MeineBerater

Seit Inkrafttreten der DSGVO hört man ständig den Ausdruck „TOMs“ in Zusammenhang mit dem Datenschutz. Wofür steht die Abkürzung überhaupt und was kann man sich in der Praxis darunter vorstellen? In unserer 3 teiligen Serie, erklären wir Ihnen alle wichtigen Begriffe, praxisorientiert und leicht verständlich für den Arbeitsalltag. In diesem Teil geht es um die vier Kontrollschritte Zutritts-, Zugangs-, Zugriffs- und Weitergabekontrolle.

Mit den TOMs sind die technischen und organisatorischen Maßnahmen gemeint. Dabei handelt es sich um Sicherheitsvorkehrungen, die personenbezogene Daten vor unberechtigtem Zugriff schützen. Die Maßnahmen kann man anhand der folgenden acht Gebote darstellen, die in Form von Kontrollschritten beschrieben werden:

Zutrittskontrolle
Zugangskontrolle
Zugriffskontrolle
Weitergabekontrolle
Eingabekontrolle
Auftragskontrolle
Verfügbarkeitskontrolle
Datentrennungskontrolle

Auf die ersten vier Kontrollschritte gehen wir nun genauer ein:

Zutrittskontrolle

Unbefugte dürfen sich keinen Zutritt zu Ihrem Betriebsgelände oder Bürogebäude, in denen sich Ihre betrieblichen Räumlichkeiten befinden, verschaffen. Das kann durch Maßnahmen wie beispielsweise sichere Türschlösser, Videoüberwachung oder eine Besucherkontrolle durch einen Portier gewährleistet werden. Übrigens: Das Türschloss am Beitragsfoto ist aus heutiger Sicht definitiv nicht mehr als sicher einzustufen.

Zugangskontrolle

Hat ein Dritter nun bereits Zutritt erlangt, so stellt die Zugangskontrolle sicher, dass sich die Person dennoch nicht den Zugang zu den EDV-Anlagen (Serverräumen, PCs, Laptops) schafft. Dazu dienen unter anderem biometrisch gesicherte Serverräume, das Wegsperren von Laptops, aber auch Firewalls und Anti-Viren-Programme.

Zugriffskontrolle

Sollten nun bereits die Zutritts- und Zugangskontrolle versagt haben und der unbefugte Dritte ist bereits zu einem PC, Laptop oder an Ihren Schreibtisch gelangt, so regelt die Zugriffskontrolle, dass die Person trotzdem keinen Zugriff auf personenbezogene Daten erhält. Was sind die hier wichtigsten Maßnahmen: Gute Passwörter, versperrte Akten.

Weitergabekontrolle

Die Weitergabekontrolle stellt sicher, dass Daten nur an berechtigte Empfänger übermittelt werden. Welche Maßnahmen stellen in der Praxis sicher, dass Daten ausschließlich in die richtigen Hände geraten? Beispiele für die Umsetzung der Weitergabekontrolle sind die Verschlüsselung von Emails, VPN-Technologie, Authentifizierung der User, Passwortschutz bei Email Anhängen sowie die Verwendung von digitalen Signaturen.

Unsere Praxistipps

Clear-Screen & Clear-Desk-Prinzip: Auf Schreibtischen oder Bildschirmen dürfen personenbezogene Daten Unbefugten (also beispielsweise Kunden, mit denen man eine Besprechung hat) keinesfalls zugänglich gemacht werden. Lassen Sie also keine Dokumente herumliegen oder am Bildschirm offen, wenn Sie Ihren Arbeitsplatz verlassen. Oder wenn Sie eine Besprechung haben. Die Kombination Windows-Taste + L sperrt Ihren Bildschirm unmittelbar.
Schützen Sie Ihren PC/Laptop mit einem sicheren Passwort: 10 Zeichen, Groß/Kleinschreibung, Ziffer, Sonderzeichen = keine ganzen Wörter, Namen, Kfz-Kennzeichen oder Geburtsdaten verwenden! Weitere Informationen zum Passwortmanager finden Sie hier.
Die TOMs scheinen in der Praxis für viele Unternehmen eine Herausforderung zu sein, weil es sich dabei oftmals um (EDV-)technische Anforderungen und Maßnahmen zur IT-Sicherheit handelt. Kontaktieren Sie uns, wenn Sie Unterstützung bei der Umsetzung benötigen, durch unsere jahrelange Expertise im Datenschutz- und IT-Bereich sind wir Ihre idealen Partner.
Lesen Sie im 2. Teil unserer TOMs Serie mehr über die Eingabe- und Auftragskontrolle.

Seit dem 1. Januar 2021 ist der Brexit vollzogen, das United Kingdom ist kein Teil der EU mehr. Zudem ist seit Ende Juni die Übergangsphase vorbei. Falls Sie sich datenschutzrechtlich auf diese Änderung noch nicht eingestellt haben und sich über die Neuerungen bezüglich des Datentransfers informieren möchten, empfehlen wir Ihnen den folgenden Beitrag.

Was gilt es bei einem Drittland, wie nunmehr Großbritannien, beim Datentransfer zu beachten?

Aus der Sicht der DSGVO sind alle Länder außerhalb der EU und des Europäischen Wirtschaftsraums „Drittländer“. Das bedeutet, dass personenbezogene Daten nicht ohne Weiteres in diese Länder transferiert werden dürfen. Für das UK sind somit zusätzliche Überlegungen notwendig.

Welche Auswirkungen hat der Brexit auf EU und UK?

Die bisherige Gleichstellung des Datenschutzniveaus auf Basis der Übergangsregelung im Abkommen zwischen der EU und UK endete am 30. Juni 2021. Die EU-Kommission hat gerade noch rechtzeitig einen sogenannten „Angemessenheitsbeschluss” in Kraft gesetzt, um Großbritannien ein angemessenes Datenschutzniveau zu bescheinigen. Grundsätzlich muss bis auf weiteres beim Einsatz von Datenverarbeitern aus Großbritannien nichts anderes beachtet werden als bei IT-Dienstleistern mit Sitz in der EU. Denn UK gilt seit 1. Juli 2021 als sicheres Drittland in Bezug auf die Verarbeitung personenbezogener Daten. Der erlassene Angemessenheitsbeschluss ist die nächsten vier Jahre gültig.

Wer ist von den Neuerungen zum Datentransfer zwischen EU und UK betroffen?

Die Neuerungen sind für Sie relevant, wenn Sie personenbezogene Daten nach UK übermitteln oder dort ansässigen Unternehmen Zugriff auf Ihre Daten gewähren.

Dies kommt vor allem in folgenden Fällen vor:

Sie betreiben eine Niederlassung in UK
IT-Dienstleister aus UK werden zur Ausführung von IZ-Leistungen eingesetzt.
Nutzung von Tools aus Großbritannien (beispielsweise Onlinemarketing-Tools).

Betroffen davon können Ihre Kunden, Nutzer Ihrer Onlinedienste oder Besucher Ihrer Webseite sowie Mitarbeitende sein.

Was müssen Sie konkret tun?

Großbritannien reiht sich mit dem Angemessenheitsbeschluss in die bereits anschauliche Liste an sicheren Drittstaaten ein. Sie müssen im Namen des Unternehmens dennoch

Auftragsverarbeitungsvereinbarungen nach Art 28 DSGVO mit UK Auftragsverarbeitern abschließen oder aktualisieren,
in Großbritannien einen Vertreter bestellen: Wenn Sie Waren oder Dienstleistungen an natürliche Personen im UK verkaufen,
Ihre DSGVO-Dokumentation aktualisieren, wie etwa
- das Verarbeitungsverzeichnis und
- bestehende Datenschutz-Folgeabschätzungen überprüfen.

Generell bringt der Beschluss eine große Erleichterung für alle datengetriebenen Geschäftsmodelle und den Einsatz von IT-Lösungen von britischen Anbietern.

Unser Fazit

Für die nächsten vier Jahre sollte die Datenübermittlung nach UK unproblematisch möglich sein. Doch: Wir behalten die Lage für Sie im Auge, Änderungen sind jederzeit möglich. Im schlimmsten Fall könnte der Angemessenheitsbeschluss von heute auf morgen gekippt werden, beispielsweise wenn UK die USA zu einem sicheren Drittland erklären würden.

Bei weiteren Fragen oder Unklarheiten kontaktieren Sie uns jederzeit!

Die Europäische Kommission hat kürzlich die finale Fassung der neuen EU-Standardklauseln für die Übermittlungen personenbezogener Daten in Drittländer (USA ist auch ein Drittland!) veröffentlicht. Gleichzeitig ist auch die endgültige Fassung der Standardvertragsklauseln für Auftragsverarbeitungsverträge fertiggestellt worden. Was das Ganze für Sie bedeuten kann, gibt es hier zum Nachlesen.

Standardklauseln – Notwendigkeit für Neuerungen

Vergangenen Juli hatte der Europäische Gerichtshof mit dem „Schrems II“-Urteil nicht nur die Übermittlung personenbezogener Daten in die USA auf Grundlage des Privacy Shields für unzulässig erklärt, sondern auch erkannt, dass das Instrument der Standardklauseln beim Datentransfer in Drittstaaten datenschutzrechtlich nicht reicht. Zur Erinnerung: Als Drittstaaten gelten alle Länder außerhalb des EWR mit wenigen Ausnahmen (als sicher gelten: Andorra, Argentinien, Färöer-Inseln, Guernsey, Insel Man, Israel, Japan, Jersey, Kanada, Neuseeland, Schweiz, Südkorea, UK und Uruguay).

Weitere Informationen zum Fall des Privacy Shields, können Sie hier nachlesen.

Seit der Entscheidung war vielen Unternehmen unklar, wie die Datenübermittlung an Empfänger in Drittstaaten erfolgen soll. Deshalb ist die Freude über neue Standardklauseln zur Sicherstellung der geeigneten Garantien nach Art. 46 DSGVO groß.

Aufbau der neuen Standardklauseln

Der modulare Aufbau der neuen Standardklauseln zeigt die möglichen Konstellationen zwischen den Vertragspartnern bei Drittstaatenübermittlungen. Es gibt insgesamt vier Module:

Modul 1: Übermittlung von Verantwortlichen an Verantwortliche

Modul 2: Übermittlung von Verantwortlichen an Auftragsverarbeiter

Modul 3: Übermittlung von Auftragsverarbeitern an Auftragsverarbeiter

Modul 4: Übermittlung von Auftragsverarbeitern an Verantwortliche

Standardklauseln – was ist neu?

Die Übergangsfristen wurden angepasst:

- Die neuen Standardklauseln gelten 20 Tage nach ihrer formellen Veröffentlichung im Amtsblatt der EU, also ab 24. Juni 2021.
- Nach der Veröffentlichung im Amtsblatt, dürfen die alten Standardklauseln noch weitere 3 Monate verwendet werden, also bis 3. September 2021.
- Für bestehende Verträge gilt eine Übergangsfrist von 15 statt 12 Monaten, also bis zum 3. September 2022.
- Die neuen Standardklauseln bieten allerdings nicht in jedem Fall ausreichende Garantien, vor allem nicht für die USA! Vielmehr ist in jedem Einzelfall eine Gesamtbeurteilung notwendig, um zu sehen, ob noch zusätzliche Klauseln oder weitere Sicherheiten erforderlich sind. Dabei sind beispielsweise Informationen über die Anwendung der Rechtsvorschriften im Drittstaat, die Häufigkeit von Behördenanträgen auf Offenlegung der Daten (sprich: Zugriff von Regierungsbehörden auf personenbezogene Daten) oder die dokumentierte Erfahrung der Vertragsparteien zu berücksichtigen.

Das bedeutet als praktisches Beispiel: So lange ein Unternehmen in den USA dem sogenannten FISA 702 unterliegt, wie Go2Meeting, Salesforce, Hub Spot, Mailchimp, Zoom und viele andere, reichen wie bisher die Standardvertragsklauseln nicht aus. Ja mehr noch: Geeignete Absicherungen für Daten von EU-Bürgern gibt es auch jetzt nicht.
Neben den Standardklauseln wurde auch ein EU-Muster einer Auftragsvereinbarung nach Art 28 DSGVO veröffentlicht. Die Vereinbarung kann in bereits bestehende Verträge eingebunden oder auch alleine verwendet werden.

Unser Fazit

Auch der Abschluss der neuen Standardvertragsklauseln alleine ist keine Garantie für einen sicheren Drittstaatendatentransfer. Unternehmen sind selber dafür zuständig, zu prüfen, ob Standardklauseln ausreichen oder ob zusätzliche Maßnahmen erforderlich sind, um ein adäquates Datenschutzniveau zu gewährleisten. Um personenbezogene Daten etwa vor dem Zugriff von Regierungen zu schützen, müssen weitere Maßnahmen ergriffen werden. Es besteht zum Beispiel die Möglichkeit Daten vor der Übermittlung zu verschlüsseln oder zu anonymisieren.

Durch die neuen Standardklauseln besteht nun dringender Handlungsbedarf, wenn man mit Datenverarbeitern in Drittstaaten zusammenarbeitet.

Für Verantwortliche und Auftragsverarbeiter, die aktuell die bisher bestehenden Standardvertragsklauseln für Übermittlungen in Drittländer nutzten, beträgt die Übergangsfrist 15 Monate.

Wir empfehlen Ihnen daher, zeitnah bestehende Verträge zu prüfen und die für den Neuabschluss von Verträgen erforderlichen Schritte in die Wege zu leiten.

Wenn Sie Unterstützung benötigen, kontaktieren Sie uns jederzeit gerne.

Niemand darf zu Werbezwecken ohne Einwilligung kontaktiert werden. So sagt man, steht es in der DSGVO. Ganz so ist es allerdings nicht. In Österreich regelt das Telekommunikationsgesetz das Thema Werbeanrufe und elektronische Werbung. Hierbei werden Ausnahmen normiert, die eine Zusendung elektronischer Post auch ohne Einwilligung ermöglichen. Welche Voraussetzungen dazu gegeben sein müssen, erfahren Sie in unserem Beitrag.

Kontaktaufnahme laut Telekommunikationsgesetz

Seit langer Zeit (2007) ist im Telekommunikationsgesetz geregelt, dass Personen nicht mit unerbetenen Nachrichten bombardiert werden dürfen. (Dies gilt übrigens auch im B2B-Bereich.) Die DSGVO enthält diesbezüglich einige Regelungen, die jedoch nicht in die Tiefe gehen. Informationen dazu können Sie in unserem vorherigen Beitrag lesen. Um zu Werbezwecken Kontakt aufnehmen zu dürfen, ist eine Einwilligung der betroffenen Person notwendig. Ein Widerruf der Einwilligung muss jederzeit möglich sein. Die Identität des Absenders sollte klar erkennbar sein und die Rufnummer darf weder unterdrückt noch verfälscht angezeigt werden. Auch ein Newsletter unterliegt einer Impressumspflicht! Ebenso wichtig ist es, dass eine geeignete Adresse übermittelt wird, an welche die Empfänger den Wunsch zur Einstellung der Zusendung richten können.

Ausnahmen im Telekommunikationsgesetz

Wann ist nun keine Einwilligung zur Kontaktaufnahme notwendig? Die Ausnahmen werden im Telekommunikationsgesetz – im § 107, für besonders interessierte Juristen, – definiert. Wir fassen für Sie zusammen:

Eine Einwilligung zum Erhalt elektronischer WERBUNG ist unter folgenden Bedingungen nicht nötig:

1.	Der Absender hat die Kontaktinformation für die Nachricht im Rahmen eines Verkaufs oder einer Dienstleistung erhalten.
2.	Die Nachricht erfolgt zur Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen.
3.	Der Empfänger hat klar die Möglichkeit erhalten, die Nutzung seiner Kontaktinformation ohne Folgen abzulehnen.
4.	Der Empfänger hat die Zusendung nicht bereits vorab, vor allem nicht durch Eintragung in die sogenannte Robinsonliste, abgelehnt.

Ein Praxisbeispiel hierzu: Herr Huber hat bei Ihnen ein Seminar zum Thema Brandschutz besucht und Ihnen in diesem Zusammenhang seine Kontaktdaten gegeben. Als er an Ihrer Weiterbildung teilnahm, haben Sie ihn gefragt, ob er Werbung von Ihnen erhalten möchte. Sie haben ihn über die Möglichkeit der Ablehnung informiert. Er hat nicht abgelehnt. Nun möchten Sie ihm Werbung für Ihr neues Seminar zum Thema Hygiene zusenden. Um rechtskonform zu handeln, prüfen Sie vorab, ob er in der Robinsonliste eingetragen ist. Die Eintragung in diese Liste steht übrigens über allen anderen Voraussetzungen. Wenn Herr Huber dort nicht eingetragen ist, können Sie ihm nun Werbung zusenden. Ihr Werbeemail ist klar als Werbung zu erkennen, hat ein Impressum und einen Link, wo sich Herr Huber jederzeit vom Erhalt weiterer Zusendungen abmelden kann. So geht elektronische rechtskonforme Werbung!

Unsere Praxistipps

Senden Sie niemals Werbeaussendung oder tätigen Sie Werbeanrufe, wenn die oben beschriebenen Punkte nicht erfüllt sind. Ein solcher Fehler könnte Sie teuer zu stehen kommen, wie Datenschutz-Entscheidungen bereits zeigen. Aber nicht nur Datenschutz-Entscheidungen sind relevant, sondern auch Anzeigen bei der Fernmeldebehörde, können Sie teuer zu stehen kommen (Strafen: Erstverstoß bis zu 37.000,- €).
Wenden Sie sich an uns, wenn Sie Details wissen möchten, um Ihre Werbung rechtskonform zu gestalten. Wir unterstützen Sie gerne.

Datenschutzmängel bei Facebook sind keine Neuigkeiten, nun hat sich die Social-Media-Plattform allerdings mit einem besonders schweren Datenleck in die Nachrichten manövriert. Auch LinkedIn und Clubhouse sind aktuell aus ähnlichen Gründen in aller Munde. Lesen Sie in diesem Beitrag genauere Informationen zu den Vorfällen.

Datenmissbrauch bei Facebook

Vor einigen Wochen wurde bei Facebook eine schwere Datenpanne mit rund 530 Millionen betroffenen Personen bekannt. Durch eine Sicherheitslücke wurde eine enorm hohe Menge an personenbezogenen Daten im Internet veröffentlicht, welche in einem Forum für Cyberkriminelle auftauchten und dort kostenfrei zur Verfügung standen. Das Leak war bereits vor Jahren bekannt geworden und laut der Social-Media-Plattform 2019 behoben worden.

Unter den Betroffenen befinden sich 6 Millionen Deutsche, die sich nun mit der Unterstützung des Münchner Unternehmens „Europäische Gesellschaft für Datenschutz“ (EuGD) zu einer Klage auf Schadenersatz für immateriellen Schaden entschlossen haben. Sollte diese erfolgreich sein, könnte jeder betroffenen Person 1000,- € Schadenersatz zukommen. Dies hätte wohl einen abschreckenden Effekt, sogar für Facebook!

Datenmissbrauch bei LinkedIn

Auch bei LinkedIn wurde kurz darauf ein Fall von Datenmissbrauch publik. Mehr als 500 Millionen Profildaten wurden in einem populären Hackerforum gegen eine geringe Gebühr zum Verkauf angeboten. Bei den Daten handelt es sich um Namen, Telefonnummern, Email Adressen und Arbeitgebende. Das soziale Netzwerk für Geschäftskontakte bezeichnet den Vorfall als unerlaubtes Scraping. Damit sind bestimmte Techniken gemeint, die durch gezieltes Extrahieren von Daten, zum Gewinn bestimmter Informationen herangezogen werden.

Datenmissbrauch bei Clubhouse

Clubhouse ist die jüngste Social-Media-Plattform und hat in den letzten Monaten große Bekanntheit erlangt. Zuletzt fiel die Trend-App jedoch ebenso wie Facebook und LinkedIn äußerst negativ in den Schlagzeilen auf. Auch von Clubhouse-Nutzern wurden personenbezogene Daten im Internet frei zugänglich gemacht. In diesem Fall wurde ebenso wie bei LinkedIn durch Datenscraping eine Datenbank der gesammelten Daten erstellt, die ein gefundenes Fressen für Hacker darstellt. Von diesem Vorfall sind insgesamt 1,3 Millionen Nutzer betroffen.

Unsere Praxistipps

Werfen Sie unbedingt einen Blick auf Ihre Online-Konten und seien Sie vorsichtig beim Öffnen von Emails oder Nachrichten auf oder von den betroffenen Plattformen.
Verwenden Sie in allen Konten sichere und unterschiedliche Passwörter und ändern Sie diese regelmäßig. In diesem Beitrag finden Sie wichtige Informationen zum Passwortmanagement.
Eine Zwei-Faktor-Authentifizierung ist sehr zu empfehlen.
Unter diesem Link können Facebook-User überprüfen, ob sie betroffen sind.
Kontaktieren Sie uns bei weiteren Fragen.

Benutzen Sie WhatsApp? Wenn ja, dann wissen Sie bereits, dass es aufgrund der geänderten Nutzungsbedingungen zu einer massiven Absenkung des Datenschutzniveaus kommt. Diese sollten ursprünglich bereits im Februar umgesetzt werden, die Deadline wurde jedoch auf Mai verlegt. Von nun an kann die Nachrichten-App nur noch genutzt werden, wenn man den geänderten Nutzungsbedingungen zustimmt. Worum es dabei genau geht und warum wir Ihnen raten, auf eine sichere Alternative umzusteigen, erfahren Sie in diesem Beitrag.

Update der Datenschutzrichtlinien

Seit Jänner gibt es viel Wind um eine bevorstehende Änderung der weltweiten Nutzungsbedingungen des Kommunikationsdienstes WhatsApp. Nutzer müssen darin zustimmen, dass ihre personenbezogenen Daten von nun an vom gesamten Facebook-Universum, zu dem der Nachrichtendienst seit einigen Jahren zählt, verwendet werden dürfen. Darunter fallen unter anderem das Adressbuch mit Telefonnummern, Profilnamen, Profilbilder und Statusmeldungen.

Zwar wird erklärt, dass keine Informationen, die WhatsApp weitergibt, für Facebook-Unternehmen Verwendung finden. Aber: gleichzeitig erfolgt der Hinweis darauf, dass WhatsApp mit anderen Facebook-Unternehmen Daten teilt, um Dienste „zu betreiben, anzubieten, zu verbessern, zu verstehen, zu individualisieren, zu unterstützen und zu vermarkten“. Daten dürfen so innerhalb des Konzerns unbeschränkt weitergegeben werden. Zusätzlich wird erläutert, dass Facebook für die Bereitstellung von Analysediensten beispielweise Telefonnummern, Geräteinformationen und weitere Informationen von WhatsApp erhält. Auch Personen, die gar nicht auf Facebook sind, sondern nur WhatsApp nutzen, sind dabei betroffen.

Folgen des Updates für Verbraucher

Um im Unternehmen DGSVO-konform unterwegs zu sein, wird schon seit Jahren darauf hingewiesen, dass WhatsApp kein datenschutzsicherer Kommunikationsdienst ist und daher nicht verwendet werden darf. Mitgrund dafür ist die Datenübertragung sämtlicher gespeicherter Kontakte in die USA. Näheres können Sie auch hier nachlesen. Wir empfehlen Ihnen den neuen Bedingungen nicht zuzustimmen und die App künftig nicht mehr zu benutzen. Für einige WhatsApper können die Änderungen nun eine hervorragende Gelegenheit sein, auch die private Kommunikation datenschutzsicherer zu gestalten.

Wir zeigen Ihnen hier überlegenswerte Alternativen sicherer Nachrichtendienste auf:

Sichere Nachrichten-Apps

Signal

Sicherheit wird bei Signal großgeschrieben: Private Nachrichten und Gruppenchats sind Ende-zu-Ende-verschlüsselt. Die Telefonnummern werden nur anonymisiert an den Server übermittelt. Zudem wird der Messenger-Dienst von einer gemeinnützigen Stiftung geführt. Signal ist Open-Source und somit kann der Code von jedem geprüft werden.

Threema

Threema ist ein freier und ebenso Ende-zu-Ende-verschlüsselter Messaging-Dienst aus der Schweiz, der wie auch Signal datenschutzsicherer als WhatsApp ist. Im Gegensatz zu Signal und Ginglo ist Threema jedoch nicht kostenlos. Es werden einmalige Zahlungen oder monatliche Zahlungen (Business Variante) verlangt.

Ginglo

Ginglo ist die Nachfolger Messenger-App von SIMSme der Deutschen Post. Hierbei werden keine Daten an Server außerhalb der Europäischen Union übertragen, eine Vollverschlüsselung ist inbegriffen. Zur Nutzung muss die Handynummer angegeben werden und der Zugriff auf gespeicherte Kontakte ist möglich, aber nicht zwingend erforderlich. Außerdem kann in jedem Chat für einzelne Nachrichten die Selbstzerstörung gewählt werden.

Unsere Praxistipps

Entscheiden Sie sich für eine sichere Nachrichten-App und löschen Sie WhatsApp auf Ihrem Handy.
Egal welchen Dienst Sie letztendlich wählen: Bleiben Sie datenschutzrechtlich auf der sicheren Seite, auch privat. Und diese ist eindeutig nicht jenseits des Atlantiks.
Bei Fragen kontaktieren Sie uns. Jederzeit!

Wissen Sie genau darüber Bescheid, wann Sie Kontaktdaten verarbeiten und zu Marketingzwecken verwenden dürfen? In Italien kam es erneut zu einer sehr hohen DSGVO-Strafe von 4,5 Millionen Euro aufgrund von unrechtmäßigem Telemarketing, von dem ganze 7,5 Millionen Personen betroffen waren.

Telemarketing ohne Rechtsgrundlage

Gegen den italienischen Festnetzbetreiber „Fastweb“ gingen bei der Datenschutzbehörde hunderte Beschwerden ein. Betroffene beklagten sich über aggressives Telemarketing. Die italienische Datenschutzbehörde leitete Ermittlungen gegen den Kommunikationsbetreiber ein und stellte dabei fest, dass die verwendeten Telefonnummern nicht im Register des Unternehmens eingetragen waren. Die Kontaktdaten wurden von externen Partnern ohne Einwilligung der Betroffenen bezogen. Insgesamt waren von der Verarbeitung 7,5 Millionen Personen betroffen.

Folgen des aggressiven Telemarketings

Die durchgeführten Werbeanrufe ohne Rechtsgrundlage stellen einen klaren Verstoß gegen die DSGVO dar. Bei der Prüfung des Festnetzbetreibers durch die italienische Datenschutzbehörde stellte diese zudem weitere Verstöße fest: Zum einen wurde keine ordnungsgemäße Ausübung der Betroffenenrechte, insbesondere des Widerspruchs, ermöglicht, zum anderen waren auch die technischen und organisatorischen Maßnahmen zum Datenschutz mangelhaft.

Daraufhin wurde eine Strafe von 4,5 Millionen Euro gegen „Fastweb“ verhängt. Zudem wurde der Betreiber angewiesen, seine Sicherheitsmaßnahmen zu verstärken und seine Werbepraxis rechtmäßig zu gestalten.

Unsere Praxistipps

Achtung, personenbezogene Daten dürfen ausschließlich mit Rechtsgrundlage verarbeitet werden! Im Falle von Telemarketing, also Aussendungen, Newsletter, Werbeanrufe und ähnliches, ist eine gültige Einwilligung der betroffenen Personen notwendig.
Kontaktieren Sie Personen nicht zu Werbezwecken, wenn Sie keine Einwilligung dafür haben.
Die DSGVO regelt den Schutz vor aggressiven und unzulässigen„Werbeattacken“ auf Personen sehr klar – bei Verstößen ist, wie man anhand einiger Entscheidungen zu diesem Thema bereits sieht, mit hohen Strafen durch die zuständigen Datenschutzbehörden zu rechnen!

Daten sind in den letzten Jahren zu einem beliebten Währungsmittel geworden. Bestimmt haben Sie schon häufig mit Daten für vermeintlich „kostenlose“ Dienste bezahlt. Nun wurde ein neues Gewährleistungsrecht auf den Weg gebracht, das künftig Verbesserungen für Verbraucher verspricht. Die wichtigsten Informationen dazu haben wir für Sie in diesem Beitrag zusammengefasst.

Die Bezahlung durch Daten

Zahlreiche Plattformen und Dienste stellen kostenlose Leistungen zur Verfügung. Gezwungenermaßen müssen wir einwilligen, dass beispielsweise auf unsere Kontakte, Fotos, Mikrofon, Standort oder auf andere Informationen zugegriffen wird. Wir nehmen das jedoch in Kauf, um uns ein Video anzusehen oder einen Messenger-Dienst zu nutzen. Schließlich werden wir vor die Entscheidung gestellt: Möchten wir den Dienst in Anspruch nehmen und dafür mit unseren Daten bezahlen? Oder wollen wir den Zugriff lieber nicht erlauben und können dafür aber die jeweilige Leistung nicht in Anspruch nehmen? Diese Zwickmühle veranlasst uns häufig dazu, den Zugriff auf unsere privaten Daten trotzdem zu erlauben, obwohl wir mit diesem grundsätzlich keineswegs einverstanden sind. Eine Gesetzesänderung gibt uns nun mehr Rechte.

Neue Ansprüche bei der Bezahlung mit Daten

Ein neues Gewährleistungsrecht nach EU-Richtlinie soll uns Verbrauchern zukünftig das Leben erleichtern. Dieses ist bis zum 1. Juli 2021 durch nationale Gesetze umzusetzen und soll mit 1. Jänner 2022 zur Anwendung kommen. Im Vordergrund steht grundsätzlich eine Verbesserung der Durchsetzung von Gewährleistungsansprüchen bei Mängeln, beispielsweise bei der Beweislast. Zusätzlich werden auch digitale Neuerungen verlangt: Zum einen kostenlose Software-Updates für „Smart Goods“, beispielsweise Smartphones oder „intelligente“ Fitnessuhren, und zum anderen neue Regelungen in Bezug auf die Bezahlung mit Daten.

Letzteres ist in Hinblick auf den Datenschutz besonders interessant: Während das Gewährleistungsrecht bislang nur für entgeltliche Verträge gültig war, sollen die neuen Bestimmungen nun auch dann gelten, wenn Betroffene für digitale Leistungen nicht mit Geld, sondern mit personenbezogenen Daten bezahlen.

Lädt eine Person beispielsweise Fotos in einen kostenlosen Cloud-Dienst, so kann dieser, sollte das Abrufen der Fotos Probleme mit sich bringen, oder das Material verzerrt oder falsch dargestellt werden, von seinem Gewährleistungsrecht Gebrauch machen. Der Cloud-Dienst ist nach dem neuen Gesetz gewährleistungspflichtig in Bezug auf sämtliche mögliche Mängel, welche anfallen könnten. Der betroffene Kunde hat dann zum Beispiel das Recht, zu verlangen, dass seine personenbezogenen Daten vom Anbieter nicht mehr genutzt werden dürfen.

Unsere Praxistipps

Erheben auch Sie personenbezogene Daten von Verbrauchern, die Dienste online auf Ihrer Webseite in Anspruch nehmen, wie zum Beispiel Videos ansehen? Wenn ja, dann vergessen Sie nicht: Das neue Recht betrifft auch Sie! Bei Mängeln, Schäden und Fehlern können Betroffene ab 1. Jänner 2022 Ihnen gegenüber Gewährleistungsansprüche geltend machen.
Kontaktieren Sie uns sehr gerne, wir stehen Ihnen jederzeit zur Seite, um rechtskonform auf Anfragen zu reagieren.

Durch die Lockerung der COVID-19-Maßnahmen können unter anderem wieder Lokale besucht werden, Events stattfinden und Sportstätten geöffnet werden. Die Regeln zur „Rückkehr“ sind jedoch streng. Zusätzlich zur Test- und Maskenpflicht wird in vielen Fällen ein COVID-19-Beauftragter benötigt – Geschäftsführerin Birgit von Maurnböck ist dazu ausgebildet und unterstützt Sie gerne.

Lockerung der COVID-19-Maßnahmen

Nach langem Warten kehrt wieder ein Stück Normalität zurück nach Österreich: Mit dem 19. Mai kommt es zu Lockerungen der COVID-19-Maßnahmen. So ist es unter anderem wieder möglich, Lokale und Restaurants sowie Sportstätten und Veranstaltungen zu besuchen. Ganz „normal“ läuft das Ganze jedoch noch nicht ab – all diese Schritte sind mit strengen Regelungen verbunden. Zusätzlich zu einer FFP2-Maskenpflicht in allgemeinen Bereichen oder außerhalb des eigenen Sitzplatzes, muss

in Lokalen,
in Hotels,
bei Veranstaltungen,
in Freizeitbetrieben,
in Museen und
in Sportstätten

beim Betreten entweder ein Test gemacht werden, ein gültiges negatives Testergebnis, eine Bestätigung über eine bereits durchgemachte COVID-19-Erkrankung (sechs Monate danach) oder ein Impfzertifikat (22 Tage nach der Erstimpfung) vorgewiesen werden. Genauere Regelungen können Sie auf der Website des Sozialministeriums nachlesen.
Auf eine Regulierung gehen wir jedoch nun genauer ein: In der Gastronomie, im Tourismus, in der Kultur, bei Veranstaltungen, bei Kongressen, bei Messen sowie in Sport- und Freizeitbetrieben muss ein Präventionskonzept erstellt und ein COVID-19-Beauftragter ernannt werden.

Birgit von Maurnböck ist COVID-19-Beauftragte

Unsere Geschäftsführerin hat die Ausbildung zur COVID-19-Beauftragten beim Wiener Roten Kreuz – Österreichs einzigem zertifizierten Ausbildungszentrum für Veranstaltungssicherheit – absolviert und weiß nun genauestens Bescheid über Hygiene-Maßnahmen wie Mundschutz, Händewaschen und Desinfektion, die Regelung von Besucherströmen und Abständen, die Beurteilung von Risiken sowie auch über das Verhalten im Ernstfall, also bei einem Verdachtsfall oder einer tatsächlich vorliegenden Infektion.
Da von nun an österreichweit personenbezogene Daten aller Besucher erfasst werden, ist es selbstverständlich von besonderem Vorteil, als COVID-19-Beauftragte und somit als Verantwortliche für die Verarbeitung dieser Daten eine Datenschutzbeauftragte und einen Profi im Bereich Datenschutz einzusetzen.

Welche Vorteile haben Sie durch eine COVID-19-Beauftragte?

Sie sind rechtskonform unterwegs. Die Bestellung eines solchen Beauftragten ist verpflichtend vorgeschrieben.
Außerdem profitieren nicht nur sämtliche Besucher und Teilnehmer sowie Mitarbeitende von den Maßnahmen zur Reduktion des Corona-Infektionsrisikos, sondern schlussendlich wir alle!

Sollten Sie eine COVID-19-Beauftragte benötigen, kontaktieren Sie uns. Wir unterstützen Sie gerne beim Erstellen eines Präventionskonzepts und fungieren in der offiziellen Rolle als COVID-19-Beauftragte.

Wir freuen uns auf Ihre Anfragen und wünschen Ihnen gelungene, erfolgreiche, gesunde Öffnungsschritte!