Mitglied werden

Wir würden uns freuen, wenn Sie Mitglied unseres Vereins werden. Nähere Informationen zu uns finden Sie hier auf unserer Website.

Datenschutzbehörde veröffentlicht Datenschutzbericht 2020

Die österreichische Datenschutzbehörde hat ihren Datenschutzbericht 2020 zum Download bereit gestellt (pdf). Dieser enthält für jede/n Datenschutzinteressierte/n eine Vielzahl an interessanten Inhalten, wie zB aktuelle Verfahrenszahlen, einen chronologischen Überblick über Entscheidungen der DSB im Jahr 2020 und Zusammenfassungen der wesentlichen höchstgerichtlichen Entscheidungen. Fundstück für Datenschutzbeauftragte: Bei der DSB gingen in den Jahren 2018 bis 2020 insgesamt 6308 Meldungen über die Bestellung von Datenschutzbeauftragten gem Art. 37 Abs. 7 DSGVO ein (siehe Seite 10).

Expert-Talk am 24.3. “Covid19 Herausforderungen für Betriebe. Testen, betriebsinterne Impfungen, Contact Tracing”

Wir beleuchten – mit drei Experten aus dem Privacyofficers.at Kreis – aktuelle Themen, Fragen und Praxisbeispiele rund um die Rolle von Unternehmen bei der Pandemiebekämpfung und die Herausforderungen, die sich für diese dabei stellen. Wir gehen auf datenschutzrechtliche Herausforderungen bei betriebsinternen Schutzmaßnahmen, Testungen und Impfungen näher ein.

Der Schutz des Einzelnen, der Anderen und die betrieblichen Interessen sind zu berücksichtigen. Der Datenschutz als Grundrecht muss dabei berücksichtigt werden, soll aber nicht verhindern. Oft braucht es dazu individuelle Lösungen.

Anmeldemöglichkeit und Teilnahmelink hier.

Berichtigung der DSGVO im Amtsblatt veröffentlicht

Die deutsche Sprachfassung der Datenschutz-Grundverordnung (EU) 2016/679 wurde (ein weiteres Mal, siehe die verlinkten Corrigenda hier) berichtigt, siehe das Amtsblatt der EU vom 4.3.2021; neben der deutschen wurden auch viele andere Sprachfassungen korrigiert. Nicht nur die DSGVO “hat es erwischt”: so wurde auch ein Corrigendum der JI-Richtlinie (EU) 2016/680 veröffentlicht.

ePrivacy-Verordnung: Rat legt Verhandlungsentwurf vor

Der Rat hat sich heute auf einen Entwurf einer ePrivacyVO geeinigt, als nächstes wird dieser mit dem Europäischen Parlament verhandelt. Erste Kritk daran kommt vom deutschen BfDI. Hier geht es zum Ratstext (pdf).

Europäischer Datenschutztag 2021

Quelle: stackfield.com

Der Europäische Datenschutztag ist ein auf Initiative des Europarats ins Leben gerufener Aktionstag für den Datenschutz.

Er wird seit 2007 jährlich am 28. Jänner begangen. Dieses Datum wurde gewählt, weil am 28. Januar 1981 die Europäische Datenschutzkonvention unterzeichnet wurde.

Außerhalb der Datenschutzcommunity könnte man meinen, das Thema Datenschutz existiert in der breiteren Öffentlichkeit erst seit 2018 und Einführung der DSGVO. In der Realität strebt der Mensch schon seit Jahrtausenden nach Privatsphäre. Seit 1500 n. Chr. gehören Trennwände in Gebäuden zum Alltag. Beichtgeheimnis und ärztliche Schweigepflicht existieren schon sehr lange.

Das “Recht auf Privatsphäre” wie wir es heute kennen, ist allerdings jünger: Es wurde 1948 als internationales Menschenrecht festgeschrieben. Schweden war 1973 das erste Land, das ein nationales Datenschutzgesetz erließ. In Österreich gibt es seit 1978 eine vergleichbare Rechtsgrundlage welche 2018 durch die EU weit gültige DSGVO an die Anforderungen des 21. Jahrhunderts angepasst wurde.

Der Datenschutztag wird seit einigen Jahren übrigens weltweit begangen und außerhalb Europas auch „Privacy Day“ (Tag des Schutzes der Privatsphäre) oder „Data Privacy Day“ (Tag des Schutzes der Privatsphäre und des Datenschutzes) genannt.

Der Datenschutztag könnte ein guter Zeitpunkt sein, um zu reflektieren, welche Sicht wir persönlich auf Daten haben und wie wir mit ihnen umgehen. Es ist eine Tatsache, dass wir uns mitten in der digitalen Transformation mit all ihren Herausforderungen befinden. Die Auswirkungen der DSGVO werden auch in Zukunft tiefgreifend sein: Wir müssen die Anforderungen erfüllen und die Behörden werden immer weniger geduldig mit denen, die sich nicht an die Richtlinien halten.

Datenschutz und Informationssicherheit sind übrigens zwei korrespondierende Gefäße, es benötigt beides. Oftmals sorgen arbeiten die damit befassten Organisationseinheiten in Unternehmen gemeinsam mit entsprechenden Methoden und durch entsprechende Rahmenbedingungen für die Sicherstellung von beidem.

Auch für den persönlichen Umgang mit den eigenen Daten im privaten Umfeld empfehlen sich folgende Tipps, dadurch tragen Sie auch für die Sicherheit der in Ihrem Verantwortungsbereich verarbeiteten Daten :

  • Verwenden Sie sichere Passwörter, die mindestens acht Zeichen lang sind und nach Möglichkeit Groß- und Kleinbuchstaben, Ziffern und Sonderzeichen enthalten. Die Verwendung eines Passwortmanagers erleichtert die Umsetzung ungemein!
  • Halten Sie Ihre Software immer auf dem aktuellen Stand, „never touch a running system“ ist bei modernen Betriebssystemen ein „No-go“ da nur durch entsprechende Updates sichergestellt werden kann, dass keine Lücken und Schwachstellen bestehen.
  • Verwenden Sie eine Firewall und Virenschutz, schon die mitgelieferten Bordmittel z.B. von Microsoft Windows sind ein guter erster Schritt.
  • Gehen Sie mit Ihren E-Mails sowie mit Nachrichten in sozialen Netzwerken sorgsam um.
  • Vorsicht beim Download von Software aus dem Internet – nur sichere und bekannte Quellen nutzen.
  • Sichern Sie Ihre drahtlose (Funk-)Netzwerkverbindung und beachten Sie Risiken bei der Nutzung öffentlicher und unverschlüsselter WLAN-Netze.
  • Seien Sie zurückhaltend mit der Angabe persönlicher Daten im Internet.
  • Führen Sie regelmäßig Backups der Daten durch auf einem Laufwerk, das nicht ständig mit dem Rechner verbunden ist.

Bundesverwaltungsgericht hebt Straferkenntnis der Datenschutzbehörde gegen die Post (Geldbuße 18 Mio Euro) auf

Das Bundesverwaltungsgericht (BVwG) hat  im Verfahren der Datenschutzbehörde (DSB) gegen die Post in drei Teilerkenntnissen entschieden: BVWG_W258 2217446-1; W258 2217446-1; BVG_W258 2227269-1.

Die DSB hatte mit Bescheid vom 23.10.2019, GZ DSB-D550.148/0017-DSB/2019 gegen die Post eine Geldbuße in der Höhe von 18 Millionen Euro verhängt. Dieses Erkenntnis wurde nun (teilweise) aufgehoben. Die Post muss die Strafe also  nicht zahlen – eine außerordentliche Revision dürfte von der DSB nicht erhoben werden. Das BVwG hat in diesem Verfahren schon in zwei weiteren Teilerkenntnissen entschieden.

Die Post hatte Daten über die wahrscheinliche Parteiaffinität von natürlichen Personen gespeichert und damit unter dem Gewerbe Adresshandel (§ 151 GewO) gehandelt bzw. diese weiterverkauft (Listbrokering).

Das BVwG hat die Strafe im dritten der drei Teilerkenntnisse aufgehoben, weil die DSB das Verfahren formal nicht richtig geführt habe. Die DSB hätte, so das BVwG, die natürlichen Personen, die die Verletzung verschuldet haben, identifizieren und ausfindig machen, sowie eine Zurechnung zur juristischen Person Post herstellen müssen, um diese der Post als juristische Person zuzurechnen, um dann die Geldbuße gegen die Post zu verhängen. Erst jüngst hatte der VwGH in einem anderen, jedoch grundsätzlich vergleichbaren, Verfahren (12.05.2020, Ro 2019/04/0229) bestätigt, dass andernfalls eine Geldbuße gegen eine juristische Person nicht wirksam verhängt werden kann.

Bemerkenswert ist, dass das BVwG sehr klare und harte Worte zur materiellen Rechtsfrage bzw. zur Verletzung des Datenschutzrechts der Betroffenen und die postinterne rechtliche Analyse dazu findet. Die Informationen über die Parteiaffinität sind – selbst wenn sie (nur) Wahrscheinlichkeitsinformationen sind – nach Ansicht des BVwG (und auch zuvor der DSB) Daten besonderer Kategorie gemäß Artikel 9 Abs 1 DSGVO. Das BVwG vermisst die notwendigen Voraussetzungen, die die DSGVO für die Verarbeitung dieser Daten einfordert (Einwilligung etc).

Das BVwG geht darüber hinaus auch auf die beteiligten Personen bei der Post und den diesen konkret vorwerfbaren Handlungen in dem Fall ein, nämlich die Datenschutzbeauftragte, die Leiterin der Rechtsabteilung und auch den Vorstand. Alle hätten grob fahrlässig gehandelt. Es sei zwar eine Datenschutz-Folgenabschätzung gemäß Artikel 35 DSGVO durchgeführt worden. Dabei hätte die Datenschutzbeauftragte eine falsche rechtliche Beurteilung getroffen (Parteiaffinität sind unbedenkliche Informationen), sie hätte sich dazu der internen Rechtsabteilung bzw. einer externen Beratung bedienen müssen. Und weil sie das nicht getan hat, hätte es die Leiterin der Rechtsabteilung tun müssen.

Was lässt sich für die Praxis von Unternehmen und von Datenschutzbeauftragten daraus konkret ableiten?

Was lässt sich für die Praxis von Unternehmen und von Datenschutzbeauftragten daraus konkret ableiten?

  • Sie müssen sich immer mit allen Fragen rund um eine Datenverarbeitung fundiert, schriftlich und nachvollziehbar auseinandersetzen.
  • Datenschutzbeauftragte haben dabei eine wichtige Rolle, sie müssen kompetent sein und eine rechtlich belastbare Einschätzung vornehmen. Sie müssen aber auch ihre Grenzen kennen und sich internen oder externen Rat einholen, wenn es um schwierige Sachverhalte geht, die an ihre fachlichen Grenzen stoßen.
  • Inwieweit dem Datenschutzbeauftragten selbst eine “Verantwortung” zukommt, wird in dem Teilerkenntnis nicht abschließend gesagt. Bisher geht man in Österreich davon aus, dass dem Datenschutzbeauftragten keine inhaltliche Verantwortung zukommt und er auch keine Verantwortung gemäß § 9 VStG tragen kann.

    Diese Ansicht könnte durch diese Erkenntnis erschüttert sein. Jedenfalls ist zu bedenken, dass die DSGVO in Artikel 35 DSGVO klar vorschreibt, dass der Datenschutzbeauftragte bei Datenschutz-Folgenabschätzungen beizuziehen ist. Insofern kommt dem Datenschutzbeauftragten schon auch eine inhaltliche Rolle zu. Lässt sich daraus eine inhaltliche Verantwortung ableiten?

    Es wird wohl (aus zivilrechtlicher Sicht) eine Art Sachverständigenhaftung nach §§ 1299 f ABGB in Betracht kommen (bei internen DSBA ist hier auch das Dienstnehmerhaftpflichtgesetz zu berücksichtigen), wird doch von einem Datenschutzbeauftragten eine gewisse rechtliche Expertise erwartet, wenn die DSGVO dessen Einbeziehung fordert, um eine risikoreiche Datenverarbeitung mittels DSFA gemäß DSGVO aufzusetzen.
  • Hier wurde eine Datenschutz-Folgenabschätzung durchgeführt, wobei es zu einer unrichtigen rechtlichen Beurteilung gekommen ist.  Das bedeutet, dass man sich sehr genau die einzelnen Datenarten in Bezug auf den konkreten Zweck ansehen muss und fundiert begründen muss, zu welchen rechtlichen Einschätzungen man kommt.

    Datenschutz-Folgenabschätzungen sind eigentlich dafür da, um eine Risikobewertung und in der Folge risikominimierende Maßnahmen vorzunehmen. Hier scheiterte es aber bereits an der rechtlichen Beurteilung der Sensibilität der Datenarten, wodurch eine entsprechende Risikobewertung einfach nicht stattfand.

Ausbildung von Datenschutzbeauftragten in der Schweiz

Seit 2018 werden auf der Hochschule Luzern angehende Datenschutzbeauftragte fundiert in dessen verschiedensten Anforderungsprofilen ausgebildet.

Im fünfmonatigen Kurs CAS Data Privacy Officer erhalten die Kursteilnehmer umfassendes Know-how und praktische Erfahrungen in den Themengebieten:

  • Recht
  • DSMS
  • Technik
  • Rolle DPO & Governance
  • Outsourcing & Contracting

Im Modul DSMS gaben neben dem Präsidenten der Data Privacy Community Jérôme Egli auch das Privacyofficers.at Vorstandsmitglied Michael Punz ihr Wissen und ihre Erfahrungswerte an die Kursteilnehmer weiter.

Auch die von Privacyofficers.at erstellte Checkliste zur Umsetzung der DSGVO sowie das Durchführungsbeispiel einer Datenschutz-Folgenabschätzung am Beispiel Videoüberwachung waren fixer Bestandteil des Kurses. Dadurch wurden die Themen „Aufbau eines DSMS“ und „Durchführung einer DSFA“ für die Kursteilnehmer „greifbar“ und erhielten die notwendige Praxisrelevanz.

In diesem Jahr fand das DSMS-Modul mit mehr als 20 Teilnehmern ebenfalls statt, allerdings Corona-bedingt online über Zoom. Diese neue Situation hat auch erfordert, auf die Nutzung der neuen Medien einzugehen und diese entsprechend auch sinnvoll einzusetzen. Deshalb kamen neben der klassischen Vermittlung der fachlichen Inhalte auch Brake Out Sessions für virtuelle Diskussionen im kleineren Rahmen und Live-Umfragen mittels Mentimeter zum Einsatz.

Vor allem in Zeiten wie diesen, in denen der Einsatz von IT im Alltag derart stark ansteigt, gewinnt Datenschutz immer mehr an Bedeutung. Aus diesem Grund ist die fundierte Ausbildung von Datenschutzbeauftragten ein wertvoller Beitrag für nachhaltigen und gelebten Datenschutz. Durch die länderübergreifende Zusammenarbeit findet hierzu auch ein wichtiger Erfahrungs- und Know-how-Transfer statt.

Zudem wurde in der Schweiz am 25. September 2020 das neue Datenschutzgesetz verabschiedet, welches voraussichtlich 2022 in Kraft tritt. Weitere Informationen hierzu gibt es im Webinar der Data Privacy Community am 15. Dezember 2020.

ISPA. Datenschutzbehörde genehmigt Code of Conduct (CoC)

Unsere befreundete Organisation, die ISPA Internet Service Providers Austria hat den ersten – in Österreich vollständig von der Datenschutzbehörde genehmigten –  Code of Conduct gemäß Artikel 40ff DSGVO erstellt.

Der Code of Conduct für ISPs (ISP=Telekommunikationsanbieter gemäß TKG) gehört zu den ersten genehmigten CoCs in Europa. Der CoC wurde auf Initiative von Natalie Ségur-Cabanac, die sowohl Vorständin von privacyofficers.at wie auch Vorständin der ISPA ist, erstellt.

Auch unsere Vorsitzende, Judith Leschanz hat dabei eine wichtige Rolle. Als Mitglied der Überwachungsstelle (Aufsichtsbeirat) war sie in der Arbeitsgruppe Datenschutz der ISPA aktiv dabei.

Hauptziel des COC für ISPs ist die Klärung der datenschutzrechtlichen Rollen der Telekommunikationsanbieter (ISP) und Endkunden (Betroffene) sowie zwischen ISPs untereinander. Demnach agiert ein ISP bei Erbringung von Telekommunikationsleistungen gemäß TKG gegenüber seinen Endkunden als datenschutzrechtlicher Verantwortlicher und nicht als datenschutzrechtlicher Auftragsverarbeiter.

ISPs arbeiten als Verantwortliche zusammen, wenn es um die erforderlichen Vorleistungsbeziehungen geht, die notwendig sind, um Endkunden Services über Netz-, und Dienstegrenzen hinweg zu erbringen. Dazu gehören z.B. Roaming oder einfache Zusammenschaltung von Netzen.

Im CoC finden sich auch Regelungen zu den Betroffenenrechten. So wurden insbesondere Lösungen für die Datenmitnahme (Data Portability) inklusive Einigung über Formate gefunden. Auch eine langjährige Judikatur der Datenschutzbehörde (bzw. der Datenschutzkommission) zur Beauskunftung von Verkehrsdaten wurde festgehalten.

Die ISPA hat sich für eine interne Stelle als Überwachungsstelle entschieden. So wurde, der von der Datenschutzbehörde akkreditierte Aufsichtsbeirat eingerichtet, der in der Zusammensetzung ein breites Spektrum an Kompetenzen und Aufgabengebieten der nominierten Personen sicherstellt.

VWGH Entscheidung zu Verfahren gegen juristische Personen

VWGH Entscheidung zu Verfahren gegen juristische Personen

Der VwGH hat in einer Entscheidung (GZ RO 2019/04/0229) zur Strafbarkeit der juristischen Person festgelegt, dass er die Bestimmung des § 99d BWG und seine Judikatur dazu auch auf das DSG umlegt.

Was bedeutet das in der Praxis für die Datenschutzbehörde?

  1. Die Datenschutzbehörde muss in einem Verfahren/Beschwerdefall bereits in der Aufforderung zur Rechtfertigung an das Unternehmen, jene Personen klar bezeichnen, denen das vorgeworfene Verhalten zuzurechnen ist.
  2. Die Datenschutzbehörde muss die vertretungsbefugten Personen namentlich anführen, der das Verhalten zugeordnet wird.
  3. Die Datenschutzbehörde muss zusätzlich jeder einzelnen, vertretungsbefugten Person eine Aufforderung zur Rechtfertigung schicken, da diese als Beschuldigte in einem Verwaltungsstrafverfahren geführt wird.
  4. Jede dieser Personen muss selbst eine Stellungnahme abgeben.
  5. Jedes vertretungsbefugte Organ haftet für die anderen mit.

Ausweg für Verantwortliche

  • Unternehmen sollten einen Verantwortlichen gemäß § 9 VstG benennen und an die Datenschutzbehörde melden.
  • Dieser muss über tatsächliche Durchgriffsrechte verfügen.
  • In einem Verfahren kann die Datenschutzbehörde den § 9 VstG Verantwortlichen neben dem Unternehmen adressieren.
  • In weiterer Folge muss das Unternehmen und der §9 VstG Verantwortliche, eine Stellungnahme an die Datenschutzbehörde erstatten.
  • Die Datenschutzbehörde ist anschließend in der Lage, das Verfahren nur noch gegen das Unternehmen weiter zu führen und das Verfahren gegen den § 9 VstG Verantwortlichen einzustellen.

So entsteht indirekt eine Verpflichtung bzw. zumindest eine starke Empfehlung zur Meldung des § 9 VstG Verantwortlichen für Datenschutz.

Jährliche Datenschutzkonferenz in Belgien

Die jährliche Konferenz der DSGVO-Fachleute in Belgien richtet sich an alle Datenschutzbeauftragte, Informationssicherheitsexperten, Chief Digital Officers und CIOs sowie Juristen, einschließlich Compliance-Officers und Prozessverantwortliche.

Jährliche Datenschutzkonferenz in Belgien

Die Anmeldung zur kostenlosen Teilnahme an beiden Konferenztagen (online) ist direkt auf der Homepage der Veranstaltung möglich.

Infos über Veranstaltungen von Privacyofficers

Infos des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter über aktuelle Veranstaltungen des finden Sie hier: https://www.privacyofficers.at/events/

Bundeskanzleramt veröffentlicht Bericht zur Cybersicherheit in Österreich

Die Österreichische Strategie für Cyber Sicherheit beruht auf den Prinzipien Rechtstaatlichkeit, Subsidiarität, Selbstregulierung und Verhältnismäßigkeit.

  • ein offenes und freies Internet
  • der Schutz personenbezogener Daten
  • die Unversehrtheit von miteinander verbundenen Netzwerken

sind dabei die Grundlage für globalen Wohlstand, Sicherheit und die Förderung der Menschenrechte.

Die Strategie wurde von den Verbindungspersonen zum Nationalen Sicherheitsrat und Cyber-Fachleuten unter Federführung des Bundeskanzleramtes erarbeitet. Diese bilden gemeinsam die “Cyber Sicherheit Steuerungsgruppe”. Sie koordiniert und begleitet die Umsetzung der Strategie. Außerdem erstellt die “Cyber Sicherheit Steuerungsgruppe” den jährlichen Bericht “Cyber Sicherheit in Österreich” und berät die Bundesregierung in Angelegenheiten der Cyber-Sicherheit.

Die Österreichische Strategie für Cybersicherheit (ÖSCS) legt fest, dass durch die Cyber Sicherheit Steuerungsgruppe (CSS) ein jährlicher Bericht zur Cybersicherheit in Österreich erstellt wird. Der letzte Bericht wurde im Mai 2019 vorgelegt.

Bericht zur Cybersicherheit 2020

Das Bundeskanzleramt veröffentlicht Bericht zur Cybersicherheit. Der aktuelle Bericht Cybersicherheit 2020 baut auf den Inhalten des letztjährigen Berichtes auf und ergänzt diesen um aktuelle Entwicklungen mit Schwerpunkte in den Bereichen internationale und operationelle Entwicklungen. Beobachtungszeitraum ist das Jahr 2019, einzelne aktuelle Entwicklungen im Jahr 2020 haben Eingang gefunden.

Zielsetzung des Berichtes ist eine zusammenfassende Darstellung der Cyberbedrohungen und wesentlicher nationaler und internationaler Entwicklungen. Grundlage dazu sind ressortspezifische Berichte zur Thematik.

Der Bericht kann direkt von der Homepage des Bundeskanzleramts heruntergeladen werden. Dort steht ebenfalls eine englische Version zum download zur Verfügung.

Aktuelle Datenschutz Entscheidungen aus Deutschland

Die Österreichische Datenschutzbehörde (DSB) hat uns einige Entscheidungen aus der deutschen Rechtsprechung zu den Themen:

  • Datenschutzbeauftragte und Kündigungsschutz
  • Klage wegen Weitergabe von sensiblen persönlichen Daten durch eine Privatbank
  • Schadenersatzklage gegen ein Kreditkarteninstitut aufgrund von Verstößen gegen die DSGVO
  • Klage wegen Weitergabe von Gesundheitsdaten an Behörden

zugesandt.

Hessisches Landesarbeitsgericht 6. Berufungskammer
Zum Kündigungsschutz eines Datenschutzbeauftragten
Hier insbesondere Feststellung der Zahl der regelmäßig mit automatisierter Datenverarbeitung Beschäftigte im Hinblick auf den nachwirkenden Kündigungsschutz nach § 4 f Abs. 3 S. 6 BDSG aF
.

LG Darmstadt 13. Zivilkammer
Die Parteien streiten um Unterlassungsansprüche und Schadensersatzansprüche aufgrund der Weitergabe von persönlichen Daten an einen Dritten. Die Beklagte ist eine Privatbank. 

Trend zu Klagen auf immateriellen Schadensersatz wegen DSGVO-Verstößen?
Kürzlich hat mit dem LG Darmstadt erstmals ein deutsches ordentliches Zivilgericht ein Unternehmen dazu verurteilt, immateriellen Schadensersatz nach Art. 82 DSGVO zu zahlen.

Klage gegen Mastercard Europe SA
Der Kläger macht Unterlassungs-, Schadensersatz und Auskunftsansprüche gegen die Beklagte aufgrund von Verstößen gegen die DSGVO geltend.

Unternehmen hatte nach der Wertung des ArbG Dresden ohne Rechtsgrundlage Gesundheitsdaten des Klägers an Behörden weitergegeben
Das Arbeitsgericht (ArbG) Dresden hat in einer aktuellen Entscheidung einem Kläger einen nicht unerheblichen immateriellen Schadensersatz zugesprochen (Urteil vom 26.08.2020 – 13 Ca 1046/20 BeckRS 2020, 26940).

Europäische Kommission veröffentlicht Standarddatenschutzklausel-Entwurf (draft-SCC)

Europäische Kommission veröffentlicht Standarddatenschutzklausel-Entwurf

Die Europäische Kommission hat am 12. November 2020 einen Entwurf von standard contractual clauses (Standardvertragsklauseln oder “SCC” oder “Standarddatenschutzklauseln”) veröffentlicht.

Diese enthalten unter anderem zusätzliche Garantien iSd Schrems II-Urteils enthalten sollen. Eine Stellungnahme ist in den nächsten 4 Wochen möglich:

Commission Implementing Decision on standard contractual clauses for the transfer of personal data to third countries

Schrems II: Neuigkeiten vom EDSA zu Datentransfers

Der Europäische Datenschutzausschuss (EDSA) hat gestern, 12.11.2020, im Nachgang zum sogenannten “Schrems II“-Urteil vom 16. Juli 2020, C-311/18 (mehr dazu z.B. hier), zwei Empfehlungsentwürfe veröffentlicht. Diese betreffen zusätzliche Garantien bei internationalen Datentransfers (bislang nur in englischer Sprache verfügbar):

Schrems II: Neuigkeiten vom EDSA zu Datentransfers

PriSec Datenschutzkonferenz – Privacyofficers.at war dabei

Privacyofficers.at auf der PriSec 2020
Privacyofficers.at auf der PriSec 2020

Auch in diesem Jahr waren Vorstandsmitglieder von Privacyofficers.at auf der PriSec Datenschutzkonferenz Konferenz als Vortragende eingeladen.

Vorstandsmitglieder als Vortragende

Michael Mrak stellte das unternehmensinterne Umsetzungskonzept zur Sicherstellung der datenschutzrechtlichen Löschanforderungen bei dem ERP System SAP SAP R/3 vor. Besondere Schwerpunkte des Vortrags bildeten die spezifischen Anforderungen im Bereich HR (HCM Modul).

Natalie Ségur-Cabanac diskutierte in einer hochkarätigen Runde über die sensiblen Themen:
– Verantwortung für datenschutzrechtliche Verstöße und
– Haftung auf Vorstandsebene

Unter den Teilnehmern fanden sich auch zahlreiche Mitglieder von Privacyofficers.at. Das persönliche Networking kam aufgrund der online Austragung etwas zu kurz aber wir sind zuversichtlich, dass dies bei der nächsten Austragung 2021 wieder der Fall sein wird. Auch die eigenen, Vereinsveranstaltung von Pivacyofficers.at sollten uns bis dahin wieder die Chance zum Netzwerken bieten.

Zur PriSec Datenschutzkonferenz: Die PriSec vereint die Themen Informationssicherheit und Datenschutz im Unternehmen: Dieses wachsende Spannungsfeld erfordert zukünftig eine noch intensivere Zusammenarbeit der Bereiche Datenschutz, Compliance und IT.

Aktive Datenschutzcommunity

Zu Privacyofficers.at: Wir sind die größte österreichische Community für Datenschutzbeauftragte, die Praktiker beim fachlichen Austausch unterstützt. Gegründet wurde der Verein 2016 von Renate Riedl und Markus Kastelitz, die eine Vernetzung von internen und externen Datenschutzbeauftragten auf eine feste institutionelle Basis stellen wollten.

Der Verein Privacyofficers.at verfolgt daher insbesondere die Schaffung eines Forums für Datenschutz-Fachleute, um

  • Erfahrungen auszutauschen
  • Trends zu verfolgen
  • Fragen des Datenschutzmanagements voranzutreiben und
  • Aufklärung sowie Vernetzung im Bereich des Datenschutzrechts

    anzubieten. Privacyofficers.at veranstaltet zu Erreichung dieser Ziele u.a. Seminare, die als Foren für die Diskussion und Debatte über Fragen des Datenschutzes und damit zusammenhängender Themenbereiche dienen. Dabei steht das Motto “von Datenschutzbeauftragten für Datenschutzbeauftragte” im Vordergrund.

Der Mitgliedsbeitrag beträgt derzeit pro Kalenderjahr 50 Euro für ordentliche Mitglieder und 500 Euro für fördernde Mitglieder, unsere Statuten sind hier verlinkt.

Wir sind die größte österreichische Community von Datenschutzbeauftragten für Datenschutzbeauftragte. Wir fördern und vertreten die Interessen der betrieblichen und behördlichen Datenschutzbeauftragten Österreichs.

Unsere Ansprechpartner und fördernden Mitglieder

Die konstruktive Zusammenarbeit mit der österreichischen Datenschutzbehörde aber auch die Unterstützung durch unsere fördernden Mitglieder erleichtern es unsere Aufgaben zur Umsetzung der Vereinsziele zu erreichen.

Kontaktieren Sie uns

Haben Sie Fragen? Kontaktieren Sie uns per E-Mail oder postalisch.


    Bitte beweise, dass du kein Spambot bist und wähle das Symbol Flugzeug aus.

    Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at

    1010 Wien, Fischerstiege 9/2a

    Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at | Innovation Theme by: D5 Creation | Powered by: WordPress