Öster­reich: Kei­ne DSGVO-Bus­se ohne aus­rei­chen­de Kon­kre­ti­sie­rung der Anlas­stat

Die öster­rei­chi­sche Daten­schutz­be­hör­de hat­te eine Bus­se von EUR 4 800 wegen ver­säum­ter Löschung von Video­auf­zeich­nun­gen ver­hängt. Der gebüss­te Ver­ant­wort­li­che hat­te den Bus­s­ent­scheid beim Bun­des­ver­wal­tungs­ge­richt (BVG) ange­foch­ten. Das BVG hielt in sei­nem Ent­scheid vom 19. August 2019 dazu zunächst Fol­gen­des fest: Die Bestra­fung der juri­sti­schen Per­son nach der in Rede … wei­ter­le­sen

OGH (AT): Beweis­last für anspruchs­be­grün­den­de Tat­sa­chen nach DSGVO 82

Der Ober­ste Gerichts­hof Öster­reichs, der OGH, hat sich mit Urteil vom 27.11.2019 (u.a.) zur Beweis­last für die anspruchs­be­grün­den­den Tat­sa­chen bei Scha­den­er­satz­an­sprü­chen nach Art. 82 DSGVO geäu­ssert: 4.2. Das Erst­ge­richt traf meh­re­re Nega­tiv­fest­stel­lun­gen. Das Beru­fungs­ge­richt kam zu dem Ergeb­nis, dass auch nach Art 82 DSGVO der Klä­ger die Beweis­last … wei­ter­le­sen

DSB Öster­reich: Feh­len­des Dou­ble-Opt-In-Ver­fah­ren als Ver­let­zung von DSGVO 32

Die öster­rei­chi­sche Daten­schutz­be­hör­de (DSB) hat mit Ent­scheid vom 9. Okto­ber 2019 (DSB-D130.073/0008-DSB/2019) fest­ge­stellt, dass nach Art. 32 DSGVO (Daten­si­cher­heit) ein Dou­­ble-Opt-In-Ver­­­fah­­ren für Regi­strie­run­gen auf einer Online-Dating-Plat­t­­form zwin­gend ist. Die Regi­strie­rung und eine ein­ge­schränk­te Nut­zung der Platt­form war ohne Dou­­ble-Opt-In mög­lich: Es ist kor­rekt, dass der User sich nach … wei­ter­le­sen

DSB AT: Erleich­te­rungs­ge­bot von Art. 12 Abs. 2 DSGVO ver­letzt

Die öster­rei­chi­sche Daten­schutz­be­hör­de (DSB) hat ent­schie­den (DSB-D122.970/0004-DSB/2019 vom 8.11.2019), dass es das Erleich­te­rungs­ge­bot von Art. 12 Abs. 2 DSGVO ver­letzt, wenn eine Ver­ant­wort­li­che bei der Iden­ti­täts­prü­fung bei Betrof­fe­nen­an­fra­gen unnö­ti­ge Zusatz­an­ga­ben ver­langt. Die betrof­fe­ne Per­son war Nut­ze­rin eines Online-Klein­an­­zei­­gen­­por­­tals, bei dem sie ein Pseud­onym ange­legt und nur ihren Vor­na­men und … wei­ter­le­sen

Daten­schutz­be­hör­de Öster­reich: Anord­nung gegen ein Unter­neh­men in der Schweiz

Die öster­rei­chi­sche Daten­schutz­be­hör­de hat gegen ein Unter­neh­men mit Sitz in der Schweiz eine Anord­nung wegen Ver­let­zung der DSGVO erlas­sen (Ent­schei­dung vom 22. August 2019, PDF). Das betrof­fe­ne Unter­neh­men betrieb offen­bar eine Web­site mit der Län­der­do­main .at, erbrach­te Dienst­lei­stun­gen in Öster­reich und betrieb dort auch Hotels. Der Beschwer­de­füh­rer, der … wei­ter­le­sen

Öster­reich: Bus­se von EUR 18 Mio. gegen die Öster­rei­chi­sche Post

Die öster­rei­chi­sche Daten­schutz­be­hör­de hat eine Bus­se von EUR 18 Mio. gegen die Öster­rei­chi­sche Post AG (ÖPAG) ver­hängt (Medi­en­mit­tei­lung). Die Bus­se ist nicht rechts­kräf­tig, und die ÖPAG hat ange­kün­digt, die Bus­se nicht akzep­tie­ren zu wol­len. Hin­ter­grund ist die Erhe­bung und Wei­ter­ga­be von Daten­pro­fi­len von offen­bar 2.2 Mio. Per­so­nen. Die­se … wei­ter­le­sen

BVwG AT: Beur­tei­lung einer Daten­schutz­er­klä­rung (Anga­be von Zweck und Emp­fän­gern)

Das öster­rei­chi­sche Bun­des­ver­wal­tungs­ge­rict (BVwG) hat in einem Urteil vom 10. Dezem­ber 2018 (Geschäfts­zahl W211 2188383 – 1) über die daten­schutz­recht­li­che Aus­kunfts­er­tei­lung einer Bank ent­schie­den. Anga­be der Ver­ar­bei­tungs­zwecke Zunächst hielt das BVwG fest, dass die Anga­be der Ver­ar­bei­tungs­zwecke in einer Daten­schutz­er­klä­rung recht kon­kret erfol­gen muss: Zweck­an­ga­ben wie “Ver­bes­se­rung der Benut­zer­freund­lich­keit”, “Mar­ke­ting­zwecke”, … wei­ter­le­sen

Öster­rei­chi­sche Daten­schutz­be­hör­de: Anony­mi­sie­rung von Per­so­nen­da­ten als Form der Löschung

In der Pra­xis stellt sich häu­fig die Fra­ge, ob anstel­le einer Löschung von Per­so­nen­da­ten auch ihre Anony­mi­sie­rung genügt. Die DSGVO gibt dazu kei­ne kla­re Aus­kunft. Aus dem Sinn des Daten­schutz­rechts folgt aber ein­deu­tig, dass die Anony­mi­sie­rung genü­gen muss: Der Rege­lungs­an­spruch des Daten­schutz­rechts endet prin­zi­pi­ell mit der Auf­he­bung des … wei­ter­le­sen

Erste Bus­se unter der DSGVO ver­hängt

Die soweit bekannt erste Bus­se gestützt auf die DSGVO hat einem Bericht der Salz­bur­ger Zei­tung zufol­ge die öster­rei­chi­sche Daten­schutz­be­hör­de ver­hängt. Betrof­fen ist offen­bar ein stei­ri­sches Wett­lo­kal, das vor dem Lokal eine Kame­ra instal­liert hat­te, die einen Gross­teil der Fuss­gän­ger­zo­ne erfass­te und unzu­rei­chend gekenn­zeich­net war. Laut der Behör­de fehl­te dafür eine … wei­ter­le­sen