The GDPR entered into force on May 25, 2018. It has now been 2 months without anything being published in the media about the consequences of the GDPR. Many have surely asked themselves the question: What does the data protection authority do?
Entscheidungen seit dem Inkrafttreten der DSGVO
- 28.5.2018 DSB-D216.471/0001-DSB/2018 Löschung personenbezogener Daten Die Datenschutzbehörde hat verfügt, dass Stammdaten in dem konkreten Fall 7 Jahre (nach gemäß § 132 Abs. 1 BAO) aufbewahrt werden dürfen. Die Verjährungsfrist von 10 Jahren (§ 207 Abs. 2 BAO ) reicht nicht, um eine längere Aufbewahrung zu begründen.
- 28.5.2018 DSB-D216.580/0002-DSB/2018 Löschung inkludiert Kontaktdaten Nach einer Löschaufforderung wurden Kontaktdaten zur einfachen Kommunikation sowie zum Verhindern der erneuten Kontaktaufnahme nicht gelöscht. Laut DSGVO Artikel 17 ist die Speicherung nur im öffentlichen Interesse, zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen legitim.
- 7.6.2018 DSB-D202.207/0001-DSB/2018 Genehmigung einer Bildverarbeitung zu Forschungszwecken
EasyGDPR hilft zu dokumentieren aus welchen Rechtsgründen die Daten aufbewahrt werden müssen. Aber Achtung, nur anzugeben, dass 30 Jahr für die Ausstellung eines Dienstzeugnisses benötigt werden, erlaubt nicht alle Daten 30 Jahre aufzubewahren. Die Datenschutzbehörde sieht die Speicherbegrenzung sehr restriktiv.
Was macht die Datenschutzbehörde: Laufzeiten
Bei vielen Beschwerden aus dem Jahr 2017 (DVR) haben wir Laufzeiten von 4 bis 7 Monaten gefunden. Was auffällt ist, dass die Behörde relativ schnell reagiert und bei Bedarf weitere Informationen einfordert. Bei der Klärung des Sachverhalts gibt es in fast allen Verfahren mehrere Rückfragen bei dem Beschwerdeführer sowie dem Beschwerdegegner (dem Unternehmen, dem ein Fehlverhalten vorgehalten wird). Bei Fristen von 2-4 Wochen pro Anfrage dauert ein Verfahren mehrere Monate. Verfahren, bei denen die Behörde selbst aktiv wird bzw. bei denen der Beschwerdeführer die geforderte Belege und Details nicht nachliefert, sind oft in ein bis zwei Monaten abgeschlossen. Daraus ergibt sich, dass nach “nur” zwei Monaten nach dem Inkrafttreten der DSGVO noch keine Ergebnisse von Beschwerden die nach Inkrafttreten der DSGVO gemeldet wurden zu erwarten sind.Was macht die Datenschutzbehörde: Ergebnis der Verfahren
Bei den ausgewerteten Beschwerden wurden 40% ganz oder teilweise zurückgewiesen. In 60% der Fälle wurden Empfehlungen ausgesprochen. Die Empfehlungen sind bei sonstiger Exekution umzusetzen. Die Fristen reichen von umgehend (oder max. 2 Wochen) bei Auskunftserteilungen bis zu 2-3 Monaten, wenn Abläufe im Unternehmen umgestellt werden müssen. Exekution bedeutet, dass die Datenschutzbehörde die Umsetzung auch gegen den Willen des Verantwortlichen auf dessen Kosten erzwingen wird. Die Behörde legt großen Wert auf eine genaue Einhaltung der DSGVO. Bei alten Entscheidungen wird großen Wert auf die korrekte Meldung im DVR gelegt. Seit 25. Mai ist das DVR durch das Verfahrensverzeichnis abgelöst.easyGDPR macht es einfach ein vollständiges Verfahrensverzeichnis zu erstellen.