Verarbeitung des Religionsbekenntnisses

15.02.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

Religionsbekenntnis DSGVO

Der Karfreitag soll für jeden ein Feiertag werden – so lautet ein Urteil des Europäischen Gerichtshofs (EuGH). Laut diesem Urteil ist die derzeitige Regelung, nach welcher nur Mitarbeiter einer bestimmten Religionsangehörigkeit an diesem Tag ein Feiertag zusteht, gleichheitswidrig. Nun muss die Regierung bis Mitte April eine neue Alternative finden. Doch warum ist diese Entscheidung nun auch in Bezug auf die DSGVO bedeutsam?

In der Personalverwaltung werden unter zahlreichen anderen personenbezogenen Daten auch das Religionsbekenntnis der Mitarbeiter verarbeitet, wenn die betroffenen Personen selbst Angaben dazu machen. Aufgrund der Verarbeitung dieser Angabe kamen einige Mitarbeiter in den Genuss eines Feiertages am Karfreitag. Es gab also bislang einen klaren Zweck für die Verarbeitung des Religionsbekenntnisses – die sogenannte „Abwesenheitsverwaltung“.

Dieser Zweck fiel aber mit der Entscheidung des EuGH weg und daher darf das Religionsbekenntnis auf dieser Grundlage nicht länger verarbeitet werden. Derzeit ist noch unklar, ob Mitarbeiter möglicherweise rückwirkend einen Anspruch auf Feiertagsentgelt oder Ersatzfreizeit haben, weshalb eine zumindest dreijährige Speicherung auf Grundlage des Artikel 17 Abs 3 lit e DSGVO, also „zur Geltendmachung, Ausübung oder Verteidigung  von Rechtsansprüchen“, zulässig ist.

Ferner gibt es auch einige Ausnahmen – beispielsweise bei einem kollektivvertraglichen Anspruch auf den Feiertag „Jom Kippur“ von Mitarbeitern jüdischen Glaubens. In solchen Fällen ist eine Verarbeitung des Religionsbekenntnisses weiterhin gestattet.

Empfehlenswert ist es daher, individuell zu prüfen, ob eine Verarbeitung dieses Datums zulässig ist. Durch einen Wegfall der Verarbeitung ändert sich auch die Informationspflicht der Arbeitgeber.

Streaming-Dienste auf dem Prüfstand

05.02.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

Streaming-Dienste DSGVO

Die französische Datenschutzbehörde verhängte Mitte Januar über den US-Konzern Google die erste Strafe in Millionenhöhe unter anderem aufgrund fehlender Transparenz in der Aufklärung der Nutzung persönlicher Daten. Ausschlaggebend dafür war eine Beschwerde der österreichischen Organisation NOYB bei der französischen Datenschutzbehörde.

Nun könnten auch einigen der weltweit größten Streaming-Dienste ähnlich hohe Strafen drohen. Max Schrems, Datenschutzaktivist und Gründer der Non-Profit-Organisation NOYB (kurz für „none of your business“), gab bekannt, dass er bei der österreichischen Datenschutzbehörde weitere acht Beschwerden eingebracht hat. Anbieter wie Netflix oder Spotify verstoßen laut einem Test der Organisation gegen die Vorschriften der DSGVO.

Quelle: noyb.eu

Die Ergebnisse fielen unterschiedlich aus; doch eines hatten alle getesteten Streaming-Dienste gemeinsam: Keiner von ihnen kam dem in der DSGVO vorgesehenen Recht auf Auskunft in vollem Umfang nach; Art. 15 sieht ein umfangreiches Informationsrecht der Betroffenen vor, damit diese unter anderem über den Zweck der Verarbeitung, die Speicherdauer oder auch das Bestehen eines Beschwerderechts aufgeklärt werden.


Wenn auch Ihnen der Schutz Ihrer Daten am Herzen liegt, können Sie die Organisation als Fördermitglied unterstützen. Rechtsanwalt Dr. Christian Zeilinger gehört bereits zu den zahlreichen Mitgliedern.

DSGVO-konforme Nutzung von WordPress und anderen Content-Management-Systemen

18.01.2019 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

WordPress DSGVO

Das Bayerische Landesamt für Datenschutzaufsicht führt derzeit flächendeckend automatisierte Prüfungen zu möglichen Schwachstellen von Webseiten durch, und verlangt von den Unternehmen dazu jeweils eine Stellungnahme.

WordPress ist eines der meistgenutzten Content-Management-Systeme – kurz CMS. Damit wird für den Betreiber einer Website das Erstellen, Bearbeiten und Verwalten der eigenen Seite vereinfacht. Viele dieser CMS – darunter auch Dreamweaver, Joomla!, TYPO3, Shopify und Magento – können günstig oder sogar kostenfrei genutzt werden, bergen aber auch ein wesentlich höheres Gefahrenpotential für den Schutz von personenbezogenen Daten. Cyberkriminellen wird durch vermehrte Schwachstellen und Sicherheitslücken ein Angriff oft leicht gemacht.

„Auch hierzulande könnte eine solche Prüfung jederzeit von der österreichischen Datenschutzbehörde vorgenommen werden, weshalb vorsorglich alle notwendigen Maßnahmen ergriffen werden sollten“, betont der oberösterreichische Rechtsanwalt und Experte im Datenschutzrecht Dr. Christian Zeilinger und erklärt außerdem: „WordPress ist ein Tool, das, wenn es richtig eingesetzt wird, beinahe jedem das Hosten der eigenen Website ermöglicht. Aus datenschutzrechtlicher Sicht hat sich aber vor allem in letzter Zeit gezeigt, dass eine regelmäßige professionelle Wartung dringend erforderlich ist.“

  • Ist die aktuelle WordPress-Version im Einsatz?

Kanzlei Dr. Zeilinger: Bei Verwendung eines CMS ist es unerlässlich, die Seite immer auf die neueste Version upzudaten. Erfolgt dies nicht, können angreifbare Schwachstellen entstehen.

DSGVO-konforme Nutzung von WordPress und anderen Content-Management-Systemen weiterlesen

Behördliche Prüfung der DSGVO-Umsetzung bei kleinen und mittleren Unternehmen

10.12.2018 | Autorin: Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

KMU DSGVO

Ob generelle Kundendaten, wie Namen, Geburtsdaten und E-Mail Adressen, oder sensible Daten, zu denen beispielsweise die ethnische Herkunft gehört – jedes Unternehmen hat im Alltag mit vielen personenbezogenen Daten zu tun.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) fordert derzeit vor allem von KMUs auf Grundlage des Artikel 5 Abs. 2 DSGVO einen Nachweis über die individuelle Datenschutzorganisation innerhalb der Unternehmen. Zwar findet eine solche Prüfung im Moment nur innerhalb Deutschlands statt, aber auch in Österreich können die zuständigen Behörden jederzeit eine Dokumentierung der korrekten Einhaltung aller datenschutzrechtlichen Vorschriften verlangen.

Dr. Christian Zeilinger, Rechtsanwalt und Datenschutzexperte aus Ried im Innkreis erklärt: „Auch an kleine und mittlere Unternehmen (KMUs) stellt die DSGVO verschiedenste Anforderungen, da die Datenschutzgrundverordnung unabhängig von der Unternehmensgröße gilt, sobald personenbezogene Daten verarbeitet werden – egal auf welche Weise. Auch Vereine und Behörden müssen die Vorschriften der DSGVO einhalten“.

Mit Hilfe eines Fragenkataloges überprüft das Bayerische Landesamt für Datenschutzaufsicht, ob die wichtigsten Aspekte der DSGVO in kleinen und mittleren Unternehmen bereits umgesetzt wurden.

Im Folgenden finden Sie zusammenfassend einige maßgebliche Punkte, die umgesetzt werden müssen, um der DSGVO zu entsprechen und personenbezogene Daten angemessen zu schützen. Bitte beachten Sie, dass jedes Unternehmen individuelle Anforderungen erfüllen muss und die Angaben daher keine vollständige Auflistung darstellt. Die nachstehenden Erläuterungen beziehen sich auf das österreichische Recht.

Behördliche Prüfung der DSGVO-Umsetzung bei kleinen und mittleren Unternehmen weiterlesen