Suche mittels Attribut

Aus Datencockpit
Wechseln zu:Navigation, Suche

Diese Seite stellt eine einfache Suchoberfläche zum Finden von Objekten bereit, die ein Attribut mit einem bestimmten Datenwert enthalten. Andere verfügbare Suchoberflächen sind die Attributsuche sowie der Abfragengenerator.

Suche mittels Attribut

Eine Liste aller Seiten, die das Attribut „Antwort“ mit dem Wert „25. Mai 2018“ haben. Weil nur wenige Ergebnisse gefunden wurden, werden auch ähnliche Werte aufgelistet.

Hier sind 27 Ergebnisse, beginnend mit Nummer 1.

Zeige (vorherige 50 | nächste 50) (20 | 50 | 100 | 250 | 500)

    

Liste der Ergebnisse

    • Fragestellung:Was ist eine Zertifizierung und wer führt sie durch?  + (Datenschutzspezifische ZertifizierungsverfDatenschutzspezifische Zertifizierungsverfahren, Datenschutzsiegel und Datenschutzprüfzeichen dienen dem Nachweis der faktischen Einhaltung von Vorgaben der DSGVO bei bestimmten Verarbeitungsvorgängen. Eine Zertifizierung wird durch die Aufsichtsbehörde auf Grundlage der Zertifizierungskriterien eines genehmigten Zertifizierungsverfahrens erteilt. Die maximale Gültigkeit einer Zertifizierung beträgt drei Jahre, eine (mehrfache) Verlängerung um je maximal drei Jahre ist möglich.rung um je maximal drei Jahre ist möglich.)
    • Fragestellung:Kann ein Datenschutzbeauftragter verantwortlicher Beauftragter nach § 9 VStG sein?  + (Der Datenschutzbeauftragte hat nach AnsichDer Datenschutzbeauftragte hat nach Ansicht der Datenschutzbehörde beratende Funktion. Verbindliche Anordnungen sind von der Managementebene zu treffen. Deshalb ist die Datenschutzbehörde der Ansicht, dass ein Datenschutzbeauftragter nicht als verantwortlicher Beauftragter bestellt werden kann.tlicher Beauftragter bestellt werden kann.)
    • Fragestellung:Wann ist ein Datenschutzbeauftragter verpflichtend zu bestellen?  + (Der Verantwortliche bzw. AuftragsverarbeitDer Verantwortliche bzw. Auftragsverarbeiter muss einen Datenschutzbeauftragten bestellen, wenn</br></br></br>a) die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder</br></br>b) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (gemäß Art. 9) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (gemäß Art. 10) besteht.en und Straftaten (gemäß Art. 10) besteht.)
    • Fragestellung:Welche Befugnisse hat die Datenschutzbehörde?  + (Die Aufsichtsbehörde hat drei Arten von BeDie Aufsichtsbehörde hat drei Arten von Befugnissen:</br></br>* Untersuchungsbefugnisse (einschließlich des Betretungsrechts bestimmter Räumlichkeiten)</br>* Abhilfebefugnisse (das sind Befugnisse, die es der Aufsichtsbehörde ermöglichen, ein rechtswidriges Verhalten abzustellen, bspw. durch konkrete Anordnungen oder die Verhängung von Geldbußen iHv bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres)</br>* Genehmigungs- und Beratungsbefugnisses) * Genehmigungs- und Beratungsbefugnisse)
    • Fragestellung:Worauf findet die DSGVO KEINE Anwendung?  + (Die DSGVO findet Anwendung auf die ganz odDie DSGVO findet Anwendung auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.</br></br>Auf folgende Bereiche findet die DSGVO keine Anwendung:</br>* Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen</br>* Tätigkeiten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik</br>* Datenverwendung im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten</br>* Tätigkeiten der zuständigen Behörden zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheiton Gefahren für die öffentliche Sicherheit)
    • Fragestellung:Welche Geldbußen kann die Aufsichtsbehörde verhängen und wofür?  + (Die DSGVO sieht Geldbußen vor. Die GeldbußDie DSGVO sieht Geldbußen vor. Die Geldbußen sind von der Datenschutzbehörde als Verwaltungsstrafen gegen Unternehmen (Unternehmensträger) oder Einzelpersonen zu verhängen, die jeweils als für eine Datenverarbeitung Verantwortlicher oder Auftragsverarbeiter agieren. Die Zahl der strafbaren Verhaltensweisen (Verstöße) wurde ausgedehnt. Auch Fahrlässigkeit ist strafbar.</br></br>In bestimmten Fällen kann die Datenschutzbehörde an Stelle der Verhängung einer Geldbuße auch eine förmliche Verwarnung aussprechen.</br></br>Für weniger schwere Verstöße gegen Bestimmungen der DSGVO droht eine Geldbuße in Höhe bis zu 10 Millionen Euro (keine Mindeststrafe) oder bei Unternehmen bis zu 2 Prozent des weltweiten Jahresumsatzes des letzten Geschäftsjahrs. Es gilt der höhere Betrag.</br></br>Für schwerwiegende Verstöße gegen Bestimmungen der DSGVO droht eine Geldbuße in Höhe bis zu 20 Millionen Euro (keine Mindeststrafe) oder bei Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes des letzten Geschäftsjahrs. Es gilt der höhere Betrag.</br></br>Gegen die Verhängung einer Geldbuße kann Beschwerde an das Bundesverwaltungsgericht erhoben werden.s Bundesverwaltungsgericht erhoben werden.)
    • Fragestellung:Wird es eine Frist nach dem 25.05.2018 geben, während derer keine Geldbußen verhängt werden?  + (Die DSGVO sieht keine Übergangsfrist vor. Es wird jeder Fall einzeln beurteilt und das Erfordernis der Verhängung einer Geldbuße durch die Datenschutzbehörde geprüft werden.)
    • Fragestellung:Was ist eine "öffentliche Stelle"?  + (Die Datenschutzbehörde kann keine konkreteDie Datenschutzbehörde kann keine konkrete Einzelfallprüfung vor- bzw. vorwegnehmen, ob eine Stelle als öffentliche Stelle anzusehen ist oder nicht.</br></br>Grundsätzlich obliegt es dem Verantwortlichen selbst diese Einordnung entsprechend der gegebenen Rechtsgrundlagen vorzunehmen. Neben diversen deutschsprachigen Kommentaren (siehe dazu Punkt 13 dieses Leitfadens) sowie der Leitlinie der Art. 29-Gruppe zum Datenschutzbeauftragten, welche Anhaltspunkte für die Auslegung des Begriffs der öffentlichen Stelle liefern, ist insbesondere das '''Datenschutzanpassungsgesetz 2018''' heranzuziehen. Darin findet sich in § 26 Abs. 1 DSG eine Definition für den '''Verantwortlichen des öffentlichen Bereichs'''. Darunter fallen alle Verantwortliche,</br></br>• die in Formen des öffentlichen Rechts eingerichtet sind oder</br></br>• zwar in Form des Privatrechts eingerichtet sind, jedoch in Vollziehung der Gesetze tätig werden (so genannte „beliehene Rechtsträger“ sowie Fälle der schlichten Hoheitsverwaltung).</br></br>Nach derzeitiger Ansicht der Datenschutzbehörde kann diese Definition als Beurteilungskriterium herangezogen werden. Sie entspricht auch weitgehend jener Definition, die das deutsche Bundesdatenschutzgesetz vorsieht, welches den Begriff der „öffentlichen Stelle“ schon jetzt kennt.</br></br>Sofern diese Merkmale vom jeweiligen Verantwortlichen nicht erfüllt werden, wird schwerlich eine Einordnung als öffentliche Stelle möglich sein.dnung als öffentliche Stelle möglich sein.)
    • Fragestellung:Stellung des Datenschutzbeauftragten  + (Die Stellung des Datenschutzbeauftragten iDie Stellung des Datenschutzbeauftragten ist in Art. 38 DSGVO näher geregelt. Demnach erhält der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene. Ferner müssen der Verantwortliche und der Auftragsverarbeiter den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen und ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellen.</br></br></br>Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37 Abs. 6 DSGVO).</br></br></br>Für '''Bundesministerien und diesen nachgeordnete Dienststellen bzw. Einrichtungen''' sieht § 5 DSG vor, dass der Datenschutzbeauftragte dem Dienststand des jeweiligen Ministeriums bzw. der Dienststelle oder Einrichtung anzugehören hat. Sozialversicherungsträger bzw. Selbstverwaltungskörper, bei denen lediglich ein Aufsichtsrecht des Bundes besteht, fallen nicht unter § 5 DSG.undes besteht, fallen nicht unter § 5 DSG.)
    • Fragestellung:Was ist bei Übermittlungen von Daten ins Nicht-EU-Ausland zu beachten und was passiert mit bisherigen Genehmigungen?  + (Durch die DSGVO erfolgt eine weitreichendeDurch die DSGVO erfolgt eine weitreichende Genehmigungsfreiheit im internationalen Datenverkehr (Art. 44-50 DSGVO). Es ist – wie bisher auch – darauf zu achten, dass alle Verarbeitungsvorgänge zuerst im Inland zulässig sind, bevor ein Datenexport möglich ist.</br></br>Die bereits bekannten rechtlichen Instrumente für den Datenexport bleiben erhalten und werden ergänzt:</br>Daten dürfen an ein Drittland oder eine internationale Organisation übermittelt werden, wenn dort ein angemessenes Schutzniveau besteht (Art. 45 DSGVO). Die Feststellung erfolgt wie bisher durch die Kommission der EU. Die bestehende Liste bleibt gültig.</br></br>Weiters ist die Übermittlung zulässig, wenn eine vertragliche Vereinbarung mit Standarddatenschutzklauseln abgeschlossen wurde oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) bestehen. Diese Instrumente gab es schon bisher. Zu den neuen rechtlichen Instrumenten gehören Verhaltensregeln (Art. 40 DSGVO) und Zertifizierungsmechanismen (Art. 42 DSGVO). Art. 46 Abs. 3 DSGVO enthält die Möglichkeit, in Sonderfällen eine Genehmigung durch die Aufsichtsbehörde einzuholen.</br></br>Art. 49 DSGVO enthält einige Sonderfälle, von denen einige mit den Regeln im bestehenden § 12 DSG 2000 übereinstimmen (Zustimmung, Vertragserfüllung, öffentliches Interesse, Verteidigung von Rechtsansprüchen, lebenswichtige Interessen) und einige neu dazugekommen sind (Übermittlung eines Auszugs aus einem öffentlichen Register).</br></br>Die DSGVO bringt weniger Behördenwege, und mehr Verantwortung. Es ist insbesondre erforderlich, die eigenen Zwecke und Datenbanken zu kennen und selbst zu entscheiden, welche rechtlichen Instrumente geboten sind.</br>Es bestehen auch Informationspflichten an Betroffene, wenn Daten ins Nicht-EU-Ausland übermittelt werden sollen (Art. 13 Abs. 1 lit. f und 14 Abs. 1 lit. f DSGVO).</br></br>Bereits erteilte Genehmigungen bleiben grundsätzlich gültig (Art. 6 Abs. 5 DSGVO).rundsätzlich gültig (Art. 6 Abs. 5 DSGVO).)
    • Fragestellung:Sind Bilddaten erkennbarer Personen immer sensible Daten?  + (Eher ja. Die Frage ist ungeklärt. Knyrm Eher ja. </br></br>Die Frage ist ungeklärt. Knyrm argumentiert differenziert, während Bergauer zu folgendem Fazit kommt: "Sämtliche einschägigen datenschutzrechtlichen Normen und Definitionen [...] legen aufgrund ihres eindeugiten Wortlauts den Schluss nahe, dass Bilddateeien erkennbarer Personen aufgrund einer rein nach objektiven Gesichtspunkten gebotenen Betrachtung als sensible Daten zu quelifizieren sind, da sich aufgrund der Informationsdichte eines Bilde stets Rückschlüsse auf besonders schutzwürdige Datenkategorien (insb. Angaben über die Gesundheit und ethnische Herkunft) ziehen lassen. Um dabei nicht über das Ziel hinauszuschießen, sollte der jeweilige diesbezüglich zu weit formulierte Wortlaut (§4 Z2 DSG 2000, <span class="noglossary">Art. 8 Abs 1 DS-RL</span> bzw. Art. 9 Abs 1 DSGVO) im Sinne der ratio legis durch das Kriterium der "hinlänglichen Sicherheit" eingeschränkt werden."</br></br>Details siehe: [https://lesen.lexisnexis.at/_/die-einordnung-von-bilddaten-erkennbarer-personen-im-datenschutz/artikel/jusit/2016/6/jusIT_2016_06_103.html Bergauer, Christian, Die Einordnung von Bilddaten erkennbarer Personen im Datenschutzrecht. Eine Replik auf Knyrim, Bilddaten:immer sensibel?], jusIT 2016/102, 235 in: jusIT 06/2016, Art. Nr. 103, Dezember 2016.2, 235 in: jusIT 06/2016, Art. Nr. 103, Dezember 2016.)
    • Fragestellung:Was sind Verhaltensregeln?  + (Gem. Art. 40 DSGVO legen Verhaltensregeln Gem. Art. 40 DSGVO legen Verhaltensregeln die Rechtslage inhaltsspezifisch näher aus, indem sie die Anwendung der DSGVO in gewissen Bereichen präzisieren. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können solche Verhaltensregeln ausarbeiten und der Aufsichtsbehörde zur Genehmigung vorlegen. Mit der Überwachung der Einhaltung von genehmigten Verhaltensregeln ist die Aufsichtsbehörde beauftragt, wobei diese auch eine von ihr dafür besonders geeignete Stelle akkreditieren kann.nders geeignete Stelle akkreditieren kann.)
    • Fragestellung:Was bedeutet die DSGVO für die Inanspruchnahme von Cloud-Services?  + (Hier tritt kein wesentlicher Unterschied zHier tritt kein wesentlicher Unterschied zur Rechtslage nach dem DSG 2000 ein. Es ist zu beachten, dass durch die Inanspruchnahme von Cloud-Services ggf. eine Datenübermittlung in ein Drittland stattfindet, für die es eine gesonderte Rechtsgrundlage braucht (bspw. Standardvertragsklauseln). Wird ein Cloud-Diensteanbieter in Anspruch genommen, so muss eine sichere Datenverarbeitung durch diesen gewährleistet sein. Kommt es zu einer Verletzung des Schutzes personenbezogener Daten in der Cloud (bspw. durch einen Hackerangriff o.ä.) trägt die datenschutzrechtliche Verantwortung (einschließlich schadenersatzrechtlicher Ansprüche) nach außen hin der Verantwortliche (d.h. jene Person/jene Einrichtung, die Cloud-Services in Anspruch nimmt).ng, die Cloud-Services in Anspruch nimmt).)
    • Fragestellung:Welche neuen Pflichten gibt es für Veranwortliche und Auftragsverarbeiter?  + (Im Folgenden erhalten Sie einen kurzen ÜbeIm Folgenden erhalten Sie einen kurzen Überblick über die wesentlichsten Pflichten, welche auf die Verantwortlichen bzw. auf die Auftragsverarbeiter im Zuge der DSGVO zukommen werden:</br></br></br>'''*Verzeichnis von Verarbeitungstätigkeiten (Art. 30)'''</br></br>Verantwortliche müssen schriftlich ein Verzeichnis aller Verarbeitungstätigkeiten (= Datenanwendungen), die ihrer Zuständigkeit unterliegen, führen. Dieses Verzeichnis hat jedenfalls zu enthalten: seinen Namen und seine Kontaktdaten, Daten eines mit ihm gemeinsamen Verantwortlichen (falls vorhanden), Daten seines Vertreters (falls vorhanden), Daten des Datenschutzbeauftragten falls vorhanden), die Zwecke der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (= betroffene Personenkreise und Datenarten), Kategorien von Empfängern (einschließlich Empfänger in Drittländern oder internationalen Organisationen); wenn möglich: Löschungsfristen, Beschreibung technischer und organisatorischer Maßnahmen.</br>Auch Auftragsverarbeiter müssen schriftlich ein Verzeichnis aller Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten führen.</br></br>Der Verantwortliche, sein Auftragsverarbeiter oder gegebenenfalls deren Vertreter haben der Datenschutzbehörde auf deren Anfrage das Verzeichnis zur Verfügung zu stellen.</br>Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, trifft die Pflicht zur Führung eines Verzeichnisses nicht, außer eine Verarbeitung birgt ein Risiko für Rechte und Freiheiten der Betroffenen oder sie erfolgt nicht nur gelegentlich oder umfasst Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung (Art. 9 Abs. 1) oder Daten über strafrechtliche Verurteilungen bzw. über Straftaten (Art. 10).</br></br>'''Zur Information:'''<br/></br>Mit 25. Mai 2018 entfällt die Meldepflicht gemäß §§ 17 ff Datenschutzgesetz 2000 (DSG 2000) an das Datenverarbeitungsregister. DVR-Meldungen sind ab diesem Zeitpunkt nicht mehr vorgesehen (siehe dazu auch die Information unter Punkt 11).<br/></br></br>Da die Erstellung und Führung eines Verzeichnisses nach Art. 30 DSGVO ausschließliche Verantwortung von Verantwortlichen/Auftragsverarbeitern ist, bleibt es nach Ansicht der Datenschutzbehörde auch diesen überlassen, wie sie ihr Verzeichnis inhaltlich gestalten wollen. Seitens der Datenschutzbehörde wird es dazu keine Vorgaben/kein Muster geben. DVR-Meldungen können als Vorlage für ein Verzeichnis herangezogen werden, zwingend ist dies jedoch nicht. Seit August 2017 wird im DVR-ONLINE-Meldebereich eines jeden Auftraggebers eine Schnittstelle zur Verfügung gestellt, sodass bestehende DVR-Meldungen exportiert und in ein Verzeichnis nach Art. 30 DSGVO übertragen werden können.</br></br></br>'''*Zusammenarbeit mit der Aufsichtsbehörde (Art. 31)'''</br></br>Der Verantwortliche und der Auftragsverarbeiter, gegebenenfalls deren Vertreter, haben mit der Datenschutzbehörde auf deren Anfrage zusammenzuarbeiten.</br></br>'''*Sicherheit der Verarbeitung (Art. 32)'''</br></br>Der Verantwortliche und sein Auftragsverarbeiter müssen durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau gewährleisten, dies kann</br>u.a. nachgewiesen werden durch genehmigte Verhaltensregeln (Art. 40) oder aufgrund genehmigter Zertifizierungsverfahrens (Art. 42).</br></br>'''*Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33)'''</br></br>Ein Verantwortlicher hat eine Meldung im Falle einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehörde zu erstatten, wenn dadurch ein Risiko für die Rechte und Freiheiten der Betroffenen besteht; dies unverzüglich und möglichst binnen 72 Stunden nachdem ihm die Verletzung bekannt wurde. Darüber hinaus sind die notwendigen Informationen (Beschreibung der Verletzung, Anzahl der Betroffenen bzw. der Datensätze, Maßnahmen, wahrscheinliche Folgen, Dokumentation etc.) der Datenschutzbehörde zu übermitteln.</br></br>'''*Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 34)'''</br></br>Ein Verantwortlicher hat Betroffene über die von ihm verursachten Datenschutzverletzungen zu benachrichtigen, wenn ein hohes Risiko für Rechte und Freiheiten der Betroffenen besteht; dies ohne ungebührliche Verzögerung (Ausnahmen sind hier möglich).</br></br>'''*Datenschutz-Folgenabschätzung (Art. 35)'''</br></br>Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.</br>Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:</br>• systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;</br>• umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 oder</br>• systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.</br>Die Datenschutzbehörde hat eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung jedenfalls durchzuführen ist. Sie wird eine Liste der Verarbeitungsvorgänge, bei denen keine Datenschutz-Folgenabschätzung durchzuführen ist, veröffentlichen. Auch Rechtsvorschriften können eine verpflichtende Datenschutz-Folgenabschätzung vorsehen.</br>Die Datenschutz-Folgenabschätzung hat zumindest zu enthalten:</br>• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;</br>• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;</br>• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und</br>• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.</br>Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Datenschutz-Folgenabschätzung vorgenommen werden.</br></br>'''Hinweis:'''</br></br>• In der Leitlinie der Art. 29-Gruppe zur Datenschutz-Folgenabschätzung (siehe dazu oben Kapitel IV) werden neun Kriterien angeführt, die für die Durchführung einer Datenschutz-Folgenabschätzung ausschlaggebend sein können.</br>• In der genannten Leitlinie finden sich Hinweise auf bereits etablierte Verfahren für Datenschutz-Folgenabschätzungen.</br>• Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist (das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012), kommt dies hingegen nicht in Betracht. Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 Abs. 1 DSGVO zutreffen. Generell wird empfohlen, bereits existierende Datenverarbeitungsvorgänge einer regelmäßigen Evaluierung zu unterziehen, ob sich Voraussetzungen geändert haben. Bejahendenfalls wäre - bei Vorliegen aller Voraussetzungen - eine Datenschutz-Folgenabschätzung durchzuführen. Überdies wird empfohlen, auch zu dokumentieren, aus welchen Gründen keine Datenschutz-Folgenabschätzung durchgeführt wurde.</br></br>'''*Vorherige Konsultation (Art. 36)'''</br></br>Der Verantwortliche hat vor Beginn der Verarbeitung die Datenschutzbehörde zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung gemäß Art. 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.</br>Sollte die Datenschutzbehörde zur Auffassung gelangen, dass die geplante Verarbeitung nicht im Einklang mit der DSGVO stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen (und gegebenenfalls dem Auftragsverarbeiter) entsprechende schriftliche Empfehlungen und kann ihre in Art. 58 genannten Befugnisse ausüben.</br>Der Verantwortliche hat der Datenschutzbehörde im Rahmen einer Konsultation folgende Informationen zur Verfügung zu stellen:</br>• gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;</br>• die Zwecke und die Mittel der beabsichtigten Verarbeitung;</br>• die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der DSGVO vorgesehenen Maßnahmen und Garantien;</br>• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;</br>• die Datenschutz-Folgenabschätzung gemäß Art. 35 und</br>• alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.</br>Darüber hinaus können Verantwortliche durch Rechtsvorschriften verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.</br></br>'''*Benennung eines Datenschutzbeauftragten (Art. 37)'''</br></br>Der Verantwortliche und der Auftragsverarbeiter haben einen Datenschutzbeauftragten zu benennen, wenn:</br>• die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,</br>• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder</br>• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.</br>Andere Verantwortliche oder Auftragsverarbeiter können einen Datenschutzbeauftragten auf freiwilliger Basis bestellen. Eine Gruppe von Unternehmen bzw. öffentliche Einrichtungen können einen gemeinsamen Datenschutzbeauftragten benennen. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Datenschutzbehörde mitzuteilen.eröffentlichen und der Datenschutzbehörde mitzuteilen.)
    • Fragestellung:Gibt es Ausnahmen für Datenschutz-Folgenabschätzungen?  + (Ja, mit [https://www.ris.bka.gv.at/eli/bgbl/II/2018/108/20180525 BGBl. II Nr. 108/2018] wurden Ausnahmen verordnet.)
    • Fragestellung:Zählt die IP-Adresse zu den personenbezogenen Daten?  + (Ja. <span class="noglossary">Art. 2Ja.</br></br><span class="noglossary">Art. 2 Buchst. a</span> der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.</br></br>Siehe: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62014CJ0582.europa.eu/legal-content/DE/TXT/?uri=CELEX:62014CJ0582)
    • Fragestellung:Gibt es nach Inkrafttreten der DSGVO noch ein nationales Datenschutzrecht?  + (Ja. Das österreichische Parlament hat dazu das Datenschutz-Anpassungsgesetz erlassen)
    • Fragestellung:Wofür muss ich haften?  + (Jeder (natürliche) Person, der durch einenJeder (natürliche) Person, der durch einen Verstoß gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Dabei haftet jeder Verantwortliche der an der Verarbeitung beteiligt war zur Gänze. Der Auftragsverarbeiter haftet, sofern er seine speziellen Pflichten nicht erfüllt oder die Anweisungen des Verantwortlichen nicht (zur Gänze) befolgt hat. Im Innenverhältnis kann sich der Beanspruchte im Verhältnis der Verantwortlichkeit an anderen Beteiligten regressieren.</br></br></br>Damit soll ein wirksamer Rechtsschutz gewährleistet werden.</br></br>Keine Haftung tritt ein, wenn weder Verantwortlicher noch Auftraggeber für den Umstand durch welchen der Schaden eintrat, verantwortlich ist.n der Schaden eintrat, verantwortlich ist.)
    • Fragestellung:Müssen wir Daten aus Backups löschen?  + (Nein, nicht grundsätzlich.)
    • Fragestellung:Gilt die DSGVO nur für Großunternehmen?  + (Nein. Die DSGVO gilt auch für Klein- und ENein. Die DSGVO gilt auch für Klein- und Einpersonunternehmen unter bestimmten Voraussetzungen sowie für Behörden und öffentliche Stellen. Punktuell sind Ausnahmen für Klein- und Einpersonunternehmen vorgesehen (z.B. in Art. 30 Abs. 5 DSGVO betreffend die Führung eines Verzeichnisses von Verarbeitungstätigkeiten).zeichnisses von Verarbeitungstätigkeiten).)
    • Fragestellung:Ist das Anbieten von Daten grundsätzlich eine Übermittlung in Drittländer?  + (Nein. Es ist nur die Möglichkeit geschaffen worden, die Daten abzurufen. Es fehlt der konkrete Empfängerkreis, der nicht benennbar ist.)
    • Fragestellung:Braucht der Datenschutzbeauftragte eine bestimmte (akademische) Ausbildung?  + (Nein. Gemäß Art. 37 Abs. 5 DSGVO wird der Nein. Gemäß Art. 37 Abs. 5 DSGVO wird der Datenschutzbeauftragte auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf Grundlage seiner Fähigkeit zur Erfüllung der Aufgaben des Datenschutzbeauftragten gemäß Art. 39 DSGVO.tenschutzbeauftragten gemäß Art. 39 DSGVO.)
    • Fragestellung:Brauche ich einen Datenschutzbeauftragten?  + (Ob Sie einen Datenschutzbeauftragten „brauOb Sie einen Datenschutzbeauftragten „brauchen“, müssen Sie zunächst entscheiden. Für die Mehrheit der Unternehmen wird die Bestellung grundsätzlich optional sein. Zwingend aufgrund der DSGVO zu bestellen ist ein Datenschutzbeauftragter nur von Behörden bzw. öffentlichen Stellen (mit Ausnahme von Gerichten, sofern sie nicht im Rahmen der Justizverwaltung handeln) und bei Unternehmen, die schwerpunktmäßig in einem</br>spezifischen Geschäftsbereich tätig sind. Die entsprechenden Regelungen finden Sie in Art. 37 DSGVO.en Regelungen finden Sie in Art. 37 DSGVO.)
    • Fragestellung:Gibt es Änderungen durch die DSGVO, selbst wenn bereits Einwilligungen von Betroffenen für die Datenverarbeitung eingeholt werden?  + (Sofern eine eingeholte Einwilligung den Voraussetzungen von Art 7. DSGVO entspricht, ändert sich nichts. Gegebenenfalls sind die Einwilligungen erneut einzuholen.)
    • Fragestellung:Sind Fotos auf Veranstaltungen erlaubt?  + (Soferne der Hinweis zu Beginn erfolgt ist, ist das kein Problem.)
    • Fragestellung:Worüber muss ich Betroffene bei der Erhebung ihrer Daten informieren?  + (Wenn sie die Daten direkt bei den jeweiligWenn sie die Daten direkt bei den jeweiligen Betroffenen erheben, müssen Sie den Betroffenen sämtliche Informationen wie in Artikel 13 DSGVO vorgesehen mitteilen. Eine Ausnahme von der Informationspflicht besteht nur dann, wenn die Betroffenen bereits über diese Informationen verfügen.</br></br>Wenn Sie Daten verarbeiten wollen, die Sie nicht bei den Betroffenen selbst erhoben haben, müssen Sie den Betroffenen sämtliche Informationen wie in Artikel 14 DSGVO vorgesehen mitteilen. Dies kann unterbleiben, wenn die Betroffenen über die Informationen bereits verfügen, die Erteilung der Information unmöglich oder mit unverhältnismäßigem Aufwand verbunden ist, die Verarbeitung gesetzlich vorgesehen ist oder die Daten dem Berufsgeheimnis unterliegen (vgl. Artikel 14. Abs. 5 DSGVO).terliegen (vgl. Artikel 14. Abs. 5 DSGVO).)
    Abgerufen von „https://www.datencockpit.at/Spezial:Suche_mittels_Attribut/:Antwort/25.-20Mai-202018
    a Knowledge.wiki project
    ein Projekt von Wikiahoi
    supported by netidee.at
    Powered by Semantic MediaWiki