Bekanntmachungen der Datenschutzbehörde
Datenschutzbehörde wird Teil des „Netzwerks Digitalisierung“
Am 6. November 2024 wurde die „Erklärung über ein Netzwerk Digitalisierung“ unterzeichnet.
Neben der Datenschutzbehörde gehören dem Netzwerk die folgenden unabhängigen Behörden an:
- Bundeswettbewerbsbehörde
- E-Control
- Finanzmarktaufsicht
- Kommunikationsbehörde Austria
- Rundfunk- und Telekom Regulierungs GmbH (RTR), Fachbereich Telekommunikation und Post
- Schienen Control
- Telekom-Control-Kommission
Das Netzwerk Digitalisierung dient dem regelmäßigen Informations- und Erfahrungsaustausch zwischen diesen Behörden, da die fortschreitende Digitalisierung alle Lebens- und Wirtschaftsbereiche berührt.
Ziel ist es, im Rahmen der jeweiligen Zuständigkeiten eng zusammenzuarbeiten, um ein gemeinsames Verständnis zu den relevanten Fragestellungen der Digitalisierung zu ermöglichen und somit unterschiedliche Entscheidungen und Ansätze weitgehend zu vermeiden.
Das Netzwerk Digitalisierung lässt die jeweiligen Zuständigkeiten und Unabhängigkeiten unberührt.
Die Datenschutzbehörde freut sich, Teil dieses Netzwerks zu sein und einen Beitrag leisten zu können.
Bescheid der Datenschutzbehörde zum Cookie-Banner von www.orf.at
Die Datenschutzbehörde stellt eine (nicht rechtskräftige) Entscheidung zum Ersuchen um Einwilligung (Cookie-Banner) auf der Website www.orf.at zur Verfügung.
Die ORF-Stiftung (samt Tochtergesellschaften) wurde nicht pseudonymisiert, da eine Entfernung aller grafischen Darstellungen (Screenshots), die zwingende Rückschlüsse auf ihre Identität als Beschwerdegegnerin ermöglichen, die Verständlichkeit der Entscheidung beeinträchtigen würde. Das ORF-Gesetz ist eine der zitierten Grundlagen der Entscheidung. Die Entscheidung wurde weiters am 31. Oktober 2024 von der beschwerdeführenden Partei und deren Vertretung unter Angabe der Parteien- und Parteienvertreternamen veröffentlicht, ist demnach bereits ohne Zutun der Datenschutzbehörde allgemein verfügbar. Das Geheimhaltungsinteresse der Beschwerdegegnerin, einer juristischen Person (durch Gesetz eingerichtete Stiftung öffentlichen Rechts), überwiegt daher nicht das öffentliche Interesse an der durch § 23 Abs. 2 DSG gebotenen Veröffentlichung dieser Entscheidungen der Datenschutzbehörde von grundsätzlicher Bedeutung für die Allgemeinheit.
Die Entscheidung ist hier verfügbar.
Treffen der Aufsichtsbehörden im September 2024
Am 12. und 13. September 2024 fand auf Initiative der Datenschutzbehörde in ihren Räumlichkeiten ein Treffen mit den Aufsichtsbehörden von Tschechien, Ungarn, Slowenien und der Slowakei statt.
Ziel des Treffens war ein gegenseitiger Austausch und eine Verfestigung der gegenseitigen Zusammenarbeit auf nationaler und europäischer Ebene unter Wahrung der eigenen Unabhängigkeit.
Am Treffen nahmen die jeweiligen Leiter:innen bzw. hochrangige Vertreter:innen der Aufsichtsbehörden teil. Da die Aufsichtsbehörden in Tschechien, Ungarn, Slowenien, der Slowakei und Österreich vergleichbare Größen und Strukturen haben und sich mit ähnlichen Herausforderungen konfrontiert sehen, konnten zahlreiche Überschneidungspunkte für eine verstärkte Zusammenarbeit ermittelt und ein regelmäßiger Austausch zu aktuellen Themen vereinbart werden.
Das Treffen kann als sehr erfolgreich bezeichnet werden und wird im nächsten Jahr in Budapest abgehalten.
Akkreditierung der ersten DSGVO-Zertifizierungsstelle in Österreich
In Österreich wurde die erste Zertifizierungsstelle im Sinne des Art. 43 DSGVO und § 3 ZeStAkk-V akkreditiert. Darüber hinaus wurden die dazugehörigen Zertifizierungskriterien im Sinne des Art. 42 Abs. 5 DSGVO genehmigt.
Daraus folgt, dass die Zertifizierungsstelle ab sofort Zertifizierungen auf Grundlage der genehmigten Zertifizierungskriterien erteilen kann. Bei Zertifizierungen handelt es sich – genauso wie bei Verhaltensregeln – um ein Compliance-Instrument. Zum aktuellen Zeitpunkt ist eine Zertifizierung von Verantwortlichen gemäß Art. 4 Z 7 DSGVO möglich.
Weiterführende Informationen zu Zertifizierungen sind hier zu finden. Die Kontaktdaten der Zertifizierungsstelle sind im Verzeichnis der akkreditierten Zertifizierungsstellen zu finden.
Information der Datenschutzbehörde zum Markteintritt des Worldcoin-Projekts in Österreich
Mit 31. Juli 2024 erfolgt in Österreich der Markteintritt der Tools for Humanity Corporation mit dem sog. Worldcoin-Projekt.
Wesentlicher Bestandteil des Worldcoin-Projekts ist die sog. „WorldID“, ein neuartiger Ansatz für den Nachweis der Einzigartigkeit eines Menschen („Proof-of-Personhood“). Vereinfacht dargestellt wird zu diesem Zweck mittels eines physischen Irisscanners („Orb“) die Netzhaut eines Menschen gescannt, in einen mathematischen Wert umgerechnet und mit der sog. „WorldApp“ auf einem Endgerät (bspw. Mobiltelefon) verknüpft.
Mit der WorldID sollen Nutzer:innen in weiterer Folge bei der Registrierung auf unterschiedlichen Online-Plattformen nachweisen können, dass sie einzigartige Menschen und keine Bots bzw. künstliche Intelligenz sind.
Nachdem die Tools for Humanity Corporation derzeit im Europäischen Wirtschaftsraum über eine (Haupt-)Niederlassung in Bayern verfügt, fungiert das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) als federführende Aufsichtsbehörde gemäß Art. 56 und Art. 60 DSGVO.
Zu betonen ist, dass die Teilnahme am Worldcoin-Projekt nach derzeitigem Wissensstand freiwillig erfolgt. Das Einscannen der Netzhaut wird aktuell voraussichtlich an drei Standorten in Wien angeboten.
Die Datenschutzbehörde wurde über den Markteintritt in Österreich kurz vorab in Kenntnis gesetzt und beobachtet die weitere Entwicklung. Ferner führt das BayLDA als federführende Aufsichtsbehörde ein umfassendes Prüfverfahren zum Worldcoin-Projekt durch.
Die Wahrnehmung der durch die DSGVO und das DSG gewährleisteten Rechte bleibt davon unberührt.
Information der Datenschutzbehörde über im Umlauf befindliche Abmahnschreiben
Zurzeit sind im Internet zahlreiche Abmahnschreiben im Umlauf, welche den Eindruck vermitteln könnten, dass diese von der österreichischen Datenschutzbehörde stammen würden.
Dies ist nicht der Fall! Es handelt sich hierbei um kein amtliches Schriftstück der Datenschutzbehörde!
Es wird ausdrücklich darauf hingewiesen, dass es in der ausschließlichen Zuständigkeit der Datenschutzbehörde liegt, Verwarnungen gemäß Art. 58 Abs. 2 lit. b bzw. Geldbußen gemäß Art. 83 DSGVO zu verhängen. Einer selbsternannte „DSGVO Beschwerdestelle“ kommen diese Aufgaben jedenfalls nicht zu. Das Gleiche gilt auch für den im Abmahnschreiben erwähnten Datenschutzbeauftragten der Stadt Wien.
Es handelt sich hierbei um eine „Awareness Campaign“ des österreichischen Instituts für angewandte Telekommunikation (ÖIAT).
So sieht der Inhalt dieser „Abmahnschreiben“ aus:
Informationen der Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche des privaten Bereichs
Da die Entwicklung und der Einsatz von Systemen künstlicher Intelligenz (KI) durch Unternehmen eine immer größere Rolle spielen, nimmt die Datenschutzbehörde dies zum Anlass, auf Folgendes hinzuweisen:
Die „Verordnung des europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)“ wurde am 21. Mai 2024 formal angenommen.
Nach der Veröffentlichung im Amtsblatt der Europäischen Union werden die Vorgaben der KI-VO (innerhalb der nächsten Monate und Jahre) schrittweise unmittelbar anwendbar sein.
Die Datenschutzbehörde nimmt dies zum Anlass, aus Sicht ihres Zuständigkeitsbereichs auf Folgendes hinzuweisen:
1) Als Künstliche Intelligenz („KI“) werden verschiedene grundlegende Technologien bezeichnet, die im gesamten Spektrum von Wirtschaft und Gesellschaft zu zahlreichen Vorteilen beitragen können.
Gemäß Art. 2 Abs. 7 KI-VO bleiben die Arbeit der Datenschutzbehörde und die Pflichten von Anbietern und Betreibern von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter nach der DSGVO unberührt.
Das Datenschutzrecht – insbesondere die Datenschutz-Grundverordnung (DSGVO) – bleibt daher (parallel) anwendbar, wenn es zur Verarbeitung personenbezogener Daten kommt.
2) Soweit personenbezogene Daten bei der (Weiter-)Entwicklung und dem Einsatz von „KI-Systemen“ im Sinne von Art. 3 Z 1 KI-VO verarbeitet werden, muss insbesondere zumindest ein Rechtfertigungstatbestand von Art. 6 Abs. 1 DSGVO für die Datenverarbeitung vorliegen.
Soweit besondere Kategorien personenbezogener Daten („sensible Daten“) gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden, müssen zusätzlich die in Art. 9 Abs. 2 DSGVO normierten Voraussetzungen eingehalten werden.
Bei der Entwicklung bzw. Auswahl des KI-Systems müssen daher auch datenschutzrechtliche Aspekte berücksichtigt werden.
Die Datenschutzbehörde hält fest, dass die DSGVO der Entwicklung neuer Technologien (insbesondere der KI) nicht entgegensteht, da Art. 6 Abs. 1 sowie Art. 5 DSGVO ausreichend Möglichkeit bieten, neue Technologien in Übereinstimmung mit der DSGVO zu entwickeln und zu betreiben.
3) Liegt allerdings kein tauglicher Rechtfertigungstatbestand vor, kann dies zur Unzulässigkeit der Datenverarbeitung (und somit zum unzulässigen Einsatz des jeweiligen KI-Systems) führen. Nach Judikatur des EuGH liegt die Beweislast für die Einhaltung des Datenschutzrechts beim jeweiligen Verantwortlichen (vgl. EuGH 14.03.2024, C-46/23, Rz 32).
Als Beispiel ist auf die Judikatur des Verwaltungsgerichtshofs (VwGH) zum Arbeitsmarktchancen-Assistenzsystem (besser bekannt als „AMS-Algorithmus“) zu verweisen:
Dieser hat dem Bundesverwaltungsgericht (BVwG) aufgetragen, weitere Ermittlungsschritte hinsichtlich der Anwendbarkeit der Vorgaben von Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling) zu setzen. Laut VwGH ist für den Fall der Anwendbarkeit von Art. 22 DSGVO im AMSG jedoch kein Rechtfertigungstatbestand für die Datenverarbeitung ersichtlich (vgl. VwGH 21.12.2023, Ro 2021/04/0010-11).
4) Der Einhaltung der Vorgaben des bereits erwähnten Art. 22 DSGVO kommt im Kontext von KI eine besondere Bedeutung zu:
Die Vorgaben von Art. 22 DSGVO gelten für automatisierte Entscheidungen, die gegenüber betroffenen Personen rechtliche Wirkung entfallen oder sie in ähnlicher Weise erheblich beeinträchtigen. Zu denken ist etwa an die automatische Vergabe eines Online-Kredits oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.
Nach Judikatur des EuGH wird der Anwendungsbereich von Art. 22 DSGVO tendenziell weit ausgelegt (vgl. EuGH 7.12.2023, C‑634/21 Rz 73).
Soweit KI-Systeme für solche automatisierte Entscheidungen eingesetzt werden, sind die Vorgaben von Art. 22 Abs. 2, Abs. 3 und gegebenenfalls Abs. 4 DSGVO einzuhalten.
Die Leitlinien der ehemaligen Art. 29-Working Party zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, 17/DE, WP251rev.01 (abrufbar unter https://ec.europa.eu/newsroom/article29/items/612053), können als Interpretationshilfe herangezogen werden.
5) Weitere Informationen zum Thema KI und Datenschutz sind in den FAQ der Datenschutzbehörde zu finden, die zeitnah erweitert werden. Diese FAQ sind abrufbar unter:
https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html
Ein breites Informationsangebot zum Thema KI, auch zur KI-VO und regulatorischen Rahmenbedingungen, stellt die RTR als KI-Servicestelle zur Verfügung. Es ist abrufbar unter:
6) Abschließend ist auf die Strategie des Europäischen Datenschutzausschusses (EDSA) für den Zeitraum 2024-2027 hinzuweisen, abrufbar unter:
https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf
Demzufolge kommt der Erstellung von Leitlinien zum Verhältnis zwischen DSGVO und KI-VO eine hohe Priorität zu. Als Mitglied des EDSA wird die Datenschutzbehörde proaktiv zur Erstellung dieser Leitlinien beitragen.
Zusammenfassend hält die Datenschutzbehörde somit fest:
a) Die DSGVO bleibt auch nach Ingeltungtreten der KI-VO beachtlich, wenn personenbezogene Daten verarbeitet werden.
b) Kommt es im Rahmen des Einsatzes von KI-Systemen zur Verarbeitung personenbezogener Daten, ist dies nur dann zulässig, wenn die Datenschutzgrundsätze nach Art. 5 DSGVO eingehalten werden. Insbesondere muss ein Rechtfertigungstatbestand gemäß Art. 6 Abs. 1 (und gegebenenfalls Art. 9 Abs. 2) DSGVO vorliegen.
c) Liegt ein Anwendungsfall des Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling) vor, sind die Vorgaben dieser Bestimmung maßgeblich.
d) Gemäß Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die Beweislast dafür, dass die Verarbeitung rechtmäßig erfolgt.
Abschließend weist die Datenschutzbehörde darauf hin, dass sie, sollte sie im Rahmen eines Verfahrens zur Ansicht gelangen, dass das betreffende KI-System nicht im Einklang mit der DSGVO steht, sie unionsrechtlich verpflichtet ist, von einer Abhilfebefugnis nach Art. 58 Abs. 2 DSGVO Gebrauch zu machen. Dies kann auch die Verhängung einer Geldbuße nach Art. 83 DSGVO zur Folge haben. Ein Ermessen besteht hier nur in der Wahl der passenden Abhilfebefugnis, nicht jedoch in der Frage, ob von einer Abhilfebefugnis überhaupt Gebrauch zu machen ist.
Informationen der Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche des öffentlichen Bereichs
Da die Entwicklung und der Einsatz von Systemen künstlicher Intelligenz (KI) auch in der öffentlichen Verwaltung eine immer größere Rolle spielen, nimmt die Datenschutzbehörde dies zum Anlass, auf Folgendes hinzuweisen:
Die „Verordnung des europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)“ wurde am 21. Mai 2024 formal angenommen.
Nach der Veröffentlichung im Amtsblatt der Europäischen Union werden die Vorgaben der KI-VO (innerhalb der nächsten Monate und Jahre) schrittweise anwendbar sein.
Die Datenschutzbehörde nimmt dies zum Anlass, aus Sicht ihres Zuständigkeitsbereichs auf Folgendes hinzuweisen:
1) Der Einsatz von KI-Systemen im öffentlichen Bereich kann die Effizienz von Verwaltung und Justiz erheblich steigern, indem er Prozesse automatisiert und Entscheidungen beschleunigt.
Zur Wahrung des Grundrechts auf Datenschutz (Art. 8 EU-GRC, § 1 DSG) und zur Gewährleistung von Rechtssicherheit ist es jedoch erforderlich, dass die Vorgaben des Datenschutzrechts eingehalten werden.
2) Gemäß Art. 2 Abs. 7 KI-VO bleiben die Arbeit der Datenschutzbehörde und die Pflichten von Anbietern und Betreibern von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter unberührt. Die DSGVO ist daher (parallel) anwendbar, wenn es zur Verarbeitung personenbezogener Daten kommt.
Die KI-VO verdrängt somit die DSGVO nicht. Sofern personenbezogene Daten (Art. 4 Z 1 DSGVO) verarbeitet (Art. 4 Z 2 DSGVO) werden, ist die DSGVO weiterhin zu beachten! Selbiges gilt für die Richtlinie (EU) 2016/680, umgesetzt im 3. Hauptstück des DSG.
3) Soweit personenbezogene Daten bei der (Weiter-)Entwicklung und dem Einsatz von „KI-Systemen“ gemäß Art. 3 Z 1 KI-VO im hoheitlichen Bereich für hoheitliche Zwecke (dh nicht für Zwecke der Privatwirtschaftsverwaltung) verarbeitet werden, sind darüber hinaus die verfassungsgesetzlichen Vorgaben des § 1 Abs. 2 DSG maßgeblich. Daraus folgt insbesondere, dass eine qualifizierte gesetzliche Grundlage für die Datenverarbeitung erforderlich ist (zur Ausgestaltung einer Eingriffsnorm iSd § 1 Abs. 2 DSG siehe aus der stRsp des VfGH bspw. VfSlg. 19.886/2014).
4) Die Vorgaben des § 1 Abs. 2 DSG sind auch dann maßgeblich, wenn die KI-VO sachlich nicht anwendbar ist (so z.B. im Bereich der Landesverteidigung und der nationalen Sicherheit).
5) Liegt eine solche gesetzliche Grundlage nicht vor, kann dies zur Unzulässigkeit der Datenverarbeitung (und somit zum unzulässigen Einsatz des jeweiligen KI-Systems) führen. Die Beweislast dafür, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt, trifft den Verantwortlichen (Art. 4 Z 7 DSGVO; siehe dazu auch EuGH 14.03.2024, C-46/23, Rz 32).
6) Als Beispiel ist auf die Judikatur des VwGH zum Arbeitsmarktchancen-Assistenzsystem (besser bekannt als „AMS-Algorithmus“) zu verweisen:
Dieser hat dem BVwG aufgetragen, weitere Ermittlungsschritte hinsichtlich der Anwendbarkeit der Vorgaben von Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling) zu setzen. Laut VwGH ist für den Fall der Anwendbarkeit von Art. 22 DSGVO im AMSG jedoch kein Rechtfertigungstatbestand für die Datenverarbeitung ersichtlich (vgl. VwGH 21.12.2023, Ro 2021/04/0010).
7) Der Einhaltung der Vorgaben des bereits erwähnten Art. 22 DSGVO kommt im öffentlichen Bereich besondere Bedeutung zu:
Nach Judikatur des EuGH wird der Anwendungsbereich von Art. 22 DSGVO tendenziell weit ausgelegt (vgl. EuGH 7.12.2023, C‑634/21, Rz 73).
Soweit KI-Systeme im hoheitlichen Bereich zum Einsatz kommen und die damit verbundene Datenverarbeitung in den Anwendungsbereich von Art. 22 DSGVO fällt, müssen – neben der Einhaltung der KI-VO – die besonderen Anforderungen an eine gesetzliche Grundlage gemäß Art. 22 Abs. 2 lit. b und Abs. 4 leg. cit. beachtet werden.
Die Leitlinien der ehemaligen Art. 29-Datenschutzgruppe zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, 17/DE,
WP251rev.01 (abrufbar unter https://ec.europa.eu/newsroom/article29/items/612053), können als Interpretationshilfe herangezogen werden.
Für Datenverarbeitungen, die unter das 3. Hauptstück des DSG fallen, sind die in § 41 leg. cit. normierten Voraussetzungen für automatisierte Entscheidungsfindungen im Einzelfall maßgeblich.
8) Aufsichtsbehörden nach der DSGVO bzw. der Richtlinie (EU) 2016/680 wird gemäß Art. 74 Abs. 8 KI-VO eine Sonderzuständigkeit für gewisse Hochrisiko-KI-Systeme zukommen, die u.a. für Strafverfolgungszwecke, Grenzmanagement, Justiz und Demokratie eingesetzt werden. In Österreich ist die Datenschutzbehörde die Aufsichtsbehörde nach diesen Rechtsakten (§§ 18 und 31 DSG).
Diesbezüglich steht die Datenschutzbehörde einem informellen Austausch mit den jeweils zuständigen Behörden offen gegenüber. Eine Kontaktaufnahme ist jederzeit möglich.
9) Weitere Informationen zum Thema KI und Datenschutz sind in den FAQ der Datenschutzbehörde zu finden, abrufbar unter:
https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html
Ein breites Informationsangebot zum Thema KI, auch zur KI-VO und regulatorischen Rahmenbedingungen, stellt die RTR als KI-Servicestelle zur Verfügung. Es ist abrufbar unter:
10) Abschließend ist auf die Strategie des Europäischen Datenschutzausschusses (EDSA) für den Zeitraum 2024-2027 hinzuweisen, abrufbar unter:
https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf
Demzufolge kommt der Erstellung von Leitlinien zum Verhältnis zwischen DSGVO und KI-VO eine hohe Priorität zu. Als Mitglied des EDSA wird die Datenschutzbehörde proaktiv zur Erstellung dieser Leitlinien beitragen.
Zusammenfassend hält die Datenschutzbehörde somit fest:
a) Die DSGVO bleibt auch nach Ingeltungtreten der KI-VO beachtlich, wenn personenbezogene Daten verarbeitet werden.
b) Werden KI-Systeme im hoheitlichen Bereich für Zwecke der Hoheitsverwaltung eingesetzt und beinhaltet dies die Verarbeitung personenbezogener Daten, ist dies nur zulässig, wenn eine Rechtsgrundlage iSd § 1 Abs. 2 DSG vorliegt.
c) Liegt ein Anwendungsfall des Art. 22 DSGVO vor, sind die Vorgaben dieser Bestimmung maßgeblich.
d) Gemäß Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die Beweislast dafür, dass die Verarbeitung rechtmäßig erfolgt.
Abschließend weist die Datenschutzbehörde darauf hin, dass sie, sollte sie im Rahmen eines Verfahrens zur Ansicht gelangen, dass das betreffende KI-System nicht im Einklang mit der DSGVO steht, sie unionsrechtlich verpflichtet ist, von einer Abhilfebefugnis nach Art. 58 Abs. 2 DSGVO – darunter auch die Untersagung – Gebrauch zu machen. Ein Ermessen besteht hier nur in der Wahl der passenden Abhilfebefugnis, nicht jedoch in der Frage, ob von einer Abhilfebefugnis überhaupt Gebrauch zu machen ist.
Amtswegige Prüfverfahren im Telekommunikationsbereich eingeleitet
Stand: 06.05.2024
Die Datenschutzbehörde führt wieder Schwerpunktverfahren durch, in welchen Verantwortliche oder Auftragsverarbeiter eines bestimmten Sektors einer vertieften Prüfung unterzogen werden.
Im Rahmen der Schwerpunktverfahren 2024 werden mehrere Telekommunikationsunternehmen in Hinblick auf die Einhaltung der DSGVO untersucht. Die Überprüfungen beginnen mit der Anweisung, das Verzeichnis von Verarbeitungstätigkeiten vorzulegen sowie mit der Übermittlung eines Fragebogens, in welchem das jeweilige Unternehmen aufgefordert wird, zu allgemeinen und sektorspezifischen datenschutzrechtlichen Fragen Stellung zu nehmen. Im weiteren Verfahren sind auch mündliche Verhandlungen sowie Prüfungen vor Ort möglich.
Im Zuge dieser Prüfverfahren werden auch die Umsetzung des Rechts auf Auskunft sowie die Modalitäten für die Ausübung von Betroffenenrechten kontrolliert. Zu diesem Zweck haben die europäischen Datenschutzbehörden im Rahmen des sogenannten „Coordinated Enforcement Framework“ (CEF) einen entsprechenden Fragebogen ausgearbeitet. Nähere Informationen zum CEF sind auf der Website des Europäischen Datenschutzausschusses (EDSA) zu finden.
Europäischer Datenschutzausschuss erlässt Stellungnahme zu sog. „Pay-Or-Okay“ Geschäftsmodellen bei großen Online-Plattformen
Der Europäische Datenschutzausschuss hat im Rahmen seiner Plenarsitzung am 17. April 2024 eine Stellungnahme gemäß Art. 64 Abs. 2 DSGVO zu sog. „Pay-Or-Okay“ Geschäftsmodellen bei großen Online-Plattformen erlassen.
Bei derartigen Geschäftsmodellen werden Nutzer:innen von Onlinediensten vor die Wahl gestellt, für die Inanspruchnahme jener Dienste in die Verarbeitung ihrer personenbezogenen Daten zu bestimmten Zwecken (idR. zu Werbezwecken) einzuwilligen oder einen bestimmten Geldbetrag zu zahlen, damit keine Verarbeitung ihrer personenbezogenen Daten für die vorgenannten Zwecke erfolgt.
Die Stellungnahme des Europäischen Datenschutzausschusses befasst sich im Kern mit der Gültigkeit von datenschutzrechtlichen Einwilligungen zur Verarbeitung personenbezogener Daten zum Zwecke verhaltensbezogener Werbung auf großen Online-Plattformen.
Als demonstrative Beispiele großer Online-Plattformen werden „sehr große Online-Plattformen“ iSd. VO (EU) 2022/2065 (Gesetz über digitale Dienste – Digital Services Act/DSA) und „Torwächter“ iSd. VO (EU) 2022/1925 (Gesetz über digitale Märkte – Digital Markets Act/DMA) genannt. Im Weiteren ist bei der Beurteilung etwa auf eine hohe Anzahl von Nutzer:innen einer Online-Plattform, die Marktstellung und das Vorliegen umfangreicher Verarbeitungstätigkeiten abzustellen.
Die Beurteilung der Zulässigkeit derartiger Geschäftsmodelle bleibt weiterhin eine Einzelfallentscheidung. Der Europäische Datenschutzausschuss vertritt jedoch die Ansicht, dass es großen Online-Plattformen in den meisten Fällen nicht möglich sein wird, die Anforderungen an eine gültige Einwilligung im Sinne der DSGVO zu erfüllen, wenn sie ihren Nutzer:innen nur die Wahl zwischen der Einwilligung in die Verarbeitung personenbezogener Daten für verhaltensbezogene Werbezwecke und der Zahlung einer Gebühr lassen.
Weiterführende Dokumente (in englischer Sprache):
Presseaussendung des Europäischen Datenschutzausschusses zu „Zustimmungs- oder Bezahlungsmodellen“ großer Online-Plattformen
Stellungnahme 08/2024 zur gültigen Einwilligung im Kontext von Zustimmungs- oder Bezahlungsmodellen großer Online-Plattformen
Schwerpunktverfahren 2024 – Recht auf Auskunft
Die DSB führte im Jahr 2023 eine Schwerpunktprüfung im Finanzsektor durch. In diesen Verfahren lag der Fokus insbesondere auf die Einbindung des Datenschutzbeauftragten im Unternehmen. Der Fragenkatalog zum Datenschutzbeauftragten wurde von den europäischen Datenschutzbehörden im Rahmen des sogenannten „Coordinated Enforcement Framework“ (CEF) – einer jährlich stattfindenden koordinierten Prüftätigkeit – erarbeitet.
Im Jahr 2024 wird erneut eine Schwerpunktprüfung durch die DSB durchgeführt, der konkrete Sektor wird noch bekannt gegeben.
Dieses Jahr liegt der Fokus des CEF – und damit der Schwerpunktprüfungen der DSB – auf der Umsetzung von Artikel 15 DSGVO. Beim Recht auf Auskunft handelt es sich um eines jener Betroffenenrechte, welches am häufigsten Gegenstand einer Datenschutzbeschwerde ist. Diesbezüglich wird wiederum ein gemeinsamer Fragenkatalog von den europäischen Aufsichtsbehörden ausgearbeitet.
Im Jahr 2023 verabschiedete der EDSA Leitlinien zum Recht auf Auskunft, um Verantwortlichen Hilfestellungen bei der Bearbeitung von Auskunftsanträgen zu geben.
ORF-Beitrag (vormals: GIS-Rundfunkgebühren)
Allgemeines:
Die GIS Gebühren Info Service GmbH (GIS) wurde gemäß § 21 Abs. 1 ORF-Beitrags-Gesetz 2024 in ORF-Beitrags Service GmbH (OBS) umbenannt.
Der OBS obliegt gemäß § 10 ORF-Beitrags-Gesetz 2024 die Aufgabe, den ORF-Beitrag zu erheben sowie die Beitragsschuldner zu ermitteln. Beim ORF-Beitrag handelt es sich vereinfacht gesagt um ein Bündel gesetzlich geregelter Zahlungsverpflichtungen. Anders als nach der alten Rechtslage kommt es nicht mehr darauf an, ob ein Rundfunkempfangsgerät bereitgehalten wird.
Der ORF-Beitrag ist kein vertragliches Abo-Entgelt für den Empfang der Programme des öffentlich-rechtlichen Österreichischen Rundfunks (ORF). Man kann den ORF-Empfang oder den ORF-Beitrag daher auch nicht „kündigen“.
Zulässigkeit:
Der OBS ist nach Maßgabe des § 13 ORF-Beitrags-Gesetz 2024 ein privilegierter Zugang zu den Daten der Meldebehörden eingeräumt. Sie erhält dazu Daten aus den Melderegistern. Die OBS ist darüber hinaus berechtigt, jedenfalls die in § 9 Abs. 2 ORF-Beitrags-Gesetzes 2024 angeführten Datenkategorien sowie die entsprechenden Meldedaten zu verarbeiten.
Bitte beachten Sie, dass eine Beschwerde bei der Datenschutzbehörde nicht zur Befreiung vom ORF-Beitrag führen kann. Die Datenschutzbehörde kann im Rahmen einer Datenschutzbeschwerde nur über eine behauptete Verletzung datenschutzrechtlicher Bestimmungen absprechen. Eine Befreiung von der ORF-Beitragspflicht ist nur nach Maßgabe des § 4a ORF-Beitrags-Gesetzes 2024 möglich.
Schwerpunktprüfung des Finanzsektors: positive Bilanz
Datenschutzbehörde zieht nach Prüfung des Finanzsektors positive Bilanz
Im Rahmen der jährlichen Schwerpunktprüfung evaluierte die Datenschutzbehörde im Jahr 2023 ausgewählte Institute im Finanzbereich. Besonders im Fokus standen dabei die Verwendung von personenbezogenen Daten für Werbezwecke und die Stellung der Datenschutzbeauftragten.
Im Rahmen der Schwerpunktprüfung 2023 untersuchte die in Wien ansässige Behörde ausgewählte Kreditinstitute.
Das Resümee ist durchaus positiv. „Die DSGVO ist in der Praxis angekommen“, sagt Matthias Schmidl, seit 1. Jänner 2024 Leiter der Datenschutzbehörde.
Branche „gut aufgestellt“
Im besonderen Fokus der Schwerpunktprüfung standen die (Weiter-)Verarbeitung von Bank- und Kontodaten zu Werbezwecken und die Prüfung der Stellung der Datenschutzbeauftragten. Datenschutzbeauftragte nehmen in Unternehmen als Bindeglied zwischen Datenschutz und Management eine zentrale Rolle bei der Umsetzung und Einhaltung der Datenschutzvorschriften ein. Mit der Evaluierung der Rolle der Datenschutzbeauftragten setzte die DSB auch die vom Europäischen Datenschutzausschuss im vergangenen Jahr vereinbarte koordinierte Prüftätigkeit im Rahmen des "Coordinated Enforcement Framework" um.
Im Zuge der Untersuchung ergaben sich vor allem Fragen zu den Rechtsgrundlagen der Datenverarbeitungen, zur Speicherdauer und zu internationalen Datenübermittlungen. Grobe Verfehlungen entdeckte die DSB im Finanzsektor keine, die meisten Verfahren wurden bereits eingestellt. „Die Branche ist gut aufgestellt“, resümiert Behördenleiter Schmidl.
Auch für das Jahr 2024 ist wieder ein Schwerpunktverfahren geplant. Welcher Sektor diesmal evaluiert wird, wird nach Beginn bekannt gegeben.
Schwerpunktprüfungen der DSB können mit einschneidende Maßnahmen bei Verstößen enden
Die DSB führt jährlich Schwerpunktprüfungen verschiedener Branchen und Sektoren durch. Zweck dieser amtswegigen Untersuchungen ist die Sicherstellung von datenschutzrechtlicher Standards und die Sensibilisierung für neue Herausforderungen und Risiken im digitalen Zeitalter. Im Zuge dieser Verfahren müssen Verantwortliche umfangreiche Fragebögen zu datenschutzrechtlichen Themen beantworten. Auch Inspektionen vor Ort und mündliche Einvernahmen können durchgeführt werden.
Bei schwerwiegenden Verstößen kann die DSB einschneidende Maßnahmen ergreifen, auch außerhalb dieser Verfahren. So verhängte die Behörde etwa eine Geldbuße in Höhe von 18 Millionen Euro gegen ein Unternehmen, auch wurde dem AMS bspw. die Verwendung des sogenannten „AMS-Algorithmus“ untersagt. In beiden Verfahren ist noch eine Entscheidung des Verwaltungsgerichtshofs ausständig.
Vorläufige neue Rechtsansicht der Datenschutzbehörde bezüglich Auskunfteien über Kreditverhältnisse gemäß § 152 GewO aufgrund der Urteile des EuGH vom 07.12.2023, C-634/21 sowie der verbundenen Rechtssachen C-26/22 und C-64/22 ("SCHUFA-Urteile")
EuGH schränkt Speicherzeitraum für bestimmte Daten ein
In zwei maßgeblichen Urteilen hat der Europäische Gerichtshof (EuGH) über die Rahmenbedingungen für bestimmte Datenverarbeitungen durch Kreditauskunfteien entschieden. Die beiden Entscheidungen des EuGH (C-634/21 sowie die verbundenen Verfahren C-26/22 und C-64/22), die Anfang Dezember 2023 ergingen, wirken sich vordergründig auf die Speicherdauer von Daten über Insolvenzen und Zahlungsausfällen sowie auf das sogenannte „Scoring“ aus. Keine längere Speicherdauer als in öffentlichen Registern
Kreditauskunfteien erteilen grundsätzlich kostenpflichtig Auskunft über die Bonität, also Zahlungsfähigkeit, von Unternehmen aber auch Privatpersonen. Für diese Einschätzung der Bonität ist ein möglichst großer Datensatz über die wirtschaftliche Vergangenheit einer Person selbstverständlich nützlich. Das Interesse daran ist aber mit dem datenschutzrechtlichen Interesse der Betroffenen auszubalancieren.
Bis zuletzt war es für Kreditauskunfteien in Österreich möglich, Insolvenzdaten in der Regel fünf Jahre nach Löschung aus der Ediktsdatei, zu speichern. Aufgrund der genannten Urteile steht nunmehr fest, dass private Kreditauskunfteien aus einem öffentlichen Register stammende Daten über Insolvenzen, bei denen es zu einer Restschuldbefreiung gekommen ist, nicht länger speichern dürfen, als sie auch in diesen abrufbar sind.
Mit anderen Worten: Private Kreditauskunfteien haben derartige Daten sofort zu löschen, wenn diese nicht mehr in der Ediktsdatei öffentlich einsehbar sind.
EuGH erlaubt „Scoring“ nur mehr im Einzelfall
Auch in Bezug auf das sogenannte „Scoring“ sind die jüngsten EuGH-Urteile wesentlich. Unter Scoring versteht man die Berechnung eines bestimmten Wahrscheinlichkeitswertes („Score“), der Aufschluss über die (vermutete) Zahlungsfähigkeit einer Person geben soll. Dazu wird ein Bündel an personenbezogenen Daten wie etwa Alter, Geschlecht, Beruf oder Zahlungserfahrungsdaten verwendet und durch mathematische Berechnungen ein Wert ermittelt, der darüber Auskunft geben soll, wie hoch die Wahrscheinlichkeit eines Zahlungsausfalls dieser Person ist Dieser Wert wird anderen Unternehmen über Anfrage zur Verfügung gestellt, die dann die Entscheidung treffen, ob sie mit dieser Person ein Geschäft (vor allem ein Fernabsatzgeschäft) abschließen.
Der Gerichtshof hat nun entschieden, dass die Datenverarbeitung zwecks „Scoring“ unter Art. 22 DSGVO (Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling) fällt, sofern von diesem Wert maßgeblich abhängt, ob ein Dritter mit dem Betroffenen einen Vertrag abschließt. Demnach können sich Kreditauskunfteien nicht mehr pauschal auf ihr „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DSGVO) stützen, sondern nur auf eine Ausnahmebestimmung nach Art. 22 Abs. 2 DSGVO.
Dies bedeutet, dass Kreditauskunfteien zukünftig bei jedem Einzelfall im Streitfall nachweisen müssen, ob diese Art der „automatisierten Entscheidung im Einzelfall“ gemäß Art. 22 DSGVO gerechtfertigt ist.
2023-0.891.733-2-A - Erledigung_20.12.2023 (PDF, 330 KB)
Information der Datenschutzbehörde zur Entscheidung über den sogenannten „GIS Data Breach“
Die Datenschutzbehörde hat im Verlauf des Jahres 2023 mehrere Datenschutzbeschwerden erhalten, die gegen die GIS Gebühren Info Service GmbH („GIS“) gerichtet waren. Gegenstand dieser Datenschutzbeschwerden war der sogenannte „GIS Data Breach“. Zusammengefasst handelt es sich um einen Vorfall aus dem Jahre 2020, bei dem es zu einer Kompromittierung von Meldedaten gekommen ist.
Im Rahmen des Ermittlungsverfahrens gelangte die Datenschutzbehörde in den meisten Fällen zu dem Ergebnis, dass die jeweils beschwerdeführende Partei von dem gegenständlichen Vorfall betroffen ist. Das bedeutet, dass die Meldedaten der beschwerdeführenden Partei zum damaligen Zeitpunkt im Internet zum Verkauf angeboten wurden. Sofern in diesen Fällen eine Verletzung im Recht auf Geheimhaltung oder die Rechtmäßigkeit der Datenverarbeitung geltend gemacht wurde, hat die Datenschutzbehörde einen entsprechenden Verstoß der GIS gegen datenschutzrechtliche Bestimmungen bescheidmäßig festgestellt. Diese Bescheide sind nicht rechtskräftig.
Bitte beachten Sie, dass allfällige Schadenersatzansprüche nicht von der Datenschutzbehörde zugesprochen werden können. Diesbezügliche Eingaben an die Datenschutzbehörde sind daher nicht zielführend. Allfällige Schadenersatzansprüche sind ausschließlich bei den Zivilgerichten geltend zu machen.
Hier finden Sie einen (nicht rechtskräftigen) Musterbescheid zu Ihrer Information (Dateigröße: 387 KB).
Dringlichkeitsentscheidung des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten für verhaltensbezogene Werbung durch Meta
Am 27. Oktober 2023 erließ der Europäische Datenschutzausschuss (EDSA) eine verbindliche Entscheidung im Dringlichkeitsverfahren gemäß Art. 66 DSGVO (EDSA Pressemitteilung Dringlichkeitsentscheidung Meta), mit der die irische Datenschutzbehörde (DPC) als federführende Aufsichtsbehörde angewiesen wird, innerhalb von zwei Wochen endgültige Maßnahmen in Bezug auf Meta Ireland Limited (Meta IE) zu ergreifen und ein Verbot der Verarbeitung personenbezogener Daten für verhaltensbezogene Werbung auf der Rechtsgrundlage von Verträgen (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) im gesamten Europäischen Wirtschaftsraum zu verhängen.
Diese Dringlichkeitsentscheidung folgt einem Ersuchen der norwegischen Datenschutzbehörde gemäß Art. 66 Abs. 2 DSGVO, hinsichtlich ihres vorübergehenden Verbots von personalisierter Werbung auf Facebook und Instagram vom 4. August 2023 (datatilsynet.no_temporary-ban-of-behavioural-advertising-on-facebook-and-instagram) endgültige Maßnahmen zu ergreifen, die im gesamten Europäischen Wirtschaftsraum wirksam sind.
Das Verbot der Verarbeitung wird eine Woche nach der Mitteilung der endgültigen Maßnahmen durch die irische Datenschutzbehörde an Meta in Kraft treten.
Die irische Datenschutzbehörde hat Meta am 31. Oktober 2023 über die verbindliche Dringlichkeitsentscheidung des EDSA informiert.
Information der Datenschutzbehörde zum Google Fonts-Prüfverfahren, Stand 19. Oktober 2023
Die Datenschutzbehörde hat in der Vergangenheit vermehrt Anfragen zum Thema „Abmahnungen“ wegen Google Fonts erhalten. Laut den der Datenschutzbehörde vorliegenden Informationen haben zahlreiche Unternehmen ein anwaltliches Schreiben erhalten, mit dem diese u.a. aufgefordert wurden, aufgrund der Einbindung von Google Fonts auf der Unternehmenswebsite einen Schadenersatzanspruch anzuerkennen. Darüber hinaus wurden zahlreiche Unternehmen aufgefordert, eine Unterlassungserklärung abzugeben.
Zur Klärung des Sachverhalts hat die Datenschutzbehörde gemäß Art. 58 Abs. 1 lit. b DSGVO eine Datenschutzüberprüfung (amtswegiges Prüfverfahren) gegen Google LLC eingeleitet. Gegenstand dieser Datenschutzüberprüfung war das Produkt Google Fonts und die mit diesem Produkt im Zusammenhang stehende Verarbeitung personenbezogener Daten.
Im Rahmen des Prüfverfahrens wurden mehrere schriftliche Stellungnahmen von Google LLC eingeholt. Es wurden Fragen zu rechtlichen und technischen Aspekten des Produkts Google Fonts gestellt. Darüber hinaus wurde eine mündliche Verhandlung durchgeführt. An der Verhandlung nahmen Vertreterinnen und Vertreter von Google LLC teil.
Ausgehend von den Ermittlungsergebnissen hat die Datenschutzbehörde die folgenden Schlussfolgerungen gezogen:
- Es kommt nur dann zu einer Datenübermittlung an die Server von Google LLC oder Google Ireland Limited, wenn Google Fonts über einen Google-Server (nach)geladen werden. Bei einer lokalen Einbindung der Schriftarten am eigenen Server kommt es zu keiner solchen Datenübermittlung.
Die folgenden Überlegungen stehen unter der Prämisse, dass Google Fonts nicht-lokal eingebunden sind:
- Es kommt nicht in allen Fällen zu einer Datenübermittlung an die Server von Google LLC in den USA. Vielmehr ist dies insbesondere davon abhängig, an welchem geografischen Standort sich der Nutzer (bzw. der Server seines Internetproviders) befindet, welcher eine Anwendung aufruft, die Google Fonts eingebunden hat. Im Streitfall hat eine einzelfallbezogene Prüfung des Datenflusses zu erfolgen.
- Als Folge der Einbindung von Google Fonts in einer Anwendung erhalten Google LLC oder Google Ireland Limited zumindest die folgenden Daten: IP-Adresse, HTTP-Header einschließlich „Referrer“ sowie den „User-Agent“ des Internetbrowsers.
- Anders als bei einigen anderen Google-Produkten (wie Google Analytics) ist eine Verknüpfung zwischen Google Fonts Daten und einem Google-Account jedoch unter keinen Voraussetzungen vorgesehen. So sind Schriftartenanfragen getrennt von google.com und enthalten keine Anmeldeinformationen, die bei der authentifizierten Nutzung anderer Google-Dienste (wie etwa Gmail) an google.com gesendet werden. Als weitere Schutzmaßnahme werden IP-Adressen und HTTP-Header einschließlich „Referer“ sowie „User-Agent“ des Internetbrowsers getrennt verarbeitet.
- Die IP-Adressen werden zu dem Zweck verarbeitet, Angriffe (wie „DoS-Angriffe“) zu erkennen, zu verhindern und zu bekämpfen. Soweit IP-Adressen im Einzelfall als personenbezogene Daten zu qualifizieren sind, kann die Verarbeitung zu den angeführten Zwecken durch berechtigte Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO gedeckt sein. Die IP-Adressen einschließlich „Referer“ und „User-Agent“ des Internetbrowsers werden nicht zu Werbezwecken verarbeitet.
- Aus Sicht der Datenschutzbehörde werden allerdings die Vorgaben der datenschutzrechtlichen Informationspflicht gemäß Art. 12 Abs. 1 und Art. 13 DSGVO nicht vollständig erfüllt, zumal es sich bei IP-Adressen – je nach Einzelfall – um personenbezogene Daten handeln kann. Dieser Umstand wurde an Google LLC herangetragen.
Diese Schlussfolgerungen beziehen sich nur auf das Produkt Google Fonts und sind vorbehaltlich allfälliger Änderungen des Produkts Google Fonts nach Abschluss der Datenschutzüberprüfung zu verstehen.
Abschließend ist klarzustellen, dass die formale Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der Datenschutzbehörde oder der österreichischen Gerichte fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist.
Information der Datenschutzbehörde zum neuen Angemessenheitsbeschluss für die Vereinigten Staaten
Am 10. Juli 2023 wurde von der Europäischen Kommission ein neuer Angemessenheitsbeschluss gemäß Art. 45 DSGVO für die Vereinigten Staaten von Amerika angenommen, das sog. EU-U.S. Data Privacy Framework (siehe https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721).
Zu beachten ist, dass der Angemessenheitsbeschluss nur partiell gilt und nur Datenübermittlungen an jene Datenimporteure in den Vereinigten Staaten abdeckt, die in der sog. Data Privacy Framework List aufscheinen (eine Suche ist unter https://www.dataprivacyframework.gov/s/participant-search möglich).
Scheint ein Datenimporteur in den Vereinigten Staaten in dieser Liste auf, ist die Übermittlung personenbezogener Daten allein auf Basis des Angemessenheitsbeschlusses möglich und müssen keine weiteren Maßnahmen iSd. Art. 46 DSGVO gesetzt werden.
Hingegen müssen Datenübermittlungen an Datenimporteure in den Vereinigten Staaten, welche nicht unter das EU-U.S. Data Privacy Framework fallen, weiterhin auf andere geeignete Garantieinstrumente iSd. Art. 46 DSGVO (bspw. Standarddatenschutzklauseln samt ggf. zusätzlicher Maßnahmen) oder – falls anwendbar – auf Ausnahmetatbestände iSd. Art. 49 DSGVO gestützt werden.
Verantwortliche Datenexporteure haben daher vor Durchführung der jeweiligen Datenübermittlung im Rahmen ihrer Rechenschaftspflicht (Art. 5 Abs. 2 DSGVO) zu prüfen, ob die Übermittlung in den Anwendungsbereich des neuen Angemessenheitsbeschlusses fällt, oder ob anderweitige Übermittlungsgrundlagen heranzuziehen sind.
Der neue Angemessenheitsbeschluss wird ein Jahr nach seinem Inkrafttreten einer ersten Überprüfung durch die Europäischen Kommission unterzogen.
Relevante Dokumente:
Amtswegige Prüfverfahren im Finanzbereich eingeleitet
Die DSB führt heuer wieder Schwerpunktverfahren durch, in welchen Verantwortliche eines bestimmten Sektors einer vertieften Prüfung unterzogen werden.
Im Rahmen der Schwerpunktverfahren 2023 werden mehrere Kreditinstitute in Hinblick auf die Einhaltung der DSGVO untersucht. Die Überprüfungen beginnen in der Regel mit der Anweisung das Verzeichnis von Verarbeitungstätigkeiten vorzulegen sowie mit der Versendung eines Fragebogens, in welchem der Verantwortliche aufgefordert wird, zu allgemeinen und sektorspezifischen datenschutzrechtlichen Fragen Stellung zu nehmen. Im weiteren Verfahren sind auch Einschauen und mündliche Verhandlungen möglich.
Im Zuge dieser Prüfverfahren wird auch die Rolle der Datenschutzbeauftragten der jeweiligen untersuchten Finanzunternehmen genauer unter die Lupe genommen. Zu diesem Zweck haben die europäischen Datenschutzbehörden im Rahmen des sogenannten „Coordinated Enforcement Framework“ (CEF) einen entsprechenden Fragebogen ausgearbeitet.
Jahrestagung der öffentlichen Datenschutzbeauftragten am 4. und 5. Mai 2023 in Graz
Datenschutz-Expert*innen von Bund, Ländern, Städten und Gemeinden, aber auch aus dem Ausland, kamen in der Messe Graz zusammen, um sich austauschen und die neuesten Informationen zu datenschutzrechtlichen Fragestellungen zu erhalten.
v. l. n. r. Dr. Johannes Schmid (stv. Generalsekretär des Österreichischen Städtebundes), Dr. Matthias Schmidl (stv. Leiter der Österreichischen Datenschutzbehörde), Dr. Ulrike Wimmer-Heller, (Datenschutzbeauftragte des Bundeskanzleramtes), Mag. Judith Schwentner (Vize-Bürgermeisterin der Stadt Graz), Dr. Walther Nauta (Datenschutzbeauftragter der Stadt Graz)
Bei der hybrid ausgetragenen Jahrestagung der Datenschutzbeauftragten am 4. und 5. Mai 2023 in Graz, gemeinsam veranstaltet vom Bundeskanzleramt, dem Österreichischen Städtebund und der österreichischen Datenschutzbehörde, mit über 150 Teilnehmer*innen standen unter anderem folgende Themen am Programm:
Datenschutz-Grundverordnung, Maßnahmen zur Steigerung der Datensicherheit, Datenaustausch zwischen den USA und der Europäischen Union, Rechtsprechung des Europäischen Gerichtshofes, Rechtsprechung des Bundesverwaltungsgerichts, Entscheidungen der Datenschutzbehörde, Social Media-Auftritte von Verwaltung und Politik oder ChatGPT.
Hier finden Sie eine Aufzählung der Vortragenden und Themen der Jahrestagung:
- Eva Souhrada-Kirchmayer (Richterin am Bundesverwaltungsgericht) – Rechtsprechung des BVwG zur DSGVO und zum DSG
- Günter Wildmann (Corporate Privacy Officer der Kapsch Group) – Einfache Maßnahmen zur Steigerung der Datensicherheit
- Marit Hansen (Landesbeauftragte für Datenschutz in Schleswig-Holstein) – Risiko und Rechenschaftspflicht (Online-Vortrag)
- Marie-Louise Gächter (Leiterin der Datenschutzstelle Liechtenstein) – EU-USA Data Privacy Framework
- Gerhard Kunnert (Verfassungsdienst Bundeskanzleramt) – Rechtsprechung des EuGH
- Georg Miernicki (Amt der Niederösterreichischen Landesregierung) – Artikel 20. Abs. 5 B-VG - Veröffentlichungspflicht von Studien etc.
- Matthias Schmidl (stv. Leiter der Datenschutzbehörde) – relevante Entscheidungen der Datenschutzbehörde
- Christiane Lackner (Mitarbeiterin der Datenschutzbehörde) – Social Media und öffentliche Verantwortliche
- Gerald Trieb (Partner der Rechtsanwaltskanzlei Knyrim Trieb Rechtsanwälte OG) - Betroffenenanfragen, Medienprivileg und internationaler Datentransfer
- Christof Tschohl (Digital Human Rights Center) – Kommunale Themen samt anschließender Diskussion
Die so zahlreiche Teilnahme von Vertreter*innen aus Bundesministerien, Ämtern der Landesregierung, Stadtverwaltungen, aber auch von den Gerichtshöfen des öffentlichen Rechts und Landesverwaltungsgerichten unterstreicht einmal mehr die zentrale Rolle, die den Datenschutzbeauftragten in Zeiten von immer rasanter werdenden technischen Entwicklungen (Social Media, künstliche Intelligenz u.v.m.) zukommt.
Ein besonderer Dank gilt der Stadt Graz für die ausgezeichnete Organisation vor Ort.
Die Veranstalter freuen sich bereits auf die nächste Jahrestagung der öffentlichen Datenschutzbeauftragten, welche 2024 voraussichtlich in Linz stattfinden wird!
Information der Datenschutzbehörde zum vollständigen Auslaufen der Standardvertragsklauseln
Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO werden von der Europäischen Kommission erlassen und können bei Fehlen eines Angemessenheitsbeschlusses iSd. Art. 45 DSGVO als geeignete Garantien – ggf. unter Ergänzung zusätzlicher Maßnahmen – für die Übermittlung personenbezogener Daten an Empfänger in Drittländern herangezogen werden.
Die Europäische Kommission hat am 4. Juni 2021 mit Durchführungsbeschluss (EU) 2021/914 „neue“ Standarddatenschutzklauseln erlassen. Gemäß dessen Art. 4 Abs. 2 und Abs. 3 wurden die auf Basis der ehemaligen Richtlinie 95/46/EG mit Entscheidung 2001/497/EG und Beschluss 2010/87/EU erlassenen Standardvertragsklauseln mit Wirkung vom 27. September 2021 aufgehoben und können gemäß Art. 4 Abs. 4 auf vor diesem Zeitpunkt abgeschlossene Vereinbarungen nur mehr bis zum 27. Dezember 2022 herangezogen werden.
Dies hat zur Folge, dass die auf Basis der Richtlinie 95/46/EG erlassenen Standardvertragsklauseln mit Ablauf des 27. Dezember 2022 ihre Gültigkeit zur Gänze verlieren und keine Grundlage für die Übermittlung personenbezogener Daten iSd. Kapitels V der DSGVO mehr darstellen.
Verantwortliche und Auftragsverarbeiter sollten daher prüfen, ob ihre Datenübermittlungen noch auf Grundlage der „alten“ Standardvertragsklauseln erfolgen und – wenn ja – diese durch die neue Version bzw. andere geeignete Garantien ersetzen.
Relevante Dokumente:
Europäische Kommission, Questions and Answers for the two sets of Standard Contractual Clauses
Start einer koordinierten Maßnahme betreffend die Nutzung von Cloud basierten Diensten im öffentlichen Sektor
Der 15. Februar 2022 markierte den Start der ersten „koordinierten Maßnahme“ des Europäischen Datenschutzausschusses (EDSA) zum Thema „Nutzung von Cloud-gestützten Diensten durch öffentliche Stellen“.
Im Wesentlichen werden beginnend mit Februar 2022 insgesamt 22 nationale Aufsichtsbehörden (einschließlich des Europäischen Datenschutzbeauftragten) im gesamten Europäischen Wirtschaftsraum Untersuchungen zur Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor einleiten bzw. haben solche eingeleitet.
Hierbei werden über 80 öffentliche Institutionen, großteils aus den Bereichen Gesundheit, Finanzen, Bildung und öffentlicher Beschaffung, angesprochen. Aufbauend auf der gemeinsamen Vorbereitungsarbeit der teilnehmenden Aufsichtsbehörden – insbesondere wurde gemeinsam ein Fragebogen zu den relevanten Datenschutzaspekten erstellt – sollen auf nationaler Ebene die Herausforderungen öffentlicher Stellen bei einer DSGVO konformen Auswahl und Nutzung von Cloud-basierten Diensten untersucht werden. Vornehmlich werden die notwendigen Prozesse und Sicherheitsvorkehrungen beim Erwerb bzw. Problembereiche im Zusammenhang mit internationalem Datenverkehr, sowie jene Bestimmungen, die die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter regeln, beleuchtet.
Auch die österreichische Datenschutzbehörde beteiligt sich an dieser umfassenden Initiative und es wurde hierzu – in Übereinstimmung mit dem nationalen Verfahrensrecht – ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Art. 57 Abs. 1 lit. h iVm Art. 58 Abs. 1 lit. b DSGVO iVm § 22 Abs. 1 DSG gegen eine aus Sicht der Datenschutzbehörde geeignete Institution der öffentlichen (Bundes ) Verwaltung eingeleitet.
Die Ergebnisse werden anschließend zusammengefasst analysiert und mit Ende des Jahres 2022 in einem EWR-weiten Bericht in anonymisierter Form veröffentlicht.
Für weiterführende Informationen darf auf die korrespondierende Pressemitteilung des Europäischen Datenschutzausschusses verwiesen werden:
https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_de
Information der Datenschutzbehörde zur Entscheidung über die Verwendung von Google Analytics
Die Datenschutzbehörde hat sich im Rahmen eines Beschwerdeverfahrens mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) befasst. Bei Google Analytics handelt es sich um ein Google-Tool, mit dem Betreiber einer Website detaillierte Berichte über das Nutzerverhalten von Website-Besuchern erstellen können.
Beim Aufruf einer Website, die Google Analytics verwendet, wird dem Browser des Besuchers eine Google Analytics Kennnummer zugeordnet. Besucher können anhand dieser Kennnummer individualisiert und unterschiedlich behandelt werden. Zusätzlich besteht die Möglichkeit, diese Kennnummer mit weiteren Informationen zu kombinieren, wie etwa mit der IP-Adresse oder gewissen Browserdaten. Durch diese Kombination entsteht ein einzigartiger digitaler Fußabdruck, der dem Benutzer des Browsers zugeordnet werden kann. Wenn ein Besucher während des Aufrufs einer solchen Website in sein Google Konto eingeloggt ist, kann die Information über den Websitebesuch auch dem jeweiligen Google Konto zugeordnet werden.
Im Beschwerdeverfahren wurde festgestellt, dass dieser digitale Fußabdruck auch an die Server von Google LLC mit Sitz in den USA übermittelt wurde. Der Betreiber der Website und Google LLC haben Standarddatenschutzklauseln (in der Fassung des Durchführungsbeschlusses der Europäischen Kommission 2010/87/EU vom 5. Februar 2010) abgeschlossen. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union in C‑311/18 („Schrems II“) wurde diese Datenübermittlung als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie gemäß Artikel 44 DSGVO gefordert, gegeben war. Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigt haben.
Die Datenschutzbehörde hat daher mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können. Dieser Bescheid ist nicht rechtskräftig.
Bescheid: D155.027 GA (PDF, 907 KB)
Informationen zu Auskunftsbegehren an die Datenschutzbehörde
Die Datenschutzbehörde erhält derzeit eine hohe Anzahl an Auskunftsbegehren infolge der Versendung von Informationsschreiben zur COVID-19-Schutzimpfung.
Die Datenschutzbehörde speichert Ihre personenbezogenen Daten nur dann, wenn Sie mit der Datenschutzbehörde in Kontakt treten. Wenn Sie mit der Datenschutzbehörde bislang noch nicht in Kontakt waren, wird Ihnen die Datenschutzbehörde mitteilen, dass keine Daten zu Ihnen verarbeitet werden („Negativauskunft“).
Die Datenschutzbehörde weist darauf hin, dass sie keine Kenntnis über die Datenverarbeitung anderer Stellen hat.
Soweit Sie daher eine Auskunft über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dem Erhalt eines Informationsschreibens zur COVID 19-Schutzimpfung begehren, müssen Sie sich an die jeweilige Stelle, die das Informationsschreiben versandt hat, wenden.