Beiträge

Lücke im Datenschutz: Auch gemeinnützige Vereine werden von Anwalt „abgemahnt“

, ,

Ein Gericht in München hat im Jänner festgestellt, dass die Einbettung von Google Fonts auf Webseiten (Schriftarten, die über den Google Server geladen werden), ohne dass in den Datenschutzbestimmungen der jeweiligen Webseiten darauf hingewiesen wird, gegen die europäische Datenschutzgrundverordung (DSGVO) verstößt. Denn dadurch wird die IP-Adresse der Nutzer:innen an Google weitergeleitet.

Jetzt versucht ein findiger Anwalt aus Niederösterreich mit diesem Wissen leichtes Geld zu verdienen, indem er im Namen seiner angeblichen Mandantin mutmaßlich tausendfach Abmahnbriefe an Betreiber:innen von Websites verschickt und zur Bezahlung von 190 Euro auffordert sowie einer Auskunft über die Verwendung der Daten auffordert. Nach einer Welle solcher Aufforderungen an österreichische Unternehmen im Juli sind nun auch gemeinnützige Vereine betroffen.

Was ist in so einem Fall zu tun?

Zunächst einmal: Ruhe bewahren. Mag. Markus Dörfler aus der Kanzlei unseres Vorteilspartners Dr. Thomas Höhne rät dazu, ebenso wie die WKO, die Forderung zurückzuweisen, dem Auskunftsbegehren aber nachzukommen. Er hat zu diesem Zweck eine Vorlage für ein Antwortschreiben erstellt, das hier abgerufen werden kann: https://www.h-i-p.at/blog/abmahnwelle-durch-rechtsanwalt-hohenecker-im-namen-von-frau-eva-zajaczkowska-wegen-google-font

Vor der Erteilung der DSGVO-Auskunft sollte vom Anwalt ein Ausweisdokument und eine Vollmacht angefordert werden, für Auszüge aus den Server-Logs auch eine Bestätigung des Internet-Providers, dass Frau Zajacszkowska zum fraglichen Zeitpunkt die genannte IP-Adresse persönlich zugeordnet werden kann. Sehr wahrscheinlich wurden die Besuche tausender Webseiten nämlich nicht durch einen menschlichen Besucher, sondern durch eine automatisierte Vorgangsweise generiert.

Auch die Datenschutzbehörde hat am 23.8. eine Information zum Thema veröffentlicht: https://www.dsb.gv.at/download-links/bekanntmachungen.html#Google_Fonts

Technische Problemlösung

Hier kann man überprüfen, ob die eigene Seite vom Datenschutzproblem betroffen ist: https://sicher3.de/google-fonts-checker/ oder https://www.ccm19.de/google-fonts-checker/

Sollte das der Fall sein, kann das Problem mit dem Plugin https://wordpress.org/plugins/host-webfonts-local/  relativ einfach behoben werden, indem die inkriminierten Fonts lokal gespeichert und keine Daten mehr an Google weitergegeben werden:

  • Plugins » Installieren » „omgf“ eingeben
  • „OMGF | GDPR Compliant, Faster Google Fonts. Easy.“ [Jetzt installieren] klicken
  • Aktivieren klicken

Wir bedanken uns an dieser Stelle bei ammann enterprises GmbH für die rasche Auskunft und Abhilfe.

/0 Kommentare/von

Entwurf der Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung

,

 Exklusiv für Mitglieder

Tut uns leid, aber dieser Inhalt steht nur Mitgliedern zur Verfügung.

Ihre Organisation ist bereits Mitglied? Dann können Sie sich hier einloggen oder registrieren.

Sie haben Fragen zur Mitgliedschaft, oder möchten Mitglied werden?

Informationen zur Mitgliedschaft

 

/0 Kommentare/von

Aufzeichnung und Arbeitsmaterialien von der IGO EXKLUSIV Veranstaltung zur DSGVO

, , ,

 Exklusiv für Mitglieder

Tut uns leid, aber dieser Inhalt steht nur Mitgliedern zur Verfügung.

Ihre Organisation ist bereits Mitglied? Dann können Sie sich hier einloggen oder registrieren.

Sie haben Fragen zur Mitgliedschaft, oder möchten Mitglied werden?

Informationen zur Mitgliedschaft

 

/0 Kommentare/von

DSGVO Unterlagen zur IGO Exklusiv Veranstaltung

,

Wichtiger Hinweis: Die Teilnahme an der Veranstaltung setzt bereits eine grundlegende Beschäftigung mit der DSGVO voraus. Ziel der Veranstaltung ist es nicht, über den Inhalt der DSGVO zu informieren, sondern den Teilnehmer/innen konkrete Anleitung bei der Umsetzung bis zum Inkrafttreten der neuen Anforderungen zu geben.

Zur Vorbereitung empfehlen wir die Lektüre der von LeitnerLeitner zur Verfügung gestellten Unterlage, die Sie hier downloaden können.

 

Best Practice NPO
/0 Kommentare/von

Folgenschwere Neuerungen beim Datenschutz treten im Mai 2018 in Kraft

, , ,

BÜNDNIS FÜR GEMEINNÜTZIGKEIT begrüßt zugesicherte Klarstellungen des BMI und fordert schnellstmöglich Rechtssicherheit für gemeinnützige Organisationen.

Wien (OTS) – Ab 25. Mai gelten die Neuerungen im österreichischen Datenschutzgesetz. Betroffen ist jede Körperschaft, die personenbezogene Daten verarbeitet, etwa jene von Mitgliedern. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Danach drohen hohe Geldstrafen. Besonders für kleine, ehrenamtlich geführte Vereine ist die Erfüllung der neuen Vorgaben mit erheblichen Schwierigkeiten und Hürden verbunden. Das BÜNDNIS FÜR GEMEINNÜTZIGKEIT appelliert an den Gesetzgeber und an die Datenschutzbehörde, die am Montag im Datenschutzrat zugesicherten Klarstellungen prompt umzusetzen. Gemeinnützige Organisationen sollen von überschießenden Verpflichtungen ausgenommen und Rechtssicherheit gewährleistet werden!

Gemeinnützige Organisationen müssen im Zuge der Betreuung von hilfsbedürftigen Menschen beispielsweise auch sensible Daten verarbeiten. Zur Erfüllung ihrer wohltätigen Aufgaben sind sie zudem auf Spenden angewiesen. Die Vorgaben der Datenschutz-Grundverordnung (DSGVO) stellen daher gerade Österreichs Spendenorganisationen vor große Herausforderungen und sind mit einem erheblichen Mehraufwand verbunden. „Eine große Hürde ist bereits die notwendige technische und rechtliche Expertise, um die komplexen Anforderungen der DSGVO zu erfüllen. In vielen Bereichen bestehen zudem noch rechtliche Unsicherheiten, die erst beseitigt werden müssen.“, warnt Franz Neunteufl, Sprecher des Bündnisses. „Datenverarbeiter“ müssen unter Umständen aufwändige und kostenintensive Datenschutz-Folgeabschätzungen durchführen.

BÜNDNIS FÜR GEMEINNÜTZIGKEIT fordert „White-List“ für gemeinnützigen Sektor

Durch Verordnung der Datenschutzbehörde können Datenanwendungen in Form einer „White-List“ explizit von der neuen Verpflichtung zur Durchführung von Datenschutz-Folgeabschätzungen ausgenommen werden. Das BÜNDNIS FÜR GEMEINNÜTZIGKEIT – ein Zusammenschluss aus 18 Verbänden und Netzwerken mit mehr als 1000 Mitgliedern aus den Bereichen Soziale Wohlfahrt, Beschäftigung, Kultur, Inklusion, Umwelt und Entwicklungszusammenarbeit – appelliert daher an die Datenschutzbehörde, den Begutachtungsprozess für eine „White-List“ rasch umzusetzen und für die erforderliche Rechtssicherheit zu sorgen. Nur so kann ein Schaden für den gemeinnützigen Sektor in Österreich abgewendet werden.

Die Datenschutz-Grundverordnung enthält eine Vielzahl von unbestimmten Rechtsbegriffen, was die praktische Umsetzung erheblich erschwert. Das BÜNDNIS FÜR GEMEINNÜTZIGKEIT fordert deshalb die Datenschutzbehörde auf, der Ankündigung der Bundesregierung entsprechend den gemeinnützigen Vereinen auch beratend zur Seite zu stehen und verstärkt Verwarnungen einzusetzen, bevor gestraft wird.

Im Gegenzug bietet das BÜNDNIS FÜR GEMEINNÜTZIGKEIT an, eine/n Vertreter/in in den Datenschutzbeirat zu entsenden und mitzuhelfen seinem gesetzlichen Auftrag gemäß die Entwicklung des Datenschutzes in Österreich zu beobachten und Vorschläge für seine Verbesserung zu erarbeiten.

Rückfragehinweis:
Dr. Andreas Anker, Presse Fundraising Verband Austria
T: 0676/4214706, E: presse@fundraising.at

/0 Kommentare/von

Veranstaltungshinweis: „Update Gemeinnützigkeit“

, ,

Unsere Vorteilspartnerin, die SOLIDARIS Wirtschaftsprüfungsgesellschaft mbH, veranstaltet auch heuer wieder in der Diplomatischen Akademie in Wien ihr gewohntes „Update Gemeinnützigkeit“.

Auf dem Programm stehen heuer u.a. die folgenden Themen:

  • Update Steuer- und Unternehmensrecht (Personalrückstellungen, Spendenabsetzbarkeit, Beschäftigungsbonus, Finanzberichterstattung etc.)
  • Änderungen im Datenschutz aus Sicht einer NPO – Was ist zu tun?
  • Lohn- und Sozialdumping
  • (Vereins-)Besteuerung und Gemeinnützigkeit – Reformbedarf in der nächsten Legislaturperiode

Die Teilnahme ist kostenlos.

Zeit: 26.09.2017; 14:00 – 18:00 Uhr

Ort: Diplomatische Akademie, Favoritenstraße 15a, 1040 Wien

Anmeldung erbeten bis 20.09.2017 bei: e.brejzek@solidaris.at oder 01 7153886-21

Einladung herunterladen
/0 Kommentare/von

Bündnis für Gemeinnützigkeit kritisiert Vorgangsweise bei Datenschutz-Anpassungsgesetz

, ,

Als „schwarzen Tag für Partizipation in Österreich“ bezeichnet das Bündnis für Gemeinnützigkeit in einer Presseaussendung den heutigen 29. Juni 2017, an dem im Parlament das Datenschutz-Anpassungsgesetz 2018 beschlossen werden soll. Die in dem Bündnis zusammengeschlossenen 18 Verbände, darunter die IGO, fordern die Abgeordneten zum Nationalrat auf, das Gesetz nicht zu beschließen.

Die Chronologie der Ereignisse, nachzulesen auf der Webseite des Parlaments:

  • Am 12. Mai 2017 übermittelt der Verfassungsdienst des Bundeskanzleramts dem Parlament den „Entwurf eines Bundesgesetzes, mit dem das Bundes-Verfassungsgesetz geändert, das Datenschutzgesetz erlassen und das Datenschutzgesetz 2000 aufgehoben wird (DatenschutzAnpassungsgesetz 2018), und ersucht um allfällige Stellungnahme bis spätestens 23. Juni 2017„.
  • Aber schon am 7. Juni, also lang vor dem Ende der Begutachtungsfrist, folgt eine Regierungsvorlage, die am 16. Juni dem Verfassungsausschuss zugewiesen wird.
  • Der Verfassungsausschuss tritt am 26. Juni, einen (Arbeits)tag (!) nach dem Ende der Begutachtungsfrist zusammen. Dieser winkt mit den Stimmen von SPÖ und ÖVP eine abgespeckte Version des Gesetzes durch, weil das von der Regierung geschnürte Gesetzespaket an der notwendigen Zweidrittelmehrheit im Nationalrat zu scheitern drohte.

Der „Schönheitsfehler“ an der ganzen Geschichte: bis zum  Ende der Begutachtungsfrist waren über hundert zum Teil sehr umfangreiche und kritische Stellungnahmen eingegangen, die unmöglich weder vom Verfassungsdienst, noch vom Verfassungsauschuss entsprechend gewürdigt worden sein konnten.

Das Bündnis appelliert nun an die Abgeordneten dieses fragwürdige Vorgehen nicht mitzutragen und eine weitergehende Diskussion über dieses Vorhaben zu ermöglichen.

/0 Kommentare/von

Datenschutzgrundverordnung

, ,

Die Datenschutzgrundverordnung (DSGVO) bildet einen gesetzlicher Rahmen für die gesamte EU, mit dem Ziel des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die DSGVO regelt neben der Datenverarbeitung auch die Rechte von Betroffenen sowie Pflichten von Verantwortlichen.

Alle Daten von MitarbeiterInnen, Mitgliedern, KundInnen, oder von Dritten unterliegen nun der Pflicht in einem Verfahrensregister dokumentiert zu werden, in dem geregelt ist „Welche Daten, von welchen Personen, zu welchem Zweck verarbeitet werden, und an wen die Daten in welchem Zeitraum weitergeleitet werden“. Hier geht es um das Prinzip der Transparenz. Und die Datenschutzbehörde kann die Verzeichnisse der Verarbeitungstätigkeiten jederzeit prüfen.

Folgende Fragen müssen sich Organisationen, und das betrifft Unternehmen genauso wie Vereine, stellen:

  • Welche personenbezogenen Daten (Name, Adresse, Geburtsdatum, Bankdaten) werden verarbeitet?
  • Verarbeite ich sensible personenbezogene Daten?
    Hier handelt es sich um Daten, aus der die ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Gesundheitsdaten, Daten zur sexuellen Orientierung, sowie genetische und biometrische Daten.
  • Verarbeite ich Daten von Kindern? Diese sind in Zukunft an strengere Regeln gebunden.
  • Welchem Zweck dient meine Datenverarbeitung?
  • Arbeite ich mit Dienstleistern zusammen? Wie sehen hier die Vereinbarungen aus?
  • Wie sieht die Rechtsgrundlage der Datenverarbeitung aus? Habe ich mir die Zustimmung der betroffenen Personen eingeholt (Nachweispflicht)?
  • Verarbeite ich die Daten nach dem Prinzip von „privacy by design“ sowie „privacy by default“?
    Nach diesem Prinzip darf eine Datensammlung erst beginnen, wenn die betroffene Person eine aktive Handlung setzt, oder es wird der Personenbezug gelöscht.
  • Benötige ich eine Datenschutz-Folgenabschätzung?
    Diese ist notwendig, wenn durch die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht. Neben der Beschreibung und Bewertung der Verarbeitung, muss auch jene der Risiken und Sicherheitsmaßnahmen für betroffene Personen erfolgen. Wobei dieser Punkt im Gesetz noch einer genauen Ausformulierung bedarf.

Ein wesentliches Merkmal der DSGVO ist die Erweiterung der Rechte der betroffenen Personen.

  • Informations- und Auskunftsrecht von Betroffenen
    Bedeutet, es besteht ein Recht auf eine zeitgerechte Auskunft (1 Monat) über die verarbeiteten Daten und deren Speicherdauer zu erhalten.
  • Recht auf Richtigstellung und Löschung für Betroffene Es besteht die Pflicht Betroffene über Datenänderungen zu informieren. Empfehlenswert sind Löschstrategien und deren Dokumentation. Eine Datenlöschung kann nicht nur nach Wunsch der Betroffenen erfolgen, es besteht auch die Verpflichtung Daten zu löschen, wenn der ursprüngliche Zweck der Datenerfassung nicht mehr besteht.
  • Widerspruchsrecht gegen die Verwendung der eignen Daten
  • Recht auf Datenübertragbarkeit an andere Auftraggeber. Es müssen die technischen Voraussetzungen dafür geschaffen werden.

Ein besonderes Augenmerk wird auch auf die Datensicherheit gelegt. Im Falle von Datenschutzverletzungen z.B. ich werde gehackt, Laptop, Firmenhandy wird gestohlen, besteht innerhalb von 72 Stunden eine Meldepflicht an die Datenschutzbehörde, sowie an die relevante betroffene Person. Die dafür notwendigen Prozesse müssen nachweisbar sein.

In diesem Sinne besteht auch die Verpflichtung einen Datenschutzbeauftragen zu bestellen, wenn eine umfangreiche regelmäßige systematische Überwachung von betroffenen Personen erforderlich ist, sowie überwiegend sensible personenbezogene Daten verarbeitet werden.

/0 Kommentare/von

Datenschutzgrundverordnung

,

 

Die Datenschutzgrundverordnung (DSGVO) bildet einen gesetzlicher Rahmen für die gesamte EU, mit dem Ziel des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die DSGVO regelt neben der Datenverarbeitung auch die Rechte von Betroffenen sowie Pflichten von Verantwortlichen.

Alle Daten von MitarbeiterInnen, Mitgliedern, KundInnen, oder von Dritten unterliegen nun der Pflicht in einem Verfahrensregister dokumentiert zu werden, in dem geregelt ist „Welche Daten, von welchen Personen, zu welchem Zweck verarbeitet werden, und an wen die Daten in welchem Zeitraum weitergeleitet werden“. Hier geht es um das Prinzip der Transparenz. Und die Datenschutzbehörde kann die Verzeichnisse der Verarbeitungstätigkeiten jederzeit prüfen.

Folgende Fragen müssen sich Organisationen, und das betrifft Unternehmen genauso wie Vereine, stellen:

  • Welche personenbezogenen Daten (Name, Adresse, Geburtsdatum, Bankdaten) werden verarbeitet?
  • Verarbeite ich sensible personenbezogene Daten?
    Hier handelt es sich um Daten, aus der die ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen. Gesundheitsdaten, Daten zur sexuellen Orientierung, sowie genetische und biometrische Daten.
  • Verarbeite ich Daten von Kindern? Diese sind in Zukunft an strengere Regeln gebunden.
  • Welchem Zweck dient meine Datenverarbeitung?
  • Arbeite ich mit Dienstleistern zusammen? Wie sehen hier die Vereinbarungen aus?
  • Wie sieht die Rechtsgrundlage der Datenverarbeitung aus? Habe ich mir die Zustimmung der betroffenen Personen eingeholt (Nachweispflicht)?
  • Verarbeite ich die Daten nach dem Prinzip von „privacy by design“ sowie „privacy by default“?
    Nach diesem Prinzip darf eine Datensammlung erst beginnen, wenn die betroffene Person eine aktive Handlung setzt, oder es wird der Personenbezug gelöscht.
  • Benötige ich eine Datenschutz-Folgenabschätzung?
    Diese ist notwendig, wenn durch die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten betroffener Personen besteht. Neben der Beschreibung und Bewertung der Verarbeitung, muss auch jene der Risiken und Sicherheitsmaßnahmen für betroffene Personen erfolgen. Wobei dieser Punkt im Gesetz noch einer genauen Ausformulierung bedarf.

Ein wesentliches Merkmal der DSGVO ist die Erweiterung der Rechte der betroffenen Personen.

  • Informations- und Auskunftsrecht von Betroffenen
    Bedeutet, es besteht ein Recht auf eine zeitgerechte Auskunft (1 Monat) über die verarbeiteten Daten und deren Speicherdauer zu erhalten.
  • Recht auf Richtigstellung und Löschung für Betroffene Es besteht die Pflicht Betroffene über Datenänderungen zu informieren. Empfehlenswert sind Löschstrategien und deren Dokumentation. Eine Datenlöschung kann nicht nur nach Wunsch der Betroffenen erfolgen, es besteht auch die Verpflichtung Daten zu löschen, wenn der ursprüngliche Zweck der Datenerfassung nicht mehr besteht.
  • Widerspruchsrecht gegen die Verwendung der eignen Daten
  • Recht auf Datenübertragbarkeit an andere Auftraggeber. Es müssen die technischen Voraussetzungen dafür geschaffen werden.

Ein besonderes Augenmerk wird auch auf die Datensicherheit gelegt. Im Falle von Datenschutzverletzungen z.B. ich werde gehackt, Laptop, Firmenhandy wird gestohlen, besteht innerhalb von 72 Stunden eine Meldepflicht an die Datenschutzbehörde, sowie an die relevante betroffene Person. Die dafür notwendigen Prozesse müssen nachweisbar sein.

In diesem Sinne besteht auch die Verpflichtung einen Datenschutzbeauftragen zu bestellen, wenn eine umfangreiche regelmäßige systematische Überwachung von betroffenen Personen erforderlich ist, sowie überwiegend sensible personenbezogene Daten verarbeitet werden.

Unterlagen
/0 Kommentare/von