Datenrecht.at

Bislang war die Datenschutzbehörde (DSB) die einzige Aufsichtsbehörde für den Datenschutz in Österreich. Als Reaktion auf das Urteil des EuGH vom 16.1.2024 (Rs C‑33/22), womit im Wesentlichen die Zuständigkeit der DSB auch für den Gesetzgebungsbereich bejaht wurde (Gewaltenteilung!), wird nunmehr ein Parlamentarisches Datenschutzkomitee als “sektorale” Aufsichtsbehörde eingerichtet, das per Landesverfassungsgesetz auch für Landtage, Landesrechnungshöfe und Landesvolksanwälte zuständig gemacht werden kann. Die im Nationalrat vertretenen Parteien haben sich auf ein Gesetzespaket geeinigt, mit dem u.a. das Geschäftsordnungsgesetz, das Informationsordnungsgesetz, das Datenschutzgesetz, das Rechnungshof-, das Volksanwaltschaftsgesetz und das B-VG entsprechend geändert werden:

• 2594 d.B. - Informationsordnungsgesetz, Datenschutzgesetz, Beamten-Dienstrechtsgesetz 1979 und Verwaltungsgerichtshofgesetz 1985
• 2595 d.B. - Rechnungshofgesetz 1948 und Volksanwaltschaftsgesetz 1982
• 3848/A - Bundes-Verfassungsgesetz
• 3847/A - Geschäftsordnungsgesetz 1975
• Änderung der Geschäftsordnung des Bundesrates
• Pressemeldung NR vom 13.6.2024

Das deutsche Bundeskartellamt hat am 19.6.2024 den Abschlussbericht zu seiner verbraucherrechtlichen Sektoruntersuchung „Scoring beim Online-Shopping“ veröffentlicht. Das Bundeskartellamt kommt zu dem Ergebnis, dass Online-Händler, Zahlungsdienstleister und Auskunfteien die geltenden Vorgaben des Verbraucherrechts nicht immer einhalten - dabei geht das Kartellamt auch auf damit verbundene (datenschutz-)rechtliche Themen (DSGVO, BDSG, UWG, Digital Markets Act, AI Act und EU‐Verbraucherkreditrichtlinie) sowie Online-Bonitätsprüfungen ein.

Der vollständige Bericht zur Sektoruntersuchung „Scoring beim Online-Shopping“ ist auf der Internetseite des Bundeskartellamtes abrufbar.

Wie in diesem Blog berichtet, hat der Europäische Datenschutzbeauftragte (EDSB) eine verbindliche Entscheidung hinsichtlich des Einsatzes von MS356 durch die Europäische Kommission erlassen. Der EDSB analysierte darin den Einsatz von MS365 durch die Europäische Kommission im Detail (EDSB 8.3.2024, Case 2021-0518, https://www.edps.eur … use-microsoft-365_en). Gegen diese Entscheidung des EDSB sind sowohl die Europäische Kommission als auch Microsoft Ireland Operations vor das EuG gezogen, siehe Rechtssachen T-262/24 und T-265/24; Stand 24.6.2024 sind noch keine weiteren Dokumente veröffentlicht.

This report by the European Union Agency for Fundamental Rights (FRA) analyses the challenges they face in the GDPR implementation. The findings complement the European Commission's forthcoming evaluation of the GDPR.

FRA, GDPR in practice: Experiences of data protection authorities, https://fra.europa.eu/en/publication/2024/gdpr-experiences-data-protection-authorities

The Report from the Multistakeholder Expert Group on the GDPR evaluation was just published.

Hier https://www.uibk.ac.at/de … ustausch-zum-datenschutz/ ist ein lesenswerter Bericht über das Treffen der IG Datenschutz an der Uni Innsbruck zu finden.
Es war eine wirklich gelungene Veranstaltung - woran ich das festmache? Vielleicht kenne nicht nur ich das Gefühl, welches einen bei der Rückreise überkommt - vieles gelernt und sich vielfältig ausgetauscht zu haben. Fortsetzung folgt im Herbst an der Uni Klagenfurt, u.a. mit einem Vortrag einer Mitarbeiterin der österreichischen Datenschutzbehörde (DSB).

Die im verlinkten Beitrag erwähnte Entscheidung der DSB (Bescheid vom 26.01.2023, Zl. D124.1011/22 / 2022-0.740.438 und das diese Rechtsauffassung zur datenschutzrechtlichen Rollenverteilung an Universitäten bestätigende Erkenntnis des BVwG (W292 2268628-1/5E) waren übrigens Anlass, das Universitätsgesetz zu novellieren:
https://www.ris.bka.gv.at … I_50/BGBLA_2024_I_50.html

8. In § 6 erhält der letzte Abs. 7 die Absatzbezeichnung „(8)“; es wird folgender Abs. 9 angefügt:
„(9)
Hinsichtlich der Verarbeitung personenbezogener Daten durch die Universität und der universitären Organe ist die Universität Verantwortlicher im Sinne des Art. 4 Z 7 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG [Datenschutz-Grundverordnung], ABl. Nr. L 119 vom 04.05.2016 S. 1, [im Folgenden: DSGVO].“

Seit Jahren ist ein Trend hin zur Auslagerung von IT-Services („IT-Outsourcing“) via Cloud Computing an spezialisierte Dritte (oft als Software as a Service - SaaS) festzustellen. Bei diesen Cloud-Anbietern handelt es sich meist um global agierende Unternehmen, die zwar idR allgemeine Branchenstandards der IT-Sicherheit beachten, jedoch laut den Aussagen einiger Datenschutzbehörden nicht immer (durchgängig) europäische bzw. nationale datenschutzrechtliche Anforderungen an den Datenschutz erfüllen. Hier obliegt es dem datenschutzrechtlichen Verantwortlichen, vor Vertragsabschluss sorgfältig zu prüfen, ob der gewählte Cloud-Anbieter diese Voraussetzungen wirklich mitbringt. Denn der Verantwortliche darf nur geeignete Auftragsverarbeiter einsetzen und muss nachweisen können, dass er die Grundsätze für die Verarbeitung personenbezogener Daten eingehalten hat („Rechenschaftspflicht“, Art 5 Abs 2 DSGVO). Insbesondere ist ein Vertrag über die Auftragsverarbeitung (AVV) mit dem IT-Dienstleister abzuschließen, der bestimmte Anforderungen erfüllen muss (siehe insb Art 28 Abs 3 und 4 DSGVO).

Im Fokus mehrerer Datenschutzbehörden stand und steht aktuell der Einsatz von Microsoft 365 (MS365). Jüngst hat der Europäische Datenschutzbeauftragte (EDSB) eine verbindliche Entscheidung hinsichtlich des Einsatzes von MS356 durch die Europäische Kommission erlassen. Der EDSB analysiert darin den Einsatz von MS365 durch die Europäische Kommission im Detail (EDSB 8.3.2024, Case 2021-0518, https://www.edps.europa.e … ions-use-microsoft-365_en).

Aber auch Max Schrems mit seiner Datenschutz-NGO noyb hat unlängst zwei Beschwerden hinsichtlich der Verwendung von MS365 Education in Schulen bei der österreichischen Datenschutzbehörde eingebracht (https://noyb.eu/de/micros … -blames-your-local-school).

Unter diesen Prämissen sollte die Einführung von MS365 bei Verantwortlichen auch aus Datenschutzsicht engmaschig begleitet werden, weitere Hinweise findet man u.a. bei der deutschen Datenschutzkonferenz (https://datenschutzkonfer … S365_abschlussbericht.pdf) und in einer Handreichung des Landesbeauftragten für den Datenschutz Niedersachsen (LfD) und sechs weiterer Datenschutzaufsichtsbehörden (https://www.lfd.niedersac … mit-microsoft-225722.html) - es bleibt spannend, da der LfD Niedersachsen die Einführung von Microsoft Teams in der Landesverwaltung Niedersachsen, mit Blick auf die Ausgestaltung der Auftragsverarbeitungsvereinbarung, für akzeptabel hält (https://www.lfd.niedersac … niedersachsen-231856.html).

Oftmals lohnt ein Blick über den Tellerrand bzw. über die Grenze:
Die Datenschutzbeauftragte des Kantons Zürich hat neben einem Leitfaden und einer Checkliste für den Einsatz von Mi­cro­soft 365 in (Schweizer) Ge­mein­den auch ein kurzes Informationsvideo veröffentlicht - so stellt man sich eine gelungene Hilfestellung seitens einer Datenschutzbehörde vor. Ob damit tatsächlich eine durchgehend datenschutzkonforme Verwendung von MS365 erfolgen kann, wird die künftige Judikatur zeigen - jedenfalls deckt der Leitfaden viele neuralgische Punkte ab, welche auch unter der unionsrechtlichen Datenschutzgesetzgebung (DSGVO) von Relevanz sind.