CINXE.COM

Bekanntmachungen der Datenschutzbehörde

<!DOCTYPE html> <html lang="de"> <head> <meta charset="UTF-8"> <title>Bekanntmachungen der Datenschutzbeh&ouml;rde</title> <link rel="stylesheet" href="/.resources/bcisa/resources/not-generated/css/red~2024-11-19-16-04-04-611~cache.css" /> <link rel="stylesheet" href="/.resources/bcisa/resources/not-generated/css/additional/add~2024-11-19-16-04-04-618~cache.css" /> <link rel="stylesheet" href="/.resources/bcisa/resources/generated/bcisa-bundle~2024-11-19-16-04-04-537~cache.css" /> <meta name="description" content=""> <meta name="viewport" content="width=device-width, initial-scale=1, shrink-to-fit=no" /> <meta http-equiv="x-ua-compatible" content="ie=edge" /> <meta name="keywords" content="" /> <!-- BEGIN - og-tags VDNTE36-BCISA --> <meta property="og:type" content="website"> <meta property="og:url" content="https://www.dsb.gv.at/download-links/bekanntmachungen.html" /> <meta property="og:title" content="Bekanntmachungen der Datenschutzbeh&ouml;rde" /> <meta property="og:site_name" content="Bekanntmachungen der Datenschutzbeh&ouml;rde" /> <meta property="og:description" content="" /> <!-- END - og-tags VDNTE36-BCISA --> <link rel="shortcut icon" type="image/x-icon" href="/.resources/bcisa/resources/img/favicon~2024-11-19-16-04-04-551~cache.ico" /> <link rel="icon" type="image/png" sizes="16x16" href="/.resources/bcisa/resources/img/favicon-16x16~2024-11-19-16-04-04-551~cache.png" /> <link rel="icon" type="image/png" sizes="32x32" href="/.resources/bcisa/resources/img/favicon-32x32~2024-11-19-16-04-04-551~cache.png" /> <link rel="apple-touch-icon" sizes="180x180" href="/.resources/bcisa/resources/img/apple-touch-icon~2024-11-19-16-04-04-551~cache.png" /> </head> <body class="" data-cookieconfig-domain="www.dsb.gv.at"> <div class="container-fluid" id="skiplinks-container"> <div class="container"> <div class="row"> <div class="col-12"> <nav aria-label="Seitenbereiche"> <ul id="skiplinks"> <li> <a href="#content" class="sr-only sr-only-focusable" accesskey="1"> <span class="skiplink-text"> Zum Inhalt <span class="sr-only" lang="en" xml:lang="en">Accesskey</span> [1] </span> </a> </li> <li> <a href="#topnavigation" class="sr-only sr-only-focusable" accesskey="2"> <span class="skiplink-text"> Zum Hauptmenü <span class="sr-only" lang="en" xml:lang="en">Accesskey</span> [2] </span> </a> </li> <li> <a href="#subnavigation" class="sr-only sr-only-focusable" accesskey="3"> <span class="skiplink-text"> Zum Untermenü <span class="sr-only" lang="en" xml:lang="en">Accesskey</span> [3] </span> </a> </li> <li> <a href="#search" class="sr-only sr-only-focusable" accesskey="4"> <span class="skiplink-text"> Zur Suche <span class="sr-only" lang="en" xml:lang="en">Accesskey</span> [4] </span> </a> </li> </ul> </nav> </div> </div> </div> </div> <div class="container-fluid" id="cookiebanner-wrapper"> <div class="container px-0" id="cookiebanner-container"> <div class="richtext_output"><p>Im Rahmen unserer Website werden ausschließlich zwei technisch notwendige Cookies gesetzt, um die grundlegende Funktionalität der Website - in technischer Hinsicht - zu gewährleisten. <a href="https://www.dsb.gv.at/ueber-die-website/datenschutzerklaerung.html" rel="noopener" target="_self" title="Öffnet im selben Fenster">Datenschutzerklärung</a></p> </div> <div class="text-center mt-3"> <button class="btn btn-brand1 px-7" id="cookiebanner-closer">Fortfahren</button> </div> </div> </div> <div id="page"> <header> <div id="page-top"> <div class="container-fluid" id="header-wrapper"> <div class="container px-0" id="header-container"> <nav class="navbar navbar-expand-xl" aria-label="Hauptnavigation"> <div class="container px-0 align-items-end"> <a class="navbar-brand" href="/"> <img src="/.imaging/default/dam/dsb/DSB_Logo_srgb.png/jcr:content.png" class="img-fluid d-xl-block logo-3x" alt="BMAFJ_Logo_srgb"> </a> <div class="justify-content-end ml-auto" id="topnavigation"> <ul class="navbar-nav"> <!-- contentList --> <li class="nav-item d-none d-xl-flex" role="presentation"><a class="nav-link" href="/aufgaben-taetigkeiten.html"> Aufgaben & Tätigkeiten</a> <ul role="menu" aria-label="Untermenü von Aufgaben & Tätigkeiten"> <li role="presentation"><a href="/aufgaben-taetigkeiten/amtssignatur.html" role="menuitem">Amtssignatur</a></li> <li role="presentation"><a href="/aufgaben-taetigkeiten/gesetzesbegutachtungen.html" role="menuitem">Gesetzesbegutachtungen durch die Datenschutzbehörde</a></li> <li role="presentation"><a href="/aufgaben-taetigkeiten/rechte-der-betroffenen.html" role="menuitem">Ihre Rechte als Betroffener</a></li> <li role="presentation"><a href="/aufgaben-taetigkeiten/Informationsfreiheitsgesetz.html" role="menuitem">Informationsfreiheitsgesetz</a></li> <li role="presentation"><a href="/aufgaben-taetigkeiten/information-zu-rechtsauskunften.html" role="menuitem">Information zu Rechtsauskünften</a></li> <li role="presentation"><a href="/aufgaben-taetigkeiten/internationaler-datenverkehr.html" role="menuitem">Internationaler Datenverkehr</a></li> <li role="presentation"><a href="/aufgaben-taetigkeiten/stammzahlenregisterbehoerde.html" role="menuitem">Stammzahlenregisterbehörde</a></li> <li role="presentation"><a href="/aufgaben-taetigkeiten/informationen-fur-teens-kids.html" role="menuitem">Teens &amp; Kids</a></li> <li role="presentation"><a href="/aufgaben-taetigkeiten/genehmigung-von-verhaltensregeln.html" role="menuitem">Verhaltensregeln</a></li> <li role="presentation"><a href="/aufgaben-taetigkeiten/Zertifizierungen.html" role="menuitem">Zertifizierungen</a></li> </ul> </li> <li class="nav-item d-none d-xl-flex"><a class="nav-link" href="/Eingabeformular-online/Eingabeformular-online.html" > Eingabe online </a></li> <li class="nav-item d-none d-xl-flex" role="presentation"><a class="nav-link" href="/europa-internationales.html">Europa & Internationales</a> <ul role="menu" aria-label="Untermenü von Europa & Internationales"> <li role="presentation"><a href="/europa-internationales/europaeischer_datenschutzausschuss_edsa.html" role="menuitem">Der Europäische Datenschutzausschuss</a></li> <li role="presentation"><a href="/europa-internationales/schengen.html" role="menuitem">Schengener Informationssystem</a></li> <li role="presentation"><a href="/europa-internationales/europol.html" role="menuitem">Europol</a></li> <li role="presentation"><a href="/europa-internationales/eurodac.html" role="menuitem">Eurodac</a></li> <li role="presentation"><a href="/europa-internationales/zollinformationssystem.html" role="menuitem">Zollinformationssystem (ZIS) der Europäischen Union</a></li> <li role="presentation"><a href="/europa-internationales/visa-informationssystem.html" role="menuitem">Visa-Informationssystem</a></li> <li role="presentation"><a href="/europa-internationales/brexit.html" role="menuitem">Information zum Brexit</a></li> <li role="presentation"><a href="/europa-internationales/Datenschutztag.html" role="menuitem">Datenschutztag</a></li> </ul> </li> <li class="nav-item d-none d-xl-flex" role="presentation"><a class="nav-link" href="/recht-entscheidungen.html"> Rechtsquellen & Entscheidungen</a> <ul role="menu" aria-label="Untermenü von Rechtsquellen & Entscheidungen"> <li role="presentation"><a href="/recht-entscheidungen/gesetze-in-oesterreich.html" role="menuitem">Datenschutzrecht in Österreich</a></li> <li role="presentation"><a href="/recht-entscheidungen/verordnungen-in-oesterreich.html" role="menuitem">Verordnungen in Österreich</a></li> <li role="presentation"><a href="/recht-entscheidungen/entscheidungen-der-datenschutzbehoerde.html" role="menuitem">Entscheidungen der Datenschutzbehörde</a></li> <li role="presentation"><a href="/recht-entscheidungen/recht-auf-datenschutz-in-der-eu.html" role="menuitem">Recht auf Datenschutz in der EU</a></li> <li role="presentation"><a href="/recht-entscheidungen/recht-des-europarats.html" role="menuitem">Europarat</a></li> <li role="presentation"><a href="/recht-entscheidungen/eu-us-privacy-shield.html" role="menuitem">EU-US Privacy Shield</a></li> </ul> </li> <li class="nav-item d-none d-xl-flex" role="presentation"><a class="nav-link" href="/download-links.html">Download & Links</a> <ul role="menu" aria-label="Untermenü von Download & Links"> <li role="presentation"><a href="/download-links/dokumente.html" role="menuitem">Dokumente</a></li> <li role="presentation"><a href="/download-links/fragen-und-antworten.html" role="menuitem">Fragen und Antworten</a></li> <li role="presentation"><a href="/download-links/newsletter.html" role="menuitem">Newsletter</a></li> <li role="presentation"><a href="/download-links/bekanntmachungen.html" role="menuitem" class="active">Bekanntmachungen der Datenschutzbehörde</a></li> <li role="presentation"><a href="/download-links/links.html" role="menuitem">Links</a></li> <li role="presentation"><a href="/download-links/informationen-zum-coronavirus-covid-19-.html" role="menuitem">Information der Datenschutzbehörde zum Coronavirus (Covid-19)</a></li> <li role="presentation"><a href="/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html" role="menuitem">FAQ zum Thema Cookies und Datenschutz</a></li> <li role="presentation"><a href="/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html" role="menuitem">FAQ zum Thema KI und Datenschutz</a></li> <li role="presentation"><a href="/download-links/Presseinformationen.html" role="menuitem">Presseinformationen</a></li> </ul> </li> <li class="nav-item d-none d-xl-flex"><a class="nav-link" href="/ueber-die-website/kontakt/Bewerbungen.html" > Jobs </a></li> <li class="nav-item text-right" id="header-buttons" role="presentation"> <button class="btn btn-link search-top-toggler" type="button" data-toggle="collapse" data-target="#search-top-wrapper" aria-expanded="false" aria-controls="search-top-wrapper"> <span class="icon icon-lupe" aria-hidden="true"></span> <span class="sr-only">Suche einblenden</span> </button> <button class="btn btn-link d-xl-none" type="button" title="Navigation einblenden" data-toggle="collapse" data-target="#mobileheader-wrapper" id="mobilenav-toggler"> <span class="icon icon-menue" aria-hidden="true"></span><span class="sr-only">Navigation einblenden</span> </button> </li> </ul> </div> </div> </nav> </div> </div> <div class="container-fluid collapse" id="search-top-wrapper"> <div class="container px-0" id="search-top-container"> <form id="searchForm" action="/suche.html" data-bka-link="" data-bund-link=""> <div class="input-group searchbar"> <label for="searchFormQuerystring" class="sr-only">Suchbegriff</label> <input type="text" name="q" id="searchFormQuerystring" class="form-control searchFormQuerystring" autofocus="autofocus" placeholder="Suche" /> <div class="input-group-append"> <button class="btn btn-brand2" id="search-top-button" title="Suchen"> <span class="icon icon-lupe" aria-hidden="true"></span><span class="sr-only">Suchen</span> </button> </div> </div> </form> </div> </div> <div class="container-fluid" id="breadcrumb-wrapper"> <div class="container px-0" id="breadcrumb-container"> <nav aria-label="Positionsanzeige"> <ol class="breadcrumb"> <li class="breadcrumb-item"> <a href="/" title="Startseite"><span class="icon icon-breadcrumb_home" aria-hidden="true"></span><span class="sr-only">Startseite</span></a> </li> <li class="breadcrumb-item"><a href="/download-links.html">Download &amp; Links</a></li> <li class="breadcrumb-item active" aria-current="page"> Bekanntmachungen der Datenschutzbehörde </li> </ol> </nav> </div> </div> </div> </header> <div id="page-bottom"> <div class="container-fluid content-wrapper" id="content-wrapper"> <div class="content-container container px-0"> <div class="row"> <div class="col-12 col-xl-3 d-none d-xl-block subnavigation" id="subnavigation"> <nav aria-label="Unternavigation"> <ul> <li class=""> <a href="/download-links/dokumente.html"> Dokumente </a> </li> <li class=""> <a href="/download-links/fragen-und-antworten.html"> Fragen und Antworten </a> </li> <li class=""> <a href="/download-links/newsletter.html"> Newsletter </a> </li> <li class="active current" aria-current="page"> <a href="/download-links/bekanntmachungen.html"> Bekanntmachungen der Datenschutzbehörde <span class="sr-only"> (aktuelle Seite)</span> </a> </li> <li class=""> <a href="/download-links/links.html"> Links </a> </li> <li class=""> <a href="/download-links/informationen-zum-coronavirus-covid-19-.html"> Information der Datenschutzbehörde zum Coronavirus (Covid-19) </a> </li> <li class=""> <a href="/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html"> FAQ zum Thema Cookies und Datenschutz </a> </li> <li class=""> <a href="/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html"> FAQ zum Thema KI und Datenschutz </a> </li> <li class=""> <a href="/download-links/Presseinformationen.html"> Presseinformationen </a> </li> </ul> </nav> </div> <main class="col-12 content col-xl-9" tabindex="-1" id="content" role="main"> <h1> <span class="title" id="labelformodal"> Bekanntmachungen der Datenschutzbehörde </span> </h1> <div class="overflow-auto"> </div> <span class="clearer"></span> <div class="richtext_output"><h2><a id="DSB-Digital" rel="noopener"></a></h2> <h2>Datenschutzbehörde wird Teil des „Netzwerks Digitalisierung“</h2> <p>Am 6. November 2024 wurde die „Erklärung über ein Netzwerk Digitalisierung“ unterzeichnet.</p> <p>Neben der Datenschutzbehörde gehören dem Netzwerk die folgenden unabhängigen Behörden an:</p> <ul> <li>Bundeswettbewerbsbehörde</li> <li>E-Control</li> <li>Finanzmarktaufsicht</li> <li>Kommunikationsbehörde Austria</li> <li>Rundfunk- und Telekom Regulierungs GmbH (RTR), Fachbereich Telekommunikation und Post</li> <li>Schienen Control</li> <li>Telekom-Control-Kommission</li> </ul> <p>Das Netzwerk Digitalisierung dient dem regelmäßigen Informations- und Erfahrungsaustausch zwischen diesen Behörden, da die fortschreitende Digitalisierung alle Lebens- und Wirtschaftsbereiche berührt.</p> <p>Ziel ist es, im Rahmen der jeweiligen Zuständigkeiten eng zusammenzuarbeiten, um ein gemeinsames Verständnis zu den relevanten Fragestellungen der Digitalisierung zu ermöglichen und somit unterschiedliche Entscheidungen und Ansätze weitgehend zu vermeiden.</p> <p>Das Netzwerk Digitalisierung lässt die jeweiligen Zuständigkeiten und Unabhängigkeiten unberührt.</p> <p>Die Datenschutzbehörde freut sich, Teil dieses Netzwerks zu sein und einen Beitrag leisten zu können.</p> </div> <figure class="figure figure-width-50"> <a data-fancybox="" title="Originalbild anzeigen" href="/.imaging/mte/bcisa-dsb/bcisa-full/dam/dsb/download-links/bekanntmachungen/20241106-unterzeichnung-01-4x3.JPG/jcr:content/20241106-unterzeichnung-01-4x3.JPG" > <img src="/.imaging/mte/bcisa-dsb/bcisa-verybig/dam/dsb/download-links/bekanntmachungen/20241106-unterzeichnung-01-4x3.JPG/jcr:content/20241106-unterzeichnung-01-4x3.JPG" class="figure-img img-fluid" alt="Gruppenfoto der beteiligten Behörden" style="min-width: auto;" /> <figcaption class="figure-caption"> </figcaption> </a> </figure> <div class="richtext_output"><h2><a id="CookieORF" rel="noopener"></a></h2> <h2>Bescheid der Datenschutzbehörde zum Cookie-Banner von www.orf.at</h2> <p>Die Datenschutzbehörde stellt eine (nicht rechtskräftige) Entscheidung zum Ersuchen um Einwilligung (Cookie-Banner) auf der Website <a href="http://www.orf.at" rel="noopener">www.orf.at</a> zur Verfügung.</p> <p>Die ORF-Stiftung (samt Tochtergesellschaften) wurde nicht pseudonymisiert, da eine Entfernung aller grafischen Darstellungen (Screenshots), die zwingende Rückschlüsse auf ihre Identität als Beschwerdegegnerin ermöglichen, die Verständlichkeit der Entscheidung beeinträchtigen würde. Das ORF-Gesetz ist eine der zitierten Grundlagen der Entscheidung. Die Entscheidung wurde weiters am 31. Oktober 2024 von der beschwerdeführenden Partei und deren Vertretung unter Angabe der Parteien- und Parteienvertreternamen veröffentlicht, ist demnach bereits ohne Zutun der Datenschutzbehörde allgemein verfügbar. Das Geheimhaltungsinteresse der Beschwerdegegnerin, einer juristischen Person (durch Gesetz eingerichtete Stiftung öffentlichen Rechts), überwiegt daher nicht das öffentliche Interesse an der durch § 23 Abs. 2 DSG gebotenen Veröffentlichung dieser Entscheidungen der Datenschutzbehörde von grundsätzlicher Bedeutung für die Allgemeinheit.</p> <p>Die Entscheidung ist <a href="/dam/jcr:e4837c99-4086-4910-9ad5-4dec93bf266f/DSB-2024-10-28%20D124.0507-24%20GZ%202024-0.633.166.pdf" rel="noopener">hier</a> verfügbar.</p> <h2><a id="Behoerdentreffen2024" rel="noopener"></a></h2> <h2><strong>Treffen der Aufsichtsbehörden im September 2024</strong></h2> <p>Am 12. und 13. September 2024 fand auf Initiative der Datenschutzbehörde in ihren Räumlichkeiten ein <strong>Treffen mit den Aufsichtsbehörden von Tschechien, Ungarn, Slowenien und der Slowakei</strong> statt.</p> <p>Ziel des Treffens war ein <strong>gegenseitiger Austausch</strong> und eine <strong>Verfestigung der gegenseitigen Zusammenarbeit</strong> auf nationaler und europäischer Ebene unter Wahrung der eigenen Unabhängigkeit.</p> <p>Am Treffen nahmen die jeweiligen Leiter:innen bzw. hochrangige Vertreter:innen der Aufsichtsbehörden teil. Da die Aufsichtsbehörden in Tschechien, Ungarn, Slowenien, der Slowakei und Österreich vergleichbare Größen und Strukturen haben und sich mit ähnlichen Herausforderungen konfrontiert sehen, konnten <strong>zahlreiche Überschneidungspunkte für eine verstärkte Zusammenarbeit</strong> ermittelt und ein <strong>regelmäßiger Austausch zu aktuellen Themen</strong> vereinbart werden.</p> <p>Das Treffen kann als sehr erfolgreich bezeichnet werden und wird im nächsten Jahr in Budapest abgehalten.</p> </div> <figure class="figure figure-width-50"> <a data-fancybox="" title="Originalbild anzeigen" href="/.imaging/mte/bcisa-dsb/bcisa-full/dam/dsb/download-links/bekanntmachungen/Behoerdentreffen-2024.jpg/jcr:content/Behoerdentreffen%202024.jpg" > <img src="/.imaging/mte/bcisa-dsb/bcisa-verybig/dam/dsb/download-links/bekanntmachungen/Behoerdentreffen-2024.jpg/jcr:content/Behoerdentreffen%202024.jpg" class="figure-img img-fluid" alt="Treffen der Aufsichtsbehörden 2024" style="min-width: auto;" /> <figcaption class="figure-caption"> </figcaption> </a> </figure> <div class="richtext_output"><p><a id="DSGVO-Zertifizierungsstelle" rel="noopener"></a></p> <h2><strong>Akkreditierung der ersten DSGVO-Zertifizierungsstelle in Österreich</strong></h2> <p>In Österreich wurde die erste Zertifizierungsstelle im Sinne des Art. 43 DSGVO und § 3 ZeStAkk-V akkreditiert. Darüber hinaus wurden die dazugehörigen Zertifizierungskriterien im Sinne des Art. 42 Abs. 5 DSGVO genehmigt.</p> <p>Daraus folgt, dass die Zertifizierungsstelle ab sofort Zertifizierungen auf Grundlage der genehmigten Zertifizierungskriterien erteilen kann. Bei Zertifizierungen handelt es sich – genauso wie bei Verhaltensregeln – um ein Compliance-Instrument. Zum aktuellen Zeitpunkt ist eine Zertifizierung von Verantwortlichen gemäß Art. 4 Z 7 DSGVO möglich.</p> <p>Weiterführende Informationen zu Zertifizierungen sind <a href="https://www.dsb.gv.at/aufgaben-taetigkeiten/Zertifizierungen.html" rel="noopener">hier</a> zu finden. Die Kontaktdaten der Zertifizierungsstelle sind im <a href="https://www.dsb.gv.at/aufgaben-taetigkeiten/Zertifizierungen/Zertifizierungsstellen.html" rel="noopener">Verzeichnis der akkreditierten Zertifizierungsstellen</a> zu finden.</p> <p style="text-align:justify"><a id="Info_Worldcoin" rel="noopener"></a></p> <h2 style="text-align:justify"><strong>Information der Datenschutzbehörde zum Markteintritt des Worldcoin-Projekts in Österreich </strong></h2> <p style="text-align:justify">Mit <strong>31. Juli 2024</strong> erfolgt in Österreich der <strong>Markteintritt </strong>der Tools for Humanity Corporation mit dem sog. <strong>Worldcoin-Projekt</strong>.</p> <p style="text-align:justify">Wesentlicher Bestandteil des Worldcoin-Projekts ist die sog. „<strong>WorldID</strong>“, ein neuartiger Ansatz für den <strong>Nachweis der Einzigartigkeit eines Menschen</strong> („Proof-of-Personhood“). Vereinfacht dargestellt wird zu diesem Zweck mittels eines physischen Irisscanners („Orb“) die <strong>Netzhaut eines Menschen gescannt</strong>, in einen mathematischen Wert umgerechnet und mit der sog. „WorldApp“ auf einem Endgerät (bspw. Mobiltelefon) verknüpft.</p> <p style="text-align:justify">Mit der WorldID sollen Nutzer:innen in weiterer Folge bei der Registrierung auf unterschiedlichen Online-Plattformen <strong>nachweisen</strong> können, dass sie <strong>einzigartige Menschen und keine Bots bzw. künstliche Intelligenz sind</strong>.</p> <p style="text-align:justify">Nachdem die Tools for Humanity Corporation derzeit im Europäischen Wirtschaftsraum über eine (Haupt-)Niederlassung in Bayern verfügt, fungiert das <strong>Bayrische Landesamt für Datenschutzaufsicht</strong> (BayLDA) als <strong>federführende Aufsichtsbehörde</strong> gemäß Art. 56 und Art. 60 DSGVO.</p> <p style="text-align:justify">Zu betonen ist, dass die <strong>Teilnahme am Worldcoin-Projekt nach derzeitigem Wissensstand freiwillig erfolgt</strong>. Das Einscannen der Netzhaut wird aktuell voraussichtlich an <strong>drei Standorten in Wien</strong> angeboten.</p> <p style="text-align:justify">Die Datenschutzbehörde wurde über den Markteintritt in Österreich kurz vorab in Kenntnis gesetzt und beobachtet die weitere Entwicklung. Ferner führt das BayLDA als federführende Aufsichtsbehörde ein <strong>umfassendes Prüfverfahren</strong> zum Worldcoin-Projekt durch.</p> <p style="text-align:justify"><strong>Die Wahrnehmung der durch die DSGVO und das DSG gewährleisteten Rechte bleibt davon unberührt.</strong></p> <p style="text-align:justify"><a id="Info_Abmahnschreiben" rel="noopener"></a></p> <h2>Information der Datenschutzbehörde über im Umlauf befindliche Abmahnschreiben</h2> <p>Zurzeit sind im Internet zahlreiche Abmahnschreiben im Umlauf, welche den Eindruck vermitteln könnten, dass diese von der österreichischen Datenschutzbehörde stammen würden.</p> <p><strong>Dies ist nicht der Fall! Es handelt sich hierbei um kein amtliches Schriftstück der Datenschutzbehörde!</strong></p> <p>Es wird ausdrücklich darauf hingewiesen, dass es in der ausschließlichen Zuständigkeit der Datenschutzbehörde liegt, <strong>Verwarnungen</strong> gemäß Art. 58 Abs. 2 lit. b bzw. <strong>Geldbußen</strong> gemäß Art. 83 DSGVO zu verhängen. Einer selbsternannte „DSGVO Beschwerdestelle“ kommen diese Aufgaben jedenfalls nicht zu. Das Gleiche gilt auch für den im Abmahnschreiben erwähnten Datenschutzbeauftragten der Stadt Wien.</p> <p>Es handelt sich hierbei um eine „Awareness Campaign“ des österreichischen Instituts für angewandte Telekommunikation (ÖIAT).</p> <p>So sieht der Inhalt dieser „Abmahnschreiben“ aus:</p> </div> <figure class="figure"> <a data-fancybox="" title="Originalbild anzeigen" href="/.imaging/mte/bcisa-dsb/bcisa-full/dam/dsb/download-links/bekanntmachungen/Beispiel_E-Mail.png/jcr:content/Beispiel_E-Mail.png" > <img src="/.imaging/mte/bcisa-dsb/bcisa-verybig/dam/dsb/download-links/bekanntmachungen/Beispiel_E-Mail.png/jcr:content/Beispiel_E-Mail.png" class="figure-img img-fluid" alt="" style="min-width: auto;" /> <figcaption class="figure-caption"> </figcaption> </a> </figure> <div class="richtext_output"><p style="text-align:justify"><a id="KI_privater_Bereich" rel="noopener"></a></p> <h2 style="text-align:justify"><span>Informationen der</span> <span>Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche</span> <span>des privaten Bereichs</span></h2> <p>Da die Entwicklung und der Einsatz von Systemen künstlicher Intelligenz (KI) durch Unternehmen eine immer größere Rolle spielen, nimmt die Datenschutzbehörde dies zum Anlass, auf Folgendes hinzuweisen:</p> <p>Die „Verordnung des europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)“ wurde am 21. Mai 2024 formal angenommen.</p> <p>Nach der Veröffentlichung im Amtsblatt der Europäischen Union werden die Vorgaben der KI-VO (innerhalb der nächsten Monate und Jahre) schrittweise unmittelbar anwendbar sein.</p> <p><strong>Die Datenschutzbehörde nimmt dies zum Anlass, aus Sicht ihres Zuständigkeitsbereichs auf Folgendes hinzuweisen: </strong></p> <p style="margin-left:40px">1) Als Künstliche Intelligenz („KI“) werden verschiedene grundlegende Technologien bezeichnet, die im gesamten Spektrum von Wirtschaft und Gesellschaft zu zahlreichen Vorteilen beitragen können.</p> <p style="margin-left:40px">Gemäß Art. 2 Abs. 7 KI-VO bleiben die Arbeit der Datenschutzbehörde und die Pflichten von Anbietern und Betreibern von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter nach der DSGVO unberührt.</p> <p style="margin-left:40px"><strong>Das Datenschutzrecht – insbesondere die Datenschutz-Grundverordnung (DSGVO) – bleibt daher (parallel) anwendbar, wenn es zur Verarbeitung personenbezogener Daten kommt.</strong></p> <p style="margin-left:40px">2) Soweit personenbezogene Daten bei der (Weiter-)Entwicklung und dem Einsatz von „KI-Systemen“ im Sinne von Art. 3 Z 1 KI-VO verarbeitet werden, muss insbesondere zumindest ein Rechtfertigungstatbestand von Art. 6 Abs. 1 DSGVO für die Datenverarbeitung vorliegen.</p> <p style="margin-left:40px">Soweit besondere Kategorien personenbezogener Daten („sensible Daten“) gemäß Art. 9 Abs. 1 DSGVO verarbeitet werden, müssen zusätzlich die in Art. 9 Abs. 2 DSGVO normierten Voraussetzungen eingehalten werden.</p> <p style="margin-left:40px">Bei der Entwicklung bzw. Auswahl des KI-Systems müssen daher auch datenschutzrechtliche Aspekte berücksichtigt werden.</p> <p style="margin-left:40px"><strong>Die Datenschutzbehörde hält fest, dass die DSGVO der Entwicklung neuer Technologien (insbesondere der KI) nicht entgegensteht, da Art. 6 Abs. 1 sowie Art. 5 DSGVO ausreichend Möglichkeit bieten, neue Technologien in Übereinstimmung mit der DSGVO zu entwickeln und zu betreiben. </strong></p> <p style="margin-left:40px">3) Liegt allerdings kein tauglicher Rechtfertigungstatbestand vor, kann dies zur Unzulässigkeit der Datenverarbeitung (und somit zum unzulässigen Einsatz des jeweiligen KI-Systems) führen. Nach Judikatur des EuGH liegt die Beweislast für die Einhaltung des Datenschutzrechts beim jeweiligen Verantwortlichen (vgl. EuGH 14.03.2024, C-46/23, Rz 32).</p> <p style="margin-left:40px">Als Beispiel ist auf die Judikatur des Verwaltungsgerichtshofs (VwGH) zum Arbeitsmarktchancen-Assistenzsystem (besser bekannt als „AMS-Algorithmus“) zu verweisen:</p> <p style="margin-left:40px">Dieser hat dem Bundesverwaltungsgericht (BVwG) aufgetragen, weitere Ermittlungsschritte hinsichtlich der Anwendbarkeit der Vorgaben von Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling) zu setzen. Laut VwGH ist für den Fall der Anwendbarkeit von Art. 22 DSGVO im AMSG jedoch kein Rechtfertigungstatbestand für die Datenverarbeitung ersichtlich (vgl. VwGH 21.12.2023, Ro 2021/04/0010-11).</p> <p style="margin-left:40px">4) Der Einhaltung der Vorgaben des bereits erwähnten Art. 22 DSGVO kommt im Kontext von KI eine besondere Bedeutung zu:</p> <p style="margin-left:40px">Die Vorgaben von Art. 22 DSGVO gelten für automatisierte Entscheidungen, die gegenüber betroffenen Personen rechtliche Wirkung entfallen oder sie in ähnlicher Weise erheblich beeinträchtigen. Zu denken ist etwa an die automatische Vergabe eines Online-Kredits oder ein Online-Einstellungsverfahren ohne jegliches menschliche Eingreifen.</p> <p style="margin-left:40px">Nach Judikatur des EuGH wird der Anwendungsbereich von Art. 22 DSGVO tendenziell weit ausgelegt (vgl. EuGH 7.12.2023, C‑634/21 Rz 73).</p> <p style="margin-left:40px">Soweit KI-Systeme für solche automatisierte Entscheidungen eingesetzt werden, sind die Vorgaben von Art. 22 Abs. 2, Abs. 3 und gegebenenfalls Abs. 4 DSGVO einzuhalten.</p> <p style="margin-left:40px">Die Leitlinien der ehemaligen Art. 29-Working Party zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, 17/DE, WP251rev.01 (abrufbar unter <a href="https://ec.europa.eu/newsroom/article29/items/612053" rel="noopener">https://ec.europa.eu/newsroom/article29/items/612053</a>), können als Interpretationshilfe herangezogen werden.</p> <p style="margin-left:40px">5) Weitere Informationen zum Thema KI und Datenschutz sind in den FAQ der Datenschutzbehörde zu finden, die zeitnah erweitert werden. Diese FAQ sind abrufbar unter:</p> <p style="margin-left:40px"><a href="https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html" rel="noopener">https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html</a></p> <p style="margin-left:40px">Ein breites Informationsangebot zum Thema KI, auch zur KI-VO und regulatorischen Rahmenbedingungen, stellt die RTR als KI-Servicestelle zur Verfügung. Es ist abrufbar unter:</p> <p style="margin-left:40px"><a href="https://ki.rtr.at" rel="noopener">https://ki.rtr.at</a></p> <p style="margin-left:40px">6) Abschließend ist auf die Strategie des Europäischen Datenschutzausschusses (EDSA) für den Zeitraum 2024-2027 hinzuweisen, abrufbar unter:</p> <p style="margin-left:40px"><a href="https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf" rel="noopener">https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf</a></p> <p style="margin-left:40px">Demzufolge kommt der Erstellung von Leitlinien zum Verhältnis zwischen DSGVO und KI-VO eine hohe Priorität zu. Als Mitglied des EDSA wird die Datenschutzbehörde proaktiv zur Erstellung dieser Leitlinien beitragen.</p> <p><strong>Zusammenfassend hält die Datenschutzbehörde somit fest: </strong></p> <p style="margin-left:40px">a) Die DSGVO bleibt auch nach Ingeltungtreten der KI-VO beachtlich, wenn personenbezogene Daten verarbeitet werden.</p> <p style="margin-left:40px">b) Kommt es im Rahmen des Einsatzes von KI-Systemen zur Verarbeitung personenbezogener Daten, ist dies nur dann zulässig, wenn die Datenschutzgrundsätze nach Art. 5 DSGVO eingehalten werden. Insbesondere muss ein Rechtfertigungstatbestand gemäß Art. 6 Abs. 1 (und gegebenenfalls Art. 9 Abs. 2) DSGVO vorliegen.</p> <p style="margin-left:40px">c) Liegt ein Anwendungsfall des Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling) vor, sind die Vorgaben dieser Bestimmung maßgeblich.</p> <p style="margin-left:40px">d) Gemäß Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die Beweislast dafür, dass die Verarbeitung rechtmäßig erfolgt.</p> <p>Abschließend weist die Datenschutzbehörde darauf hin, dass sie, sollte sie im Rahmen eines Verfahrens zur Ansicht gelangen, dass das betreffende KI-System nicht im Einklang mit der DSGVO steht, sie unionsrechtlich verpflichtet ist, von einer Abhilfebefugnis nach Art. 58 Abs. 2 DSGVO Gebrauch zu machen. Dies kann auch die Verhängung einer Geldbuße nach Art. 83 DSGVO zur Folge haben. Ein Ermessen besteht hier nur in der Wahl der passenden Abhilfebefugnis, nicht jedoch in der Frage, ob von einer Abhilfebefugnis überhaupt Gebrauch zu machen ist.</p> <p><a href="/dam/jcr:584b2148-2fed-491b-a118-900368bffad2/Informationen%20der%20Datenschutzbeh%C3%B6rde%20zum%20Verh%C3%A4ltnis%20zwischen%20der%20DSGVO%20und%20der%20Verordnung%20(EU)%20%C3%BCber%20k%C3%BCnstliche%20Intelligenz%20(KI-VO)%20f%C3%BCr%20Verantwortliche%20des%20privaten%20Bereichs.pdf" rel="noopener">Informationen der&nbsp;Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche&nbsp;des privaten Bereichs (PDF, 313 KB)</a></p> <p><a id="KI_oeffentlicher_Bereich" rel="noopener"></a></p> <h2><span>Informationen der</span> <span>Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche</span> <span>des öffentlichen Bereichs</span></h2> <p>Da die Entwicklung und der Einsatz von Systemen künstlicher Intelligenz (KI) auch in der öffentlichen Verwaltung eine immer größere Rolle spielen, nimmt die Datenschutzbehörde dies zum Anlass, auf Folgendes hinzuweisen:</p> <p>Die „Verordnung des europäischen Parlaments und des Rates zur Festlegung harmonisierter Vorschriften für künstliche Intelligenz und zur Änderung der Verordnungen (EG) Nr. 300/2008, (EU) Nr. 167/2013, (EU) Nr. 168/2013, (EU) 2018/858, (EU) 2018/1139 und (EU) 2019/2144 sowie der Richtlinien 2014/90/EU, (EU) 2016/797 und (EU) 2020/1828 (Verordnung über künstliche Intelligenz)“ wurde am 21. Mai 2024 formal angenommen.</p> <p>Nach der Veröffentlichung im Amtsblatt der Europäischen Union werden die Vorgaben der KI-VO (innerhalb der nächsten Monate und Jahre) schrittweise anwendbar sein.</p> <p><strong>Die Datenschutzbehörde nimmt dies zum Anlass, aus Sicht ihres Zuständigkeitsbereichs auf Folgendes hinzuweisen: </strong></p> <p style="margin-left:40px">1) Der Einsatz von KI-Systemen im öffentlichen Bereich kann die Effizienz von Verwaltung und Justiz erheblich steigern, indem er Prozesse automatisiert und Entscheidungen beschleunigt.</p> <p style="margin-left:40px">Zur Wahrung des Grundrechts auf Datenschutz (Art. 8 EU-GRC, § 1 DSG) und zur Gewährleistung von Rechtssicherheit ist es jedoch erforderlich, dass die Vorgaben des Datenschutzrechts eingehalten werden.</p> <p style="margin-left:40px">2) Gemäß Art. 2 Abs. 7 KI-VO bleiben die Arbeit der Datenschutzbehörde und die Pflichten von Anbietern und Betreibern von KI-Systemen in ihrer Rolle als Verantwortliche oder Auftragsverarbeiter unberührt. Die DSGVO ist daher (parallel) anwendbar, wenn es zur Verarbeitung personenbezogener Daten kommt.</p> <p style="margin-left:40px"><strong>Die KI-VO verdrängt somit die DSGVO nicht. Sofern personenbezogene Daten (Art. 4 Z 1 DSGVO) verarbeitet (Art. 4 Z 2 DSGVO) werden, ist die DSGVO weiterhin zu beachten! Selbiges gilt für die Richtlinie (EU) 2016/680, umgesetzt im 3. Hauptstück des DSG. </strong></p> <p style="margin-left:40px">3) Soweit personenbezogene Daten bei der (Weiter-)Entwicklung und dem Einsatz von „KI-Systemen“ gemäß Art. 3 Z 1 KI-VO im hoheitlichen Bereich für hoheitliche Zwecke (dh nicht für Zwecke der Privatwirtschaftsverwaltung) verarbeitet werden, sind darüber hinaus die verfassungsgesetzlichen Vorgaben des § 1 Abs. 2 DSG maßgeblich. Daraus folgt insbesondere, dass eine qualifizierte gesetzliche Grundlage für die Datenverarbeitung erforderlich ist (zur Ausgestaltung einer Eingriffsnorm iSd § 1 Abs. 2 DSG siehe aus der stRsp des VfGH bspw. VfSlg. 19.886/2014).</p> <p style="margin-left:40px">4) Die Vorgaben des § 1 Abs. 2 DSG sind auch dann maßgeblich, wenn die KI-VO sachlich nicht anwendbar ist (so z.B. im Bereich der Landesverteidigung und der nationalen Sicherheit).</p> <p style="margin-left:40px">5) Liegt eine solche gesetzliche Grundlage nicht vor, kann dies zur Unzulässigkeit der Datenverarbeitung (und somit zum unzulässigen Einsatz des jeweiligen KI-Systems) führen. Die Beweislast dafür, dass die Verarbeitung personenbezogener Daten rechtmäßig erfolgt, trifft den Verantwortlichen (Art. 4 Z 7 DSGVO; siehe dazu auch EuGH 14.03.2024, C-46/23, Rz 32).</p> <p style="margin-left:40px">6) Als Beispiel ist auf die Judikatur des VwGH zum Arbeitsmarktchancen-Assistenzsystem (besser bekannt als „AMS-Algorithmus“) zu verweisen:</p> <p style="margin-left:40px">Dieser hat dem BVwG aufgetragen, weitere Ermittlungsschritte hinsichtlich der Anwendbarkeit der Vorgaben von Art. 22 DSGVO (automatisierte Entscheidungen im Einzelfall einschließlich Profiling) zu setzen. Laut VwGH ist für den Fall der Anwendbarkeit von Art. 22 DSGVO im AMSG jedoch kein Rechtfertigungstatbestand für die Datenverarbeitung ersichtlich (vgl. VwGH 21.12.2023, Ro 2021/04/0010).</p> <p style="margin-left:40px">7) Der Einhaltung der Vorgaben des bereits erwähnten Art. 22 DSGVO kommt im öffentlichen Bereich besondere Bedeutung zu:</p> <p style="margin-left:40px">Nach Judikatur des EuGH wird der Anwendungsbereich von Art. 22 DSGVO tendenziell weit ausgelegt (vgl. EuGH 7.12.2023, C‑634/21, Rz 73).</p> <p style="margin-left:40px">Soweit KI-Systeme im hoheitlichen Bereich zum Einsatz kommen und die damit verbundene Datenverarbeitung in den Anwendungsbereich von Art. 22 DSGVO fällt, müssen – neben der Einhaltung der KI-VO – die besonderen Anforderungen an eine gesetzliche Grundlage gemäß Art. 22 Abs. 2 lit. b und Abs. 4 leg. cit. beachtet werden.</p> <p style="margin-left:40px">Die Leitlinien der ehemaligen Art. 29-Datenschutzgruppe zu automatisierten Entscheidungen im Einzelfall einschließlich Profiling für die Zwecke der Verordnung 2016/679, 17/DE, &nbsp;</p> <p style="margin-left:40px">WP251rev.01 (abrufbar unter <a href="https://ec.europa.eu/newsroom/article29/items/612053" rel="noopener">https://ec.europa.eu/newsroom/article29/items/612053</a>), können als Interpretationshilfe herangezogen werden.</p> <p style="margin-left:40px">Für Datenverarbeitungen, die unter das 3. Hauptstück des DSG fallen, sind die in § 41 leg. cit. normierten Voraussetzungen für automatisierte Entscheidungsfindungen im Einzelfall maßgeblich.</p> <p style="margin-left:40px">8) Aufsichtsbehörden nach der DSGVO bzw. der Richtlinie (EU) 2016/680 wird gemäß Art. 74 Abs. 8 KI-VO eine Sonderzuständigkeit für gewisse Hochrisiko-KI-Systeme zukommen, die u.a. für Strafverfolgungszwecke, Grenzmanagement, Justiz und Demokratie eingesetzt werden. In Österreich ist die Datenschutzbehörde die Aufsichtsbehörde nach diesen Rechtsakten (§§ 18 und 31 DSG).</p> <p style="margin-left:40px">Diesbezüglich steht die Datenschutzbehörde einem informellen Austausch mit den jeweils zuständigen Behörden offen gegenüber. Eine Kontaktaufnahme ist jederzeit möglich.</p> <p style="margin-left:40px">9) Weitere Informationen zum Thema KI und Datenschutz sind in den FAQ der Datenschutzbehörde zu finden, abrufbar unter:</p> <p style="margin-left:40px"><a href="https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html" rel="noopener">https://www.dsb.gv.at/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html</a></p> <p style="margin-left:40px">Ein breites Informationsangebot zum Thema KI, auch zur KI-VO und regulatorischen Rahmenbedingungen, stellt die RTR als KI-Servicestelle zur Verfügung. Es ist abrufbar unter:</p> <p style="margin-left:40px"><a href="https://ki.rtr.at" rel="noopener">https://ki.rtr.at</a></p> <p style="margin-left:40px">10) Abschließend ist auf die Strategie des Europäischen Datenschutzausschusses (EDSA) für den Zeitraum 2024-2027 hinzuweisen, abrufbar unter:</p> <p style="margin-left:40px"><a href="https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf" rel="noopener">https://www.edpb.europa.eu/system/files/2024-04/edpb_strategy_2024-2027_en.pdf</a></p> <p style="margin-left:40px">Demzufolge kommt der Erstellung von Leitlinien zum Verhältnis zwischen DSGVO und KI-VO eine hohe Priorität zu. Als Mitglied des EDSA wird die Datenschutzbehörde proaktiv zur Erstellung dieser Leitlinien beitragen.</p> <p><strong>Zusammenfassend hält die Datenschutzbehörde somit fest: </strong></p> <p style="margin-left:40px">a) Die DSGVO bleibt auch nach Ingeltungtreten der KI-VO beachtlich, wenn personenbezogene Daten verarbeitet werden.</p> <p style="margin-left:40px">b) Werden KI-Systeme im hoheitlichen Bereich für Zwecke der Hoheitsverwaltung eingesetzt und beinhaltet dies die Verarbeitung personenbezogener Daten, ist dies nur zulässig, wenn eine Rechtsgrundlage iSd § 1 Abs. 2 DSG vorliegt.</p> <p style="margin-left:40px">c) Liegt ein Anwendungsfall des Art. 22 DSGVO vor, sind die Vorgaben dieser Bestimmung maßgeblich.</p> <p style="margin-left:40px">d) Gemäß Art. 5 Abs. 2 DSGVO trifft den Verantwortlichen die Beweislast dafür, dass die Verarbeitung rechtmäßig erfolgt.</p> <p>Abschließend weist die Datenschutzbehörde darauf hin, dass sie, sollte sie im Rahmen eines Verfahrens zur Ansicht gelangen, dass das betreffende KI-System nicht im Einklang mit der DSGVO steht, sie unionsrechtlich verpflichtet ist, von einer Abhilfebefugnis nach Art. 58 Abs. 2 DSGVO – darunter auch die Untersagung – Gebrauch zu machen. Ein Ermessen besteht hier nur in der Wahl der passenden Abhilfebefugnis, nicht jedoch in der Frage, ob von einer Abhilfebefugnis überhaupt Gebrauch zu machen ist.</p> <p><a href="/dam/jcr:d9a93c07-1629-41d9-9a21-c96d95b4754a/Informationen%20der%20Datenschutzbeh%C3%B6rde%20zum%20Verh%C3%A4ltnis%20zwischen%20der%20DSGVO%20und%20der%20Verordnung%20(EU)%20%C3%BCber%20k%C3%BCnstliche%20Intelligenz%20(KI-VO)%20f%C3%BCr%20Verantwortliche%20des%20%C3%B6ffentlichen%20Bereichs.pdf" rel="noopener">Informationen der Datenschutzbehörde zum Verhältnis zwischen der DSGVO und der Verordnung (EU) über künstliche Intelligenz (KI-VO) für Verantwortliche des öffentlichen Bereichs (PDF, 128 KB)</a></p> <p><strong><a id="Amtswegige_Pruefverfahren" rel="noopener"></a></strong></p> <h2 style="text-align:justify"><strong>Amtswegige Prüfverfahren im Telekommunikationsbereich eingeleitet</strong></h2> <p style="text-align:justify"><strong>Stand: 06.05.2024</strong></p> <p style="text-align:justify">Die Datenschutzbehörde führt wieder Schwerpunktverfahren durch, in welchen Verantwortliche oder Auftragsverarbeiter eines bestimmten Sektors einer vertieften Prüfung unterzogen werden.</p> <p style="text-align:justify">Im Rahmen der Schwerpunktverfahren 2024 werden mehrere Telekommunikationsunternehmen in Hinblick auf die Einhaltung der DSGVO untersucht. Die Überprüfungen beginnen mit der Anweisung, das Verzeichnis von Verarbeitungstätigkeiten vorzulegen sowie mit der Übermittlung eines Fragebogens, in welchem das jeweilige Unternehmen aufgefordert wird, zu allgemeinen und sektorspezifischen datenschutzrechtlichen Fragen Stellung zu nehmen. Im weiteren Verfahren sind auch mündliche Verhandlungen sowie Prüfungen vor Ort möglich.</p> <p style="text-align:justify">Im Zuge dieser Prüfverfahren werden auch die Umsetzung des Rechts auf Auskunft sowie die Modalitäten für die Ausübung von Betroffenenrechten kontrolliert. Zu diesem Zweck haben die europäischen Datenschutzbehörden im Rahmen des sogenannten „Coordinated Enforcement Framework“ (CEF) einen entsprechenden Fragebogen ausgearbeitet. Nähere Informationen zum CEF sind auf der <a href="https://www.edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_en" rel="noopener">Website des Europäischen Datenschutzausschusses</a> (EDSA) zu finden.</p></div> <div class="richtext_output"><p style="text-align:justify"><a id="Pay-Or-Ok_EDPB_Stellungnahme" rel="noopener"></a></p> <h2 style="text-align:justify"><strong>Europäischer Datenschutzausschuss erlässt Stellungnahme zu sog. „Pay-Or-Okay“ Geschäftsmodellen bei großen Online-Plattformen</strong></h2> <p style="text-align:justify">Der Europäische Datenschutzausschuss hat im Rahmen seiner Plenarsitzung am 17. April 2024 eine <strong>Stellungnahme</strong> gemäß Art. 64 Abs. 2 DSGVO zu sog. „Pay-Or-Okay“ Geschäftsmodellen bei großen Online-Plattformen erlassen.</p> <p style="text-align:justify">Bei derartigen Geschäftsmodellen werden Nutzer:innen von Onlinediensten vor die <strong>Wahl</strong> gestellt, für die Inanspruchnahme jener Dienste in die Verarbeitung ihrer personenbezogenen Daten zu bestimmten Zwecken (idR. zu Werbezwecken) <strong>einzuwilligen</strong> oder einen bestimmten Geldbetrag <strong>zu</strong> <strong>zahlen</strong>, damit keine Verarbeitung ihrer personenbezogenen Daten für die vorgenannten Zwecke erfolgt.</p> <p style="text-align:justify">Die Stellungnahme des Europäischen Datenschutzausschusses befasst sich im Kern mit der <strong>Gültigkeit von datenschutzrechtlichen Einwilligungen</strong> zur Verarbeitung personenbezogener Daten zum Zwecke <strong>verhaltensbezogener Werbung</strong> auf <strong>großen Online-Plattformen</strong>.</p> <p style="text-align:justify">Als <strong>demonstrative Beispiele</strong> großer Online-Plattformen werden „sehr große Online-Plattformen“ iSd. VO (EU) 2022/2065 (Gesetz über digitale Dienste – Digital Services Act/DSA) und „Torwächter“ iSd. VO (EU) 2022/1925 (Gesetz über digitale Märkte – Digital Markets Act/DMA) genannt. Im Weiteren ist bei der Beurteilung etwa auf eine <strong>hohe Anzahl von Nutzer:innen</strong> einer Online-Plattform, die <strong>Marktstellung</strong> und das <strong>Vorliegen umfangreicher Verarbeitungstätigkeiten</strong> abzustellen.</p> <p style="text-align:justify">Die Beurteilung der Zulässigkeit derartiger Geschäftsmodelle bleibt <strong>weiterhin eine Einzelfallentscheidung</strong>. Der Europäische Datenschutzausschuss vertritt jedoch die Ansicht, dass es großen Online-Plattformen <strong>in den meisten Fällen nicht möglich sein wird</strong>, die Anforderungen an eine gültige Einwilligung im Sinne der DSGVO zu erfüllen, wenn sie ihren Nutzer:innen nur die Wahl zwischen der Einwilligung in die Verarbeitung personenbezogener Daten für verhaltensbezogene Werbezwecke und der Zahlung einer Gebühr lassen.</p> <p style="text-align:justify">Weiterführende Dokumente (in englischer Sprache):<br> <a href="https://www.edpb.europa.eu/news/news/2024/edpb-consent-or-pay-models-should-offer-real-choice_de" rel="noopener">Presseaussendung des Europäischen Datenschutzausschusses zu „Zustimmungs- oder Bezahlungsmodellen“ großer Online-Plattformen</a><br> <a href="https://www.edpb.europa.eu/system/files/2024-04/edpb_opinion_202408_consentorpay_en.pdf" rel="noopener">Stellungnahme 08/2024 zur gültigen Einwilligung im Kontext von Zustimmungs- oder Bezahlungsmodellen großer Online-Plattformen</a></p> <p style="text-align:justify"><a id="Schwerpunktverfahren_2024" rel="noopener"></a></p> <h2 style="text-align:justify">Schwerpunktverfahren 2024 – Recht auf Auskunft</h2> <p style="text-align:justify">Die DSB führte im Jahr 2023 eine Schwerpunktprüfung im Finanzsektor durch. In diesen Verfahren lag der Fokus insbesondere auf die Einbindung des <strong>Datenschutzbeauftragten</strong>&nbsp;im Unternehmen. Der Fragenkatalog zum Datenschutzbeauftragten wurde von den europäischen Datenschutzbehörden im Rahmen des sogenannten „<a href="https://edpb.europa.eu/press-release-2023-coordinated-enforcement-action-european-data-protection-board-focusing-role-data_de" rel="noopener">Coordinated Enforcement Framework</a>“ (CEF) – einer jährlich stattfindenden koordinierten Prüftätigkeit – erarbeitet.</p> <p style="text-align:justify">Im Jahr 2024 wird erneut eine Schwerpunktprüfung durch die DSB durchgeführt, der konkrete Sektor wird noch bekannt gegeben.</p> <p style="text-align:justify">Dieses Jahr liegt der <a href="https://edpb.europa.eu/news/news/2024/cef-2024-launch-coordinated-enforcement-right-access_de" rel="noopener">Fokus des CEF – und damit der Schwerpunktprüfungen der DSB – auf der Umsetzung von Artikel 15 DSGVO</a>. Beim <strong>Recht auf Auskunft</strong> handelt es sich um eines jener Betroffenenrechte, welches am häufigsten Gegenstand einer Datenschutzbeschwerde ist. Diesbezüglich wird wiederum ein gemeinsamer Fragenkatalog von den europäischen Aufsichtsbehörden ausgearbeitet.</p> <p style="text-align:justify"><span>Im Jahr 2023 verabschiedete der EDSA <a href="https://edpb.europa.eu/our-work-tools/our-documents/guidelines/guidelines-012022-data-subject-rights-right-access_en" rel="noopener">Leitlinien zum Recht auf Auskunft</a>, um Verantwortlichen Hilfestellungen bei der Bearbeitung von Auskunftsanträgen zu geben.</span></p> <p style="text-align:justify"><a id="ORF_Beitrag" rel="noopener"></a></p> <h2 style="text-align:justify"><span><span>ORF-Beitrag (vormals: GIS-Rundfunkgebühren)</span></span></h2> <p style="text-align:justify"><span><strong><em><span>Allgemeines:</span></em></strong></span></p> <p style="text-align:justify"><span><span>Die GIS Gebühren Info Service GmbH (GIS) wurde gemäß § 21 Abs. 1 ORF-Beitrags-Gesetz 2024 in ORF-Beitrags Service GmbH (OBS) umbenannt.</span></span></p> <p style="text-align:justify"><span><span>Der OBS obliegt gemäß § 10 ORF-Beitrags-Gesetz 2024 die Aufgabe, den ORF-Beitrag zu erheben sowie die Beitragsschuldner zu ermitteln. Beim ORF-Beitrag handelt es sich vereinfacht gesagt um ein Bündel gesetzlich geregelter Zahlungsverpflichtungen. Anders als nach der alten Rechtslage kommt es nicht mehr darauf an, ob ein Rundfunkempfangsgerät bereitgehalten wird.</span></span></p> <p style="text-align:justify"><span><span>Der ORF-Beitrag ist kein vertragliches Abo-Entgelt für den Empfang der Programme des öffentlich-rechtlichen Österreichischen Rundfunks (ORF). Man kann den ORF-Empfang oder den ORF-Beitrag daher auch nicht „kündigen“.</span></span></p> <p style="text-align:justify"><span><strong><em><span>Zulässigkeit:</span></em></strong></span></p> <p style="text-align:justify"><span><span>Der OBS ist nach Maßgabe des § 13 ORF-Beitrags-Gesetz 2024 ein privilegierter Zugang zu den Daten der Meldebehörden eingeräumt. Sie erhält dazu Daten aus den Melderegistern. Die OBS ist darüber hinaus berechtigt, jedenfalls die in § 9 Abs.&nbsp;2 ORF-Beitrags-Gesetzes 2024 angeführten Datenkategorien sowie die entsprechenden Meldedaten zu verarbeiten. </span></span></p> <p style="text-align:justify"><span><span>Bitte beachten Sie, dass eine Beschwerde bei der Datenschutzbehörde nicht zur Befreiung vom ORF-Beitrag führen kann. Die Datenschutzbehörde kann im Rahmen einer Datenschutzbeschwerde nur über eine behauptete Verletzung datenschutzrechtlicher Bestimmungen absprechen. Eine Befreiung von der ORF-Beitragspflicht ist nur nach Maßgabe des § 4a ORF-Beitrags-Gesetzes 2024 möglich.</span></span></p> <p><a id="Schwerpunktpruefung_Finanzsektor" rel="noopener"></a></p> <h2><strong>Schwerpunktprüfung des Finanzsektors: positive Bilanz</strong></h2> <p><strong>Datenschutzbehörde zieht nach Prüfung des Finanzsektors positive Bilanz</strong></p> <p><em>Im Rahmen der jährlichen Schwerpunktprüfung evaluierte die Datenschutzbehörde im Jahr 2023 ausgewählte Institute im Finanzbereich. Besonders im Fokus standen dabei die Verwendung von personenbezogenen Daten für Werbezwecke und die Stellung der Datenschutzbeauftragten.</em></p> <p style="text-align:justify">Im Rahmen der Schwerpunktprüfung 2023 untersuchte die in Wien ansässige Behörde ausgewählte Kreditinstitute.</p> <p style="text-align:justify">Das Resümee ist durchaus positiv. „Die DSGVO ist in der Praxis angekommen“, sagt Matthias Schmidl, seit 1. Jänner 2024 Leiter der Datenschutzbehörde.</p> <p style="text-align:justify"><strong>Branche „gut aufgestellt“</strong></p> <p style="text-align:justify">Im besonderen Fokus der Schwerpunktprüfung standen die (Weiter-)Verarbeitung von Bank- und Kontodaten zu Werbezwecken und die Prüfung der Stellung der Datenschutzbeauftragten. Datenschutzbeauftragte nehmen in Unternehmen als Bindeglied zwischen Datenschutz und Management eine zentrale Rolle bei der Umsetzung und Einhaltung der Datenschutzvorschriften ein. Mit der Evaluierung der Rolle der Datenschutzbeauftragten setzte die DSB auch die vom Europäischen Datenschutzausschuss im vergangenen Jahr vereinbarte koordinierte Prüftätigkeit im Rahmen des <a href="https://edpb.europa.eu/press-release-2023-coordinated-enforcement-action-european-data-protection-board-focusing-role-data_de" rel="noopener">"Coordinated Enforcement Framework"</a> um.</p> <p style="text-align:justify">Im Zuge der Untersuchung ergaben sich vor allem Fragen zu den Rechtsgrundlagen der Datenverarbeitungen, zur Speicherdauer und zu internationalen Datenübermittlungen. Grobe Verfehlungen entdeckte die DSB im Finanzsektor keine, die meisten Verfahren wurden bereits eingestellt. „Die Branche ist gut aufgestellt“, resümiert Behördenleiter Schmidl.</p> <p style="text-align:justify">Auch für das Jahr 2024 ist wieder ein Schwerpunktverfahren geplant. Welcher Sektor diesmal evaluiert wird, wird nach Beginn bekannt gegeben.</p> <p style="text-align:justify"><strong>Schwerpunktprüfungen der DSB können mit einschneidende Maßnahmen bei Verstößen enden</strong></p> <p style="text-align:justify">Die DSB führt jährlich Schwerpunktprüfungen verschiedener Branchen und Sektoren durch. Zweck dieser amtswegigen Untersuchungen ist die Sicherstellung von datenschutzrechtlicher Standards und die Sensibilisierung für neue Herausforderungen und Risiken im digitalen Zeitalter. Im Zuge dieser Verfahren müssen Verantwortliche umfangreiche Fragebögen zu datenschutzrechtlichen Themen beantworten. Auch Inspektionen vor Ort und mündliche Einvernahmen können durchgeführt werden.</p> <p style="text-align:justify">Bei schwerwiegenden Verstößen kann die DSB einschneidende Maßnahmen ergreifen, auch außerhalb dieser Verfahren. So verhängte die Behörde etwa eine Geldbuße in Höhe von 18 Millionen Euro gegen ein Unternehmen, auch wurde dem AMS bspw. die Verwendung des sogenannten „AMS-Algorithmus“ untersagt. In beiden Verfahren ist noch eine Entscheidung des Verwaltungsgerichtshofs ausständig.</p> <p style="text-align:justify"><a id="EuGH_Kreditauskunfteien" rel="noopener"></a></p> <h2><span><strong><span>Vorläufige neue Rechtsansicht der Datenschutzbehörde bezüglich Auskunfteien über Kreditverhältnisse gemäß § 152 GewO aufgrund der Urteile des EuGH vom 07.12.2023, C-634/21 sowie der verbundenen Rechtssachen C-26/22 und C-64/22 ("SCHUFA-Urteile")</span></strong></span></h2> <p style="text-align:justify"><span><strong><span>EuGH schränkt Speicherzeitraum für bestimmte Daten ein</span></strong></span></p> <p style="text-align:justify"><span><span>In zwei maßgeblichen Urteilen hat der Europäische Gerichtshof (EuGH) über die Rahmenbedingungen für bestimmte Datenverarbeitungen durch Kreditauskunfteien entschieden. Die beiden Entscheidungen des EuGH (</span><a href="https://curia.europa.eu/juris/documents.jsf?num=C-634/21" rel="noopener"><span>C-634/21</span></a><span>&nbsp;sowie die verbundenen Verfahren&nbsp;</span><a href="https://curia.europa.eu/juris/documents.jsf?num=C-26/22" rel="noopener"><span>C-26/22 und C-64/22</span></a><span>), die Anfang Dezember 2023 ergingen, wirken sich vordergründig auf die Speicherdauer von Daten über Insolvenzen und Zahlungsausfällen sowie auf das sogenannte „Scoring“ aus. <strong>Keine längere Speicherdauer als in öffentlichen Registern</strong></span></span></p> <p style="text-align:justify"><span><span>Kreditauskunfteien erteilen grundsätzlich kostenpflichtig Auskunft über die Bonität, also Zahlungsfähigkeit, von Unternehmen aber auch Privatpersonen. Für diese Einschätzung der Bonität ist ein möglichst großer Datensatz über die wirtschaftliche Vergangenheit einer Person selbstverständlich nützlich. Das Interesse daran ist aber mit dem datenschutzrechtlichen Interesse der Betroffenen auszubalancieren.</span></span></p> <p style="text-align:justify"><span><a href="https://www.ris.bka.gv.at/Dokumente/Bvwg/BVWGT_20230921_W176_2259854_1_00/BVWGT_20230921_W176_2259854_1_00.pdf" rel="noopener"><span>Bis zuletzt</span></a><span>&nbsp;war es für Kreditauskunfteien in Österreich möglich, Insolvenzdaten in der Regel fünf Jahre nach Löschung aus der&nbsp;<a href="https://www.oesterreich.gv.at/lexicon/E/Seite.991589.html" rel="noopener">Ediktsdatei</a>, zu speichern. Aufgrund der genannten Urteile steht nunmehr fest, dass private Kreditauskunfteien aus einem öffentlichen Register stammende Daten über Insolvenzen, bei denen es zu einer Restschuldbefreiung gekommen ist, nicht länger speichern dürfen, als sie auch in diesen abrufbar sind. </span></span></p> <p style="text-align:justify"><span><span>Mit anderen Worten: Private Kreditauskunfteien haben derartige Daten sofort zu löschen, wenn diese nicht mehr in der Ediktsdatei öffentlich einsehbar sind.</span></span></p> <p style="text-align:justify"><span><strong><span>EuGH erlaubt „Scoring“ nur mehr im Einzelfall</span></strong></span></p> <p style="text-align:justify"><span><span>Auch in Bezug auf das sogenannte „Scoring“ sind die jüngsten EuGH-Urteile wesentlich. Unter Scoring versteht man die Berechnung eines bestimmten Wahrscheinlichkeitswertes („Score“), der Aufschluss über die (vermutete) Zahlungsfähigkeit einer Person geben soll. Dazu wird ein Bündel an personenbezogenen Daten wie etwa Alter, Geschlecht, Beruf oder Zahlungserfahrungsdaten verwendet und durch mathematische Berechnungen ein Wert ermittelt, der darüber Auskunft geben soll, wie hoch die Wahrscheinlichkeit eines Zahlungsausfalls dieser Person ist Dieser Wert wird anderen Unternehmen über Anfrage zur Verfügung gestellt, die dann die Entscheidung treffen, ob sie mit dieser Person ein Geschäft (vor allem ein Fernabsatzgeschäft) abschließen. </span></span></p> <p style="text-align:justify"><span><span>Der Gerichtshof hat nun entschieden, dass die Datenverarbeitung zwecks „Scoring“ unter Art. 22 DSGVO (Automatisierte Entscheidungsfindung im Einzelfall einschließlich Profiling) fällt, sofern von diesem Wert maßgeblich abhängt, ob ein Dritter mit dem Betroffenen einen Vertrag abschließt. Demnach können sich Kreditauskunfteien nicht mehr pauschal auf ihr „berechtigtes Interesse“ (Art. 6 Abs. 1 lit. f DSGVO) stützen, sondern nur auf eine Ausnahmebestimmung nach Art. 22 Abs. 2 DSGVO.</span></span></p> <p style="text-align:justify"><span><span>Dies bedeutet, dass Kreditauskunfteien zukünftig bei jedem Einzelfall im Streitfall nachweisen müssen, ob diese Art der „automatisierten Entscheidung im Einzelfall“ gemäß Art. 22 DSGVO gerechtfertigt ist.</span></span></p> <p style="text-align:justify"><a href="/dam/jcr:4fa8348c-ef6f-42d7-bbe1-e4a9d8db4755/2023-0.891.733-2-A%20-%20Erledigung_20.12.2023.pdf" target="_blank" rel="noopener">2023-0.891.733-2-A - Erledigung_20.12.2023 (PDF, 330 KB)</a></p> <p><a id="GIS-DataBreach" rel="noopener"></a></p> <h2><strong>Information der Datenschutzbehörde zur Entscheidung über den sogenannten „GIS Data Breach“</strong></h2> <p style="text-align:justify">Die Datenschutzbehörde hat im Verlauf des Jahres 2023 mehrere Datenschutzbeschwerden erhalten, die gegen die GIS Gebühren Info Service GmbH („GIS“) gerichtet waren. Gegenstand dieser Datenschutzbeschwerden war der sogenannte „GIS Data Breach“. Zusammengefasst handelt es sich um einen Vorfall aus dem Jahre 2020, bei dem es zu einer <strong>Kompromittierung von Meldedaten </strong>gekommen ist.</p> <p style="text-align:justify">Im Rahmen des Ermittlungsverfahrens gelangte die Datenschutzbehörde in den meisten Fällen zu dem Ergebnis, dass die jeweils beschwerdeführende Partei von dem gegenständlichen Vorfall betroffen ist. Das bedeutet, dass die Meldedaten der beschwerdeführenden Partei zum damaligen Zeitpunkt im Internet zum Verkauf angeboten wurden. Sofern in diesen Fällen eine Verletzung im Recht auf Geheimhaltung oder die Rechtmäßigkeit der Datenverarbeitung geltend gemacht wurde, hat die Datenschutzbehörde einen entsprechenden <strong>Verstoß</strong> der GIS gegen <strong>datenschutzrechtliche Bestimmungen</strong> bescheidmäßig festgestellt. Diese Bescheide sind nicht rechtskräftig.</p> <p style="text-align:justify">Bitte beachten Sie, dass allfällige Schadenersatzansprüche nicht von der Datenschutzbehörde zugesprochen werden können. Diesbezügliche Eingaben an die Datenschutzbehörde sind daher nicht zielführend. Allfällige <strong>Schadenersatzansprüche</strong> sind ausschließlich bei den <strong>Zivilgerichten</strong> geltend zu machen.</p> <p><a href="/dam/jcr:37c7b1a9-c70e-4661-9555-44130c526457/GIS-Musterbescheid.pdf" rel="noopener">Hier</a>&nbsp;finden Sie einen (nicht rechtskräftigen) Musterbescheid zu Ihrer Information (Dateigröße: 387 KB).</p> <p><a id="Meta_Ban" rel="noopener"></a></p> <h2>Dringlichkeitsentscheidung des Europäischen Datenschutzausschusses zur Verarbeitung personenbezogener Daten für verhaltensbezogene Werbung durch Meta</h2> <p>Am <strong>27. Oktober 2023</strong> erließ der Europäische Datenschutzausschuss (EDSA) eine verbindliche Entscheidung im Dringlichkeitsverfahren gemäß Art. 66 DSGVO (<a href="https://edpb.europa.eu/news/news/2023/edpb-urgent-binding-decision-processing-personal-data-behavioural-advertising-meta_de" rel="noopener">EDSA Pressemitteilung Dringlichkeitsentscheidung Meta</a>), mit der die irische Datenschutzbehörde (DPC) als federführende Aufsichtsbehörde angewiesen wird, innerhalb von zwei Wochen endgültige Maßnahmen in Bezug auf Meta Ireland Limited (Meta IE) zu ergreifen und ein <strong>Verbot der Verarbeitung personenbezogener Daten für verhaltensbezogene Werbung auf der Rechtsgrundlage von Verträgen (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) im gesamten Europäischen Wirtschaftsraum zu verhängen.</strong></p> <p>Diese Dringlichkeitsentscheidung folgt einem Ersuchen der norwegischen Datenschutzbehörde gemäß Art. 66 Abs. 2 DSGVO, hinsichtlich ihres vorübergehenden Verbots von personalisierter Werbung auf Facebook und Instagram vom 4. August 2023 (<a href="https://www.datatilsynet.no/en/news/aktuelle-nyheter-2023/temporary-ban-of-behavioural-advertising-on-facebook-and-instagram/" rel="noopener">datatilsynet.no_temporary-ban-of-behavioural-advertising-on-facebook-and-instagram</a>) endgültige Maßnahmen zu ergreifen, die im gesamten Europäischen Wirtschaftsraum wirksam sind.</p> <p>Das Verbot der Verarbeitung wird <strong>eine Woche</strong> nach der Mitteilung der endgültigen Maßnahmen durch die irische Datenschutzbehörde an Meta in Kraft treten.</p> <p>Die irische Datenschutzbehörde hat Meta am 31. Oktober 2023 über die verbindliche Dringlichkeitsentscheidung des EDSA informiert.</p> <p style="text-align:justify"><a id="Google_Fonts" rel="noopener"></a></p> <h2 style="text-align:justify"><strong>Information der Datenschutzbehörde zum Google Fonts-Prüfverfahren, Stand 19. Oktober 2023</strong></h2> <p style="text-align:justify">Die Datenschutzbehörde hat in der Vergangenheit vermehrt Anfragen zum Thema „Abmahnungen“ wegen <strong>Google Fonts</strong> erhalten. Laut den der Datenschutzbehörde vorliegenden Informationen haben zahlreiche Unternehmen ein anwaltliches Schreiben erhalten, mit dem diese u.a. aufgefordert wurden, aufgrund der Einbindung von Google Fonts auf der Unternehmenswebsite einen Schadenersatzanspruch anzuerkennen. Darüber hinaus wurden zahlreiche Unternehmen aufgefordert, eine Unterlassungserklärung abzugeben.</p> <p style="text-align:justify">Zur Klärung des Sachverhalts hat die Datenschutzbehörde gemäß Art. 58 Abs. 1 lit. b DSGVO eine <strong>Datenschutzüberprüfung</strong> (amtswegiges Prüfverfahren) gegen Google LLC eingeleitet. Gegenstand dieser Datenschutzüberprüfung war das Produkt Google Fonts und die mit diesem Produkt im Zusammenhang stehende Verarbeitung personenbezogener Daten.</p> <p style="text-align:justify">Im Rahmen des Prüfverfahrens wurden mehrere schriftliche Stellungnahmen von Google LLC eingeholt. Es wurden Fragen zu <strong>rechtlichen und technischen Aspekten</strong> des Produkts Google Fonts gestellt. Darüber hinaus wurde eine <strong>mündliche Verhandlung</strong> durchgeführt. An der Verhandlung nahmen Vertreterinnen und Vertreter von Google LLC teil.</p> <p style="text-align:justify">Ausgehend von den Ermittlungsergebnissen hat die Datenschutzbehörde die folgenden Schlussfolgerungen gezogen:</p> <ul> <li style="text-align:justify">Es kommt nur dann zu einer Datenübermittlung an die Server von Google LLC oder Google Ireland Limited, wenn Google Fonts über einen <strong>Google-Server</strong> (nach)geladen werden. Bei einer lokalen Einbindung der Schriftarten am eigenen Server kommt es zu keiner solchen Datenübermittlung.</li> </ul> <p style="text-align:justify">Die folgenden Überlegungen stehen unter der Prämisse, dass Google Fonts nicht-lokal eingebunden sind:</p> <ul> <li style="text-align:justify">Es kommt nicht in allen Fällen zu einer Datenübermittlung an die Server von Google&nbsp;LLC in den USA. Vielmehr ist dies insbesondere davon abhängig, an welchem <strong>geografischen Standort</strong> sich der Nutzer (bzw. der Server seines Internetproviders) befindet, welcher eine Anwendung aufruft, die Google Fonts eingebunden hat. Im Streitfall hat eine einzelfallbezogene Prüfung des Datenflusses zu erfolgen.</li> <li style="text-align:justify">Als Folge der Einbindung von Google Fonts in einer Anwendung erhalten Google LLC oder Google Ireland Limited zumindest die folgenden Daten: IP-Adresse, HTTP-Header einschließlich „Referrer“ sowie den „User-Agent“ des Internetbrowsers.</li> <li style="text-align:justify">Anders als bei einigen anderen Google-Produkten (wie Google Analytics) ist eine Verknüpfung zwischen Google Fonts Daten und einem Google-Account jedoch unter <strong>keinen Voraussetzungen</strong> vorgesehen. So sind Schriftartenanfragen getrennt von google.com und enthalten <strong>keine</strong> Anmeldeinformationen, die bei der authentifizierten Nutzung anderer Google-Dienste (wie etwa Gmail) an google.com gesendet werden. Als weitere Schutzmaßnahme werden IP-Adressen und HTTP-Header einschließlich „Referer“ sowie „User-Agent“ des Internetbrowsers <strong>getrennt </strong>verarbeitet.</li> <li style="text-align:justify">Die IP-Adressen werden zu dem Zweck verarbeitet, Angriffe (wie „DoS-Angriffe“) zu erkennen, zu verhindern und zu bekämpfen. Soweit IP-Adressen im Einzelfall als personenbezogene Daten zu qualifizieren sind, kann die Verarbeitung zu den angeführten Zwecken durch <strong>berechtigte Interessen</strong> gemäß Art. 6 Abs. 1 lit. f DSGVO gedeckt sein. Die IP-Adressen einschließlich „Referer“ und „User-Agent“ des Internetbrowsers werden <strong>nicht zu Werbezwecken verarbeitet</strong>.</li> <li style="text-align:justify">Aus Sicht der Datenschutzbehörde werden allerdings die Vorgaben der datenschutzrechtlichen <strong>Informationspflicht</strong> gemäß Art. 12 Abs. 1 und Art. 13 DSGVO <strong>nicht vollständig erfüllt</strong>, zumal es sich bei IP-Adressen – je nach Einzelfall – um personenbezogene Daten handeln kann. Dieser Umstand wurde an Google LLC herangetragen.</li> </ul> <p style="text-align:justify">Diese Schlussfolgerungen beziehen sich nur auf das Produkt <strong>Google Fonts</strong> und sind vorbehaltlich allfälliger Änderungen des Produkts Google Fonts nach Abschluss der Datenschutzüberprüfung zu verstehen.</p> <p style="text-align:justify">Abschließend ist klarzustellen, dass die formale Feststellung von Rechtsverstößen in Datenschutzangelegenheiten in Österreich ausschließlich in die Zuständigkeit der <strong>Datenschutzbehörde</strong> oder der <strong>österreichischen Gerichte</strong> fällt, jedoch keinesfalls von privaten Einrichtungen oder Privatpersonen vorzunehmen ist.</p></div> <div class="richtext_output"><p style="text-align:justify"><a id="Angemessenheitsbeschluss" rel="noopener"></a></p> <h2 style="text-align:justify"><strong>Information der Datenschutzbehörde zum neuen Angemessenheitsbeschluss für die Vereinigten Staaten</strong></h2> <p style="text-align:justify">Am 10. Juli 2023 wurde von der Europäischen Kommission ein <strong>neuer Angemessenheitsbeschluss</strong> gemäß Art. 45 DSGVO für die Vereinigten Staaten von Amerika angenommen, das sog. <strong>EU-U.S. Data Privacy Framework</strong> (siehe <a href="https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721" rel="noopener">https://ec.europa.eu/commission/presscorner/detail/en/ip_23_3721</a>).</p> <p style="text-align:justify">Zu beachten ist, dass der Angemessenheitsbeschluss nur <strong>partiell </strong>gilt und nur Datenübermittlungen an jene Datenimporteure in den Vereinigten Staaten abdeckt, die in der sog. <strong>Data Privacy Framework List</strong> aufscheinen (eine Suche ist unter <a href="https://www.dataprivacyframework.gov/s/participant-search" rel="noopener">https://www.dataprivacyframework.gov/s/participant-search</a> möglich).</p> <p style="text-align:justify">Scheint ein Datenimporteur in den Vereinigten Staaten in dieser Liste auf, ist die Übermittlung personenbezogener Daten allein auf Basis des Angemessenheitsbeschlusses möglich und müssen<strong> keine weiteren Maßnahmen iSd. Art. 46 DSGVO</strong> gesetzt werden.</p> <p style="text-align:justify">Hingegen müssen Datenübermittlungen an Datenimporteure in den Vereinigten Staaten, welche nicht unter das EU-U.S. Data Privacy Framework fallen, <strong>weiterhin</strong> auf <strong>andere geeignete Garantieinstrumente</strong> <strong>iSd. Art. 46 DSGVO</strong> (bspw. Standarddatenschutzklauseln samt ggf. <a href="https://edpb.europa.eu/system/files/2022-04/edpb_recommendations_202001vo.2.0_supplementarymeasurestransferstools_de.pdf" rel="noopener">zusätzlicher Maßnahmen</a>) oder – falls anwendbar – auf <a href="https://edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_2_2018_derogations_de.pdf" rel="noopener">Ausnahmetatbestände iSd. Art. 49 DSGVO</a> gestützt werden.</p> <p style="text-align:justify">Verantwortliche Datenexporteure haben daher vor Durchführung der jeweiligen Datenübermittlung im Rahmen ihrer <strong>Rechenschaftspflicht</strong> (Art. 5 Abs. 2 DSGVO) zu prüfen, ob die Übermittlung in den Anwendungsbereich des neuen Angemessenheitsbeschlusses fällt, oder ob anderweitige Übermittlungsgrundlagen heranzuziehen sind.</p> <p style="text-align:justify">Der neue Angemessenheitsbeschluss wird ein Jahr nach seinem Inkrafttreten einer ersten Überprüfung durch die Europäischen Kommission unterzogen.</p> <p style="text-align:justify">Relevante Dokumente:</p> <p style="text-align:justify"><a href="https://commission.europa.eu/system/files/2023-07/Adequacy%20decision%20EU-US%20Data%20Privacy%20Framework_en.pdf" rel="noopener">COMMISSION IMPLEMENTING DECISION of 10.7.2023 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate level of protection of personal data under the EU-US Data Privacy Framework</a></p> <p style="text-align:justify"><a href="https://edpb.europa.eu/system/files/2023-02/edpb_opinion52023_eu-us_dpf_en.pdf" rel="noopener">Opinion 5/2023 on the European Commission Draft Implementing Decision on the adequate protection of personal data under the EU-US Data Privacy Framework</a></p> <p style="text-align:justify"><a href="https://edpb.europa.eu/system/files/2023-07/edpb_informationnoteadequacydecisionus_en.pdf" rel="noopener">Information note on data transfers under the GDPR to the United States after the adoption of the adequacy decision on 10 July 2023</a></p> <p style="text-align:justify"><a id="Amtswegige_Pruefverfahren_im_Finanzbereich" rel="noopener"></a></p> <h2 style="text-align:justify"><span>Amtswegige Prüfverfahren im Finanzbereich eingeleitet</span></h2> <p style="text-align:justify">Die DSB führt heuer wieder<strong> </strong>Schwerpunktverfahren durch, in welchen Verantwortliche eines bestimmten Sektors einer vertieften Prüfung unterzogen werden.</p> <p style="text-align:justify">Im Rahmen der <strong>Schwerpunktverfahren 2023</strong> werden mehrere <strong>Kreditinstitute</strong> in Hinblick auf die Einhaltung der DSGVO untersucht. Die Überprüfungen beginnen in der Regel mit der Anweisung das Verzeichnis von Verarbeitungstätigkeiten vorzulegen sowie mit der Versendung eines Fragebogens, in welchem der Verantwortliche aufgefordert wird, zu allgemeinen und sektorspezifischen datenschutzrechtlichen Fragen Stellung zu nehmen. Im weiteren Verfahren sind auch Einschauen und mündliche Verhandlungen möglich.</p> <p style="text-align:justify">Im Zuge dieser Prüfverfahren wird auch die <strong>Rolle der Datenschutzbeauftragten</strong> der jeweiligen untersuchten Finanzunternehmen genauer unter die Lupe genommen. Zu diesem Zweck haben die europäischen Datenschutzbehörden im Rahmen des sogenannten „Coordinated Enforcement Framework“ (CEF) einen entsprechenden Fragebogen ausgearbeitet.</p> <p style="text-align:justify"><a id="Jahrestagung" rel="noopener"></a></p> <h2 style="text-align:justify"><strong>Jahrestagung der öffentlichen Datenschutzbeauftragten am </strong><strong>4. und 5. Mai 2023 in Graz</strong></h2> <p>Datenschutz-Expert*innen von Bund, Ländern, Städten und Gemeinden, aber auch aus dem Ausland, kamen in der Messe Graz zusammen, um sich austauschen und die neuesten Informationen zu datenschutzrechtlichen Fragestellungen zu erhalten.</p></div> <figure class="figure figure-width-50"> <a data-fancybox="" title="Originalbild anzeigen" href="/.imaging/mte/bcisa-dsb/bcisa-full/dam/dsb/download-links/bekanntmachungen/ErDatenschutzkongress08--2-.jpg/jcr:content/ErDatenschutzkongress08%20(2).jpg" > <img src="/.imaging/mte/bcisa-dsb/bcisa-verybig/dam/dsb/download-links/bekanntmachungen/ErDatenschutzkongress08--2-.jpg/jcr:content/ErDatenschutzkongress08%20(2).jpg" class="figure-img img-fluid" alt="" style="min-width: auto;" /> <figcaption class="figure-caption"> <span class="figure-description"> <span>Copyright © Stadt Graz, Foto Fischer</span> </span> </figcaption> </a> </figure> <div class="richtext_output"><p style="text-align:justify"><sub><span>v. l. n. r. Dr. Johannes Schmid (stv. Generalsekretär des Österreichischen Städtebundes), Dr. Matthias Schmidl (stv. Leiter der Österreichischen Datenschutzbehörde), Dr. Ulrike Wimmer-Heller, (Datenschutzbeauftragte des Bundeskanzleramtes), Mag. Judith Schwentner (Vize-Bürgermeisterin der Stadt Graz), Dr. Walther Nauta (Datenschutzbeauftragter der Stadt Graz)</span></sub></p> <p style="text-align:justify"><span>Bei der hybrid ausgetragenen Jahrestagung der Datenschutzbeauftragten am 4. und 5. Mai 2023 in Graz, gemeinsam veranstaltet vom Bundeskanzleramt, dem Österreichischen Städtebund und der österreichischen Datenschutzbehörde, mit über 150 Teilnehmer*innen standen unter anderem folgende Themen am Programm: </span></p> <p style="text-align:justify"><span>Datenschutz-Grundverordnung, Maßnahmen zur Steigerung der Datensicherheit, Datenaustausch zwischen den USA und der Europäischen Union, Rechtsprechung des Europäischen Gerichtshofes, Rechtsprechung des Bundesverwaltungsgerichts, Entscheidungen der Datenschutzbehörde, Social Media-Auftritte von Verwaltung und Politik oder ChatGPT.</span></p> <p style="text-align:justify"><span>Hier finden Sie eine Aufzählung der Vortragenden und Themen der Jahrestagung:</span></p> <ul> <li style="text-align:justify"><span><span>Eva <strong>Souhrada-Kirchmayer</strong> (Richterin am Bundesverwaltungsgericht) – Rechtsprechung des BVwG zur DSGVO und zum DSG</span></span></li> <li style="text-align:justify"><span><span>Günter <strong>Wildmann</strong> (Corporate Privacy Officer der Kapsch Group) – Einfache Maßnahmen zur Steigerung der Datensicherheit</span></span></li> <li style="text-align:justify"><span><span>Marit <strong>Hansen</strong> (Landesbeauftragte für Datenschutz in Schleswig-Holstein) – Risiko und Rechenschaftspflicht (Online-Vortrag)</span></span></li> <li style="text-align:justify"><span><span>Marie-Louise<strong> Gächter</strong> (Leiterin der Datenschutzstelle Liechtenstein) – EU-USA Data Privacy Framework</span></span></li> <li style="text-align:justify"><span><span>Gerhard<strong> Kunnert</strong> (Verfassungsdienst Bundeskanzleramt) – Rechtsprechung des EuGH </span></span></li> <li style="text-align:justify"><span><span>Georg <strong>Miernicki</strong> (Amt der Niederösterreichischen Landesregierung) – Artikel 20. Abs. 5 B-VG - Veröffentlichungspflicht von Studien etc. </span></span></li> <li style="text-align:justify"><span><span>Matthias <strong>Schmidl</strong> (stv. Leiter der Datenschutzbehörde) – relevante Entscheidungen der Datenschutzbehörde</span></span></li> <li style="text-align:justify"><span><span>Christiane <strong>Lackner</strong> (Mitarbeiterin der Datenschutzbehörde) – Social Media und öffentliche Verantwortliche</span></span></li> <li style="text-align:justify"><span><span>Gerald <strong>Trieb</strong> (Partner der Rechtsanwaltskanzlei Knyrim Trieb Rechtsanwälte OG) - Betroffenenanfragen, Medienprivileg und internationaler Datentransfer</span></span></li> <li style="text-align:justify"><span><span>Christof <strong>Tschohl</strong> (Digital Human Rights Center) – Kommunale Themen samt anschließender Diskussion</span></span></li> </ul> <p style="text-align:justify">Die so zahlreiche Teilnahme von Vertreter*innen aus Bundesministerien, Ämtern der Landesregierung, Stadtverwaltungen, aber auch von den Gerichtshöfen des öffentlichen Rechts und Landesverwaltungsgerichten unterstreicht einmal mehr die zentrale Rolle, die den Datenschutzbeauftragten in Zeiten von immer rasanter werdenden technischen Entwicklungen (Social Media, künstliche Intelligenz u.v.m.) zukommt.</p> <p style="text-align:justify">Ein besonderer Dank gilt der Stadt Graz für die ausgezeichnete Organisation vor Ort.</p> <p style="text-align:justify">Die Veranstalter freuen sich bereits auf die nächste Jahrestagung der öffentlichen Datenschutzbeauftragten, welche 2024 voraussichtlich in Linz stattfinden wird!</p> <p style="text-align:justify"><a id="Vertragsklauseln" rel="noopener"></a></p> <h2 style="text-align:justify"><strong>Information der Datenschutzbehörde zum vollständigen Auslaufen der Standardvertragsklauseln</strong></h2> <p style="text-align:justify">Standarddatenschutzklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO werden von der Europäischen Kommission erlassen und können bei Fehlen eines Angemessenheitsbeschlusses iSd. Art. 45 DSGVO als geeignete Garantien – ggf. unter Ergänzung zusätzlicher Maßnahmen – für die Übermittlung personenbezogener Daten an Empfänger in Drittländern herangezogen werden.</p> <p style="text-align:justify">Die Europäische Kommission hat am 4. Juni 2021 mit Durchführungsbeschluss (EU) 2021/914 „neue“ Standarddatenschutzklauseln erlassen. Gemäß dessen Art. 4 Abs. 2 und Abs. 3 wurden die auf Basis der ehemaligen Richtlinie 95/46/EG mit Entscheidung 2001/497/EG und Beschluss 2010/87/EU erlassenen Standardvertragsklauseln mit Wirkung vom 27. September 2021 aufgehoben und können gemäß Art. 4 Abs. 4 auf vor diesem Zeitpunkt abgeschlossene Vereinbarungen nur mehr bis zum 27. Dezember 2022 herangezogen werden.</p> <p style="text-align:justify"><strong>Dies hat zur Folge, dass die auf Basis der Richtlinie 95/46/EG erlassenen Standardvertragsklauseln mit Ablauf des 27. Dezember 2022 ihre Gültigkeit zur Gänze verlieren und keine Grundlage für die Übermittlung personenbezogener Daten iSd. Kapitels V der DSGVO mehr darstellen. </strong></p> <p style="text-align:justify">Verantwortliche und Auftragsverarbeiter sollten daher prüfen, ob ihre Datenübermittlungen noch auf Grundlage der „alten“ Standardvertragsklauseln erfolgen und – wenn ja – diese durch die neue Version bzw. andere geeignete Garantien ersetzen.</p> <p style="text-align:justify">Relevante Dokumente:</p> <p style="text-align:justify"><a href="https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32021D0914&amp;qid=1667468301117" rel="noopener">Durchführungsbeschluss (EU) 2021/914 der Kommission vom 4. Juni 2021 über Standardvertragsklauseln für die Übermittlung personenbezogener Daten an Drittländer gemäß der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates</a></p> <p><a href="https://ec.europa.eu/info/sites/default/files/questions_answers_on_sccs_en.pdf" rel="noopener">Europäische Kommission, Questions and Answers for the two sets of Standard Contractual Clauses</a></p> <p><a id="Cloud_Dienste" rel="noopener"></a></p> <h2>Start einer koordinierten Maßnahme betreffend die Nutzung von Cloud basierten Diensten im öffentlichen Sektor</h2> <p>Der 15. Februar 2022 markierte den Start der ersten „koordinierten Maßnahme“ des Europäischen Datenschutzausschusses (EDSA) zum Thema „Nutzung von Cloud-gestützten Diensten durch öffentliche Stellen“.</p> <p>Im Wesentlichen werden beginnend mit Februar 2022 insgesamt 22 nationale Aufsichtsbehörden (einschließlich des Europäischen Datenschutzbeauftragten) im gesamten Europäischen Wirtschaftsraum Untersuchungen zur Nutzung von Cloud-basierten Diensten durch den öffentlichen Sektor einleiten bzw. haben solche eingeleitet.</p> <p>Hierbei werden über 80 öffentliche Institutionen, großteils aus den Bereichen Gesundheit, Finanzen, Bildung und öffentlicher Beschaffung, angesprochen. Aufbauend auf der gemeinsamen Vorbereitungsarbeit der teilnehmenden Aufsichtsbehörden – insbesondere wurde gemeinsam ein Fragebogen zu den relevanten Datenschutzaspekten erstellt – sollen auf nationaler Ebene die Herausforderungen öffentlicher Stellen bei einer DSGVO konformen Auswahl und Nutzung von Cloud-basierten Diensten untersucht werden. Vornehmlich werden die notwendigen Prozesse und Sicherheitsvorkehrungen beim Erwerb bzw. Problembereiche im Zusammenhang mit internationalem Datenverkehr, sowie jene Bestimmungen, die die Beziehung zwischen dem Verantwortlichen und dem Auftragsverarbeiter regeln, beleuchtet.</p> <p>Auch die österreichische Datenschutzbehörde beteiligt sich an dieser umfassenden Initiative und es wurde hierzu – in Übereinstimmung mit dem nationalen Verfahrensrecht – ein amtswegiges Prüfverfahren („Datenschutzüberprüfung“) gemäß Art. 57 Abs. 1 lit. h iVm Art. 58 Abs. 1 lit. b DSGVO iVm § 22 Abs. 1 DSG gegen eine aus Sicht der Datenschutzbehörde geeignete Institution der öffentlichen (Bundes ) Verwaltung eingeleitet.</p> <p>Die Ergebnisse werden anschließend zusammengefasst analysiert und mit Ende des Jahres 2022 in einem EWR-weiten Bericht in anonymisierter Form veröffentlicht.</p> <p>Für weiterführende Informationen darf auf die korrespondierende Pressemitteilung des Europäischen Datenschutzausschusses verwiesen werden:</p> <p><a href="https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_de" rel="noopener">https://edpb.europa.eu/news/news/2022/launch-coordinated-enforcement-use-cloud-public-sector_de</a></p> <p><a id="Google_Analytics" rel="noopener"></a></p> <h2>Information der Datenschutzbehörde zur Entscheidung über die Verwendung von Google Analytics</h2> <p>Die Datenschutzbehörde hat sich im Rahmen eines Beschwerdeverfahrens mit der Vereinbarkeit von Google Analytics und der Datenschutz-Grundverordnung (DSGVO) befasst. Bei Google Analytics handelt es sich um ein Google-Tool, mit dem Betreiber einer Website detaillierte Berichte über das Nutzerverhalten von Website-Besuchern erstellen können.<br> Beim Aufruf einer Website, die Google Analytics verwendet, wird dem Browser des Besuchers eine Google Analytics Kennnummer zugeordnet. Besucher können anhand dieser Kennnummer individualisiert und unterschiedlich behandelt werden. Zusätzlich besteht die Möglichkeit, diese Kennnummer mit weiteren Informationen zu kombinieren, wie etwa mit der IP-Adresse oder gewissen Browserdaten. Durch diese Kombination entsteht ein einzigartiger digitaler Fußabdruck, der dem Benutzer des Browsers zugeordnet werden kann. Wenn ein Besucher während des Aufrufs einer solchen Website in sein Google Konto eingeloggt ist, kann die Information über den Websitebesuch auch dem jeweiligen Google Konto zugeordnet werden.<br> Im Beschwerdeverfahren wurde festgestellt, dass dieser digitale Fußabdruck auch an die Server von Google LLC mit Sitz in den USA übermittelt wurde. Der Betreiber der Website und Google LLC haben Standarddatenschutzklauseln (in der Fassung des Durchführungsbeschlusses der Europäischen Kommission 2010/87/EU vom 5. Februar 2010) abgeschlossen. Ausgehend von der Rechtsprechung des Gerichtshofs der Europäischen Union in C‑311/18 („Schrems II“) wurde diese Datenübermittlung als unzulässig beurteilt, weil kein angemessenes Schutzniveau für die übermittelten personenbezogenen Daten, wie gemäß Artikel 44 DSGVO gefordert, gegeben war. Die zusätzlich zu den Standarddatenschutzklauseln implementierten Maßnahmen waren aus Sicht der Datenschutzbehörde nicht effektiv, da diese die seitens des EuGH aufgezeigten Überwachungs- und Zugriffsmöglichkeiten durch US-Nachrichtendienste nicht beseitigt haben.<br> Die Datenschutzbehörde hat daher mit Bescheid festgestellt, dass Website-Betreiber das Tool Google Analytics (jedenfalls auf Grundlage des im Bescheid festgestellten Sachverhalts) nicht in Einklang mit der DSGVO einsetzen können. Dieser Bescheid ist nicht rechtskräftig.<br> Bescheid: <a href="/dam/jcr:c1eb937b-7527-450c-8771-74523b01223c/D155.027%20GA.pdf" rel="noopener">D155.027 GA (PDF, 907 KB) </a></p> <p><span><span><a id="Info_Auskunft" rel="noopener"></a></span></span></p> <h2>Informationen zu Auskunftsbegehren an die Datenschutzbehörde</h2> <p>Die Datenschutzbehörde erhält derzeit eine hohe Anzahl an Auskunftsbegehren infolge der Versendung von Informationsschreiben zur COVID-19-Schutzimpfung.<br> Die Datenschutzbehörde speichert Ihre personenbezogenen Daten nur dann, wenn Sie mit der Datenschutzbehörde in Kontakt treten. Wenn Sie mit der Datenschutzbehörde bislang noch nicht in Kontakt waren, wird Ihnen die Datenschutzbehörde mitteilen, dass keine Daten zu Ihnen verarbeitet werden („Negativauskunft“).<br> Die Datenschutzbehörde weist darauf hin, dass sie keine Kenntnis über die Datenverarbeitung anderer Stellen hat.<br> <strong>Soweit Sie daher eine Auskunft über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dem Erhalt eines Informationsschreibens zur COVID 19-Schutzimpfung begehren, müssen Sie sich an die jeweilige Stelle, die das Informationsschreiben versandt hat, wenden. </strong></p></div> </main> </div> </div><!--END .content-container --> </div><!-- END .content-wrapper--> </div><!--END #page-bottom--> <footer class="mt-5"> <div class="container-fluid page-section page-section-sm bg-brand1" id="linklists-wrapper"> <div class="container px-0" id="linklists-container"> <div class="row"> </div> </div> </div> <div class="container-fluid page-section page-section-sm" id="footer-wrapper"> <div class="container text-center px-0" id="footer-container"> <div class="footer-links"> <a href="/ueber-die-website/impressum-copyright.html" class="d-block d-md-inline" > Impressum &amp; Copyright </a> <span class="d-none d-md-inline-block">/</span> <a href="/ueber-die-website/datenschutzerklaerung.html" class="d-block d-md-inline" > Datenschutzerklärung </a> <span class="d-none d-md-inline-block">/</span> <a href="/ueber-die-website/kontakt.html" class="d-block d-md-inline" > Kontakt </a> <span class="d-none d-md-inline-block">/</span> <a href="/ueber-die-website/sitemap.html" class="d-block d-md-inline" > Sitemap </a> <span class="d-none d-md-inline-block">/</span> <a href="/ueber-die-website/-barrierefreiheit.html" class="d-block d-md-inline" > Hilfe &amp; Barrierefreiheit </a> <span class="d-none d-md-inline-block">/</span> <a href="/ueber-die-website/newsletter-anmeldung.html" class="d-block d-md-inline" > Newsletter-Anmeldung </a> <span class="d-none d-md-inline-block">/</span> <a href="https://www.bkms-system.net/bkwebanon/report/clientInfo?cin=3qqCK7&amp;c=-1&amp;language=ger" class="d-block d-md-inline" target="_blank" rel="noopener" title="öffnet in einem neuen Fenster"> HinweisgeberInnen-System (für Mitarbeiter:innen) </a> </div> <div class="footer-social"> </div> </div> </div> </footer> <script src="/.resources/bcisa/resources/generated/bcisa-bundle~2024-11-19-16-04-04-542~cache.js"></script> <script src="/.resources/bcisa/resources/not-generated/scripts~2024-11-19-16-04-04-557~cache.js"></script> <script src="/.resources/bcisa/resources/not-generated/external-link-icon-inside-richtext~2024-11-19-16-04-04-553~cache.js"></script> </div> <div class="container-fluid fullscreen collapse" id="mobileheader-wrapper"> <div class="levels-wrapper"> <div class="controls"> <div class="row"> <div class="col-6 text-left"> <button class="btn btn-link navbar-back" title="Zurück"> <span class="icon icon-navigation_pfeil_links_gross" aria-hidden="true"></span><span class="sr-only">Zurück</span> </button> </div> <div class="col-6 text-right"> <button class="btn btn-link mobile-search-toggler" data-toggle="collapse" data-target="#mobile-search" aria-expanded="false" aria-controls="mobile-search" title="Suche einblenden"> <span class="icon icon-lupe" aria-hidden="true"></span><span class="sr-only">Suche einblenden</span> </button> <button class="btn btn-link" title="Navigation schließen" data-toggle="collapse" data-target="#mobileheader-wrapper"> <span class="icon icon-navigation_pfeil_schliessen_gross" aria-hidden="true"></span><span class="sr-only">Navigation schließen</span> </button> </div> </div> <div class="row collapse" id="mobile-search"> <div class="col-12"> <form id="searchFormMobile" action="/suche.html" data-bka-link="" data-bund-link=""> <div class="input-group"> <label for="searchFormQuerystringMobile" class="sr-only"> Suche </label> <input type="text" name="q" id="searchFormQuerystringMobile" class="form-control searchFormQuerystring" placeholder="Suche" aria-describedby="search-mobil-button"> <div class="input-group-append"> <button class="btn btn-brand1" type="button" id="search-mobil-button" title="Suchen"> <span class="icon icon-lupe" aria-hidden="true"></span><span class="sr-only">Suchen</span> </button> </div> </div> </form> </div> </div> </div> <div class="levels"> <ul data-bb-mobilenav-url='{ "url": "/download-links/bekanntmachungen?mgnlChannel=mobilenav" }'> <li> <a href="/headerlinkblock/0.html"> Aufgaben & Tätigkeiten</a> <ul> <li> <a href="/aufgaben-taetigkeiten/amtssignatur.html">Amtssignatur</a> </li> <li> <a href="/aufgaben-taetigkeiten/gesetzesbegutachtungen.html">Gesetzesbegutachtungen durch die Datenschutzbehörde</a> </li> <li> <a href="/aufgaben-taetigkeiten/rechte-der-betroffenen.html">Ihre Rechte als Betroffener</a> </li> <li> <a href="/aufgaben-taetigkeiten/Informationsfreiheitsgesetz.html">Informationsfreiheitsgesetz</a> </li> <li> <a href="/aufgaben-taetigkeiten/information-zu-rechtsauskunften.html">Information zu Rechtsauskünften</a> </li> <li> <a href="/aufgaben-taetigkeiten/internationaler-datenverkehr.html">Internationaler Datenverkehr</a> </li> <li> <a href="/aufgaben-taetigkeiten/stammzahlenregisterbehoerde.html">Stammzahlenregisterbehörde</a> </li> <li> <a href="/aufgaben-taetigkeiten/informationen-fur-teens-kids.html">Teens &amp; Kids</a> </li> <li class="hasChildren"> <a href="/aufgaben-taetigkeiten/genehmigung-von-verhaltensregeln.html" data-bb-mobilenav-children="fd93ead4-846e-4a3b-bf7c-3d415b457543">Verhaltensregeln</a> <span data-bb-mobilenav-children-reference="fd93ead4-846e-4a3b-bf7c-3d415b457543"></span> </li> <li class="hasChildren"> <a href="/aufgaben-taetigkeiten/Zertifizierungen.html" data-bb-mobilenav-children="058dbbd2-d32c-4c1d-9bd2-bc96d118f1d5">Zertifizierungen</a> <span data-bb-mobilenav-children-reference="058dbbd2-d32c-4c1d-9bd2-bc96d118f1d5"></span> </li> </ul> </li> <li> <a href="/Eingabeformular-online/Eingabeformular-online.html">Eingabe online</a> </li> <li> <a href="/headerlinkblock/01.html">Europa & Internationales</a> <ul> <li> <a href="/europa-internationales/europaeischer_datenschutzausschuss_edsa.html">Der Europäische Datenschutzausschuss</a> </li> <li class="hasChildren"> <a href="/europa-internationales/schengen.html" data-bb-mobilenav-children="8670dc9e-5f2a-4ecc-8c11-635f25a843cc">Schengener Informationssystem</a> <span data-bb-mobilenav-children-reference="8670dc9e-5f2a-4ecc-8c11-635f25a843cc"></span> </li> <li> <a href="/europa-internationales/europol.html">Europol</a> </li> <li> <a href="/europa-internationales/eurodac.html">Eurodac</a> </li> <li> <a href="/europa-internationales/zollinformationssystem.html">Zollinformationssystem (ZIS) der Europäischen Union</a> </li> <li class="hasChildren"> <a href="/europa-internationales/visa-informationssystem.html" data-bb-mobilenav-children="94d584be-129b-4d8c-9a51-fa820cb71d02">Visa-Informationssystem</a> <span data-bb-mobilenav-children-reference="94d584be-129b-4d8c-9a51-fa820cb71d02"></span> </li> <li> <a href="/europa-internationales/brexit.html">Information zum Brexit</a> </li> <li> <a href="/europa-internationales/Datenschutztag.html">Datenschutztag</a> </li> </ul> </li> <li> <a href="/headerlinkblock/02.html"> Rechtsquellen & Entscheidungen</a> <ul> <li> <a href="/recht-entscheidungen/gesetze-in-oesterreich.html">Datenschutzrecht in Österreich</a> </li> <li> <a href="/recht-entscheidungen/verordnungen-in-oesterreich.html">Verordnungen in Österreich</a> </li> <li> <a href="/recht-entscheidungen/entscheidungen-der-datenschutzbehoerde.html">Entscheidungen der Datenschutzbehörde</a> </li> <li> <a href="/recht-entscheidungen/recht-auf-datenschutz-in-der-eu.html">Recht auf Datenschutz in der EU</a> </li> <li> <a href="/recht-entscheidungen/recht-des-europarats.html">Europarat</a> </li> <li> <a href="/recht-entscheidungen/eu-us-privacy-shield.html">EU-US Privacy Shield</a> </li> </ul> </li> <li> <a href="/headerlinkblock/03.html">Download & Links</a> <ul> <li> <a href="/download-links/dokumente.html">Dokumente</a> </li> <li> <a href="/download-links/fragen-und-antworten.html">Fragen und Antworten</a> </li> <li> <a href="/download-links/newsletter.html">Newsletter</a> </li> <li> <a href="/download-links/bekanntmachungen.html">Bekanntmachungen der Datenschutzbehörde</a> </li> <li> <a href="/download-links/links.html">Links</a> </li> <li> <a href="/download-links/informationen-zum-coronavirus-covid-19-.html">Information der Datenschutzbehörde zum Coronavirus (Covid-19)</a> </li> <li> <a href="/download-links/FAQ-zum-Thema-Cookies-und-Datenschutz.html">FAQ zum Thema Cookies und Datenschutz</a> </li> <li> <a href="/download-links/FAQ-zum-Thema-KI-und-Datenschutz.html">FAQ zum Thema KI und Datenschutz</a> </li> <li> <a href="/download-links/Presseinformationen.html">Presseinformationen</a> </li> </ul> </li> <li> <a href="/ueber-die-website/kontakt/Bewerbungen.html">Jobs</a> </li> </ul> <div id="mobile-nav-footer"> <div class="footer-links"> <p class="mb-4"> <span class="d-block">Sprachauswahl:</span> <strong><span class="sr-only">Ausgewählte Sprache:</span>Deutsch</strong> / <a href="/"> Deutsch </a> / <a href="http://www.data-protection-authority.gv.at/"> English </a> </p> </div> </div> </div> </div> </div> </body> </html>

Pages: 1 2 3 4 5 6 7 8 9 10