Veröffentlicht am von

91 Millionen Euro Bußgeld für Meta

Die irische Datenschutzbehörde (DPC) hat Meta erneut mit einer Strafe belegt – diesmal in Höhe von 91 Millionen Euro. Grund dafür war ein Sicherheitsvorfall im Jahr 2019, bei dem Meta ca. hundert Millionen Passwörter unverschlüsselt auf seinen Servern speicherte.

Die DPC begann im April 2019 mit der Untersuchung, nachdem Meta den Vorfall gemeldet hatte. Dabei stellte sich heraus, dass Meta aufgrund unzulänglicher Sicherheitsmaßnahmen gegen die DSGVO verstoßen hatte. Das Risiko war erheblich, da unbefugte Dritte dadurch auf Social-Media-Konten und möglicherweise auch auf sensible Informationen zugreifen konnten. Zusätzlich meldete Meta den Vorfall nicht innerhalb der vorgeschriebenen 72 Stunden und dokumentierte ihn nicht korrekt.

Graham Doyle, der stellvertretende Kommissar der DPC, betonte, dass es allgemein als Standard gilt, Passwörter niemals unverschlüsselt oder im Klartext zu speichern, da dies mit hohem Missbrauchsrisiko verbunden ist.

Meta erklärte, dass der Fehler in den Passwortmanagement-Prozessen nach einer internen Überprüfung im Jahr 2019 entdeckt und umgehend behoben wurde. Es gebe keine Hinweise darauf, dass die Passwörter missbraucht oder unbefugt abgerufen wurden.

Die Geldstrafe ist höher als ein früheres Bußgeld von 17 Mio. EUR, das Meta 2022 für einen Vorfall erhielt, bei dem bis zu 30 Mio. Nutzer betroffen waren. Dies spiegelt eine Tendenz zu höheren Bußgeldern wider, die sich zunehmend durchsetzt und darauf abzielt, Unter­nehmen stärker für den Schutz von Nutzerdaten zur Verantwortung zu ziehen.

Veröffentlicht am von

Rückblick auf den 12. Privacy Ring Wien am 19. September 2024

Am 19. September 2024 fand in der Universität Wien der 12. Privacy Ring Wien unter dem Titel “Transparenz im Spannungsfeld des Datenschutzes” statt. Die Veranstaltung zog Datenschutzinteressierte aus verschiedenen Sektoren an, die sich mit den aktuellen Herausforderungen und Chancen im Bereich des Datenschutzes, der Informationsfreiheit und des Schutzes der Privatsphäre befassten.

In Zeiten zunehmender Bedeutung des Datenschutzes und steigender Forderungen nach mehr Transparenz bot der Privacy Ring Wien eine exzellente Plattform für den Austausch von Wissen und Meinungen. Von 14:00 bis 17:30 Uhr fanden im Hörsaal der Universität Wien Vorträge und Diskussionen statt, die durch Beiträge führender Expertinnen und Experten bereichert wurden.

Vortragende und ihre Themen

Zu den Hauptrednern zählten:

  • Bettina Blawert, Syndikusrechtsanwältin bei Sovendus GmbH, die praxisnahe Einblicke in das Rechtsverhältnis zwischen der DSGVO und der KI-VO gab.
  • Dr. Marie-Louise Gächter, Leiterin der Datenschutzstelle Liechtenstein, die Chancen und Herausforderungen für eine digitale Zukunft in der EU thematisierte.
  • Dr. Mathias Schmidl, Leiter der Datenschutzbehörde Österreich, der über aktuelle Regulierungen und deren Umsetzung in Österreich sprach.
  • Prof. Ursula Sury, Professorin an der Hochschule Luzern, die die unternehmerische Verantwortung hinsichtlich der Transparenz beleuchtete.
  • Dr. Wienfried Veil, Referat Datenpolitik im Bundesministerium des Inneren und für Heimat, der spannende Einblicke in die Themen Open Data und Informationsfreiheit bot.

Diskussion und Get-Together

Die Vorträge führten zu einer lebhaften Podiumsdiskussion, in der die Teilnehmer über die richtige Balance zwischen Datenschutz und Transparenz debattierten. Dabei wurde deutlich, dass trotz unterschiedlicher Positionen ein gemeinsames Ziel besteht: den Schutz der Privatsphäre zu gewährleisten und gleichzeitig dem wachsenden Bedarf an Transparenz gerecht zu werden.

Abgerundet wurde die Veranstaltung durch ein Get-Together, bei dem sich die Teilnehmenden in entspannter Atmosphäre weiter austauschen konnten.

Fazit von Mag. Judith Leschanz

Mag. Judith Leschanz, Mitbegründerin des Privacy Rings und Geschäftsführerin der Secur-Data GmbH, betonte die Bedeutung solcher Veranstaltungen: “Der Privacy Ring bietet eine einzigartige Gelegenheit, um aktuelle Entwicklungen und Herausforderungen im Datenschutz zu beleuchten. Es ist entscheidend, dass wir alle – von der Wissenschaft bis zur Praxis – an einem Strang ziehen, um den Spagat zwischen Datenschutz und Transparenz zu meistern.”

Dank des vielseitigen Programms und der hochkarätigen Redner war der 12. Privacy Ring Wien ein großer Erfolg, der den Diskurs über die Balance zwischen Transparenz und Datenschutz maßgeblich vorantrieb. Der nächste Privacy Ring wurde für das Frühjahr 2025 in Luzern angekündigt.

 

Veröffentlicht am von

Zweiter Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, die am 25. Mai 2018 in Kraft trat, markierte einen entscheidenden Schritt im europäischen Datenschutzrecht. Ziel der Verordnung ist es, den Schutz personenbezogener Daten innerhalb der EU zu stärken und gleichzeitig den freien Datenverkehr im Binnenmarkt zu gewährleisten. Am 25. Juli 2024 veröffentlichte die Europäische Kommission ihren „Zweiten Bericht zur Anwendung der Datenschutz-Grundverordnung (DSGVO)“. Dieser Bericht gibt Aufschluss über den aktuellen Stand der Umsetzung der DSGVO, analysiert Herausforderungen und identifiziert Handlungsfelder für die Zukunft.

Gemäß Art. 97 der DSGVO ist die Europäische Kommission verpflichtet, dem Europäischen Parlament und dem Rat alle vier Jahre über die Anwendung der Verordnung zu berichten. Diese Berichte dienen nicht nur der Evaluierung der bisherigen Umsetzung, sondern sollen auch Möglichkeiten zur Anpassung und Weiterentwicklung aufzeigen. Der erste Bericht, der im Juni 2020 veröffentlicht wurde, lieferte erste Erkenntnisse zur Implementierung und Anwendung der DSGVO in den Mitgliedstaaten. Der zweite Bericht baut auf diesen Erkenntnissen auf und reflektiert die Entwicklungen und Erfahrungen der vergangenen vier Jahre.

Die wichtigsten Punkte

Bestätigt wird, dass die DSGVO im Wesentlichen ihre Ziele erreicht hat. Sie hat das Bewusstsein für den Schutz personenbezogener Daten in der EU erheblich gesteigert und die Rechte der Bürgerinnen und Bürger gestärkt. Unternehmen und Organisationen haben ihre Daten­schutz­praxis verbessert, und eine Harmonisierung der Datenschutzvorschriften in der gesamten EU hat stattgefunden.

Die Kommission stellt fest, dass die DSGVO sowohl auf europäischer als auch auf globaler Ebene Maßstäbe gesetzt hat. Viele Länder außer­halb der EU haben ähnliche Daten­schutz­ge­setze erlassen oder ihre bestehenden Gesetze an die DSGVO angepasst, um den Handel mit der EU zu erleichtern und einen vergleichbaren Datenschutzstandard zu gewährleisten.

Durchsetzung und Sanktionen

Ein zentrales Thema des Berichts ist die Durchsetzung der DSGVO. Die Kommission hebt her­vor, dass seit 2018 mehrere hochkarätige Fälle von Datenschutzverletzungen aufgedeckt wurden, die zu signifikanten Bußgeldern geführt haben. Insbesondere gegen große Technologiekonzerne wurden teils sehr hohe Geldstrafen verhängt und der Stellenwert der DSGVO-Compliance verdeutlicht. Dies erfolgte u.a. für Ver­stöße gegen die Rechtmäßigkeit und Sicherheit der Verarbeitung, Verstöße gegen die Verarbeitung besonderer Kategorien personenbezo­ge­ner Daten und Verletzungen der Rechte des Einzelnen.

Ein Beispiel ist die Verhängung einer Geldstrafe in dreistelliger Millionenhöhe gegen ein globales Unternehmen, das gegen Vorschriften zur Datenübermittlung in Drittländer verstoßen hatte. Der Fall unterstreicht die strengen Anforderungen der DSGVO an den internatio­nalen Datentransfer und die Not­wendigkeit, robuste Datenschutzmaßnahmen im Unternehmen zu implementieren.

Die Durchsetzung in Zahlen:

  • EU-Datenschutzbehörden haben über 20.000 Untersuchungen aus eigener Initiative eingeleitet.
  • Insgesamt gehen bei ihnen mehr als 100.000 Beschwerden pro Jahr ein.
  • Über 20.000 Beschwerden wurden im Wege der gütlichen Einigung beigelegt. Diese wird am häufigsten in Österreich, Ungarn, Luxemburg und Irland angewandt.

Trotz dieser Erfolge weist der Bericht auch auf Unterschiede in der Durchsetzung zwischen den Mitgliedstaaten hin. Während einige Länder proaktive Maßnahmen ergriffen haben, sind andere aufgrund begrenzter Ressourcen oder unterschiedlicher rechtlicher Interpretationen langsamer in der Umsetzung und Durchsetzung der DSGVO. Dies führt zu einer ungleichen Handhabung und möglicherweise zu Lücken im Datenschutz innerhalb der EU.

Zusammenarbeit der Aufsichtsbehörden

Ein weiterer wesentlicher Punkt des Berichts betrifft die Zusammenarbeit zwischen den nationalen Datenschutzbehörden. Die DSGVO sieht Mechanismen wie das Kohärenzverfahren und den Europäischen Datenschutzaus­schuss (EDSA) vor, um sicherzustellen, dass die Verordnung einheitlich angewendet wird.

Hier einige Zahlen zum Einsatz der Kooperationsinstrumente durch die Behörden:

  • Federführende Datenschutzbehörden haben rund 1.500 Beschlussentwürfe herausgegeben, von denen 990 zu endgültigen Beschlüssen führten, mit denen ein Verstoß gegen die DSGVO festgestellt wurde.
  • Datenschutzbehörden aus 18 Mitgliedstaaten erhoben „maßgebliche und begründete Beschwerden“ gegen Beschlüsse der federführenden Aufsichtsbehörde.
  • Die Datenschutzbehörden haben fast 1.000 „formelle“ Amtshilfeersuchen und rund 12.300 „informelle“ Ersuchen
  • Fünf gemeinsame Maßnahmen wurden eingeleitet, an denen Datenschutzbehörden aus sieben Mitgliedstaaten beteiligt waren.

Der Bericht zeigt, dass die Zusammenarbeit zwischen den Aufsichtsbehörden in vielen Fällen funktioniert, es aber auch Heraus­forderun­gen gibt, insbesondere bei grenzüberschreitenden Fällen. Ein Beispiel dafür sind langwierige Entscheidungsprozesse in Fällen, die mehrere Länder betreffen, wie z.B. die Untersuchung von großen Technologieunternehmen, deren Geschäftstätigkeiten sich über mehrere Mitglied­staa­ten erstrecken. Die Koordination dieser Fälle erfordert erheblichen Aufwand und kann zu Verzögerungen bei der Durchsetzung führen. Aus diesem Grund nahm die Kommission im Juli 2023 einen Vorschlag für eine Verordnung über Verfahrensregeln an. Dieser Vorschlag soll die DSGVO ergänzen, indem er detaillierte Regeln für grenzüberschrei­tende Beschwerden und die Zusammenarbeit zwischen den Datenschutzbehörden festlegt.

Technologische Entwicklungen und Herausforderungen

Seit dem Beschluss der DSGVO hat sich die Technologie rapide weiter­entwickelt, was neue Herausforderungen für den Datenschutz nach sich zieht. Der Bericht behandelt intensiv die Auswirkungen von Technologien wie Künstliche Intelligenz (KI), Big Data und Internet der Dinge (IoT) auf den Datenschutz. Diese neuen Verarbeitungsmethoden haben das Potenzial, große Mengen an personenbezogenen Daten zu verarbeiten und neue Risiken für die Privatsphäre zu bewirken.

Um die DSGVO in dieser Hinsicht zu ergänzen und konkretisieren, hat die EU eine Reihe von Initiativen angenommen, um bestimmte Ziele der Digitalpolitik zu verfolgen. Einige Beispiele:

  • Das Gesetz über digitale Dienste
    (Digital Services Act, DSA) zielt darauf ab, ein sicheres Online-Umfeld für Einzel­personen und Unternehmen zu schaffen. Es untersagt Online-Plattformen, Werbung basierend auf Profiling zu schalten, wenn dafür „besondere Kategorien personen­bezogener Daten“ verwendet werden.
  • Das Gesetz über digitale Märkte
    (Digital Markets Act, DMA) zielt darauf ab, digitale Märkte gerechter und wettbewerbs­­orientierter zu gestalten. Es verbietet Betrei­bern, die als Gatekeeper eingestuft wurden, personenbezogene Daten zwi­schen ihren zentralen Plattform­diensten und anderen Diensten zu „verknüpfen“ und „intern zu verwenden“, es sei denn, der Nutzer hat ausdrücklich zugestimmt.
  • Das KI-Gesetz (Artificial Intelligence Act, AI Act) definiert die EU-Datenschutzbestim­mungen in speziellen Bereichen, in denen Künstliche Intelligenz zum Einsatz kommt, wie etwa bei biometrischer Fernidenti­fi­zierung, der Analyse besonderer Daten­kate­gorien zur Bias-Erkennung sowie der Weiterverarbeitung personenbezo­ge­ner Daten in KI-Reallaboren.

Daraus ergibt sich für Unternehmen auch die Notwendigkeit, datenschutzfreundliche Techno­logien zu entwickeln und einzusetzen. Bei­spielsweise enthält die DSGVO den Grundsatz der Datenminimierung, der sicherstellen soll, dass nur die Daten verarbeitet werden, die für einen bestimmten Zweck erforderlich sind. Unternehmen müssen daher bei der Gestaltung ihrer Systeme und Prozesse Anforderungen des Datenschutzes von Anfang an berücksichtigen („Privacy by Design“).

Praktisches Beispiel: Ein Unternehmen, das KI-basierte Personalisierung in seinem Online-Shop nutzt, muss sicherstellen, dass die verwendeten Algorithmen transparent dargestellt und erhobene Daten auf das notwendige Minimum beschränkt werden. Zudem muss sicher­gestellt werden, dass die Nutzer klar und verständlich über die Datenverarbeitung informiert wurden und ihre Einwilligung erteilt haben.

Einwilligung und Betroffenenrechte

Ein weiteres zentrales Element der DSGVO ist die Stärkung der Betroffenenrechte, insbesondere auf Information, Auskunft, Berichtigung, Löschung und Datenübertragung. Der Bericht stellt fest, dass diese Rechte weitgehend in die Praxis umgesetzt wurden, allerdings gibt es auch hier Herausforderungen.

Viele Unternehmen haben Schwierigkeiten, die Einwilligung der Nutzer auf eine Art und Weise einzuholen, die den Anforderungen der DSGVO entspricht. Einwilligungen müssen ausdrücklich, informiert und freiwillig sein, was in der Praxis oft schwer umzusetzen ist. Der Bericht betont, dass viele Unternehmen ihre Prozesse anpassen mussten, um den strengen Anforderungen gerecht zu werden.

Zum Bewusstsein der Einzelnen für die DSGVO und die Datenschutzbehörden hält der Bericht folgende Zahlen fest:

  • 72 % der Befragten in der gesamten EU gaben an, von der DSGVO gehört zu haben, darunter 40 %, die wissen, worum es sich dabei handelt.
  • In Schweden ist das Bewusstsein mit 92 % am stärksten, während in Bulgarien mit 59 % das Bewusstsein am schwächsten ausgeprägt ist.
  • 68 % der Befragten in der EU geben an, von einer nationalen Behörde gehört zu haben, die für den Schutz ihrer Datenschutzrechte zuständig ist, wobei 24 % aller Befragten angeben, dass sie auch wissen, welche Behörde zuständig ist.

Datentransfers in Drittländer

Die Kommission hält fest, dass der Datentransfer in Drittländer weiterhin eine zentrale Heraus­­­forderung darstellt. Der Bericht hebt her­vor, dass die Kommission intensiv an der Sicherstellung der Angemessenheit solcher Daten­transfers arbeitet, um den Schutz personenbezogener Daten auch außerhalb der EU zu gewährleisten.

Besonders im Fokus stehen die USA. Hier wird der neue Angemessenheitsbeschluss „EU-U.S. Data Privacy Framework“ erwähnt, der im Juli 2023 in Kraft trat und als wichtiger Schritt zur Erleichterung von Datentransfers in die USA angesehen wird. Die Kommission betont jedoch, dass die kontinuierliche Überwachung und Evaluierung dieses Rahmens erforderlich ist, um sicherzustellen, dass die Datenschutzstandards auch eingehalten werden.

Zusammenfassend weist der Bericht darauf hin, dass trotz Fortschritten weiterhin sorgfältig geprüft werden muss, ob der Schutz personen­bezogener Daten in Drittländern den Anfor­de­rungen der DSGVO entspricht. Insbesondere für die USA bleibt dies ein Bereich erhöhter Aufmerksamkeit, um eine sichere und rechtskonforme Datenverarbeitung zu gewähr­leisten.

Fazit und Ausblick

Der „Zweite Bericht zur Anwendung der Datenschutz-Grundverordnung“ zeigt, dass die DSGVO in den ersten sechs Jahren seit ihrem Inkrafttreten maßgeblich zur Verbesserung des Daten­schutzes in der EU beigetragen hat. Dennoch bleiben verschiedene­ Herausforderungen, insbesondere in Bezug auf die Durchset­zung, die Anpassung an neue Technologien und die Harmonisierung zwischen den Mitgliedstaaten. Die Kommission betont die Notwen­digkeit, die Anwendung der DSGVO kontinuierlich zu überwachen und bei Bedarf anzupassen, um sicherzustellen, dass der Datenschutz auch in einer sich schnell verändernden digitalen Welt gewährleistet bleibt.

 

Veröffentlicht am von

Update zu den Änderungen im Datenschutzgesetz

Eine Entscheidung des Verfassungsgerichtshofs (VfGH) machte die Änderung des Daten­schutzgesetzes notwendig, indem sie die bis­herige Formulierung von § 9 DSG mit Juni 2024 aufhob. Die Entscheidung betrifft die nationale Umsetzung einer der Öffnungsklauseln der DSGVO, die journalistische Tätig­kei­ten von den strengen Datenschutzregelungen ausnimmt.

Art. 85 DSGVO wurde ursprünglich so umgesetzt, dass alle Regelungen der DSGVO für den Bereich der journalistischen Zwecke für unan­wend­bar erklärt wurden. Diese Pauschal­aus­nahme ging dem VfGH jedoch zu weit. Statt­dessen müsse eine gesetzliche Interessens­ab­wägung vorgenommen werden, um den Schutz personen­bezogener Daten und das Recht auf freie Meinungsäußerung angemessen in Einklang zu bringen.

Das neu geregelte Medienprivileg verpflichtet nun auch Medien und deren journalistische Mitarbeiter zur Einhaltung der DSGVO-Bestimmungen. Das Redaktionsgeheimnis bleibt aber geschützt, indem Medien nicht verpflichtet sind, ihre Informations­quel­len bekanntzugeben, zB bei Auskunftsbegehren vor Veröffentli­chung des Beitrags. Neu ist auch, dass Bürgerjournalisten, darunter Privatpersonen und NGOs, von den Regelungen pro­fi­tieren sollen. Die Ausnahmen und Ab­weichungen von der DSGVO für diese Gruppen sind zwar weniger umfassend als für professionelle Medienunter­nehmen und -dienste. Die Regelung soll aber sicherstellen, dass auch nicht-professionelle Jour­nalisten einen Beitrag zur öffentlichen Debatte leisten können.

Eine weitere Änderung des Datenschutzgesetzes kommt im Gefolge eines EuGH Urteils vom 16. 1. 2024 (C-33/22), das klarstellte, dass die DSGVO auch für die Verarbeitung personenbezogener Daten durch parlamentarische Gre­mien gilt. Bei der Änderung handelt sich um die Schaffung eines parlamentarischen Datenschutzkomitees, das ab 2025 als eigenständige Aufsichtsbehörde im Bereich der Gesetzgebung fungieren wird und für den Nationalrat, den Bundesrat, den Rechnungshof und die Volksanwaltschaft zuständig ist.

Im Zuge der Gesetzesänderung wurden auch die Rechte der Betroffenen angepasst. Die Novelle zum Informationsordnungsgesetz sieht im Einklang mit der DSGVO eine Beschränkung von Auskunfts-, Löschungs- und Berichtigungsrechten vor, um die parlamentarische Arbeit nicht zu beeinträchtigen. Allerdings können in besonderen Fällen Anträge auf Entfernung von Inhalten von der Parlamentswebsite gestellt werden. Der Nationalratspräsident oder die Nationalratsprä­si­den­tin entscheidet über datenschutzrechtliche Anträge, wobei die jeweils zuständigen Daten­schutz­beauftragten und Antragsteller einbe­zogen werden müssen.

Veröffentlicht am von

Schadenersatzforderungen nach der DSGVO: Aktuelle Herausforderungen durch neue Technologien und wegweisende Urteile

Mit dem Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) im Mai 2018 hat der europäische Gesetzgeber die Rechte der betroffenen Personen erheblich gestärkt und die Pflichten für Verantwortliche und Auftragsverarbeiter von personenbezogenen Daten ver­schärft. Eine zentrale Neuerung ist das Recht auf Schadenersatz bei Datenschutzverletzungen.

Zunehmende Digitalisierung und der Einsatz moderner Technologien wie Künstliche Intelligenz (KI) bieten Unternehmen spannende Möglichkeiten für Wachstum und Innovation, setzen sie aber gleichzeitig neuen und sich stetig entwickelnden Bedrohungen aus. Wir be­leuchten für Sie aktuelle Probleme und wegweisende Urteile des Europäischen Gerichts­hofs (EuGH) sowie österreichischer Höchstge­richte und geben Ihnen praxisnahe Empfehlun­gen, wie Sie Schadenersatzforderungen vor­beu­gen können.

Rechtsgrundlage und Voraussetzungen für Schadenersatzansprüche

Art. 82 der DSGVO bildet die Grundlage für Schadenersatzansprüche. Demnach hat jede Person, die wegen eines Verstoßes gegen die Verordnung einen materiellen oder immateriellen Schaden erlitten hat, Anspruch auf Schadenersatz. Drei Voraussetzungen müssen erfüllt sein:

  1. Verstoß gegen die DSGVO: Ein rechtswidriger Umgang mit personenbezogenen Daten, zB unrechtmäßige Verarbeitung oder mangelhafte Datensicherheit.
  2. Nachweis eines Schadens: Ein tatsächlich eingetretener materieller (zB finanzieller) oder immaterieller Schaden (zB psychische Belastung) muss nachgewiesen werden.
  3. Kausalität: Der Schaden muss durch den Daten­schutzverstoß verursacht worden sein.

Aktuelle Herausforderungen durch moderne Technologien

Das Aufkommen moderner Technologien wie Künstlicher Intelligenz (KI), Big Data, Internet der Dinge (IoT) und Blockchain eröffnet nicht nur neue Möglichkeiten, sondern führt auch zu erheblichen Datenschutzrisiken. Diese Technologien können Datenschutzverstöße begünsti­gen, die wiederum zu hohen Schadenersatzforderungen führen können.

Im Folgenden werden die spezifischen Risiken neuer Technologien beleuchtet und erläutert, welche datenschutzrechtlichen Herausforderun­­gen mit ihnen verbunden sind.

Künstliche Intelligenz und maschinelles Lernen

KI-Systeme benötigen große Mengen an Daten, um effektiv arbeiten zu können. Diese Daten stammen aus unterschiedlichsten Quellen, oft einschließlich sensibler personenbezoge­ner Informationen. Die Risiken umfassen dabei:

  • Unbefugte Datenverarbeitung: KI-Modelle können personenbezogene Daten ohne aus­reichende rechtliche Grundlage verarbeiten, was einen Verstoß gegen die DSGVO Daher ist wichtig, dass vor dem Einsatz eines KI-Modells die Zwecke und Rechtsgrundlagen der Verarbeitung geklärt werden.
  • Datenlecks und unzureichende Sicherheit: Die Speicherung großer Datenmengen birgt das Risiko von Datenlecks. Ein bekanntes Beispiel ist der Verstoß von Facebook gegen die DSGVO durch die unerlaubte Wei­ter­gabe von Nutzerdaten, der zu erheblichen Schadenersatzforderungen führte (EuGH, C-311/18).
  • Diskriminierung und Bias: KI-Systeme können auf Basis fehlerhafter oder unvollstän­di­ger Daten trainiert werden, was zu diskriminierenden Entscheidungen führen kann. ZB könn­ten Kreditentscheidungen oder Bewerbungsverfahren, die unter Einsatz von KI erfolgen, voreingenommen sein und bestimmte Bevöl­ke­rungs­gruppen benach­teili­gen. Gemäß Art. 22 Abs. 1 DSGVO hat die betroffene Person das Recht, nicht einer ausschließlich auf einer automatisierten Ver­arbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden. Um mögliche Schadenersatzansprüche zu vermeiden, ist es wichtig, dass die KI-Ergebnisse durch MitarbeiterIn­nen zumindest kontrolliert werden.
  • Mangelnde Transparenz: Viele KI-Algorithmen arbeiten als „Black Boxes“, deren Funk­tionsweise für Nutzer und sogar für die Betreiber selbst kaum nachvollziehbar ist. Diese Intransparenz kann zu Problemen führen, wenn betroffene Personen ihre Rechte auf Auskunft, Berichtigung und Löschung geltend machen möchten.

Internet der Dinge (IoT)

IoT-Geräte, die zB in Haushalten, Fahrzeugen oder im Rahmen öffentlicher Infrastrukturen eingesetzt werden, sammeln und übertragen kontinuierlich Daten. Diese Geräte sind häufig nicht ausreichend gegen Cyberangriffe abge­sichert, was zu Datenschutzverletzungen führen kann.

  • Datenlecks durch Sicherheitslücken: Schwach­stellen in IoT-Geräten können genutzt werden, um auf personen­bezo­gene Daten zuzugreifen oder diese zu stehlen. Ein prominentes Beispiel sind Hackerangriffe auf Smart-Home-Systeme, bei denen Videoaufnahmen oder Gesundheitsdaten kompromit­tiert wurden.
    Der Cyber Resili­en­ce Act soll Sicher­heitsanforderungen für Hardware- und Software­produkte mit digitalen Elementen regeln, die in der Europäi­schen Union auf den Markt gebracht werden. Hersteller sind nun verpflichtet, die Sicherheit während des gesamten Lebenszyklus eines Produkts zu berücksichtigen.
  • Kontrolle über Daten der IoT Geräte:
    Nutzer haben oft keinen Einblick in die Da­tenverarbeitung durch IoT-Geräte und können diese nur schwer kontrollieren. Dies widerspricht dem Transparenz­gebot der DSGVO und kann zu immateriellen Schäden wie Vertrauensverlust und psychi­schen Belastungen führen. Auch für nicht-personenbezogene Daten wird durch die Umsetzung des Data Acts das gleiche Schutz­niveau wie in der DSGVO gewähr­leistet.

Blockchain-Technologie

Die Blockchain-Technologie zeichnet sich durch die Unveränderlichkeit der gespeicherten Daten aus. Dies stellt eine Herausforderung dar, wenn es zB um das Recht auf Löschung und Berichtigung geht.

  • Löschanspruch: Da Blockchain-Daten nicht ohne weiteres gelöscht werden können, kann es schwierig sein, den gesetzlichen Anforderungen der DSGVO gerecht zu werden. Dies kann zu Konflikten führen, wenn Betroffene ihr Recht auf Datenlöschung durchsetzen wollen.
  • Datenminimierung: Die Speicherung von Daten in der Blockchain widerspricht oft dem Prinzip der Datenminimierung, da bereits gespeicherte Daten nicht mehr ge­än­dert oder entfernt werden können. Dies kann rechtliche Konsequenzen haben, wenn es um die langfristige Speicherung personenbezogener Daten geht.

Konkrete Risiken und Folgen für Unternehmen

Datenschutzverletzungen können zu erheblichen finanziellen Belastungen führen. Neben un­mittelbaren finanziellen Folgen können Datenschutzverletzungen das Vertrauen der Kunden und Geschäftspartner erheblich beeinträchtigen. Dieser Vertrauensverlust kann lang­fristig negative Auswirkungen auf die Markt­position eines Unternehmens haben und seine Geschäftstätigkeit gefährden.

Zusätzlich zu Schadenersatzforderungen können Datenschutzverstöße zu hohen Bußgel­dern durch die zuständigen Aufsichtsbehörden führen. Diese Bußgelder können je nach Schwere des Verstoßes bis zu 20 Mio. Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens betragen.

Prävention und Risikominderung

  • Datenschutz durch Technikgestaltung: Unternehmen müssen den Grundsatz „Privacy by Design“ umsetzen, der vorsieht, Datenschutz­maßnahmen bereits bei der Entwick­lung neuer Technologien und Systeme zu integrieren. Dies umfasst den Ein­satz von Verschlüsselungstechnologien, datenschutzfreundliche Voreinstellungen und regelmäßige Sicherheitsüberprüfungen.
  • Transparente Datennutzung und Einwilligungsmanagement: Transparenz ist ein wesentlicher Aspekt der DSGVO. Unternehmen sollten sicherstellen, dass ihre Kunden umfassend über die Datenverarbeitung informiert wurden und ihre Einwilligung ein­holen, wenn dies erforderlich ist. Ein effektives Datenschutzmanagement hilft, die Rechte der betroffe­nen Personen zu wahren und rechtlichen Problemen vorzubeu­gen.
  • Schulung und Sensibilisierung: Mitarbeiter müssen regelmäßig geschult und für Datenschutzfragen sensibilisiert werden. Dies hilft, das Bewusstsein für Datenschutzrisiken zu erhöhen und sicherzustellen, dass personen­bezo­gene Daten gemäß den gesetzlichen Anforderungen verarbeitet werden.
  • Kontinuierliche Überwachung und Anpassung: Datenschutz ist ein kontinuierlicher Prozess. Unternehmen müssen ihre Datenschutz­maßnahmen regelmäßig überprüfen und an neue rechtliche und technologische Entwicklungen anpassen. Die laufende Überwachung und Anpassung hilft, Risiken frühzeitig zu erkennen und zu minimieren.

Abschließend ist zu sagen, dass neue Technologien wie KI, Big Data, IoT und Blockchain viele Vorteile bieten, aber auch erhebliche Datenschutzrisiken nach sich ziehen. Verantwortliche müssen sich der potenziellen Gefahren bewusst sein und geeignete Maßnahmen er­greifen, um Datenschutzverletzungen zu vermeiden und Schadenersatzforderungen vor­zu­beugen. Die Implementierung umfassender Datenschutzstrategien, die Schulung der Mitarbeiter und die kontinuierliche Verbesserung der Datenschutzpraxis kann rechtliche und finanzielle Risiken minimieren und das Ver­trauen der Kunden erhalten. Wegweisende Urteile des EuGH und anderer Höchstgerichte unterstreichen immer wieder die Bedeutung der sorgfältig geplanten und rechtskonformen Datenverarbeitung.

Veröffentlicht am von

Auskunftsrecht genießt Vorrang vor Geschäfts­geheimnis­­interesse eines Glücks­­spiel­an­bieters

Das Oberlandesgericht Wien hat in einem Urteil vom 10. Juni 2024 (GZ 14 R 48/24t) ent­schie­den, dass einer von einem Glücksspielanbieter geschädigten Person das Recht auf Aus­kunft nach Art. 15 DSGVO zusteht. Der Anbieter argumentierte, dass die betroffene Person das Auskunftsrecht lediglich zur Erlangung von Beweismitteln für einen Zivilprozess missbrauchen wolle und daher kein legitimes Auskunfts­begehren vorliege. Das Gericht wiederholte die Auffassung des EuGH, dass ein Auskunftsersuchen auch dann zulässig ist, wenn es daten­schutz­fremde Ziele verfolgt. Da es aber seit der Veröffentlichung des EuGH-Urteils noch keine Entschei­dung eines österreichischen Höchstgerichts gibt, erklärte das Gericht die ordentliche Revision für zulässig.

Der Fall begann, als ein Geschädigter vom Glücks­spiel­anbieter Auskunft über seine personenbezogenen Daten forderte, um eine mög­liche Rückforderungsklage vorzubereiten. Der Anbieter verweigerte diese Auskunft mit der Begründung, dass dem Kläger kein Auskunftsrecht nach Art. 15 DSGVO zustehe. Er argumen­tierte, der Kläger wolle nur Beweismittel für einen drohenden Zivilprozess erlangen und nicht die Rechtmäßigkeit der Datenverarbeitung über­prüfen, was das Aus­kunfts­recht rechtsmiss­bräuchlich mache. Darüber hinaus gab der Anbieter an, dass die angeforderten Informationen einem berechtigten Geheimhaltungs­inter­esse gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO unterlägen, da eine Schwä­chung seiner Rechtspo­siti­on drohe.

Das Oberlandesgericht Wien lehnte diese Argumentation ab. Es betonte, dass das berechtigte Geheimhaltungsinteresse des Anbieters gemäß § 4 Abs. 6 DSG iVm Art. 15 Abs. 4 DSGVO zwar die Rechte und Freiheiten anderer Personen, einschließlich Geschäfts- und Betriebsgeheimnissen schützen solle, jedoch nicht dazu führen dürfe, dass der betroffenen Person jegliche Auskunft verweigert wird. Dies werde insbesondere im letzten Satz von Erwägungsgrund 63 der DSGVO deutlich gemacht.

In der Begründung verweist das Gericht auf das EuGH-Urteil (C-307/22) vom 26. Oktober 2023. In einem ähnlich gelagerten Fall hatte der EuGH entschieden, dass die Verpflichtung des Verantwortlichen, der betroffenen Person unent­geltlich eine erste Kopie ihrer personenbezogenen Daten zur Verfügung zu stellen, auch dann gilt, wenn der Antrag mit anderen als den in Satz 1 von ErwGr 63 DSGVO genannten Zwecken begründet wird. Es wurde klargestellt, dass betroffene Personen das Recht auf freien Zugang zu ihren Daten haben, ohne dass sie ihren Antrag begründen müssen. Eine Ausnahme be­steht nur, wenn der Antrag offenkundig unbegründet oder exzessiv ist.

Veröffentlicht am von

Rückblick: Privacy Ring Fachtagung 2024 – Datenschutz in Immersive Reality

Am 18. April 2024 fand die jüngste Ausgabe der internationalen FachtagungPrivacy Ringstatt, die sich dieses Jahr dem hochaktuellen Thema “Datenschutz in Immersive Reality” widmete. Die Veranstaltung wurde bei der Hochschule Luzern – Informatik ausgerichtet und bot eine Plattform für intensive Diskussionen und Wissensaustausch über Datenschutzrecht in der sich rasant entwickelnden Welt der Immersiven Realitäten.

Die Veranstaltung wurde von Mag. Judith Leschanz, der Geschäftsführerin von Secur-Data, moderiert und mitorganisiert. Ihre Expertise und das Engagement des Teams trugen maßgeblich zum Erfolg der Fachtagung bei und ermöglichten einen tiefgehenden Einblick in die komplexen Herausforderungen und Chancen, die sich im Bereich des Datenschutzes in Immersive Reality ergeben.

Die Fachtagung setzte sich mit Vorträgen hochkarätiger Referenten fort, die verschiedene Aspekte des Datenschutzes in Immersive Reality aus unterschiedlichen Perspektiven beleuchteten. Von rechtlichen Rahmenbedingungen über technologische Herausforderungen bis hin zu ethischen Überlegungen wurden sämtliche relevanten Themenbereiche abgedeckt. Vorträge über den Einsatz von biometrischen Daten und die damit einhergehenden Bedenken, aber auch über die datenschutzrechtliche Rollenverteilung in der Immersive Reality bereicherten das Publik, das sowohl analog als auch digital präsent war.

Höhepunkt der Veranstaltung war eine lebhafte Podiumsdiskussion, bei der die Teilnehmer die Gelegenheit hatten, Fragen zu stellen, ihre Meinungen auszutauschen und gemeinsam Lösungsansätze für die zukünftigen Herausforderungen im Bereich Datenschutz zu erarbeiten.

Die Privacy Ring Fachtagung 2024 war ein voller Erfolg und bot wertvolle Einblicke, inspirierende Diskussionen und spannende Begegnungen. Die nächste Veranstaltung wurde bereits für September 2024 in Wien angekündigt!

Veröffentlicht am von

EDSA gibt Stellungnahme zu „Pay or Okay“-Modellen ab

Am 17. April 2024 veröffentlichte der Europäische Datenschutzausschuss (EDSA) auf Antrag der Datenschutzbehörden der Niederlande, Norwegens und Hamburgs eine Stellungnah­me. Der Inhalt der Erklärung betrifft die Legiti­mität der Einwilligung zur Verarbeitung personenbezogener Daten zu Werbezwecken im Rahmen von „consent or pay“-Modellen, wie sie von vielen großen Online-Plattformen eingesetzt werden. In der Stellungnahme, die von der EDSA-Vorsitzenden Anu Talus präsentiert wurde, wird die Bedeutung einer echten Auswahlmöglichkeit für die Nutzer hervor­gehoben. Die derzeitigen Modelle zwingen Individuen häufig dazu, entweder sämtliche Nutzungsdaten freizugeben oder eine Gebühr zu entrichten. In der Folge stimmen die meisten Nutzer der Daten­verarbeitung zu, ohne die vollständigen Auswir­kun­gen ihrer Entscheidung zu begreifen.

Der EDSA ist der Meinung, dass diese Modelle in den meisten Fällen nicht den Anforderungen an eine gültige Einwilligung entsprechen. Dies ist insbesondere dann der Fall, wenn den Nutzern lediglich die Wahl zwischen der Zustim­mung zur Datenverarbeitung für verhaltensbezogene Werbezwecke und der Ent­richtung einer Gebühr bleibt.

Die Stellungnahme betont, dass diese kostenpflichtige Alternative zur Verarbeitung perso­nen­bezogener Daten für Werbezwecke nicht als Standard betrachtet werden sollte. Stattdessen sollten Online-Plattformen in Erwägung ziehen, dem Betroffenen eine „gleichwertige Alternative“ anzubieten, die nicht mit einer Gebühr verbunden ist. Diese sollte frei von verhal­tensbezogener Werbung sein und weniger oder gar keine personenbezogenen Daten verarbeiten.

Des Weiteren wird betont, dass die Einholung der Einwilligung die Verantwortlichen nicht von der Einhaltung der Grundsätze der Daten­schutz-Grundverordnung (Art. 5 DSGVO) ent­bin­det. Insbesondere Zweckbindung, Datenmi­ni­mierung und Verarbeitung nach Treu und Glauben müssen gewahrt bleiben. Online-Platt­formen sind zudem verpflichtet, die Notwendigkeit und Verhältnismäßigkeit ihrer Ver­arbeitung nachzuweisen.

Der EDSA legt darüber hinaus Kriterien zur Bewertung der Einwilligung in diesen Fällen fest, darunter Konditionalität, Nachteil, Leistungsungleichgewicht und Granularität. Demnach müssen die Verantwortlichen prüfen, ob die Gebühr angemessen ist und ob die Verweigerung der Zustimmung negative Konsequenzen für die betroffene Person nach sich ziehen kann.

Außerdem sieht der EDSA eine Prüfung des Machtungleichgewichts zwischen Individuen und dem Verantwortlichen vor. Faktoren wie die Marktposition der Plattform, die Abhängigkeit der Nutzer von den Diensten und die Zielgruppe der Plattform sollten dabei berücksichtigt werden.

Nun arbeitet der EDSA weiter an Leitlinien für „consent or pay“-Modelle mit breiterem Anwendungsbereich und wird eine enge Zu­sammenarbeit mit Interessenträgern anstreben, um ein ausgewogenes und rechtskon­formes Vorgehen sicherzustellen.

Veröffentlicht am von

Spannendes Update zum heimischen und internationalen Datenschutz

In den letzten Monaten haben wir bedeutende Fortschritte im Bereich des Datenschutzrechts festgestellt. Auf europäischer Ebene wurde eine lang ersehnte Resolution zum AI Act erreicht, während Entscheidungen des EuGH Klarheit zu wichtigen Fragen bezüglich Schadensersatzansprüchen und der Haftung juristischer Personen geschaffen haben. Darüber hinaus hat die österreichische Regierung einen Entwurf des NIS-2-Gesetzes veröffentlicht, das voraussichtlich weitreichende Auswirkungen auf zahlreiche Unternehmen haben wird.

Am 8. und 9. April 2024 fand im renommierten Hilton Plaza Hotel in Wien das halbjährliche Praxisseminar von Secur-Data zum Datenschutz und zur Informationssicherheit statt. Unter der Organisation von Geschäftsführerin Mag. Judith Leschanz und dem anerkannten Branchenexperten Professor Hans-Jürgen Pollirer bot dieses zweitägige Seminar Expertinnen aus diversen Branchen eine einzigartige Plattform, um sich über die aktuellen Fortschritte im Datenschutz und der IT-Sicherheit zu informieren und auszutauschen.

Die Veranstaltung umfasste eine breite Palette von Fachpräsentationen, die das gesamte Spektrum von grundlegenden Themen des Datenschutzrechts bis hin zu aktuellen Gesetzgebungen und Rechtsprechungen der Europäischen Union abdeckten. Ein besonderes Highlight der Veranstaltung war erneut der Vortrag eines Vertreters der Datenschutzbehörde, der die Teilnehmer mit den neuesten behördlichen Entscheidungen vertraut machte. Dies ermöglichte den Teilnehmern, einen tiefen Einblick in die neuesten Entwicklungen zu erhalten und aus erster Hand Informationen zu bevorstehenden Maßnahmen zu erhalten.

Die breite Palette an Teilnehmern umfasste Vertreter aus verschiedenen Branchen, darunter der öffentliche Sektor, das Bankwesen, das Gesundheitswesen, die Industrie und der Glückspielsektor. Eines der Hauptthemen, die diskutiert wurden, war die Implementierung künstlicher Intelligenz und die damit verbundenen Herausforderungen sowie der Schutz vor Angriffen in Zeiten der umfassenden Digitalisierung. Die Veranstaltung bot den Teilnehmern eine Brücke zwischen theoretischen Konzepten und praktischer Umsetzung. Daher stießen diese Themen auf reges Interesse und führten zu spannenden Diskussionen unter den Teilnehmern.

„Ich bin überwältigt von der positiven Resonanz nach unserem Praxisseminar zum Thema Datenschutzrecht und Informationssicherheit. Die Vielfalt der Teilnehmer aus unterschiedlichen Branchen hat zu einer bereichernden Diskussion und einem regen Erfahrungsaustausch beigetragen. Unser Seminar war so konzipiert, dass sowohl Einsteiger als auch Fortgeschrittene von den Inhalten profitieren konnten. Angesichts der immer komplexeren digitalen Landschaft ist es essenziell, sich mit diesen zukunftsweisenden Themen auseinanderzusetzen. Ich bin überzeugt, dass das erlangte Wissen dazu beiträgt, den Datenschutz und die Informationssicherheit in unseren Organisationen weiterhin auf höchstem Niveau zu gewährleisten.“, so Mag. Judith Leschanz, Geschäftsführerin der Secur-Data Betriebsberatungsgesellschaft m.b.H.

Das halbjährliche Praxisseminar zum Datenschutz und zur Informationssicherheit ist zu einem festen Termin im Kalender von Datenschutzexperten und Branchenvertretern geworden und wird voraussichtlich im Herbst 2024 erneut stattfinden.

Veröffentlicht am von

TC-String als personenbezogenes Datum eingestuft

Am 7. März 2024 hat der Europäische Gerichtshof (EuGH) im Rahmen eines Vorabent­schei­dungsverfahrens eine wegweisende Entscheidung (C-604/22) getroffen, die erhebliche Aus­wirkungen auf die Online-Werbeindustrie hat. Das Urteil betrifft das „Transparency and Consent Framework“ (TCF) des Interactive Advertising Bureau (IAB) Europe und stellt fest, dass der TC-String als personenbezogenes Datum anzusehen ist.

Das IAB Europe ist ein Verband, der Unternehmen der digitalen Werbe- und Marketing­indu­strie auf europäischer Ebene vertritt. Seine Mitglieder, darunter Medien- und Technologieunternehmen, nutzen das TCF, um Einwilli­gungen für die Erhebung und Verarbeitung von Daten zu verwalten. Das TCF bietet einen Standard für die Abfrage und Übermittlung von Nutzereinwilligungen.

Dabei wird ein „Transparency and Consent String“ (TC-String) generiert, der die Einwilligungs­­präferenzen des Nutzers kodiert. Dieser TC-String wird von den Mitgliedsun­terneh­men des IAB Europe genutzt, um personalisierte Werbung auszuspielen. Neben dem TC-String wird auch ein Cookie – euconsent-v2 – auf dem Gerät des Nutzers hinterlegt.

Die belgische Datenschutzbehörde hatte zuvor festgestellt, dass die Speicherung des TC-Strings in Verbindung mit der IP-Adresse des Nutzers gegen die DSGVO verstößt. Das EuGH bestätigte diese Ansicht und stellte fest, dass der TC-String ein personenbezogenes Datum im Sinne der DSGVO ist. Laut EuGH enthält der TC-String benutzerspezifische Einstellungen, die wenn sie mit anderen Identifikatoren wie IP-Adressen verknüpft werden, zur Identifizierung einer bestimmten Person führen können.

Darüber hinaus sieht der EuGH das IAB Europe und seine Mitglieder als gemeinsame Verantwortliche für die im Rahmen des TCF verarbeiteten Daten an. Dies bedeutet, dass sie Vereinbarungen hinsichtlich ihrer gemeinsamen Verantwortlichkeit abschließen müssen.

Das Urteil hat weitreichende Konsequenzen für Unternehmen, die das TCF nutzen. Es wird erwartet, dass erhebliche Änderungen bei der Einholung von Einwilligungen und der Generierung des TC-Strings erforderlich sind.