Die Datenschutz-Grundverordnung

D.A.S. Partneranwalt Mag. Haslinger zum Thema „Datenschutz-Grundverordnung“ 

Schon beinahe jeder Lebensbereich umfasst die automationsunterstützte Verarbeitung personenbezogener Daten. Gerade aufgrund der raschen und enormen Entwicklung neuester Technologien bedarf es eines umfangreichen Schutzes vor missbräuchlicher Verwendung eigener Daten, dem die DSGVO Rechnung zu tragen scheint. Insbesondere durch Ausweitung der Betroffenenrechte und eigenständige Kontrollmöglichkeit der Verwendung seiner personenbezogenen Daten im Zuge deren Verarbeitung.

 

Was besagt die DSGVO?

Die DSGVO ist seit 25. Mai 2018 Grundlage für den allgemeinen Datenschutz in der Europäischen Union und findet in Österreich unmittelbar Anwendung. Sie wird durch das DSG (Datenschutzgesetz) ergänzt.

Verantwortlichen und Auftragsverarbeitern, jene die über Zweck und Mittel der Verarbeitung personenbezogener Daten entscheiden bzw. jene, die im Auftrag des Verantwortlichen entsprechende Daten verarbeiten, werden durch die DSGVO erhöhte Pflichten auferlegt. Dazu zählen beispielweise die Führung eines Verzeichnisses der Verarbeitungstätigkeiten, unter bestimmten Voraussetzungen die Abgabe einer Datenschutz-Folgenabschätzung sowie die Ernennung eines Datenschutzbeauftragten.

Grundsätzlich ist die Verarbeitung personenbezogener Daten verboten, soweit keine explizite Einwilligung des Betroffenen vorliegt. Die Einwilligung kann auch durch Zustimmung zu den AGB erfolgen, wobei darauf Bedacht zu nehmen ist, dass die Einwilligung aktiv erteilt wird und demnach freiwillig erfolgen muss. Freiwilligkeit liegt vor, wenn ohne einen Nachteil erleiden zu müssen, die Einwilligung auch verweigert werden kann.

Ist die Verarbeitung zur Erfüllung eines Vertrages mit der betroffenen Person notwendig oder besteht eine gesetzliche Verpflichtung, müssen lebenswichtige Interessen der betroffenen oder einer anderen Person geschützt werden. Werden die Daten für die Wahrnehmung einer im öffentlichen Interesse liegenden Aufgabe verarbeitet oder bestehen berechtigte Interessen des Verantwortlichen, kann die Verarbeitung personenbezogener Daten gerechtfertigt sein.

 

Wo wird die DSGVO angewendet?

Sachlicher Anwendungsbereich

Der Anwendungsbereich der DSGVO bezieht sich auf die automatisierte sowie manuelle Verarbeitung personenbezogener Daten. Personenbezogene Daten umfassen all jene Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Juristische Personen werden von der DSGVO nicht mit umfasst.

Ausdrücklich ausgenommen ist die Verarbeitung personenbezogener Daten ausschließlich zu persönlichen oder familiären Tätigkeiten

Beispiele für personenbezogene Daten sind Name, Geburtsdatum, Adresse, Bankdaten, Telefonnummer, E-Mail-Adresse, Sozialversicherungsnummer, Krankengeschichte, Fingerabdruck, Irisscan

Die Verarbeitung kann auf mehrere Arten erfolgen. Z. B. durch Ermitteln, Aufbewahren, Speichern, Erfassen, Verändern, Vervielfältigen, Abfragen, Benützen, Löschen oder auch Überlassen. Die Möglichkeiten der Verarbeitung personenbezogener Daten sind vielfältig. Jedoch unterliegen sie alle den Bestimmungen der DSGVO.



Räumlicher Anwendungsbereich

Geltungsbereich erlangt die DSGVO gegenüber Verantwortlichen und Auftragsverarbeitern, soweit die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung mit Sitz in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet.

Des weiteren umfasst der Anwendungsbereich der DSGVO die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Europäischen Union befinden, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Verarbeitung dazu dient, Waren oder Dienstleistungen anzubieten oder ein Verhalten zu beobachten (Profiling). Beim Profiling wird das Surfverhalten beobachtet um daraufhin gezielte Werbung zu schalten.  


Welche Rechte hat der Betroffene?

Transparenz und Modalitäten

Der Verantwortliche muss durch geeignete Maßnahmen alle Informationen und Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache an den Betroffenen übermitteln.

Gemäß Art. 13 und 14 DSGVO treffen den Verantwortlichen Informationspflichten bei der Erhebung von personenbezogenen Daten. Unter anderem ist über den Verantwortlichen selbst und den Zweck der Datenerhebung Auskunft zu geben. Es ist über die Dauer der Speicherung personenbezogener Daten sowie über die Möglichkeit der Berichtigung, Löschung und Einschränkung und des Rechts auf Widerspruch und Datenübertragbarkeit zu informieren und ist des Weiteren auf das Beschwerderecht hinzuweisen.

Werden personenbezogene Daten nicht bei der betroffenen Person, sondern auf andere Weise erhoben, trifft den Verantwortlichen ebenso eine Informationspflicht.

 

Auskunftsrecht

Jeder Betroffene hat das Recht auf Verlangen über die verarbeiteten personenbezogenen Daten informiert zu werden und eine Kopie der gegenständlich verarbeiteten Daten zu bekommen.

Das Recht des Betroffenen, Auskunft darüber zu erhalten, ob und in welchem Ausmaß personenbezogene Daten verarbeitet werden, ist in Art. 15 DSGVO festgelegt.

 

Recht auf Berichtigung, Löschung und Einschränkung

Neben dem Recht des Betroffenen, unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen, besteht ebenso das Recht auf Löschung dieser Daten.

Die Löschung kann unter anderem begehrt werden, wenn
 
  • die Erhebung zur Zweckverfolgung nicht mehr notwendig ist
  • die Einwilligung durch den Betroffenen widerrufen wird
  • Widerspruch gegen die Verarbeitung eingelegt wurde
  • die personenbezogenen Daten unrechtmäßig verarbeitet wurden
  • die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach Unionsrecht erforderlich ist
Mit umfasst ist auch das „Recht auf Vergessenwerden“. Hat der Verantwortliche personenbezogene Daten öffentlich gemacht und besteht eine Löschungsverpflichtung, hat er mittels angemessener Maßnahmen dafür zu sorgen, dass andere Verantwortliche, die die Daten verarbeiten, darüber informiert werden, dass der Betroffene die Löschung begehrt.

Das Recht auf Löschung und Vergessenwerden steht in folgenden Fällen nicht zu:
 
  • zur Ausübung des Rechts auf freie Meinungsäußerung und Information
  • zur Erfüllung rechtlicher Verpflichtungen
  • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit oder im öffentlichen Interesse liegende Archivzwecke, Forschungszwecke oder statistische Zwecke
  • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen
Ebenso besteht unter bestimmten Voraussetzungen des Art. 18 DSGVO das Recht auf Einschränkung der Verarbeitung personenbezogener Daten. Z. B. wenn die Verarbeitung unrechtmäßig ist und der Betroffene statt der Löschung die Einschränkung der Daten verlangt. Oder wenn der Verantwortliche die Daten für die Zwecke der Verarbeitung nicht mehr länger benötigt, der Betroffene sie jedoch für die Ableitung von Rechtsansprüchen braucht.

 

Recht auf Datenübertragbarkeit

Der Betroffene hat das Recht, von einem Verantwortlichen zu verlangen, die bereits zur Verfügung gestellten personenbezogenen Daten einem anderen Verantwortlichen zu übermitteln.

 

Widerspruchsrecht

Der Betroffene hat das Recht, bei Vorliegen einer besonderen Situation gegen die Verarbeitung seiner personenbezogenen Daten Widerspruch zu erheben und die weitere Verarbeitung durch den Verantwortlichen zu untersagen.

Kann der Verantwortliche zwingend schutzwürdige Gründe für die Verarbeitung nachweisen oder dient die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen, besteht kein Widerspruchsrecht.

Ebenso kann gegen Direktwerbung jederzeit Widerspruch erhoben werden.

 

Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu sein

Der Betroffene hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, wobei gemäß Art. 22 DSGVO Ausnahmen bestehen.

 

Wie ist die Vorgehensweise und was sind die Konsequenzen bei Verletzung der Betroffenenrechte?

Der Verantwortliche hat nach formlosem Antrag des Betroffenen unverzüglich, spätestens jedoch innerhalb eines Monats, alle beantragten Informationen, grundsätzlich unentgeltlich, zur Verfügung zu stellen.

Die Strafen für die Verletzung von Betroffenenrechten können bis zu 20 Millionen Euro betragen oder im Fall eines Unternehmens bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes umfassen. Die Höhe ergibt sich nach den Umständen des Einzelfalles und ist insbesondere abhängig von Art, Schwere und Dauer des Verstoßes.

Neben anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfen besteht ebenso die Möglichkeit einer Beschwerde bei der Aufsichtsbehörde.

 

Was bedeutet die E-Privacy-Verordnung?

Bereits in den Startlöchern befindet sich die E-Privacy-Verordnung, die dem Schutz der Privatsphäre bei elektronischer Kommunikation dienen und eine Ergänzung der DSGVO darstellen soll. Voraussichtlich tritt sie 2020 in Kraft.

Mit ihr soll der Schutz des digitalen Sektors erweitert werden und werden. Davon sollen vor allem Fragen betreffend Cookies, Direktwerbung aber auch Kommunikationsdienste wie bspw. WhatsApp von der Verordnung umfasst werden.
 

Über die Kanzlei 

Herr Mag. Peter Haslinger ist D.A.S. Partneranwalt. Die Anwaltskanzlei ist unter anderem spezialisiert auf:
 
  • Familien- und Erbrecht
  • Verwaltungsstrafrecht
  • Bankenrecht
  • Arbeits- und Sozialrecht
Weitere Schwerpunkte und Informationen zur Kanzlei finden Sie in unserem Steckbrief.