Unlängst erging eine Entscheidung der Österreichischen Datenschutzbehörde (DSB) zur Nutzung von Microsoft 365 Education in Schulen. Diese basierte auf einer Beschwerde aus 2024, deren Ausgangspunkt ein Auskunftsersuchen einer Schülerin war. Die Schule nutzte die Software Microsoft 365 Education für Unterrichtszwecke, die verschiedene Microsoft-Produkte und -Dienste, wie Microsoft Word, Microsoft Teams und Microsoft Sharepoint umfasst. Der […]
Österreich
In Teilen unzulässige Videoüberwachung führt zu Millionenbußgeld bei IKEA Österreich
Mit dem Urteil vom 25.07.2025 bestätigte das Bundesverwaltungsgericht in Österreich (BVwG) die Strafe der österreichischen Datenschutzbehörde (DSB) vom 16.08.2024 in Höhe von 1,5 Millionen Euro gegenüber IKEA Österreich. Das BVwG stellte in seinem Urteil nun fest, dass IKEA im Rahmen der eingesetzten Videoüberwachung gegen Art. 5 Abs.1 lit. a und c DSGVO (Grundsätze der Rechtmäßigkeit […]
Interessenkonflikt beim Datenschutzbeauftragten: 5.500 Euro Strafe
Das Amt eines Datenschutzbeauftragten (DSB) darf nicht jeder ausüben. An die Benennung als DSB sind – aus guten Gründen – bestimmte fachliche, aber auch persönliche Voraussetzungen geknüpft, die erfüllt sein müssen. Eine davon besagt, dass er oder sie als unabhängige Kontrollinstanz bei der Wahrnehmung der Aufgaben keinem Interessenkonflikt unterliegen darf. Ein solcher Konflikt kann sich […]
Kein Anschluss unter dieser E-Mail-Adresse
Die Rechtslage ist eindeutig: Werden personenbezogene Daten unmittelbar oder mittelbar erhoben, sind die Kontaktdaten des Datenschutzbeauftragten mitzuteilen (Art. 13 Abs. 1 lit. b DSGVO bzw. Art. 14 Abs. 1 lit. b DSGVO). Zwar spricht Art. 13 DSGVO von „gegebenenfalls“, damit ist jedoch nur gemeint, dass eine Mitteilung nicht besteht, wenn es auch einen Datenschutzbeauftragten tatsächlich […]
EuGH-Urteil zum „Bonitätsscoring“ – Umfang des Auskunftsanspruchs und Unionsrechtswidrigkeit des § 4 Abs. 6 DSG
Mit dem aktuellen Urteil des Europäischen Gerichtshofs (EuGH) vom 27. Februar 2025 (C‑203/22 – Dun & Bradstreet Austria GmbH) ist klargestellt, dass betroffene Personen gemäß Art. 15 Abs. 1 lit. h DSGVO einen umfassenden Auskunftsanspruch insbesondere in Bezug auf automatisierte Entscheidungsfindungen im Zusammenhang mit Bonitätsscoring-Verfahren haben. In diesem Zusammenhang hat sich der EuGH außerdem hinsichtlich […]
Geschäftsgeheimnisse – kein Schutzanspruch ohne angemessene Geheimhaltungsmaßnahmen
Wer sich auf den Schutz von Geschäftsgeheimnissen beruft, muss einem Beschluss des Österreichischen Obersten Gerichtshofes (OGH) zur Folge für diese auch ausreichende Geheimhaltungsmaßnahmen ergreifen. Wir verlassen in diesem Beitrag das reine Datenschutzrecht und widmen uns den Maßnahmen, die sowohl personenbezogene Daten, aber auch – wie im nachfolgenden Fall dargelegt – Geschäftsgeheimnisse schützen sollen. Der gesetzliche […]
Nächster Erfolg von NOYB um Max Schrems in Belgien
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union, seit 2018 in Kraft, ist eines der umfassendsten Datenschutzgesetze weltweit. Sie soll die persönlichen Daten von EU-Bürgern schützen und Unternehmen zur Einhaltung der Datenschutzvorschriften verpflichten. In der Praxis gestaltet sich die Umsetzung dieser Regeln jedoch oft schwierig, insbesondere im Umgang mit Cookies auf Websites. In Belgien führte die Beschwerde […]
Führt bereits die Anzahl an Beschwerden zu einer exzessiven Anfrage im Sinne von Art. 12 Abs. 5 DSGVO?
Im Rahmen eines Vorabentscheidungsersuchens des Verwaltungsgerichtshofs (Österreich) hat sich der EuGH (Rechtssache C‑416/23) mit der Frage der „Exzessivität“ von Anträgen an Aufsichtsbehörden zu befassen. Der Generalanwalt hat hier nun seine Schlussanträge verfasst. Auch wenn Gegenstand des Verfahrens die Weigerung einer Aufsichtsbehörde nach Art. 57 Abs. 4 DSGVO ist und kein Unternehmen Partei des Rechtsstreits ist, […]
Kreditscoring in Österreich: Fragwürdiger Datenbestand der Auskunftei CRIF
Aufgrund mehrerer Beschwerden erließ kürzlich die oberste Datenschutzbehörde Österreichs (DSB) gegen die Auskunftei CRIF GmbH (nachfolgend: CRIF) einen Bescheid, wonach die alleinige Verarbeitung der personenbezogenen Daten „Name, Adresse und Geburtsdatum“ zum Zwecke der Bonitätsbewertung nicht den Anforderungen der Datenschutz-Grundverordnung (DSGVO) genüge. Hinweis: Zum besseren Verständnis sei auf die thematische Einführung zum Scoring & Bonitätsmanagement in […]
Der Postsack und die DSGVO
Immer wieder ergehen Urteile zum Datenschutzrecht, die etwas aus dem Rahmen fallen und für den geneigten Leser etwas zum Schmunzeln sein könnten. In unserem Nachbarland Österreich wurde vor wenigen Wochen vom Bundesverwaltungsgericht Wien (Urteil vom 22.12.2020, Az.: W258 2225293-1/6E) eine Entscheidung getroffen, die wegen ihrer grundlegenden Bedeutung für das europäische Datenschutzrecht eine besondere Erwähnung verdient. […]