbar ist.
Hintergrund des Verfahrens
Anlass des Vorabentscheidungsverfahrens war eine Beschwerde des Verbands Mousse, der sich gegen sexuelle Diskriminierung einsetzt. Mousse beanstandete vor der französischen Datenschutzbehörde CNIL die Praxis des Unternehmens SNCF Connect. Dieses verlangte von seinen Kunden, beim Online-Kauf von Fahrscheinen zwischen den Anreden „Herr“ und „Frau“ zu wählen. Nach Ansicht von Mousse handelt es sich hierbei um eine unverhältnismäßige Datenerhebung, die gegen die Grundsätze der DSGVO verstößt, insbesondere die der Rechtmäßigkeit und der Datenminimierung. Die CNIL wies die Beschwerde jedoch 2021 zurück, woraufhin Mousse den französischen Staatsrat anrief. Dieser legte die Frage dem EuGH vor.
EuGH: Anrede ist nicht erforderlich
Der EuGH stellte klar, dass für die Verarbeitung der gegenständlichen Daten als Rechtsgrundlage nur die Erfüllung des jeweiligen Vertrags (Art. 6 Abs. 1 lit. b DSGVO) oder die Wahrung berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) in Frage kommen. Im vorliegenden Fall sei die Angabe der Anrede bzw. des Geschlechts für die Erfüllung eines Schienentransportvertrags aber nicht erforderlich. Die ordnungsgemäße Durchführung hänge nicht davon ab, wie ein Kunde angesprochen wird.
Kein berechtigtes Interesse der Unternehmen
Der EuGH verwarf auch die Anwendung der Rechtsgrundlage eines berechtigten Interesses des Unternehmens. Die Datenverarbeitung müsse dafür objektiv notwendig sein und dürfe die Rechte und Freiheiten der betroffenen Personen nicht überwiegen. Die Verpflichtung zur Angabe der Anrede könne jedoch zu einer Diskriminierung aufgrund der Geschlechtsidentität führen und sei daher nicht verhältnismäßig. Zudem sei den Kunden das berechtigte Interesse nicht kommuniziert worden, zu dessen Umsetzung diese Daten erhoben wurden.
Bedeutung des Urteils
Das Urteil unterstreicht, dass Unternehmen bei der Verarbeitung personenbezogener Daten strikte Maßstäbe anlegen müssen. Insbesondere der Grundsatz der Datenminimierung schränkt die Erhebung von Daten ein, die nicht zwingend notwendig sind. Dies gilt auch für Angaben wie die Anrede oder das Geschlecht.
Für Unternehmen bedeutet das Urteil, dass sie ihre Datenverarbeitungspraxis kritisch prüfen und gegebenenfalls anpassen müssen, um rechtskonform zu handeln. Gleichzeitig stärkt die Entscheidung den Schutz vor unnötigen Datenerhebungen und potenzieller Diskriminierung.
91 Millionen Euro Bußgeld für Meta
Die irische Datenschutzbehörde (DPC) hat Meta erneut mit einer Strafe belegt – diesmal in Höhe von 91 Millionen Euro. Grund dafür war ein Sicherheitsvorfall im Jahr 2019, bei dem Meta ca. hundert Millionen Passwörter unverschlüsselt auf seinen Servern speicherte.
Die DPC begann im April 2019 mit der Untersuchung, nachdem Meta den Vorfall gemeldet hatte. Dabei stellte sich heraus, dass Meta aufgrund unzulänglicher Sicherheitsmaßnahmen gegen die DSGVO verstoßen hatte. Das Risiko war erheblich, da unbefugte Dritte dadurch auf Social-Media-Konten und möglicherweise auch auf sensible Informationen zugreifen konnten. Zusätzlich meldete Meta den Vorfall nicht innerhalb der vorgeschriebenen 72 Stunden und dokumentierte ihn nicht korrekt.
Graham Doyle, der stellvertretende Kommissar der DPC, betonte, dass es allgemein als Standard gilt, Passwörter niemals unverschlüsselt oder im Klartext zu speichern, da dies mit hohem Missbrauchsrisiko verbunden ist.
Meta erklärte, dass der Fehler in den Passwortmanagement-Prozessen nach einer internen Überprüfung im Jahr 2019 entdeckt und umgehend behoben wurde. Es gebe keine Hinweise darauf, dass die Passwörter missbraucht oder unbefugt abgerufen wurden.
Die Geldstrafe ist höher als ein früheres Bußgeld von 17 Mio. EUR, das Meta 2022 für einen Vorfall erhielt, bei dem bis zu 30 Mio. Nutzer betroffen waren. Dies spiegelt eine Tendenz zu höheren Bußgeldern wider, die sich zunehmend durchsetzt und darauf abzielt, Unternehmen stärker für den Schutz von Nutzerdaten zur Verantwortung zu ziehen.
Auskunftsrecht genießt Vorrang vor Geschäftsgeheimnisinteresse eines Glücksspielanbieters
Das Oberlandesgericht Wien hat in einem Urteil vom 10. Juni 2024 (GZ 14 R 48/24t) entschieden, dass einer von einem Glücksspielanbieter geschädigten Person das Recht auf Auskunft nach Art. 15 DSGVO zusteht. Der Anbieter argumentierte, dass die betroffene Person das Auskunftsrecht lediglich zur Erlangung von Beweismitteln für einen Zivilprozess missbrauchen wolle und daher kein legitimes Auskunftsbegehren vorliege. Das Gericht wiederholte die Auffassung des EuGH, dass ein Auskunftsersuchen auch dann zulässig ist, wenn es datenschutzfremde Ziele verfolgt. Da es aber seit der Veröffentlichung des EuGH-Urteils noch keine Entscheidung eines österreichischen Höchstgerichts gibt, erklärte das Gericht die ordentliche Revision für zulässig.
Der Fall begann, als ein Geschädigter vom Glücksspielanbieter Auskunft über seine personenbezogenen Daten forderte, um eine mögliche Rückforderungsklage vorzubereiten. Der Anbieter verweigerte diese Auskunft mit der Begründung, dass dem Kläger kein Auskunftsrecht nach Art. 15 DSGVO zustehe. Er argumentierte, der Kläger wolle nur Beweismittel für einen drohenden Zivilprozess erlangen und nicht die Rechtmäßigkeit der Datenverarbeitung überprüfen, was das Auskunftsrecht rechtsmissbräuchlich mache. Darüber hinaus gab der Anbieter an, dass die angeforderten Informationen einem berechtigten Geheimhaltungsinteresse gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO unterlägen, da eine Schwächung seiner Rechtsposition drohe.
Das Oberlandesgericht Wien lehnte diese Argumentation ab. Es betonte, dass das berechtigte Geheimhaltungsinteresse des Anbieters gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO zwar die Rechte und Freiheiten anderer Personen, einschließlich Geschäfts- und Betriebsgeheimnissen schützen solle, jedoch nicht dazu führen dürfe, dass der betroffenen Person jegliche Auskunft verweigert wird. Dies werde insbesondere im letzten Satz von Erwägungsgrund 63 der DSGVO deutlich gemacht.
In der Begründung verweist das Gericht auf das EuGH-Urteil (C-307/22) vom 26. Oktober 2023. In einem ähnlich gelagerten Fall hatte der EuGH entschieden, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unentgeltlich eine erste Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, auch dann gilt, wenn der Antrag mit anderen als den in Satz 1 von ErwGr 63 DSGVO genannten Zwecken begründet wird. Es wurde klargestellt, dass betroffene Personen das Recht auf freien Zugang zu ihren Daten haben, ohne dass sie ihren Antrag begründen müssen. Eine Ausnahme besteht nur, wenn der Antrag offenkundig unbegründet oder exzessiv ist.
TC-String als personenbezogenes Datum eingestuft
Am 7. März 2024 hat der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabentscheidungsverfahrens eine wegweisende Entscheidung (C-604/22) getroffen, die erhebliche Auswirkungen auf die Online-Werbeindustrie hat. Das Urteil betrifft das „Transparency and Consent Framework“ (TCF) des Interactive Advertising Bureau (IAB) Europe und stellt fest, dass der TC-String als personenbezogenes Datum anzusehen ist.
Das IAB Europe ist ein Verband, der Unternehmen der digitalen Werbe- und Marketingindustrie auf europäischer Ebene vertritt. Seine Mitglieder, darunter Medien- und Technologieunternehmen, nutzen das TCF, um Einwilligungen für die Erhebung und Verarbeitung von Daten zu verwalten. Das TCF bietet einen Standard für die Abfrage und Übermittlung von Nutzereinwilligungen.
Dabei wird ein „Transparency and Consent String“ (TC-String) generiert, der die Einwilligungspräferenzen des Nutzers kodiert. Dieser TC-String wird von den Mitgliedsunternehmen des IAB Europe genutzt, um personalisierte Werbung auszuspielen. Neben dem TC-String wird auch ein Cookie – euconsent-v2 – auf dem Gerät des Nutzers hinterlegt.
Die belgische Datenschutzbehörde hatte zuvor festgestellt, dass die Speicherung des TC-Strings in Verbindung mit der IP-Adresse des Nutzers gegen die DSGVO verstößt. Das EuGH bestätigte diese Ansicht und stellte fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO ist. Laut EuGH enthält der TC-String benutzerspezifische Einstellungen, die wenn sie mit anderen Identifikatoren wie IP-Adressen verknüpft werden, zur Identifizierung einer bestimmten Person führen können.
Darüber hinaus sieht der EuGH das IAB Europe und seine Mitglieder als gemeinsame Verantwortliche für die im Rahmen des TCF verarbeiteten Daten an. Dies bedeutet, dass sie Vereinbarungen hinsichtlich ihrer gemeinsamen Verantwortlichkeit abschließen müssen.
Das Urteil hat weitreichende Konsequenzen für Unternehmen, die das TCF nutzen. Es wird erwartet, dass erhebliche Änderungen bei der Einholung von Einwilligungen und der Generierung des TC-Strings erforderlich sind.
EuGH-Urteil zur Verhängung von Geldbußen (Deutsches Wohnen)
Der Europäische Gerichtshof (EuGH) hat kürzlich in einem Urteil (Rechtssache C-807/21) entschieden, dass Geldbußen gegen juristische Personen wie Unternehmen grundsätzlich zulässig sind. Im spezifischen Fall der „Deutsche Wohnen SE“ könnte das zuvor aufgehobene Bußgeld von über 14 Mio. EUR wieder wirksam werden.
Der Deutsche Wohnen SE wurde vorgeworfen, dass sie personenbezogene Daten von Mietern ihrer Tochterunternehmen unrechtmäßig lange gespeichert hat. Diese Daten, einschließlich sensibler Informationen wie Identitätsnachweise, Steuer-, Sozial- und Krankenversicherungsdaten, waren auch nach dem Auszug der Mieter noch einsehbar, obwohl die Aufbewahrungsfristen abgelaufen waren. Nach einem ersten Hinweis der Aufsichtsbehörde im Jahr 2017 wurde 2019 ein Bußgeld verhängt, da die Deutsche Wohnen SE es vorsätzlich versäumte, diese Daten zu löschen.
Nach deutschem Recht (§ 30 OWiG) wurde aber argumentiert, dass eine Ordnungswürdigkeit nur von einer natürlichen Person begangen und dieser zugerechnet werden kann, nicht jedoch einer juristischen Person. Der Fall gelangte vor das Kammergericht Berlin, das dem EuGH folgende Fragen vorgelegt hat:
- Kann ein Bußgeldverfahren gegen ein Unternehmen durchgeführt werden, ohne dass ein Fehlverhalten einer identifizierten natürlichen Person festgestellt wird?
- Muss das Unternehmen den durch einen Mitarbeiter vermittelten Verstoß schuldhaft begangen haben oder reicht ein objektiver Verstoß gegen die DSGVO aus, um das Unternehmen zu bestrafen („strict liability“)?
Der EuGH stellte fest, dass laut Art. 83 Abs. 3 iVm Art. 4 Z 7 DSGVO auch juristische Personen für Datenschutzverstöße verantwortlich sein können. Es sei nicht zwingend erforderlich, die natürliche Person zu identifizieren, die den Verstoß begangen hat. Jedoch betonte der EuGH, dass Vorsatz oder Fahrlässigkeit eine Rolle spielen müssen, um Geldbußen gemäß der DSGVO zu verhängen.
Es bleibt abzuwarten, wie das Berliner Kammergericht den Nachweis von Vorsatz und Fahrlässigkeit im Fall der Deutschen Wohnen bewerten wird. Das Urteil hat potenziell weitreichende Auswirkungen auf die Handhabung von Bußgeldverfahren gegen Unternehmen und die Bewertung von Vorsatz und Fahrlässigkeit bei juristischen Personen nach geltendem Recht.
Tesla-Mitarbeiter teilen private Aufnahmen von Kunden
San Francisco, 06.04.2023 Ein möglicher Skandal erschüttert das Vertrauen in den US-Elektroautohersteller Tesla. Wie die Nachrichtenagentur Reuters berichtet, sollen Mitarbeiter zwischen 2019 und 2022 Bilder und Videos, die von den eingebauten Kameras ihrer Kunden aufgenommen wurden, über ein internes Messaging-System untereinander geteilt haben. Darunter waren nicht nur intime Einblicke in das Privatleben der Kunden, sondern auch tragische Unfälle wurden zur Belustigung in „Memes“ verwandelt.
So berichten neun Ex-Mitarbeiter, dass Kunden nackt in deren Garage gefilmt wurden. Auch die Familienmitglieder der Tesla-Besitzer waren zu sehen. Ein Video zeigte, wie ein Tesla-Fahrer mit hoher Geschwindigkeit durch ein Wohngebiet raste und dabei ein Kind auf dessen Fahrrad traf.
Zweck der Verarbeitung war das Training des KI-Systems von Tesla, um die verschiedenen Verkehrsteilnehmer, Straßen und Verkehrsschilder automatisch zu erkennen und so Funktionen wie den Autopiloten zu ermöglichen. Hunderte Mitarbeiter erhalten diese Aufnahmen mit dem Auftrag, sie einer bestimmten Kategorie zuzuordnen. Tesla-Fahrer werden über diesen Vorgang informiert und müssen ihre Einwilligung erteilen. Diese umfasst aber eben nur den Zweck des KI-Trainings und nicht die Verbreitung zu anderen Zwecken.
Im Februar hatte bereits die niederländische Datenschutzbehörde Ermittlungen wegen Teslas „Sentry Mode“ aufgenommen. Dieser ermöglicht die Aufnahme von Bildmaterial, wenn verdächtige Aktivitäten um das geparkte Fahrzeug registriert werden. Nun hat Tesla reagiert und sämtliche Änderungen vorgenommen, sodass die Datenschutzbehörde von weiteren Strafverfahren absieht.
In einer Stellungnahme an Reuters konnte Tesla die datenschutzrechtlichen Bedenken nicht ausräumen. Es gibt keine Sicherheitsvorkehrungen, die eine unbefugte Weitergabe privater Daten durch Konzernmitarbeiter verhindern könnten.
Italienische Datenschutzbehörde untersagt ChatGPT-Verarbeitung
Rom, 31.03.2023 Die italienische Datenschutzbehörde GPDP (Garante per la Protezione dei Dati Personali, “Garante della privacy”) hat am 31. März den KI-Dienst ChatGPT mit sofortiger Wirkung im gesamten Land sperren lassen und ein Verfahren wegen Datenschutzverstößen gegen den US-Betreiber OpenAI eingeleitet. Grund dafür ist der Verdacht auf die nicht rechtmäßige Verarbeitung personenbezogener Daten und der fehlende Jugendschutz der KI-Plattform.
Der Chatbot genießt seit seiner Veröffentlichung im November 2022 vor allem bei Jugendlichen große Popularität. Die Website verzeichnete im Januar 2023 durchschnittlich 13 Millionen Besucher pro Tag. Mithilfe von künstlicher Intelligenz werden (auch komplexe) Fragen beantwortet und Texte anhand weniger Stichworte erstellt.
„Es fehlt die Rechtsgrundlage für eine massenhafte Erhebung und Speicherung personenbezogener Daten, um die dem Betrieb der Plattform zugrunde liegenden Algorithmen zu trainieren“, gab die italienische Datenschutzbehörde in einer Aussendung bekannt. Außerdem wurde das Fehlen eines Altersfilters, um Minderjährige vor verstörenden Inhalten zu schützen, beanstandet.
Das Unternehmen hat nun 20 Tage Zeit um den Behörden geeignete Datenschutzmaßnahmen zu präsentieren. Andernfalls droht eine Geldstrafe bis zu 20 Mio. Euro oder vier Prozent seines weltweiten Jahresumsatzes.