Beitrag von Thomas Schweiger

Ist die Sozialversicherungsnummer ein Gesundheitsdatum iSd Art 9 (1) DSGVO? Die österreichische Datenschutzbehörde dazu: "Wird die Sozialversicherungsnummer daher als bloßer Indikator – also wie gegenständlich unabhängig von der Inanspruchnahme einer Gesundheitsdienstleistung – verwendet, liegt kein Gesundheitsdatum und somit kein besonders schutzwürdiges Datum im Sinne des § 1 Abs. 2 DSG bzw. Art. 9 Abs. 1 DSGVO vor." Link in den Kommentaren

Gestern war ein spannender Tag … Unsere Fr. Mag. Stipic hat den nächsten, wohl bedeutendsten Schritt in ihrer Ausbildung bravourös absolviert, die #RAP vulgo Rechtsamwaltsprüfung. … und das nur einen Tag nach der Veröffentlichung der Stellungnahme des GA in der nächsten der Max Schrems Causa C-441/21 Was haben die beiden Ereignisse gemeinsam? Fr Mag Stipic begann ihre juristische Karriere nach dem Studium im Jahr 2020, genauso wie auch das erwähnte Verfahren Wir gratulieren unserer RAA mit abgelegter RAP sehr, sehr herzlich!

DSGVO-Strafe: €50T (Strafe in der Instanz) statt €4Mio (Strafe durch die DSB) für ein Email, nämlich eine Einladung zum Weltspartag (per e-mail), welche im Anhang irrtümlich eine Excel-Liste mit Datensätzen von 5971 Kundinnen und Kunden zweier Filialen sowie deren Betreuern enthalten habe, und an 234 Kundinnen und Kunden verschickt wurde. Im Anhang (der Excel-Tabelle) waren sämtlichen Kundendaten unter anderem mit Angaben zum Einkommen, Kontogruppe, Alter und Kontostand. Link zur Entscheidung in den Kommentaren.

Tesla-Drivers beware: We've all been there. You walk past a vehicle, it flashes its lights and you wonder what has happened. That's what happened to a passer-by who, on an unspecified day in 2022 at around 3: 50 pm, who walked past a Tesla parked in a parking lot. The unoccupied vehicle flashed its lights briefly, and a look through the window revealed that the vehicle was in "guard mode". These facts led to proceedings before the Austrian Data Protection Authority (July 6th, 2022,  D124.0655/22 2022- 0.456.377) and in the appelate body ederal Administrative Court, which has now decided on April 4th, 2024 (GZ: W214 2259197-1/14E). The Court decided that the vehicle owner had violated the duty to inform according to Art 13 GDPR. This provision stipulates that any controller who collects personal data from natural persons has inform them of the manner in which the data is processed. The proceedings resulted in some clarifying findings: 1. the vehicle owner is the controller within the meaning of the GDPR: "First of all, it should be noted that by making the decision to activate the guard mode, the co-participant [car owner] became the controller for the processing in question. The co-participant did not deny this in principle, but merely argued that no recordings were made." 2. it is not necessary for recordings to be made in guard mode, but recording with the cameras (image processing) is sufficient: In the case in question - as established and substantiated by the evidence - the cameras collected personal data from the complainantnstalled. In view of the technical functionality of the cameras in question, it can be assumed that personal image data of the complainant was processed. This is also in line with the broad definition of Art. 4 (2) GDPR, which, as already stated above, also covers processing operations. Following on from this, the argument of the Data Protection Autority that the video cameras were not activated at the time the complainant passed and that the complainant was therefore not recorded by the cameras in the vehicle and therefore no data of the complainant was collected is therefore invalid.

Tesla-Fahrer aufgepasst, und auch andere "Smart-Car"-Besitzer müssen datenschutzrechtliche Vorgaben erfüllen, und dann wenn ihr Auto die Umgebung überwacht, die betroffenen Personen (Passanten) in transparenter Art und Weise in einfacher Sprache iSd Art 13 DSGVO über die stattfindende Verarbeitung (Bildverarbeitung) informieren. Wer dies nicht tut, begeht einen Datenschutzverstoß. Danke an Dietmar Muhlbock für die Veröffentlichung der Entscheidung

Datenschutz und WEG - Betriebskostenabrechnung und personenbezogene Daten - ein Rechtsgebiet mit vielen Stolpersteinen https://lnkd.in/dgJ65hNz

IT:U … the place to work in the future and experience transformation

Schadenersatzhaftung bei Datenschutzverletzungen ist (oftmals) eine deliktische Haftung. Meist haftet jedoch der Verantwortliche (oder Auftragsverarbeiter) für "fremdes Verschulden" von Mitarbeiter:innen (siehe dazu auch Art 29 DSGVO), die er/sie bei der Verarbeitung der personenbezogenen Daten einsetzt. Wie weit geht diese Haftung? Der EuGH hat dazu am 11.04.2024, C-741/1, Juris eine Entscheidung gefällt, die richtungsweisend ist. Der Verantwortliche (der Auftragsverarbeiter) haftet schadenersatzrechtlich für Handlungen seiner Mitarbeiter:innen (wenn er/sie nicht nachweist, dass in für den eingetretenen Schaden in keinerlei Hinsicht verantwortlich ist - siehe Art 82 (3) DSGVO). Handlungen von Mitarbeiter:innen werden daher dem Verantwortlichen (Auftragsverarbeiter), der zur Haftung herangezogen wird, zugerechnet, auch wenn es kein Vertragsverhältnis zwischen der geschädigten Person und dem Verantwortlichen (Auftragsverarbeiter) gibt. Als "Konnex" reicht aus, dass die personenbezogenen Daten durch den Verantwortlichen (Auftragsverarbeiter) verarbeitet werden. https://lnkd.in/drqCGfub

EuGH und Befugnisse von Aufsichtsbehörden in den Schlussanträgen C-768/21, 11.4.2024 Die Aufsichtsbehörde ist zum Einschreiten verpflichtet, wenn sie bei der Prüfung einer Beschwerde einen Verstoß feststellt! Die konkreten Abhilfemaßnahme(n), die zur Behebung des Verstoßes und zur Durchsetzung der Rechte der betroffenen Person am besten geeignet sind, hat die Aufsichtsbehörde zu ermitteln. Die betroffene Person hat keinen Anspruch auf eine bestimmte Maßnahme. Es besteht kein subjektives Recht auf die Verhängung einer Geldstrafe!

Heute 2. Vorlesung „Compliance Engineering“ an der Hagenberg Campus - FH Upper Austria im Department Design of Digital Products (Martina Gaisch) Themen heute u.a. - Website - rechtliche Fragestellungen - Influencer/YouTouber: AMD-G und Pflichten - Urheberrecht mit #monkeyselfie … jetzt noch prep mit Frühstück vom Honeder https://lnkd.in/dXxj22du