Author Archive

Neue Leitlinien zum Auskunftsrecht​

Posted by Birgit von Maurnböck

Haben Sie schon einen standardisierten Prozess für die Beantwortung von Auskunftsbegehren? Falls ja, dann dürfen Sie hier ebenfalls mit dem Frühjahrsputz beginnen 😉

Der Europäische Datenschutzausschuss hat für die Beantwortung von Auskunftsbegehren neue Leitlinien veröffentlicht. Auch in diesen fällt auf, dass es keine Erleichterungen für die Verantwortlichen gibt (also uns Unternehmer/Unternehmen) sondern die Anforderungen werden strenger.

Was kommt Neues auf uns zu?

Allen Auskünften muss zukünftig eine Kopie sämtlicher personenbezogener Daten beigelegt werden, egal wie groß der Aufwand dafür ist. Das bedeutet, wenn Sie beispielsweise Unterlagen in einem externen Archiv aufbewahren, wo Sie für die Anforderung eine Gebühr zu entrichten haben, werden Sie in Zukunft diese Gebühr zahlen müssen (nein, keine Rückforderung beim Antragsteller). Nur in wenigen , gut begründeten Fällen und auf das jeweilige Unternehmen abgestimmt, können Ausnahmen bei den Kopien gemacht werden.

Weiters sind nicht nur die konkreten Daten (keine Kategorien!) wie Name, Adresse und Kontaktdaten anzuführen, sondern auch u.a. Gesundheitsunterlagen, historische Kaufaufträge, Finanzdaten oder Protokolle zur online Nutzung des Kunden Ihrer Webseiten oder Apps .

Und wenn die Unterlagen komplex sind, weil beispielsweise die Protokolle der online Nutzung für einen Laien nicht verständlich sind, sind diese in einfacher Sprache zu erklären.

Wovor sollten Sie sich schützen?

Beispielsweise hat die Hessische Datenschutzbehörde 2020 für Verstöße gegen die Auskunftspflichten Strafen im fünfstelligen Bereich verhängt.

Auch kann davon ausgegangen werden, dass zukünftig immer mehr Schadensersatzforderungen bei nicht korrekter Beantwortung von Auskunftsbegehren auf Sie zukommen können. Bei solchen Verstößen wurde vor kurzem in Deutschland einmal 1.000.- € und ein anderes Mal 5.000,- € Schadenersatz verhängt.

Unsere Praxistipps

Ersparen Sie sich Datenschutzstrafen!

Posted by Birgit von Maurnböck

Die Bußgelder für Verstöße gegen die DSGVO haben 2021 die Milliardengrenze überschritten: 1,3 Milliarden Euro wurden letztes Jahr insgesamt verhängt!

Einige Urteile haben wir Ihnen schon in unseren Beiträgen zusammengefasst, hier ein kurzer Überblick der Entwicklung.

2021 wurden 434 (bekannte) Strafen mit Bußgeldern in Höhe von 1,3 Milliarden Euro verhängt.

2020 waren es 340 Strafen mit Bußgeldern in Höhe von 172 Millionen Euro und

2019 waren es nur 151 Strafen mit 73 Millionen Euro Bußgeldern.

Die Spitzenreiter 2021 waren Amazon mit 746 Mio. Euro und WhatsApp mit 225 Mio. an Geldbuße. Aber auch in Österreich wurden Strafen in Millionen Euro ausgesprochen – über Rewe wurde erneut eine Strafe aufgrund DSGVO-Verletzungen in Höhe von 8 Mio. Euro verhängt. Der zum Rewe gehörende Jö Bonus Club war mit 2 Mio. Euro ebenfalls in den Medien.

Zur Erinnerung

In der DSGVO wird von verhältnismäßigen und abschreckenden Bußgeldern gesprochen. Die Datenschutzbehörden können über ein Unternehmen Geldbußen von bis zu 20 Mio. EUR oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängen, je nachdem, welcher der Beträge höher ist.

Wie können Sie sich hier Kopfweh ersparen?

Unser Praxistipp

Verhindern Sie Strafen indem Sie unter anderem regelmäßig Ihre Verarbeitungen, Ihre TOMs, Ihre Auftragsverarbeiter, Ihre Webseite auf Cookies und Ihre Datenschutzerklärung prüfen, ob

Aber ganz besonders wichtige: Besuchen Sie und Ihre Mitarbeitenden regelmäßig Schulungen, zum Beispiel bei uns 😉

Kontaktieren Sie uns, wenn Sie Unterstützung bei der Umsetzung benötigen, durch unsere jahrelange Expertise im Datenschutz- und IT-Bereich sind wir Ihre idealen Partner. Machen Sie unsere Kompetenzen zu Ihren Stärken!

Interessiert sich die Staatsanwaltschaft auch für Datenschutz?

Posted by Birgit von Maurnböck

Ja, tut sie. Aber wen wundert es, dass man selten bis nie etwas dazu hört, wenn drei der vier relevanten Gesetze erst seit Jänner 2016 in Kraft sind? Das Vierte gibt es immerhin schon seit Oktober 2002. Für Gesetze ist das eine wirklich kurze Zeit.

Wann kann die Exekutive tätig werden?

Wenn einer der folgenden Paragrafen des Strafgesetzbuches (StGB) erfüllt ist, die Straftat bei der Polizei angezeigt wird und der Verletzte zustimmt, dass der Täter verfolgt wird.

Im Vergleich zu den Geldstrafen, mit welchen Unternehmen bei Verstößen gegen die DSGVO rechnen müssen, sind die Geldstrafen für unerlaubten Zugriff auf Computersysteme, die Verwendung, die Weitergabe von unrechtmäßig erworbenen Daten mit bis zu 360 Tagessätzen begrenzt. Aber dafür kann auch eine Freiheitsstrafe von bis zu 5 Jahren verhängt werden.

Nicht nur Hackerangriffe sind mit diesen Tatbeständen gemeint. Häufiger Fall: Bereits ausgeschiedene Mitarbeitende stehlen über nicht gesperrte Zugänge Daten oder verwenden diese missbräuchlich, vielleicht geben sie diese sogar an Dritte weiter oder spielen Schadsoftware ein.

Auch das Kopieren von Daten (beispielsweise Kundendaten) und Mitnehmen zum neuen Dienstgeber fällt unter diese Straftatbestände.

Kriminelle Handlungen müssen bei der Polizei angezeigt werden – Vorkommnisse dieser Art dürfen uns nicht egal sein!

Achtung, man kann sich unwissentlich selbst auch schuldig machen. Dies kann passieren, wenn man Daten verwendet, welche nicht für einen bestimmt waren. Zum Beispiel wenn ehemalige Mitarbeitende eines Geschäftspartners Listen mit Daten an uns senden. Wenn wir diese für eigene Zwecke verwenden, machen wir uns ebenfalls strafbar. Man beteiligt sich unwissentlich an einer Straftat, wenn der ehemalige Mitarbeitende die Daten in böswilliger Absicht entwendet hat.

Unsere Praxistipps

TOMs – Technische und organisatorische Maßnahmen Teil 2

Posted by Birgit von Maurnböck

Wir haben den technischen und organisatorischen Maßnahmen (TOMs) bereits einen Beitrag gewidmet und uns darin die ersten vier Kontrollschritte angesehen. Hier ein kleiner Überblick der acht Gebote der technischen und organisatorischen Maßnahmen im Datenschutz:

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Datentrennungskontrolle

In diesem Beitrag gehen wir auf die Eingabe- und Auftragskontrolle ein.

Eingabekontrolle

Die Eingabekontrolle sorgt dafür, dass nachverfolgt werden kann, wer wann gewollte oder auch ungewollte „Manipulationen“ also „Bearbeitungen“ an Daten vorgenommen hat.

Durch die durchgängige Vergabe von unterschiedlichen Nutzernamen für IT-Systeme kann genau festgestellt werden, welcher User wann eine bestimmte Änderung an Daten vorgenommen hat.

Können Sie bereits nachvollziehen, wer wann was mit personenbezogenen Daten im Unternehmen macht?

Auftragskontrolle

Was kann man sich in der Praxis unter dem Begriff „Auftragskontrolle” vorstellen?

Der Auftragsverarbeiter ist jede Stelle, die im Auftrag des Unternehmens personenbezogene Daten verarbeitet. Hierbei handelt es sich beispielsweise um (fast jeden) IT-Dienstleister, Software-Anbieter, Werbeagenturen, Cloud-Anbieter oder auch externe Lohnverrechner. Die genannten Unternehmen verarbeiten im Auftrag zum Beispiel Kundendaten oder Mitarbeiterdaten.

ACHTUNG: Sind Sie sich dessen bewusst, dass Sie ausnahmslos mit JEDEM Auftragsverarbeiter einen Vertrag abschließen müssen – einen sogenannten Auftragsverarbeiter-Vertrag? 😉

Wie Sie in diesem Beitrag lesen können, drohen bei Nichterfüllung hier ernst zu nehmende DSGVO-Strafen.

Auftragskontrolle = Kontrolle Ihrer Auftragsverarbeiter. Dadurch soll sichergestellt werden, dass Daten von einem Auftragsverarbeiter gemäß Ihren Weisungen verarbeitet werden. Sie sind schließlich dafür verantwortlich, die Daten entsprechend zu schützen.

Unsere Praxistipps

Im 3. TOMs-Teil werden wir uns den Themen Verfügbarkeits- und Datentrennungskontrolle widmen.

Aktuelle DSGVO Bußgelder

Posted by Birgit von Maurnböck

Geldbuße für den österreichischen JÖ Bonus-Club in Höhe von 2 Millionen Euro

Österreich, 15. August 2021

Die österreichische Datenschutzbehörde verhängte gegenüber der Unser Ö-Bonus Club GmbH eine Geldbuße in Höhe von 2 Millionen Euro. Dies geht aus dem am 2. August 2021 von der Behörde veröffentlichten Bescheid hervor.

Das Bußgeld wurde wegen unzureichenden Einwilligungen bei der Anmeldung zum JÖ Bonus-Club verhängt. Mit der Anmeldung erklärten sich die Mitglieder neben der Teilnahme am Bonus-Club auch damit einverstanden, dass die personenbezogenen Daten zu Profiling-Zwecken genutzt werden. Beim Profiling werden individuelle Kundenprofile erstellt, um Kunden mit zielgerichteter Werbung zu bespielen.

Da die Informationen zur Datenverarbeitung erst weiter unten ersichtlich waren, hat die Datenschutzbehörde die nicht korrekte Platzierung des Einwilligungskästchens zu den Datenschutzinformationen, beanstandet. Dies führte dazu, dass die potenziellen Mitglieder mit der Ansicht einwilligten, durch die Einwilligung von exklusiven Vorteilen und Aktionen profitieren zu können. Dabei konnten Besucher nicht erkennen, dass die Einwilligung zugleich auch zur Datenverarbeitung für Profilingzwecke war. Auch auf den Anmeldeformularen in Papierform, konnte eine gleichzeitige Einwilligung zu Profilingzwecken für die potenziellen Mitglieder nicht sofort erkannt werden.

Insgesamt sind rund 2,3 Millionen Menschen betroffen, welche zwischen Mai 2019 und März 2020 eine Mitgliedschaft in Papierform oder über die Webseite abgeschlossen haben.

Die Datenschutzbehörde ist der Meinung, dass die strengen Anforderungen für eine wirksame Einwilligung nach der DSGVO nicht erfüllt wurden. Die DSGVO sieht vor, dass die Information über eine beabsichtigte Datenverarbeitung – bevor eine Einwilligung vom Betroffenen gegeben wird – dem Betroffenen besonders verständlich und leicht zugänglich zur Verfügung gestellt werden muss. Nur dann ist es Betroffenen möglich, eine freie Entscheidung über die Verarbeitung ihrer Daten zu treffen.

Das Problem der Unwirksamkeit von Einwilligungen beim JÖ Bonus Club ist nicht neu. Vielmehr war der DSGVO-Verstoß schon einmal Thema bei der Datenschutzbehörde. Daraufhin wurden Änderungen an den Einwilligungserklärungen vorgenommen. Dennoch wurden die personenbezogenen Daten, welche unrechtmäßig von Betroffenen eingeholt worden waren, aber weiterhin ohne eine gültige Einwilligung der Betroffenen weiterverarbeitet.

Die Datenschutzbehörde hat die Corona-Pandemie als strafmildernd bei der Bemessung der Geldbuße berücksichtigt.

Mittlerweile wurde Berufung beim Bundesverwaltungsgericht eingelegt. Eine Entscheidung des Gerichts bleibt abzuwarten.

Unser Praxistipp

Die beabsichtigte Datenverarbeitung VOR Einholung von Einwilligungen muss immer leicht verständlich und klar beschrieben sein (Stichwort: Erfüllung der Informationspflichten). Bei Nichteinhaltung der Anforderungen nach Art 7 Abs 2 DSGVO riskiert jedes Unternehmen – ähnlich wie der JÖ Bonus-Club – aufgrund der Datenverarbeitung ohne Rechtsgrundlage eine saftige Geldstrafe.

3G im Unternehmen – Daten- und Gesundheitsschutz

Posted by Birgit von Maurnböck

3G: Getestet, geimpft, genesen ­– das gilt derzeit in vielen Unternehmen und wird uns wohl auch noch eine Zeit lang begleiten. Doch wie sieht es hier mit dem Datenschutz aus? Immerhin handelt es sich beim 3G-Nachweis um Gesundheitsdaten, die besonders geschützt werden müssen. Wir haben uns das genauer angeschaut und geben Tipps für die optimale datenschutzrechtliche Vorgehensweise im Unternehmen.

Ist 3G im Unternehmen wirklich notwendig und laut DSGVO erlaubt?

Im Rahmen der Fürsorgepflicht sind Unternehmen verpflichtet, für die Sicherheit und den Gesundheitsschutz ihrer Mitarbeitenden zu sorgen. Eine zusätzliche Sorgfaltspflicht trifft bei direktem Kontakt mit Kunden, Geschäftspartnern und sonstigen Dritten zu.

Das Datenschutzrecht sieht vor, dass die 3G-Gesundheitsdaten in jenem Ausmaß verwendet werden können, das notwendig ist, um die Verbreitung des Virus zu stoppen und um Menschen zu schützen. Die Datenerhebung von Personen, bei denen COVID-19 bestätigt wurde oder bei Verdacht auf Infektion wegen eines Kontakts mit einer infizierten Person, zählt auch dazu.

Zur Risikoprävention ist es auch zulässig, dass Unternehmen die private Telefonnummer aller im Unternehmen tätigen Personen (auch von Freelancern oder Leihpersonal) speichern, um diese kurzfristig über eine Infektion verständigen zu können.

Darf man im Unternehmen Tätige um den 3G-Nachweis fragen?

Führungskräfte sind grundsätzlich berechtigt, ihre Mitarbeitenden und auch Bewerber zu fragen, ob sie geimpft, genesen oder getestet sind. Die Frage muss wahrheitsgemäß beantwortet werden. 

Gibt es eine Pflicht, dem Unternehmen gegenüber, einen 3G-Nachweis zu erbringen?

Generell gibt es (noch) keine allgemeine rechtliche Verpflichtung, Angaben über den eigenen Status gegenüber dem Unternehmen machen zu müssen. Das bedeutet in der Praxis, dass das Erheben von Testergebnissen, Impfstatus oder bereits überwundenen COVID-Infektionen nur auf Basis einer freiwilligen Einwilligung des Arbeitnehmenden möglich ist. Ohne Einwilligung also keine Datenverarbeitung!

Ausnahmen finden sich jedoch in jenen Bereichen, wo Maskenpflicht herrscht. Oder eben nicht, wenn der entsprechende 3G-Nachweis erbracht wird: Bei körpernahen Dienstleistern zum Beispiel. In diesem Zusammenhang gibt es eine gesetzliche Grundlage für das Unternehmen, den 3G-Nachweis der Beschäftigten zu erheben; somit wird hier wird keine Einwilligung benötigt.

Wie geht man mit der 3G-Information datenschutzkonform um? 

Ein No-Go ist das Kopieren des Impfpasses, bitte machen Sie das auf keinen Fall! Wie Sie es besser machen: Im Unternehmen tätige Personen sollen zum Beispiel das Impfzertifikat oder den Genesungsnachweis vorzeigen. Dabei wird eine eigene Liste vom Unternehmen geführt, in der der Status vermerkt wird (zum Beispiel ein Excel). Erfasst wird der Name, der Status und wie lange der Status gilt. Auf das Excel dürfen dann nur wenige Personen (zum Beispiel Personen aus der Personalabteilung) zugreifen und es wird zusätzlich mit einem guten Passwort geschützt. So vermeiden Sie unnötiges Papier und weitere datenschutzrechtliche Herausforderungen.

Eine Verwendung der Gesundheitsdaten für andere Zwecke als der Gesundheitsvorsorge, der Eindämmung und der Heilbehandlung ist aber nicht erlaubt! Nach Ende von COVID-19 sind auch alle Daten, die mit dem 3G-Nachweis zu tun haben, zu löschen. Und auch ganz wichtig: Der Status ist ein höchstpersönliches „Gut“: Mitarbeitenden den Status anderer Mitarbeitenden mitzuteilen, ist ebenfalls ein absolutes No-Go.

Unsere Praxistipps

TOMs – Technische und organisatorische Maßnahmen Teil 1

Posted by Birgit von Maurnböck

Seit Inkrafttreten der DSGVO hört man ständig den Ausdruck „TOMs“ in Zusammenhang mit dem Datenschutz. Wofür steht die Abkürzung überhaupt und was kann man sich in der Praxis darunter vorstellen? In unserer 3 teiligen Serie, erklären wir Ihnen alle wichtigen Begriffe, praxisorientiert und leicht verständlich für den Arbeitsalltag. In diesem Teil geht es um die vier Kontrollschritte Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle.

Mit den TOMs sind die technischen und organisatorischen Maßnahmen gemeint. Dabei handelt es sich um Sicherheitsvorkehrungen, die personenbezogene Daten vor unberechtigtem Zugriff schützen. Die Maßnahmen kann man anhand der folgenden acht Gebote darstellen, die in Form von Kontrollschritten beschrieben werden:

  1. Zutrittskontrolle
  2. Zugangskontrolle
  3. Zugriffskontrolle
  4. Weitergabekontrolle
  5. Eingabekontrolle
  6. Auftragskontrolle
  7. Verfügbarkeitskontrolle
  8. Datentrennungskontrolle

Auf die ersten vier Kontrollschritte gehen wir nun genauer ein:

Zutrittskontrolle

Unbefugte dürfen sich keinen Zutritt zu Ihrem Betriebsgelände oder Bürogebäude, in denen sich Ihre betrieblichen Räumlichkeiten befinden, verschaffen. Das kann durch Maßnahmen wie beispielsweise sichere Türschlösser, Videoüberwachung oder eine Besucherkontrolle durch einen Portier gewährleistet werden. Übrigens: Das Türschloss am Beitragsfoto ist aus heutiger Sicht definitiv nicht mehr als sicher einzustufen.

Zugangskontrolle

Hat ein Dritter nun bereits Zutritt erlangt, so stellt die Zugangskontrolle sicher, dass sich die Person dennoch nicht den Zugang zu den EDV-Anlagen (Serverräumen, PCs, Laptops) schafft. Dazu dienen unter anderem biometrisch gesicherte Serverräume, das Wegsperren von Laptops, aber auch Firewalls und Anti-Viren-Programme.

Zugriffskontrolle

Sollten nun bereits die Zutritts- und Zugangskontrolle versagt haben und der unbefugte Dritte ist bereits zu einem PC, Laptop oder an Ihren Schreibtisch gelangt, so regelt die Zugriffskontrolle, dass die Person trotzdem keinen Zugriff auf personenbezogene Daten erhält. Was sind die hier wichtigsten Maßnahmen: Gute Passwörter, versperrte Akten.

Weitergabekontrolle

Die Weitergabekontrolle stellt sicher, dass Daten nur an berechtigte Empfänger übermittelt werden. Welche Maßnahmen stellen in der Praxis sicher, dass Daten ausschließlich in die richtigen Hände geraten? Beispiele für die Umsetzung der Weitergabekontrolle sind die Verschlüsselung von Emails, VPN-Technologie, Authentifizierung der User, Passwortschutz bei Email Anhängen sowie die Verwendung von digitalen Signaturen.

Unsere Praxistipps

Werbung ohne Einwilligung! Ist das denn möglich?

Posted by Birgit von Maurnböck

Niemand darf zu Werbezwecken ohne Einwilligung kontaktiert werden. So sagt man, steht es in der DSGVO. Ganz so ist es allerdings nicht. In Österreich regelt das Telekommunikationsgesetz das Thema Werbeanrufe und elektronische Werbung. Hierbei werden Ausnahmen normiert, die eine Zusendung elektronischer Post auch ohne Einwilligung ermöglichen. Welche Voraussetzungen dazu gegeben sein müssen, erfahren Sie in unserem Beitrag.

Kontaktaufnahme laut Telekommunikationsgesetz

Seit langer Zeit (2007) ist im Telekommunikationsgesetz geregelt, dass Personen nicht mit unerbetenen Nachrichten bombardiert werden dürfen. (Dies gilt übrigens auch im B2B-Bereich.) Die DSGVO enthält diesbezüglich einige Regelungen, die jedoch nicht in die Tiefe gehen. Informationen dazu können Sie in unserem vorherigen Beitrag lesen. Um zu Werbezwecken Kontakt aufnehmen zu dürfen, ist eine Einwilligung der betroffenen Person notwendig. Ein Widerruf der Einwilligung muss jederzeit möglich sein. Die Identität des Absenders sollte klar erkennbar sein und die Rufnummer darf weder unterdrückt noch verfälscht angezeigt werden. Auch ein Newsletter unterliegt einer Impressumspflicht! Ebenso wichtig ist es, dass eine geeignete Adresse übermittelt wird, an welche die Empfänger den Wunsch zur Einstellung der Zusendung richten können.

Ausnahmen im Telekommunikationsgesetz

Wann ist nun keine Einwilligung zur Kontaktaufnahme notwendig? Die Ausnahmen werden im Telekommunikationsgesetz – im § 107, für besonders interessierte Juristen, – definiert. Wir fassen für Sie zusammen:

Eine Einwilligung zum Erhalt elektronischer WERBUNG ist unter folgenden Bedingungen nicht nötig:

1. Der Absender hat die Kontaktinformation für die Nachricht im Rahmen eines Verkaufs oder einer Dienstleistung erhalten.
2. Die Nachricht erfolgt zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen.
3. Der Empfänger hat klar die Möglichkeit erhalten, die Nutzung seiner Kontaktinformation ohne Folgen abzulehnen.
4. Der Empfänger hat die Zusendung nicht bereits vorab, vor allem nicht durch Eintragung in die sogenannte Robinsonliste, abgelehnt.

Ein Praxisbeispiel hierzu: Herr Huber hat bei Ihnen ein Seminar zum Thema Brandschutz besucht und Ihnen in diesem Zusammenhang seine Kontaktdaten gegeben. Als er an Ihrer Weiterbildung teilnahm, haben Sie ihn gefragt, ob er Werbung von Ihnen erhalten möchte. Sie haben ihn über die Möglichkeit der Ablehnung informiert. Er hat nicht abgelehnt. Nun möchten Sie ihm Werbung für Ihr neues Seminar zum Thema Hygiene zusenden. Um rechtskonform zu handeln, prüfen Sie vorab, ob er in der Robinsonliste eingetragen ist. Die Eintragung in diese Liste steht übrigens über allen anderen Voraussetzungen. Wenn Herr Huber dort nicht eingetragen ist, können Sie ihm nun Werbung zusenden. Ihr Werbeemail ist klar als Werbung zu erkennen, hat ein Impressum und einen Link, wo sich Herr Huber jederzeit vom Erhalt weiterer Zusendungen abmelden kann. So geht elektronische rechtskonforme Werbung!

Unsere Praxistipps

Bezahlung mit Daten: Neues Gewährleistungsrecht

Posted by Birgit von Maurnböck

Daten sind in den letzten Jahren zu einem beliebten Währungsmittel geworden. Bestimmt haben Sie schon häufig mit Daten für vermeintlich „kostenlose“ Dienste bezahlt. Nun wurde ein neues Gewährleistungsrecht auf den Weg gebracht, das künftig Verbesserungen für Verbraucher verspricht. Die wichtigsten Informationen dazu haben wir für Sie in diesem Beitrag zusammengefasst.

Die Bezahlung durch Daten

Zahlreiche Plattformen und Dienste stellen kostenlose Leistungen zur Verfügung. Gezwungenermaßen müssen wir einwilligen, dass beispielsweise auf unsere Kontakte, Fotos, Mikrofon, Standort oder auf andere Informationen zugegriffen wird. Wir nehmen das jedoch in Kauf, um uns ein Video anzusehen oder einen Messenger-Dienst zu nutzen. Schließlich werden wir vor die Entscheidung gestellt: Möchten wir den Dienst in Anspruch nehmen und dafür mit unseren Daten bezahlen? Oder wollen wir den Zugriff lieber nicht erlauben und können dafür aber die jeweilige Leistung nicht in Anspruch nehmen? Diese Zwickmühle veranlasst uns häufig dazu, den Zugriff auf unsere privaten Daten trotzdem zu erlauben, obwohl wir mit diesem grundsätzlich keineswegs einverstanden sind. Eine Gesetzesänderung gibt uns nun mehr Rechte.

Neue Ansprüche bei der Bezahlung mit Daten

Ein neues Gewährleistungsrecht nach EU-Richtlinie soll uns Verbrauchern zukünftig das Leben erleichtern. Dieses ist bis zum 1. Juli 2021 durch nationale Gesetze umzusetzen und soll mit 1. Jänner 2022 zur Anwendung kommen. Im Vordergrund steht grundsätzlich eine Verbesserung der Durchsetzung von Gewährleistungsansprüchen bei Mängeln, beispielsweise bei der Beweislast. Zusätzlich werden auch digitale Neuerungen verlangt: Zum einen kostenlose Software-Updates für „Smart Goods“, beispielsweise Smartphones oder „intelligente“ Fitnessuhren, und zum anderen neue Regelungen in Bezug auf die Bezahlung mit Daten.

Letzteres ist in Hinblick auf den Datenschutz besonders interessant: Während das Gewährleistungsrecht bislang nur für entgeltliche Verträge gültig war, sollen die neuen Bestimmungen nun auch dann gelten, wenn Betroffene für digitale Leistungen nicht mit Geld, sondern mit personenbezogenen Daten bezahlen.

Lädt eine Person beispielsweise Fotos in einen kostenlosen Cloud-Dienst, so kann dieser, sollte das Abrufen der Fotos Probleme mit sich bringen, oder das Material verzerrt oder falsch dargestellt werden, von seinem Gewährleistungsrecht Gebrauch machen. Der Cloud-Dienst ist nach dem neuen Gesetz gewährleistungspflichtig in Bezug auf sämtliche mögliche Mängel, welche anfallen könnten. Der betroffene Kunde hat dann zum Beispiel das Recht, zu verlangen, dass seine personenbezogenen Daten vom Anbieter nicht mehr genutzt werden dürfen.

Unsere Praxistipps