#38 - Herr, Frau oder gar nichts – wie eine Pflichtanrede zum Datenschutzproblem wird

00:00:05:

00:00:16: Ja, liebe Birgit willkommen

00:00:17: zurück

00:00:18: bei einer neuen Folge von Mein Datenschutztheater.

00:00:22: Den Podcast von meine Berater!

00:00:23: Ich hoffe es geht dir gleich gut wie mir.

00:00:25: Ja reilig, servus lieber Murphy.

00:00:28: Folge thirty-eight so eine schöne Zahl Und wir widmen uns heute einem ganz speziellen Thema, dass sicher viele unserer Kunden und Kundinnen auch in irgendeiner Form betrifft.

00:00:39: Herzlich willkommen liebe Damen und liebe Herren an den Hörgeräten – na so sagt man nicht!

00:00:46: An den Lautsprechern.

00:00:48: Und vielleicht war jetzt meine Begrüßung schon gar nicht mehr korrekt?

00:00:53: Na das widerspricht schon aus unserem Titel.

00:00:54: Ja genau

00:00:56: Wie heißt denn unser Titel heute, Mörfe?

00:00:58: Ja.

00:00:58: Unser Titel heißt Herr Frau oder gar nichts wie eine Pflichtanrede zum Datenschutzproblem wird.

00:01:05: Man könnte auch so ein geschlechtsspezifische Anräder im Onlineshop unter der Datenschutze.

00:01:10: Das klingt ein bisschen komplizierter.

00:01:12: wir haben ihnen wieder einen sehr interessanten Fall mitgebracht die immer ein bisschen aufbereiten werden und wir werden schauen wie viel Redezeit der Mörffe bekommt weil Den Fall habe ich vorbereitet, nachdem man sehr ins Juristische auch hineingeht.

00:01:26: Aber keine Sorge es ist auch was Technisches dabei, dass sich auch sehr interessant finde.

00:01:31: also das heißt wir legen los würde jetzt einmal vorschlagen ja gut ich erzähle mal um was es da hingeht.

00:01:38: Also es gibt natürlich eine Beschwerde gegen ein Unternehmen sonst wären wir nicht da sonst hätten wir diesen Fall nicht mit abgeführt vor der österreichischen Datenschutzbehörde.

00:01:47: Wir freuen uns ja, dass wir darauf sehr viele Verfahren mittlerweile zurückgreifen können.

00:01:52: Und warum ging es?

00:01:54: Ja, der Beschwerdeführer hat sich beschwert.

00:01:57: Nämlich gegen ein Unternehmen das in den Online-Shop betreibt wo er sich registriert hat.

00:02:02: Da hat er einen Konto angelegt.

00:02:03: man hätte auch als Gast bestellen können aber er hat auf jeden Fall ein Konto registrierte.

00:02:09: und natürlich wie das jeder von uns der schon jemals online geschopt hat kennt muss man sich registrieren.

00:02:16: Das ist jetzt nichts außergewöhnliches.

00:02:17: Könnte ich mir sagen wir wissen nicht ob's eher war.

00:02:20: Also es sagt, er hat sich registriert?

00:02:22: Ah das ist richtig.

00:02:23: Eine Person hat sich Registriert!

00:02:26: So ist es richtig.

00:02:27: und verschiedenste Daten mussten natürlich da zur Registrierung angegeben werden.

00:02:32: Das ist ganz klar.

00:02:34: und dieser der Onlineshop Betreiber hatte auch wie ich finde eine ganz tolle Datenschutzerklärung veröffentlicht.

00:02:41: Und aus dieser Datenschutzerklärung hat sich ergeben, man kann da das Kundenkonto anlegen.

00:02:46: Da kriegt man dann sogar noch ein Mail, dass man das nochmal bestätigt.

00:02:49: Also double opting bei der Registrierung beim Online-Shop – das finde ich außergewöhnlich!

00:02:55: Das sieht man nicht so oft.

00:02:56: Ja und dann war erklärt wir benötigen folgende Daten Vornahmennachnahme, E-Mail Adresse, Rechnungsadresse, Lieferadresse und Zahlungstaten.

00:03:06: Und freiwillig bekanntgegeben konnte man dann noch ein Telefonnummer Geburtsdatum.

00:03:12: Meine Produkte wurden angezeigt.

00:03:14: Klar was habe ich denn schon alles bestellt?

00:03:17: Dann wurde die Nutzerinnen über ganz viele Zwecke aufgeklärt.

00:03:22: Also wirklich toll beschrieben!

00:03:25: von der Bereitstellung des Online-Kontos bis hin zur Abwicklung dann vom Bestellungen.

00:03:32: Und wenn man eingewilligt hat, hat man auch sich zum Newsletter anmelden können das natürlich auf Basis dieser Einwilligung.

00:03:40: Also perfekt umgesetzt bis jetzt?

00:03:42: Ja wirklich kann man sie überhaupt nicht beschweren.

00:03:44: also dieses Unternehmen war gut beraten hatte einen guten Datenschutzansatz hat das gut erklärt.

00:03:52: eines war allerdings Nicht gut gemacht und das ganze hätte man schon vor Jahren ändern müssen.

00:03:59: Die Entscheidung ist erst jetzt veröffentlicht worden so in ihrer finalen Version, es gab nämlich nur eine Möglichkeit sich einer geschlechtsspezifischen Anrede zu bedienen Herr oder Frau.

00:04:14: Es gab nicht die Möglichkeit sich ohne An Rede zu registrieren Und es gab auch keine Möglichkeit die Wehrs auszuwählen oder einen anderen Begriff zu wählen.

00:04:25: Das heißt, es war nicht optional

00:04:27: sondern

00:04:28: verpflichtend?

00:04:28: Genau!

00:04:29: Es war verpflichtende und das finde ich ja total interessant weil so gut diese Datenschutzerklärung ist dass mein Geschlecht aus Suche muss bei der Anrede des Schnittnett drinnen.

00:04:38: Das ist irgendwie interessant.

00:04:40: was sonst also so ausführliche Datenschutzerklärungen wie in dem Fall sehen wir?

00:04:43: selten kann man sich ein Beispiel daran nehmen?

00:04:47: Ja... Der Beschwerdeführer Die Beschwerde führende Person, so ist es richtig hat dann an dieses Unternehmen geschrieben und hat gesagt ich wollte gerade online bestellen.

00:05:01: Und habe aber festgestellt dass sich bei der notwendigen Registrierung ein Pflichtfeld auswählen muss bei dem es nur Herr oder Frau gibt.

00:05:11: und wie kann ich den ohne Anrede bei Ihnen etwas bestellen?

00:05:14: Das war mal das erste.

00:05:16: Dann hat er sein Recht auf Korrektur ausgeübt.

00:05:19: Also hat die Person ihr Recht auf Korrektur ausgeübt und hat dann gemeint, dass eine ja jetzt irgendeine Anrede gespeichert sein muss.

00:05:30: Die Person hat sich für die Anredefrau entschieden, hat aber schon gesagt das ist eigentlich nicht die richtige Anredee die ich haben will Und hat dann, und Sie verzeihen mir liebe Damen und Herren das mich da jetzt manchmal so ein bisschen würfelt mit der Beschwerdeführer.

00:05:46: Und die beschwerdeführende Person ist nicht böse gemeint Es ist ein bisschen komplex und für mich auch ein bisschen kompliziert weil irgendwie sagen wir immer der Beschwärteführer aber in diesem Fall war es eine Person die sich als Frau dann registriert hat Aber als Frau nicht geführt werden möchte.

00:06:03: Also ich werde mich jetzt bemühen Beschwerdeführende Person zu sagen natürlich, um meinen Respekt hierzu erweisen.

00:06:11: Ja jedenfalls jetzt gab es einmal dieses Mail und dann gab's ein nächstes Mail von dieser Person einen Antrag auf Korrektur.

00:06:19: die geneigten Datenschützerinnen und Datenschützen und denen wissen das ist auch ein Recht dass die DSGVO vorgibt, ein Recht auf Korraktur und hat eben da aufgefordert es zu unterlassen geschlechtsspezifische Anreden zu verwenden.

00:06:35: Ja, warum verwenden wir das nicht so oft in unseren Podcasts und auch sonst?

00:06:40: Weil dieses Recht quasi nie als Recht ausgeübt wird.

00:06:45: Sondern es ruft, wenn er sagt bitte meine Straße stimmt nicht oder mein Name ist falsch geschrieben ich habe geheiratet oder punkte Punkte.

00:06:52: Genau!

00:06:52: Das heißt ein richtiges Recht auszuüben kommt sehr selten vor.

00:06:57: Ich kenne keinen Fall, wo dieses Recht auf Korrektur was die geschlechtsspezifische Anrede betrifft ausgeübt wurde.

00:07:05: Also deshalb haben wir ja auch diesen Fall mitgebracht und er passt doch in dieses Monat besonders gut hinein.

00:07:11: es ist gerade Pride Months und nachdem der Murphy Absolute Antidiskriminierungsfanatiker sind, haben wir uns gedacht.

00:07:20: Der Fall passt auch aus diesem Grund gut.

00:07:23: aber egal wann sie sich diesen Fall anhören werden ob das dieses Monat ist oder irgendwann erpasst einfach immer weil Diskriminierung ist nie eine gute Idee.

00:07:34: Ja jedenfalls hat dieses Unternehmen auch ganz vorbildhaft geantwortet aber halt nicht so wie sich die beschwerdeführende Person gewünscht hat Und zwar hat sie zugesichert, dass die zuständige Fachabteilung von diesem Umstand informiert wird.

00:07:51: Jedoch hat sie dann geschrieben diese Firma aktuell ist es uns leider nicht möglich weitere Geschlechter als Auswahl in unserem Online-Shop zu verwenden und wir haben den Verbesserungsvorschlag eh weitergeleitet.

00:08:04: im Moment so quasi liebe beschwerdeführende Person du musst jetzt damit leben!

00:08:09: Begründung finde ich sehr lustig.

00:08:11: technische Komplexität

00:08:13: ja

00:08:13: Ja.

00:08:14: Siehst du das auch so, dass es technisch so komplex ist?

00:08:17: Man könnte als Artiller sagen, es kommt drauf an – das sagen auch meisten Touristen – aber es kommt wirklich darauf an.

00:08:23: Je nachdem wie das im Hintergrund alles gelöst ist, müsste man sich natürlich anschauen.

00:08:28: Insgesamt halte ich es trotzdem für einfach durchführbar ins... ja wobei ich kein natürliches System nicht, deswegen lassen wir das einmal so stehen!

00:08:37: Wir werden dann in der Folge dieses Falles hören, wie es nun weitergeht.

00:08:43: So und dann hat diese Person sich auch noch zum Newsletter angemeldet gehabt, wie ich sagte.

00:08:48: Und auch da wurde eine damals noch beim ersten Newsletter den die Person dann bekommen hat – eine geschlechtsspezifische Anrede nämlich die von dieser Person gewählte Frau verwendet.

00:08:59: Das Beulass

00:09:00: schon!

00:09:01: Wieso?

00:09:02: Bei dem ersten Newsletter wurde eine Anredee verwendete.

00:09:06: Ja.

00:09:07: Ich weiß schon das Beuler, dass nachher vielleicht anders wird.

00:09:10: Also ja... Na macht ja nix, wir wollen ja nicht stundenlang über das Redner ein bisschen spoilern.

00:09:16: Ist erlaubt?

00:09:17: Naja und dann hat sich diese Person bei der Datenschutzbehörde beschwert mit einigen Beschwerden Gegenständen kann man sagen und hat auf mehrere Rechtsverstöße hingewiesen.

00:09:33: drei Rechtsverstöße um genau zu sein, nämlich sie hat gemeint diese Verarbeitung der geschlechtsspezifischen Anrede Verstoße gegen den Artikel fünfte SGBV und nachdem wir über den schon lange nicht mehr geredet haben.

00:09:49: Das muss jetzt der Murphy aushalten und Sie lieber Damen und Herren sind auch hoffentlich abeglückt wenn ich das ein bisschen erzähle.

00:09:56: Ja habe ich da mir das noch einmal mitgenommen und angeschaut, was steht denn in diesem Fünfer drinnen?

00:10:04: Jetzt muss ich ein bisschen rascheln.

00:10:05: Weißt du das natürlich nicht auswendig?

00:10:08: Wir leben und beraten es aber wir wissen jetzt nicht auswändig.

00:10:10: Guckt

00:10:10: das nicht nur ich als Nichtauswendige?

00:10:12: Nein!

00:10:13: Aber grundsätzlich geht's um die Grundsätze für die Verarbeitung personenbezogene Daten.

00:10:19: Und was steht da drin?

00:10:21: Erstens sind wir müssen rechtmäßig nach treu und glauben und transparent verarbeitet werden.

00:10:28: Die Rechtmäßigkeit werden wir jetzt dann auflösen, nach Treue und Glauben.

00:10:32: Also das Unternehmen hat auf gar keinen Fall absichtlich irgendwie wieder rechtlich gehandelt.

00:10:38: Genau!

00:10:39: Die Transparenz war fast ganz gegeben.

00:10:44: Fast ganz?

00:10:45: Ja, werfen denkt nach... Ich sehe die kleinen Räder sich drehen.

00:10:53: Ich stehe auf einer Leitung gerade.

00:10:55: Ja, viel leicht!

00:10:56: Die Datenschutzerklärung war super aber es stand nicht drin dass auch jeder Frau verarbeitet wird.

00:11:01: die Anrede.

00:11:03: Die Zweckbindung ist natürlich wichtig das sich Daten nur für einen festgelegten eindeutigen und legitimen Zweck verarbeite.

00:11:11: ich denke das haben wir da auch.

00:11:13: also was ist der Zweck?

00:11:15: In dem Fall, dass ich den Vertrag gefühlen kann ... beim Shop, was bestellen kann und damit das vielleicht auch zugestellt bekommen.

00:11:23: Ja, also... Also zehn diese ganzen Daten deswegen auch

00:11:26: anzuverarbeiten?

00:11:26: Zu verarbeiten!

00:11:27: Also daran werden wir keinen Zweifel haben dass das grundsätzlich ein Legitimer-Zweck war, nämlich über einen Online-Shop Konto einen Verkaufsprozess zu tätigen und dann auch etwas zu liefern und das zu kassieren.

00:11:42: Und über die Einwilligung eine Newsletter zu halten?

00:11:44: Richtig!

00:11:45: Auch da so ein zweiter Zweck?

00:11:47: Ja genau super Murphy.

00:11:50: So jetzt kann ich mich setzen, dann

00:11:51: kann ich

00:11:52: mal reden.

00:11:53: Nein das wäre blöd!

00:11:54: Dann haben wir natürlich die Tiefvertreide, es ist die Datenminimierung, die Pflicht zur Datenminiminierung.

00:12:00: Da wird's schon kritisch?

00:12:01: Ja richtig weil da werden wir wahrscheinlich hinkommen dass irgendwer dann gesagt hat na also her Frau und kein weiteres fehlt.

00:12:09: Genau, aber

00:12:10: keine Pflichtung.

00:12:11: Na geht deshalb nicht, weil ich muss nicht zwingend um diesen Vertrag erfüllen zu können eine Anrede verwenden.

00:12:17: Und bitte liebe Damen und Herren, die uns immer zuhören, denken Sie bei allen Ihren Datenverarbeitungen dran.

00:12:23: Brauche ich diese Daten wirklich alle?

00:12:26: Könnte nicht das ein oder andere weglassen!

00:12:28: Und ist gut dabei, sie auch.

00:12:29: Daten, die ihr nicht erhebt, brauche ich nicht schützen und auf die brauche nicht aufpassen.

00:12:33: Löschkonspekt brauch' ich auch kleines.

00:12:36: Was haben wir denn noch?

00:12:37: Die Daten müssen sachlich richtig und erforderlichenfalls auf neuestem Stand sein – also die Richtigkeit der Verarbeitung?

00:12:47: Nimm mal ganz richtig bei der andere.

00:12:50: Wobei, wenn man es runterbricht auf das diese Person Frau selber ausgewählt hat, das war grundsätzlich dann von dem was ausgewählt wurde, war's nicht falsch?

00:13:02: und dann haben wir natürlich noch das Thema der Speicherbegrenzung in einer Form gespeichert zu werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht wie es für die Zwecke, für die sie verarbeitet werden erforderlich ist.

00:13:17: Nachdem wir noch immer liefern können wollen braucht man's noch.

00:13:21: Ja aber halt auch nicht alles!

00:13:25: Und dann haben wir noch, und das sind so diese Themen die die IT ganz besonders freuen, Integrität und Vertraulichkeit.

00:13:31: Da geht es um die angemessenen Sicherheitsvorkehrungen und dieser ganze Artikel fünf steht unter dieser wunderbaren Überschrift Rechenschaftspflicht.

00:13:41: also das heißt der verantwortliche ist verantwortlich, dass das alles eingehalten wird.

00:13:47: Muss Rechenschaft ablegen?

00:13:48: Ja genau!

00:13:49: Er muss es auch nachweisen können, dass er alle diese Grundsätze entsprechend eingehalten hat.

00:13:56: So Beschwerde an die Datenschutzbehörde.

00:13:58: Die Datenschutzbehörden fordert dann natürlich die beschwerte Gegnerin dieses Unternehmen zu einer Stellungnahme auf und in dieser Stellungnahmen hat sie eingeräumt, Sofern es technisch und wirtschaftlich schon möglich war, auf geschlechtsneutrale Anreden setzt also dieses Unternehmen.

00:14:21: Allerdings beim Registrierungsprozess für den Online-Shop war das technisch einfach noch nicht möglich.

00:14:28: Das stand in dieser Stellungnahme drinnen Und etwas später.

00:14:32: dann hat diese Firma eine erneute Stellungnahmen abgegeben und ich finde diesen Satz so schön.

00:14:40: Deshalb muss ich ihn zitieren.

00:14:45: Diese Unternehmen hat dann an die Datenschutzbehörde geschrieben.

00:14:47: Die Zeit- und Kostenintensive Systemumstellung zur geschlechtsneutralen Registrierung im Online-Shop unserer Mandantin ist abgeschlossen, daher wird der Antrag gestellt, da Beschwerde für einen Person abzuweisen.

00:15:04: Also wissen wir jetzt es ist doch relativ einfach am Ende des Tages gegangen sonst hätte man's nicht so schnell gemacht.

00:15:12: Ja, also sie haben wir mal grundsätzlich dann in den rechtskonformen Zustand hergestellt.

00:15:17: Und jetzt schauen wir uns an was die Behörde dazu gesagt hat.

00:15:21: Wir sind noch nicht am Ende dieser Folge.

00:15:24: Also das ist vielleicht auch so ein kleiner Spoiler, Sie haben den rechtskonformen Zustand hergestellt aber man muss sich ja das anschauen zum Zeitpunkt wo die Beschwerde erhoben wurde.

00:15:34: was hat das Unternehmen da gemacht?

00:15:36: und natürlich wird es immer wohlwollend zur Kenntnis genommen von der Behörde.

00:15:41: wenn dann während des Verfahren läuft etwas verbessert wird dann muss die Behördekrankung Verbesserungsauftrag.

00:15:47: Und da habe ich mir noch etwas angestrichen, was ich heute unbedingt zitieren möchte.

00:15:53: Die Datenschutzbehörde hat sich dazu geäußert, was sind personenbezogene Daten?

00:15:58: Und in dieser Form habe ich das noch nicht gelesen gehört.

00:16:01: Deshalb habe ich mir gedacht, heute muss ich das geben und dem Wörfe und Ihnen natürlich auch was die Datenschutzbehörde dahin geschrieben hat.

00:16:12: Also mal grundsätzlich wissen wir es sind Informationen, die sich auf eine identifizierte oder identifiziertbare natürliche Person beziehen.

00:16:20: Und so das Ganze erfolgt mittels Zuordnung zu einer Kennung.

00:16:25: Also ein Name, eine Kennnummer oder Standortdaten sowie eine Onlinekennung gehören da auch dazu.

00:16:33: Oder es gehören auch noch besondere Merkmale dazu nämlich die Ausdruck der physischen physiologischen genetischen psychischen wirtschaftlichen kulturellen oder sozialen Identität der natürlichen Person sind.

00:16:52: Cool, oder?

00:16:54: Ja.

00:16:54: Ich

00:16:54: glaube, ich muss meine Schulungen ergänzen bei Informationen.

00:16:57: Es ist

00:16:58: ein bisschen ausgeführt was die sind.

00:17:01: Aber jetzt nichts Neues gefunden.

00:17:03: Er ist nur ausführlich und schön aufgezählt.

00:17:08: Weil das kulturelle... Kulturell Identität

00:17:11: ja da kann man natürlich das kann man sehr weit auslegen.

00:17:14: Genau!

00:17:14: Ja aber ich finde dass das tolle Begriffe sind.

00:17:17: Schön

00:17:17: beschrieben?

00:17:17: Ja ich finde auch und das werden wir schon ein bisschen vielleicht Uns genauer anschauen, in unserer Beratungspraxis war es dennoch alles unter die personenbezogenen Daten fehlt.

00:17:28: Vielleicht haben wir dann noch nicht an Alles gedacht.

00:17:31: Gut jetzt hat sich da hat sich die Behörde einerseits wie ich schon vorher gesagt habe mit dem Artikel fünf beschäftigt ob diese Daten halt nach all diesen Grundsätzen korrekt verarbeitet wurden.

00:17:44: aber das Fahrt der Beschwerde für einen Person nicht genug Sondern sie hat gesagt, das Unternehmen hat nicht nur gegen Artikel fünf verstoßen.

00:17:53: Sondern hat auch den Artikel sechzehn nicht erfüllt.

00:17:57: Das war das Recht auf Berichtigung, wo die Person verlangt hat.

00:18:01: Konnte

00:18:01: Sie ja auch nichts zu dem Zeitpunkt?

00:18:02: Nein, konnte Sie nicht!

00:18:03: Die Datenbank sagt so, dass nehme ich nicht.

00:18:05: Aber da ist schon die Frage und die habe ich nicht beantworten können... Ich muss, wenn ich mich für den Online-Job registriere die Anrede auswählen.

00:18:14: Das ist ein Online-Formular – für mir jetzt das Line!

00:18:17: Ja.

00:18:18: Es geht dann in eine Datenbank hinein.

00:18:21: Ich könnte ja in der Datenbank einfach dieses Feld deaktivieren oder?

00:18:27: Gut, das werden wir uns nicht ausauflösen….

00:18:30: Weil dann hätte das Unternehmen schreiben können, ja wir brauchen es eh nur im Formular weil das ist halt ein dummes Formular.

00:18:36: Aber in unserer Datenbank haben wir diese... Wenn sie in

00:18:38: der Datenbank geht, geht's einem Formular?

00:18:40: Ja na gut

00:18:41: Also umgekehrt ist es schwieriger.

00:18:43: Ich habe mir gedacht, dass wäre so eine Möglichkeit gewesen zu sagen In der Datenbank selbst blenden wir die Spalte einfach aus oder anonymisieren das gleich oder was auch immer.

00:18:52: Gut und dann Das ist sein Freudenfest.

00:18:55: dann noch für Eithila denke ich hat auch noch die Person behauptet, es wäre ein Verstoß gegen Artikel Recht auf Technikgestaltung und datenschutzfreundliche Voreinstellung, das wäre dann Privacy by Design and Privacy By Default in der Fachsprache.

00:19:27: Und da hat sie behauptet dass Sie auch verletzt worden weil da hätte sie auch ein höchstpersönliches Recht dazu.

00:19:33: Hier werden wir sehen was die Datenschutzbehörde dazu sagt.

00:19:37: Ja gut Also es gab dann natürlich ein paar Mal einen Parteiengehör.

00:19:41: und was natürlich auch noch dazu kommt, dieses Unternehmen hat sich ja bemüht etwas zu tun.

00:19:49: Und während dieses ganze Verfahren gelaufen ist haben sie schon viele, viele Programmierer daran gesetzt gehabt dass sie diese Anrede wegbekommen das sie in wirklich ein ganz neutrales Anmeldeformular der Registrierungsformular schaffen.

00:20:08: So, jetzt haben wir aber den Zeitpunkt der Beschwerde.

00:20:12: Und die Beschwerdigegnerin des Unternehmens hat dann natürlich...

00:20:19: Das war im September XXIII?

00:20:21: Ja!

00:20:23: Und das Unternehmen hat dann als es geschrieben hat, jetz sind wir rechtskonform damit zugegeben bisher waren wirs nicht.

00:20:34: Genau und das hat ein bisschen gedauert bis es dann geschafft haben, in den Newslettern auch umzusetzen.

00:20:41: Ja und dann sagt die Datenschutzbehörde sie hat natürlich nicht verkannt dass während das Verfahren gelaufen ist bereits umfassende Systemumstellungen vorgenommen worden jedenfalls im Umkehrschluss hat das die Beschwerdegegnerin zugegeben, sehr lange Zeit nicht recht konfirm unterwegs gewesen zu sein.

00:21:04: Und Sie werden es vielleicht wissen im Jänner fünfundzwanzig gab's vom OGH eine Entscheidung gegen ein Unternehmen wo schon klargestellt wurde dass Anrede, Daten nicht erhoben werden müssen zur Personalisierung in der geschäftlichen Kommunikation.

00:21:21: Das erscheint uns zwar sozial üblich und der Höflichkeit und dem Respekt geschuldet aber damit ich einen Vertrag erfüllen kann.

00:21:29: In diesem Fall ging es um den Kauf von Zug-Dickets wenn Ich mich recht entsinne vom UGH Es ist nicht notwendig auszuwählen Herr Frau keine Anrede auszuwählen, ein Geschlecht auszuwellen.

00:21:42: Also das ist nicht notwendig um diese Geschäfte abzuschließen und dazu hat auch der UGH eben schon gesagt dass es alles nicht erforderlich.

00:21:51: um den Zweck meines Geschäfts zu erfüllen brauche ich diese Daten nicht.

00:21:55: also das heißt dann hat sich die Datenschutzbehörde angeschaut.

00:22:00: könnte man jetzt das auf berechtigtes Interesse stützen?

00:22:04: weil es ist jetzt schon klar gewesen für die Vertragserfühlung brauche die Daten nicht

00:22:09: Genau.

00:22:09: Dann hat sie analysiert, könnte ich jetzt sagen oder könnte das Unternehmen sagen?

00:22:14: Ich habe ein berechtigtes Interesse daran diese Daten nämlich eine spezielle Anrede zu verarbeiten.

00:22:22: ja und auch da hat die Behörde des HMASHA vorhin mal besprochen die berechtigten Interessen der Vorderlichkeit abgewogen und dann noch geschaut ob nicht die Grundrechte der Personen überwiegen und ist dann zu der Ansicht gelangt.

00:22:37: Logischen Ansicht?

00:22:38: Ja, der UGH-Entscheidung auch vollgehend nämlich dass es das Interesse der betroffenen Person überwiegt und auch da keine Rechtsgrundlage dafür da ist.

00:22:51: also jetzt habe ich schon keinen Vertrag, der das rechtfertigt und ich habe auch kein berechtigtes Interesse des Rechtzeitig die Anrede zu verarbeiten.

00:22:58: Genau.

00:23:00: Zumindest verpflichtend.

00:23:02: Ja, also es ist nicht zwingend erforderlich.

00:23:05: Und für die Juristen unter uns, unser Verfassungsgerichtshof hat im Jahr zwei Tausend Achtzehn schon entschieden, dass es wenn es bei einem Formular – das ist ja ganz egal ob das jetzt der Papierformula oder der Online-Formula nur zwei Geschlechtskategorien gibt zur Auswahl, dass das auch mit der Europäischen Menschenrechtskonvention nicht vereinbar ist?

00:23:26: Also was lernen wir daraus?

00:23:27: Viel!

00:23:29: Heut bist du ja wortgrach!

00:23:33: Seit Jahrzehnt, das ist jetzt doch schon ein paar Tage her.

00:23:36: Hätte man als Unternehmer schon daran denken müssen, wenn ich Daten abfrage und es war immerhin das Ja wo die DSGVO schaffgeschalten wurde zum Wo hätte man überlegen müssen nach dieser Entscheidung?

00:23:52: Die nur drei Wochen nachdem die DSGAVO geschallten wurde nämlich veröffentlicht wurde dass man gar keine Anrede braucht

00:24:00: oder... Das heißt fünf Jahre bevor dieser Fall überhaupt passiert ist.

00:24:06: Das

00:24:07: heißt,

00:24:08: die Website war wahrscheinlich, wenn sie so lange schon online war, fünf Jahre zumindest

00:24:14: nicht recht wichtig?

00:24:14: Nicht rechts von Online!

00:24:15: Wie wahrscheinlich, neunundneinzig, neuenperiodisch aller Webseiten, Onlineformulare

00:24:20: etc.,

00:24:21: weil das halt bei uns einfach so üblich war, lange Jahre dass man so starre binäre geschlechtsspezifische Auswahl hatte nur mit zwei Geschlechtern Ja, also seit Jahrzehnten hätte man schon daran denken können das überhaupt abzuschaffen.

00:24:37: Und dann haben wir noch einen dritten Punkt in dieser Beschwerde drin, den ich besonders interessant bin und es ist sicher etwas was dir als Techniker auch Sagen wir mal ins Auge gesprungen ist, wenn schon die Juristereifahrt nicht vielleicht so ganz interessant ist.

00:24:52: Aber diese Person hat behauptet sie hätte ein Recht auf datenschutzfreundliche Voreinstellungen und das ist ihr im Gesetz normiert wie ich schon sagte.

00:25:01: Die Fünferzwanzigte ist GVO und hat gemeint gegen diese Verpflichtung hat das Unternehmen auch verstoßen.

00:25:08: Genau, also im Artikel, Privacy by Design, Privacy By Default ist eben diese sogenannte Technikgestaltung umfasst.

00:25:18: Was bedeutet das?

00:25:19: Privacy by design die Applikation Software Website was auch immer gemacht gebaut wurde muss so gebaut sein dass sie auf die personenbezogene Daten in so ein Rücksicht nimmt, das sie richtig gespeichert werden und so weiter.

00:25:35: Im Gegensatz zu Privacy by default, dass die Voreinstellungen, die getroffen werden wenn ich beispielsweise einen Formularausfülle so gestaltet sind, dass sie eben auch perfekt für den Schutz dieser personenbesorgenden Daten sind.

00:25:53: In unserem Fall hat die Person gemeint, dass diese Einstellungen nicht richtig waren weil vielleicht eben nur Herr oder Frau auswählbar war und vielleicht sogar schon im Feld dargestellt worden war.

00:26:06: Und diese, und dagegen wurde eine Beschwerde... Ein Beschwerdipunkt

00:26:12: auch angeführt?

00:26:13: Punkt

00:26:13: angeführt!

00:26:15: Und der ist wie wir dann nachträglich gesehen haben

00:26:19: behandelt worden.

00:26:19: Kein höchstpersönliches

00:26:20: Recht.

00:26:20: Und genau die behörte dann entschieden dass das eben nicht so ist kein persönlicher Punkt, den eine Person da einwenden

00:26:30: kann.

00:26:30: Ja es gibt keinen Wahlrecht dieser Person.

00:26:33: also eine betroffene Person, eine von der Datenverarbeitung betroffenen Person hat kein Wahlrecht dass es spezielle datenschutzfreundliche Voreinstellungen oder Technikeinstellung geben muss.

00:26:45: das heißt das Unternehmen der Verantwortlichen ist natürlich verantwortlich wie schon drinnen steckt in dem Wort dass das entsprechend eingestellt ist, dass diese Voreinstellungen passen.

00:26:55: Aber ich kann jetzt nicht hergehen und ich finde das auch ein sehr interessanter Dritterpunkt in dieser Beschwerde.

00:27:02: Ich kann nicht sagen es wurde gegen Artikel twenty-fünf verstoßen.

00:27:06: Das ist ein höchstpersönliches Recht, das ich habe.

00:27:08: Das gehört also nicht wie wir jetzt ausjudiziert wissen zu den betroffenen Rechten.

00:27:14: Ja willst du einen Fazit ziehen?

00:27:17: Ja Fazit Personenbezogene Daten stecken manchmal im Kleinen.

00:27:22: Das heißt, eine schlichte Pflichtanrede wie wir jetzt in diesem Registrierungsformular hatten kann schon ausreichen damit man gegen die TSGVO verstößt.

00:27:32: und ja das Verfahren beweist auch dass wir ohne diese Daten auskommen können und auch müssen in Zukunft weil wir sonst eine Rechtsverletzung begehen.

00:27:44: Ja, also man kann sagen bitte überlegen Sie sich welche Daten braucht man wirklich um den Zweck einer Geschäftsbeziehung erfüllen zu können.

00:27:53: einen Vertrag erfüllen zu können, was auch immer.

00:27:56: Brauche ich wirklich alle Daten die ich sammle?

00:27:59: und wenn nicht viele Daten sammeln möchte brauche ich eine sehr gute Argumentation am besten schriftlich irgendwo niederlegen zu OneNote bringen oder wo auch immer Sie das machen in Ihrer Firma warum sie welche Daten sammelen?

00:28:12: Und auch meinen Sie brauchen die für die Zweckerfüllung.

00:28:16: Und das ist der dritte Punkt, es ist dass ein Recht auf Datenschutz freundliche Voreinstellungen kein höchst persönliches.

00:28:24: Es ist eine Verpflichtung des Verantwortlichen aber ein Recht darauf oder einen Wahlrecht?

00:28:28: wie hat das auszusehen?

00:28:30: haben betroffene Personen nicht.

00:28:32: Ja schöner Fall interessante Punkte schöne Formulierungen wie ich finde.

00:28:37: Wunderbar!

00:28:39: Fall Achtunddreißig quasi abgeschlossen und wir freuen uns Wenn Sie demnächst wieder reinfahren, wenn es auch das nächste Mal wieder heißt...

00:28:47: Mein Datenschutztheater der Podcast von Meine Berater.

00:28:50: Klappt!

00:29:06: Proziert!

00:29:10: Cast-Agentur.