DSGVO: Set­zen Unter­neh­mens­bus­sen den Nach­weis der Pflicht­ver­let­zung durch eine natür­li­che Per­son voraus?

Die DSGVO sieht bekannt­lich hohe Bus­sen­rah­men gegen Unter­neh­men vor, bis 4% des welt­wei­ten Vor­jah­res­um­sat­zes des Unter­neh­mens betra­gen. In ein­zel­nen Fäl­len kam es auch zu hohen Bus­sen, die in der Regel aber gericht­lich ange­grif­fen wor­den sind. Nicht klar ist in die­sem Fall aber, ob die Unter­neh­mens­bus­se vor­aus­setzt, dass ein schuld­haf­ter Ver­stoss gegen die … wei­ter­le­sen

Schrems: Vor­la­ge­fra­gen des OGH an den EuGH

Der Ober­ste Gerichts­hof Öster­reichs (OGH) hat dem EuGH eine Rei­he von Fra­gen vor­ge­legt, im Zusam­men­hang mit einem Ver­fah­ren von Max Schrems gegen Face­book. Gegen­stand des Ver­fah­rens ist u.a. die Fra­ge, auf wel­cher Rechts­grund­la­ge Face­book bestimm­te Daten über Schrems ver­ar­bei­tet. Dabei geht es ins­be­son­de­re um die Fra­ge, ob sich Face­book zurecht auf Art. … wei­ter­le­sen

Öster­reich: Kei­ne DSGVO-Bus­se ohne aus­rei­chen­de Kon­kre­ti­sie­rung der Anlasstat

Die öster­rei­chi­sche Daten­schutz­be­hör­de hat­te eine Bus­se von EUR 4 800 wegen ver­säum­ter Löschung von Video­auf­zeich­nun­gen ver­hängt. Der gebüss­te Ver­ant­wort­li­che hat­te den Bus­s­ent­scheid beim Bun­des­ver­wal­tungs­ge­richt (BVG) ange­foch­ten. Das BVG hielt in sei­nem Ent­scheid vom 19. August 2019 dazu zunächst Fol­gen­des fest: Die Bestra­fung der juri­sti­schen Per­son nach der in Rede ste­hen­den Bestim­mung setzt vor­aus, dass … wei­ter­le­sen

OGH (AT): Beweis­last für anspruchs­be­grün­den­de Tat­sa­chen nach DSGVO 82

Der Ober­ste Gerichts­hof Öster­reichs, der OGH, hat sich mit Urteil vom 27.11.2019 (u.a.) zur Beweis­last für die anspruchs­be­grün­den­den Tat­sa­chen bei Scha­den­er­satz­an­sprü­chen nach Art. 82 DSGVO geäu­ssert: 4.2. Das Erst­ge­richt traf meh­re­re Nega­tiv­fest­stel­lun­gen. Das Beru­fungs­ge­richt kam zu dem Ergeb­nis, dass auch nach Art 82 DSGVO der Klä­ger die Beweis­last für den Ein­tritt des … wei­ter­le­sen

DSB Öster­reich: Feh­len­des Dou­ble-Opt-In-Ver­fah­ren als Ver­let­zung von DSGVO 32

Die öster­rei­chi­sche Daten­schutz­be­hör­de (DSB) hat mit Ent­scheid vom 9. Okto­ber 2019 (DSB-D130.073/0008-DSB/2019) fest­ge­stellt, dass nach Art. 32 DSGVO (Daten­si­cher­heit) ein Dou­­ble-Opt-In-Ver­­­fah­­ren für Regi­strie­run­gen auf einer Online-Dating-Plat­t­­form zwin­gend ist. Die Regi­strie­rung und eine ein­ge­schränk­te Nut­zung der Platt­form war ohne Dou­­ble-Opt-In mög­lich: Es ist kor­rekt, dass der User sich nach der Regi­strie­rung und der expli­zi­ten … wei­ter­le­sen

DSB AT: Erleich­te­rungs­ge­bot von Art. 12 Abs. 2 DSGVO verletzt

Die öster­rei­chi­sche Daten­schutz­be­hör­de (DSB) hat ent­schie­den (DSB-D122.970/0004-DSB/2019 vom 8.11.2019), dass es das Erleich­te­rungs­ge­bot von Art. 12 Abs. 2 DSGVO ver­letzt, wenn eine Ver­ant­wort­li­che bei der Iden­ti­täts­prü­fung bei Betrof­fe­nen­an­fra­gen unnö­ti­ge Zusatz­an­ga­ben ver­langt. Die betrof­fe­ne Per­son war Nut­ze­rin eines Online-Klein­an­­zei­­gen­­por­­tals, bei dem sie ein Pseud­onym ange­legt und nur ihren Vor­na­men und ihre E‑Mail-Adre­s­­se, nicht aber … wei­ter­le­sen

Daten­schutz­be­hör­de Öster­reich: Anord­nung gegen ein Unter­neh­men in der Schweiz

Die öster­rei­chi­sche Daten­schutz­be­hör­de hat gegen ein Unter­neh­men mit Sitz in der Schweiz eine Anord­nung wegen Ver­let­zung der DSGVO erlas­sen (Ent­schei­dung vom 22. August 2019, PDF). Das betrof­fe­ne Unter­neh­men betrieb offen­bar eine Web­site mit der Län­der­do­main .at, erbrach­te Dienst­lei­stun­gen in Öster­reich und betrieb dort auch Hotels. Der Beschwer­de­füh­rer, der an die Behör­de gelangt … wei­ter­le­sen

Öster­reich: Bus­se von EUR 18 Mio. gegen die Öster­rei­chi­sche Post

Die öster­rei­chi­sche Daten­schutz­be­hör­de hat eine Bus­se von EUR 18 Mio. gegen die Öster­rei­chi­sche Post AG (ÖPAG) ver­hängt (Medi­en­mit­tei­lung). Die Bus­se ist nicht rechts­kräf­tig, und die ÖPAG hat ange­kün­digt, die Bus­se nicht akzep­tie­ren zu wol­len. Hin­ter­grund ist die Erhe­bung und Wei­ter­ga­be von Daten­pro­fi­len von offen­bar 2.2 Mio. Per­so­nen. Die­se Pro­fi­le haben Anga­ben auch … wei­ter­le­sen

BVwG AT: Beur­tei­lung einer Daten­schutz­er­klä­rung (Anga­be von Zweck und Empfängern)

Das öster­rei­chi­sche Bun­des­ver­wal­tungs­ge­rict (BVwG) hat in einem Urteil vom 10. Dezem­ber 2018 (Geschäfts­zahl W211 2188383 – 1) über die daten­schutz­recht­li­che Aus­kunfts­er­tei­lung einer Bank ent­schie­den. Anga­be der Ver­ar­bei­tungs­zwecke Zunächst hielt das BVwG fest, dass die Anga­be der Ver­ar­bei­tungs­zwecke in einer Daten­schutz­er­klä­rung recht kon­kret erfol­gen muss: Zweck­an­ga­ben wie “Ver­bes­se­rung der Benut­zer­freund­lich­keit”, “Mar­ke­ting­zwecke”, “Zwecke der IT-Sicher­heit”, “künf­ti­ge For­schung” … wei­ter­le­sen