Von rechtskonformer Datenschutzerklärung bis Datenschutzfolgenabschätzung – informieren Sie sich in drei Blogbeiträgen über die Verstöße eines Unternehmens und den richtungsweisenden neuen Bescheid der Datenschutzbehörde.

Im Bescheid DSB-D213.692/0001-DSB/2018 zeigt uns die österreichische Datenschutzbehörde sehr viel von Ihrer Denkweise und den Entscheidungen im Rahmen Ihrer Prüfungen.
Wir nennen solche Ergebnisse „Leuchtturm-Bescheide“, weil sie als Präzedenz für andere Fälle herangezogen werden können, vor allem wenn sie rechtskräftig werden.

In diesem Bescheid gibt es sehr klare Aussagen zur „Bestellung eines Datenschutzbeauftragten“, der „Zulässigkeit von Einverständniserklärungen“, der „Informationspflicht in rechtskonformen Datenschutzerklärungen“ und der „Pflicht zur Überprüfung, ob eine Datenschutzfolgenabschätzung verpflichtend ist“.

 

Zum Fall:

Eine gemäß Art 33 gemeldete Sicherheitsverletzung bei einem Allergie-Ambulatorium hat zu einem amtswegigen Prüfverfahren geführt, um festzustellen ob der Verantwortliche alle Pflichten der DSGVO einhält. Das Unternehmen wurde aufgefordert:

  • das Verzeichnis der Verarbeitungstätigkeiten zu übermitteln;
  • die an die Patienten auszuhändigenden Datenschutzerklärungen zu übermitteln;
  • bekanntzugeben, ob bzw. unter welchen Umständen Daten nicht direkt bei der betroffenen Person ermittelt werden;
  • die Gründe zu nennen, warum kein Datenschutzbeauftragter benannt wurde;
  • die vom Verantwortlichen durchgeführten Datenschutz-Folgenabschätzungen (DSFA) anher zu übermitteln, oder die Gründe bekannt zu geben, warum DSFA aus Sicht des Verantwortlichen unterbleiben durfte(n);
  • die Gründe zu nennen, warum ein Hinweis auf Cookies unterbleiben durfte bzw. ein Opt-Out nicht vorzusehen war;
  • soweit keine DSFA vorzunehmen war, bekannt zu geben, welche Datensicherheitsmaßnahmen bestehen und welche Datenminimierungsmaßnahmen ergriffen wurden bzw. werden;
  • soweit sich dies nicht aus dem Verzeichnis ergibt, die Speicherdauer der Daten bekannt zu geben und mitzuteilen, ob eine Speicherung in Cloud-Diensten oder auf Servern im EWR oder in Drittländern stattfindet;
  • Auftragsverarbeiter und Übermittlungsempfänger bekannt zu geben;
  • die gemäß § 30 Abs. 3 DSG und die gemäß § 9 Verwaltungsstrafgesetz 1991 (VStG) bestellte Person bekannt zu geben.

 

Die Prüfung der Datenschutzbehörde ergab einen Leistungsauftrag für das Unternehmen in den folgenden Punkten:

  • Bestellung eines Datenschutzbeauftragten (Art 37 DSGVO)
  • Nachbesserung bei der Einwilligungserklärung von Patienten
  • Gestaltung einer rechtskonformen Datenschutzerklärung
  • Prüfung, ob eine Datenschutz-Folgenabschätzung erforderlich ist

  

>> Weiter zu "DSGVO Leuchtturm-Entscheidung der Datenschutzbehörde, Teil 2"

 

Autor: Wolfgang Mader
Zert. Datenschutzbeauftragter
www.median.one

 

Seminartipp! 365 Tage DSGVO