Auch Jahre nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) sind Fragen, wie und in welcher Tiefe diese umzusetzen ist, noch nicht vollständig beantwortet. Das liegt auch daran, dass die als Grundverordnung konzipierte Datenschutz-Regulatorik alle Verantwortlichen adressiert und deshalb unbestimmt bleiben muss.
Ein geschiedenes Paar hat eine gemeinsame Tochter. Die Mutter installiert auf dem Handy der Tochter die Ortungs-App „Pingo“. Darüber beschwert sich ihr Vater bei der österreichischen Datenschutzaufsicht. Er fühlt sich von seiner Ex verfolgt. Denn zumindest einmal hat sie die Tochter geortet, während sie bei ihm war.
Die Datenschutz-Grundverordnung (DSGVO) kennt in Art. 9 den Begriff der besonderen Kategorien personenbezogener Daten. Ihre Verarbeitung ist nur unter besonderen Voraussetzungen erlaubt und kann eine Datenschutz-Folgenabschätzung notwendig machen. Deshalb ist es wichtig, genau zu wissen, welche Daten unter diesen Begriff fallen.
Immer mehr Unternehmen nutzen KI-basierte Chatbots, um Kundschaft oder Beschäftigte bei Fragen zu Produkten, Dienstleistungen und Geschäftsprozessen zu unterstützen. Der Einsatz solcher Chatbots bringt Vorteile, wirft aber auch wichtige datenschutzrechtliche Fragen auf.
RFID und NFC sind etwa beim kontaktlosen Bezahlen von zentraler Bedeutung. RFID (Radio Frequency Identification Technology, Funkfrequenzidentifizierung) ist eine Technologie, mit der sich Daten berührungslos und ohne Sichtkontakt lesen und speichern lassen. Nahfeldkommunikation (Near Field Communications, NFC) basiert auf den RFID-Standards.
Die technisch-organisatorischen Maßnahmen im Datenschutz müssen sich an der Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen und damit am Schutzbedarf der Daten orientieren. Der Schutzbedarf hängt u.a. von der Datenkategorie ab. Um diese zu bestimmen, helfen Schutzstufenkonzepte.
Der Datenschutz im Internet beginnt nicht erst damit, Online-Attacken abzuwehren, sondern mit dem datenschutzgerechten Internetauftritt eines jeden Unternehmens. Die Datenschutz-Grundverordnung (DSGVO / GDPR) und das Telekommunikation-Digitale-Dienste-Datenschutzgesetz (TDDDG) machen hierzu zahlreiche Vorgaben.
Jemand wechselt den Arbeitgeber, bleibt aber in derselben Branche. Vor seinem Neuanfang kopiert er alle Kontaktdaten, die er bei seinem bisherigen Arbeitgeber ständig benutzt hat. Hier droht Ärger mit dem Datenschutz.
Wer sich wegen eines Datenschutzverstoßes bei der Aufsichtsbehörde beschwert, erwartet in der Regel Vertraulichkeit. Wer sich durch eine solche Beschwerde „angeschwärzt“ fühlt, möchte dagegen wissen, wer sich beschwert hat. Im Normalfall scheitert der Versuch, dies zu erfahren. Manchmal gelingt es aber doch.
Am 01.12.2024 hat die fünfjährige Amtszeit der neu bestellten EU-Kommission begonnen. Anders als nach ihrem Arbeitsprogramm für 2025 zu erwarten zeigt sie sich inzwischen offen für moderate Veränderungen der DSGVO. Von einer umfangreichen „DSGVO-Reform“ sind diese Überlegungen jedoch weit entfernt.
