Attribut:Antwort

Annotationen29

vorherige 20 20 50 100 250 500 nächste 20

Filter<p>Der <a rel="nofollow" class="external text" href="https://www.semantic-mediawiki.org/wiki/Help:Property_page/Filter">Filter für die Suche nach Datenwerten zu Attributen</a> unterstützt die Nutzung von <a rel="nofollow" class="external text" href="https://www.semantic-mediawiki.org/wiki/Help:Query_expressions">Abfrageausdrücken</a> wie bpsw. <code>~</code> oder <code>!</code>. Je nach genutzter <a rel="nofollow" class="external text" href="https://www.semantic-mediawiki.org/wiki/Query_engine">Abfragedatenbank</a> werden auch die groß- und kleinschreibungsunabhängige Suche oder auch folgende weitere Abfrageausdrücke unterstützt:</p><ul><li><code>in:</code>: Das Ergebnis soll den angegebenen Begriff enthalten, wie bspw. <code>in:Foo</code></li></ul><ul><li><code>not:</code>: Das Ergebnis soll den angegebenen Begriff nicht enthalten, wie bpsw. <code>not:Bar</code></li></ul>

Unterhalb werden 20 Seiten angezeigt, auf denen für dieses Attribut ein Datenwert gespeichert wurde.

A

Ab wann gilt die DSGVO? +

25. Mai 2018 +

B

Brauche ich einen Datenschutzbeauftragten? +

Ob Sie einen Datenschutzbeauftragten „brauchen“, müssen Sie zunächst entscheiden. Für die Mehrheit der Unternehmen wird die Bestellung grundsätzlich optional sein. Zwingend aufgrund der DSGVO zu bestellen ist ein Datenschutzbeauftragter nur von Behörden bzw. öffentlichen Stellen (mit Ausnahme von Gerichten, sofern sie nicht im Rahmen der Justizverwaltung handeln) und bei Unternehmen, die schwerpunktmäßig in einem spezifischen Geschäftsbereich tätig sind. Die entsprechenden Regelungen finden Sie in Art. 37 DSGVO. +

Braucht der Datenschutzbeauftragte eine bestimmte (akademische) Ausbildung? +

Nein. Gemäß Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf Grundlage seiner Fähigkeit zur Erfüllung der Aufgaben des Datenschutzbeauftragten gemäß Art. 39 DSGVO. +

G

Gibt es Änderungen durch die DSGVO, selbst wenn bereits Einwilligungen von Betroffenen für die Datenverarbeitung eingeholt werden? +

Sofern eine eingeholte Einwilligung den Voraussetzungen von Art 7. DSGVO entspricht, ändert sich nichts. Gegebenenfalls sind die Einwilligungen erneut einzuholen. +

Gibt es Ausnahmen für Datenschutz-Folgenabschätzungen? +

Ja, mit [https://www.ris.bka.gv.at/eli/bgbl/II/2018/108/20180525 BGBl. II Nr. 108/2018] wurden Ausnahmen verordnet. +

Gibt es nach Inkrafttreten der DSGVO noch ein nationales Datenschutzrecht? +

Ja. Das österreichische Parlament hat dazu das Datenschutz-Anpassungsgesetz erlassen +

Gilt die DSGVO nur für Großunternehmen? +

Nein. Die DSGVO gilt auch für Klein- und Einpersonunternehmen unter bestimmten Voraussetzungen sowie für Behörden und öffentliche Stellen. Punktuell sind Ausnahmen für Klein- und Einpersonunternehmen vorgesehen (z.B. in Art. 30 Abs. 5 DSGVO betreffend die Führung eines Verzeichnisses von Verarbeitungstätigkeiten). +

I

Ist das Anbieten von Daten grundsätzlich eine Übermittlung in Drittländer? +

Nein. Es ist nur die Möglichkeit geschaffen worden, die Daten abzurufen. Es fehlt der konkrete Empfängerkreis, der nicht benennbar ist. +

K

Kann ein Datenschutzbeauftragter verantwortlicher Beauftragter nach § 9 VStG sein? +

Der Datenschutzbeauftragte hat nach Ansicht der Datenschutzbehörde beratende Funktion. Verbindliche Anordnungen sind von der Managementebene zu treffen. Deshalb ist die Datenschutzbehörde der Ansicht, dass ein Datenschutzbeauftragter nicht als verantwortlicher Beauftragter bestellt werden kann. +

M

Müssen Spendenorganisationen verpflichtend einen Datenschutzbeauftragten bestellen? +

"Bei Organisationen, die vorwiegend spendenfinanziert sind, zählt die Verarbeitung von Spenderdaten aufgrund der untrennbaren Verbindung zwischen den Organisationsmitteln und der Mittelaufbringung durch Spenden zur Kerntätigkeit der Organisation. Diese Kerntätigkeit besteht jedoch nicht zwangsläufig in einer "umfangreichen, systematischen oder regelmäßigen Überwachung" der Spender iSv Art. 37 DSGVO. Eine generelle Verpflichtung zur Bestellung eines DSBA scheint für gemeinnützige Spendenorganisationen nicht zu bestehen. Diese setzen jedoch teilweise Methoden des E-Mail-Retargetings ein. Auch könnten gewisse Kommunikationsabläufe mit den Spendern als verhaltensbasierte Werbung angesehen werden. Je spezifischer die Beziehung zu den Spendern aufgebaut ist, desto eher wird daraus eine Pflicht zu Benennung eines DSBA resultieren." Details siehe [https://lesen.lexisnexis.at/_/verpflichtende-datenschutzbeauftragte-fuer-spendenorganisationen/artikel/jusit/2017/5/jusIT_2017_05_080.html Scheichenbauer, Heide, "Verpflichtende Datenschutzbeauftragte für Spendenorganisationen?"], jusIT 05/2017 +

Müssen wir Daten aus Backups löschen? +

Nein, nicht grundsätzlich. +

S

Sind Bilddaten erkennbarer Personen immer sensible Daten? +

Eher ja. Die Frage ist ungeklärt. Knyrm argumentiert differenziert, während Bergauer zu folgendem Fazit kommt: "Sämtliche einschägigen datenschutzrechtlichen Normen und Definitionen [...] legen aufgrund ihres eindeugiten Wortlauts den Schluss nahe, dass Bilddateeien erkennbarer Personen aufgrund einer rein nach objektiven Gesichtspunkten gebotenen Betrachtung als sensible Daten zu quelifizieren sind, da sich aufgrund der Informationsdichte eines Bilde stets Rückschlüsse auf besonders schutzwürdige Datenkategorien (insb. Angaben über die Gesundheit und ethnische Herkunft) ziehen lassen. Um dabei nicht über das Ziel hinauszuschießen, sollte der jeweilige diesbezüglich zu weit formulierte Wortlaut (§4 Z2 DSG 2000, <span class="noglossary">Art. 8 Abs 1 DS-RL</span> bzw. Art. 9 Abs 1 DSGVO) im Sinne der ratio legis durch das Kriterium der "hinlänglichen Sicherheit" eingeschränkt werden." Details siehe: [https://lesen.lexisnexis.at/_/die-einordnung-von-bilddaten-erkennbarer-personen-im-datenschutz/artikel/jusit/2016/6/jusIT_2016_06_103.html Bergauer, Christian, Die Einordnung von Bilddaten erkennbarer Personen im Datenschutzrecht. Eine Replik auf Knyrim, Bilddaten:immer sensibel?], jusIT 2016/102, 235 in: jusIT 06/2016, Art. Nr. 103, Dezember 2016. +

Sind Fotos auf Veranstaltungen erlaubt? +

Soferne der Hinweis zu Beginn erfolgt ist, ist das kein Problem. +

Stellung des Datenschutzbeauftragten +

Die Stellung des Datenschutzbeauftragten ist in Art. 38 DSGVO näher geregelt. Demnach erhält der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene. Ferner müssen der Verantwortliche und der Auftragsverarbeiter den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen und ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellen. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37 Abs. 6 DSGVO). Für '''Bundesministerien und diesen nachgeordnete Dienststellen bzw. Einrichtungen''' sieht § 5 DSG vor, dass der Datenschutzbeauftragte dem Dienststand des jeweiligen Ministeriums bzw. der Dienststelle oder Einrichtung anzugehören hat. Sozialversicherungsträger bzw. Selbstverwaltungskörper, bei denen lediglich ein Aufsichtsrecht des Bundes besteht, fallen nicht unter § 5 DSG. +

W

Wann ist ein Datenschutzbeauftragter verpflichtend zu bestellen? +

Der Verantwortliche bzw. Auftragsverarbeiter muss einen Datenschutzbeauftragten bestellen, wenn a) die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder b) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (gemäß Art. 9) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (gemäß Art. 10) besteht. +

Was bedeutet die DSGVO für die Inanspruchnahme von Cloud-Services? +

Hier tritt kein wesentlicher Unterschied zur Rechtslage nach dem DSG 2000 ein. Es ist zu beachten, dass durch die Inanspruchnahme von Cloud-Services ggf. eine Datenübermittlung in ein Drittland stattfindet, für die es eine gesonderte Rechtsgrundlage braucht (bspw. Standardvertragsklauseln). Wird ein Cloud-Diensteanbieter in Anspruch genommen, so muss eine sichere Datenverarbeitung durch diesen gewährleistet sein. Kommt es zu einer Verletzung des Schutzes personenbezogener Daten in der Cloud (bspw. durch einen Hackerangriff o.ä.) trägt die datenschutzrechtliche Verantwortung (einschließlich schadenersatzrechtlicher Ansprüche) nach außen hin der Verantwortliche (d.h. jene Person/jene Einrichtung, die Cloud-Services in Anspruch nimmt). +

Was ist bei Übermittlungen von Daten ins Nicht-EU-Ausland zu beachten und was passiert mit bisherigen Genehmigungen? +

Durch die DSGVO erfolgt eine weitreichende Genehmigungsfreiheit im internationalen Datenverkehr (Art. 44-50 DSGVO). Es ist – wie bisher auch – darauf zu achten, dass alle Verarbeitungsvorgänge zuerst im Inland zulässig sind, bevor ein Datenexport möglich ist. Die bereits bekannten rechtlichen Instrumente für den Datenexport bleiben erhalten und werden ergänzt: Daten dürfen an ein Drittland oder eine internationale Organisation übermittelt werden, wenn dort ein angemessenes Schutzniveau besteht (Art. 45 DSGVO). Die Feststellung erfolgt wie bisher durch die Kommission der EU. Die bestehende Liste bleibt gültig. Weiters ist die Übermittlung zulässig, wenn eine vertragliche Vereinbarung mit Standarddatenschutzklauseln abgeschlossen wurde oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) bestehen. Diese Instrumente gab es schon bisher. Zu den neuen rechtlichen Instrumenten gehören Verhaltensregeln (Art. 40 DSGVO) und Zertifizierungsmechanismen (Art. 42 DSGVO). Art. 46 Abs. 3 DSGVO enthält die Möglichkeit, in Sonderfällen eine Genehmigung durch die Aufsichtsbehörde einzuholen. Art. 49 DSGVO enthält einige Sonderfälle, von denen einige mit den Regeln im bestehenden § 12 DSG 2000 übereinstimmen (Zustimmung, Vertragserfüllung, öffentliches Interesse, Verteidigung von Rechtsansprüchen, lebenswichtige Interessen) und einige neu dazugekommen sind (Übermittlung eines Auszugs aus einem öffentlichen Register). Die DSGVO bringt weniger Behördenwege, und mehr Verantwortung. Es ist insbesondre erforderlich, die eigenen Zwecke und Datenbanken zu kennen und selbst zu entscheiden, welche rechtlichen Instrumente geboten sind. Es bestehen auch Informationspflichten an Betroffene, wenn Daten ins Nicht-EU-Ausland übermittelt werden sollen (Art. 13 Abs. 1 lit. f und 14 Abs. 1 lit. f DSGVO). Bereits erteilte Genehmigungen bleiben grundsätzlich gültig (Art. 6 Abs. 5 DSGVO). +

Was ist eine "öffentliche Stelle"? +

Die Datenschutzbehörde kann keine konkrete Einzelfallprüfung vor- bzw. vorwegnehmen, ob eine Stelle als öffentliche Stelle anzusehen ist oder nicht. Grundsätzlich obliegt es dem Verantwortlichen selbst diese Einordnung entsprechend der gegebenen Rechtsgrundlagen vorzunehmen. Neben diversen deutschsprachigen Kommentaren (siehe dazu Punkt 13 dieses Leitfadens) sowie der Leitlinie der Art. 29-Gruppe zum Datenschutzbeauftragten, welche Anhaltspunkte für die Auslegung des Begriffs der öffentlichen Stelle liefern, ist insbesondere das '''Datenschutzanpassungsgesetz 2018''' heranzuziehen. Darin findet sich in § 26 Abs. 1 DSG eine Definition für den '''Verantwortlichen des öffentlichen Bereichs'''. Darunter fallen alle Verantwortliche, • die in Formen des öffentlichen Rechts eingerichtet sind oder • zwar in Form des Privatrechts eingerichtet sind, jedoch in Vollziehung der Gesetze tätig werden (so genannte „beliehene Rechtsträger“ sowie Fälle der schlichten Hoheitsverwaltung). Nach derzeitiger Ansicht der Datenschutzbehörde kann diese Definition als Beurteilungskriterium herangezogen werden. Sie entspricht auch weitgehend jener Definition, die das deutsche Bundesdatenschutzgesetz vorsieht, welches den Begriff der „öffentlichen Stelle“ schon jetzt kennt. Sofern diese Merkmale vom jeweiligen Verantwortlichen nicht erfüllt werden, wird schwerlich eine Einordnung als öffentliche Stelle möglich sein. +

Was ist eine Zertifizierung und wer führt sie durch? +

Datenschutzspezifische Zertifizierungsverfahren, Datenschutzsiegel und Datenschutzprüfzeichen dienen dem Nachweis der faktischen Einhaltung von Vorgaben der DSGVO bei bestimmten Verarbeitungsvorgängen. Eine Zertifizierung wird durch die Aufsichtsbehörde auf Grundlage der Zertifizierungskriterien eines genehmigten Zertifizierungsverfahrens erteilt. Die maximale Gültigkeit einer Zertifizierung beträgt drei Jahre, eine (mehrfache) Verlängerung um je maximal drei Jahre ist möglich. +

Was sind Verhaltensregeln? +

Gem. Art. 40 DSGVO legen Verhaltensregeln die Rechtslage inhaltsspezifisch näher aus, indem sie die Anwendung der DSGVO in gewissen Bereichen präzisieren. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können solche Verhaltensregeln ausarbeiten und der Aufsichtsbehörde zur Genehmigung vorlegen. Mit der Überwachung der Einhaltung von genehmigten Verhaltensregeln ist die Aufsichtsbehörde beauftragt, wobei diese auch eine von ihr dafür besonders geeignete Stelle akkreditieren kann. +