Zum Inhalt

Datenschutzrecht neu 2018

Ab dem 25.5.2018 gilt die Datenschutz-Grundverordnung (DSGVO) in der EU unmittelbar und somit auch in Österreich. Die entsprechenden Regelungen hat Österreich im Datenschutzgesetz 2018 (DSG) zusätzlich innerstaatlich verankert. Die DSGVO ändert das europäische Datenschutzregime maßgeblich. Hier ein Überblick.

Am 27.4.2016 wurde die Datenschutz-Grundverordnung (DSGVO, EU 2016/679) beschlossen. Diese ersetzt ab 25.5.2018 die bestehende Datenschutzrichtlinie (DSRL, 95/46/EG). Die DSRL ist die Grundlage des bislang geltenden österreichischen Datenschutzgesetzes (DSG 2000). Die DSGVO gilt - wie alle EU-Verordnungen - zwar unmittelbar in den Mitgliedstaaten (MS), jedoch hat Österreich mit dem Datenschutzgesetz 2018 (DSG) zusätzlich ein nationales Gesetz erlassen, etwa weil zusätzlicher Klärungsbedarf bestand, wie zB bei der Einrichtung von nationalen Behörden oder dem Ausnützen von Gestaltungsspielräumen (Öffnungsklauseln). Durch solche Öffnungsklauseln schuf die DSGVO Regelungsspielräume, die von den Mitgliedsstaaten fakultativ genutzt werden können.

Ziel der DSGVO ist ein gleichmäßiges und hohes Datenschutzniveau für natürliche Personen sowie der freie Verkehr personenbezogener Daten in der EU, was die DSRL nicht mehr ausreichend gewährleisten konnte. Vor allem haben rasche technologische Entwicklungen und die Globalisierung den Datenschutz vor neue Herausforderungen gestellt, wie etwa soziale Netzwerke und große Datensammlungen, etc.

Die DSGVO sowie das neue DSG treten zeitgleich mit 25.5.2018 in Geltung.

Hauptinhalte der DSGVO sind:

  • die Harmonisierung des Datenschutzrechts innerhalb der EU,
  • die Selbstverantwortung der für die Verarbeitung personenbezogener Daten Verantwortlichen,
  • Mitteilungs- und Informationspflichten für die Verantwortlichen,
  • eine Ausdehnung der Betroffenenrechte und
  • eine Erweiterung der Sanktionen bei Datenverstößen.


Grundrecht auf Datenschutz

Wie bisher ist das Recht auf Datenschutz ein Grundrecht und steht im Verfassungsrang (§ 1 DSG). Grundsätzlich ist das Verarbeiten von personenbezogenen Daten verboten, außer es geschieht in einer gesetzlich erlaubten vorgeschriebenen Art und Weise (Ausnahme). Grundrechte sind zwar an sich als Schutzwehr des Einzelnen gegen den Staat konzipiert, doch ausnahmsweise sind hier auch Private untereinander verpflichtet, dh, dass Unternehmen, Vereine, etc. sich in Bezug auf Vertragspartner, Kunden, Mitglieder, etc. an den Datenschutz halten müssen.


Anwendungsbereich

Die DSGVO gilt für die ganz oder teilweise automatisierte als auch die manuelle Verarbeitung personenbezogener Daten (Art 2 Abs 1). Die manuelle Verarbeitung fällt allerdings nur dann unter die DSGVO, wenn diese Daten in einem Dateisystem gespeichert sind bzw gespeichert werden sollen (Art 2 Abs 1 DSGVO). Um das Risiko einer Umgehung der Vorschriften zu vermeiden, soll der Schutz natürlicher Personen technologieneutral sein, dh nicht von den verwendeten Techniken abhängen (ErwGr 15 DSGVO). Nicht erfasst sind ausschließlich persönliche oder familiäre Tätigkeiten einer natürlichen Person ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit. Ein mögliches Beispiel für persönliche oder familiäre Tätigkeit kann etwa die Nutzung sozialer Netze sein (ErwGr 18). Ein Unternehmen, welches ein soziales Netz bereitstellt, ist allerdings sehr wohl an die Vorschriften der DSGVO gebunden.

Als personenbezogene Daten bezeichnet man alle Informationen, die sich auf eine identifizierte oder eine identifizierbare natürliche Person (= Mensch) beziehen (Art 4 Z 1 DSGVO). Zum Beispiel können natürliche Personen aufgrund verwendeter IP-Adressen identifiziert werden (ErwGr 30 DSGVO). Die DSGVO gilt daher nicht für anonyme Informationen, zB für personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht (mehr) identifiziert werden kann (ErwGr 26 DSGVO).

Räumlich ist die DSGVO auf Verarbeitungen anzuwenden, soweit diese im Rahmen der Tätigkeiten einer Niederlassung innerhalb der EU erfolgen, egal ob die Verarbeitungen innerhalb oder außerhalb der EU stattfinden. Die DSGVO greift auch, wenn natürlichen Personen in der EU Waren oder Dienstleistungen angeboten werden sowie wenn das Verhalten natürlicher Personen in der EU beobachtet wird, zB Beobachtung der Internetaktivitäten (Art 3, ErwGr 22 und 24 DSGVO). Dh der Anwendungsbereich wird auf Verantwortliche bzw Auftraggeber mit Sitz außerhalb der EU erweitert, wenn die Datenverarbeitung im Zusammenhang steht mit dem Anbieten Waren oder Dienstleistungen an EU-Bürger steht oder wenn es um die Datenverarbeitung im Zusammenhang mit dem Beobachten vom Verhalten betroffener Personen in der Union steht.

Selbstverantwortung der datenschutzrechtlich Verantwortlichen

Anstelle der bisher vorgesehenen Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde, müssen die Verantwortlichen nun selbst abwägen, welche Vorschriften der DSGVO sie in Bezug auf ihre Datenverarbeitungen treffen. Bestehen nach der DSGVO Pflichten, können sie sich nicht freizeichnen. So sind manche Unternehmen zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten verpflichtet, zB ab 250 Mitarbeitern. Wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für betroffene Personen mit sich bringt, müssen die Verantwortlichen eine Datenschutz-Folgenabschätzung vornehmen bzw vor Aufnahme der Datenverarbeitung die Datenschutzbehörde konsultieren. In bestimmten Fällen muss ein Datenschutzbeauftragter bestellt werden, der vielfältige Aufgaben im Hinblick auf die Einhaltung der bzw Beratung über datenschutzrechtliche/n Vorschriften, etc. hat. Gegebenenfalls trifft diese/n die Pflicht zur Meldung eines Datenzwischenfalls ("data breach notification").


Grundsätze und Rechtmäßigkeit der Datenverarbeitung
Für die Verarbeitung personenbezogener Daten müssen Grundsätze beachtet werden bzw liegt nur dann eine rechtmäßige Verarbeitung vor, wenn bestimmte Voraussetzungen erfüllt sind (Art 5 und 6).

Personenbezogene Daten

  • dürfen nur auf rechtmäßige und nachvollziehbare Weise und nach Treu und Glauben verarbeitet werden
  • dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden (Zweckbindung)
  • müssen zweckentsprechend auf das notwendige Maß beschränkt sein (Datenminimierung)
  • müssen sachlich richtig und auf dem neuesten Stand sein, sonst gelöscht oder berichtigt werden (Richtigkeit)
  • eine Identifizierung der betroffenen Person darf nur so lange möglich sein, wie es für den Zweck erforderlich ist (Speicherbegrenzung)
  • müssen vor Verlust, Zerstörung, Beschädigung geschützt werden (Integrität und Vertraulichkeit)


Eine rechtmäßige Verarbeitung personenbezogener Daten findet nur statt, wenn zumindest ein Erlaubnistatbestand gegeben ist. Mögliche Rechtsgrundlagen sind:

  • die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke (!) gegeben
  • die Verarbeitung ist zur Erfüllung eines Vertrages erforderlich (inkl. vorvertragliche Maßnahmen)
  • die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich
  • die Verarbeitung ist zum Schutz lebenswichtiger Interessen erforderlich
  • die Verarbeitung betrifft Aufgaben im öffentlichen Interesse bzw in Ausübung öffentlicher Gewalt
  • Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich (Interessenabwägung) - sehr praxisrelevant
  • die Verarbeitung für im öffentlichen Interesse liegenden Archivzwecken, wissenschaftlichen oder historischen Forschungszwecken oder statistischen Zwecken

Für sensible Daten gelten strengere Regeln (Art 9), zB erlaubt nur eine ausdrückliche Einwilligung die Datenverarbeitung (keine schlüssige Einwilligung) bzw kann ein Verantwortlicher nicht berechtigte Interessen als Rechtsgrundlage vorbringen (keine Interessenabwägung). Sensible Daten, genauer "besondere Kategorien personenbezogener Daten" sind: "personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person".
Dh etwa Daten einer Kreditkarte stellen keine sensiblen Daten in dieser Hinsicht dar!


Was ändert sich für die Betroffenen?

Bereits vor der DSGVO mussten datenschutzrechtliche Bestimmungen beachtet werden (DSG 2000). Bestehende Grundsätze gelten zum Teil weiterhin, wenn auch in neuem Gewand, bzw erweitert die DSGVO die Rechte der Betroffenen. Die Durchsetzungsmöglichkeiten haben sich allerdings geändert und mit den erhöhten Strafen sind Verantwortliche gezwungen, den Datenschutz ernster zu nehmen:

  • Recht auf Geheimhaltung
    Weiterhin bleibt das Recht auf Datenschutz ein Grundrecht (§ 1 DSG): Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht.

    Im Abänderungsantrag vom 20.4.2018 ist aber der Formulierung enthalten, dass das Grundrecht auf Datenschutz nur noch natürlichen Personen zusteht. Die Phrase "schutzwürdiges Interesse" ist nicht mehr zu finden, dafür "nach Maßgabe gesetzlicher Bestimmungen".  § 1 DSG steht aber im Verfassungsrang, dh seine Änderung bedarf der 2/3-Mehrheit im Nationalrat. Im Moment gibt es das erforderliche Konsensquorum noch nicht.

  • Informationspflicht
    Bei der Erhebung von Daten muss die betroffene Person hinreichend informiert werden, zB über die Zwecke und Rechtsgrundlagen der Datenverarbeitung, ggf Empfänger, Hinweis auf Beschwerdemöglichkeit, etc (Art 13 und 14 DSGVO).

  • Auskunftsrecht
    Jede betroffene Person hat das (praxisrelevante) Recht, vom Verantwortlichen eine Bestätigung darüber zu erhalten, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie das Recht, Auskunft über personenbezogene Daten und ua zu folgenden Informationen zu erhalten: Verarbeitungszwecke, Datenkategorien, Empfänger oder Empfängerkategorien, die geplante Speicherdauer, Herkunft der Daten, Hinweis auf Betroffenenrechte, zB Beschwerde. Der Betroffene kann Kopien der personenbezogenen Daten verlangen, idR kostenlos (Art 15).

  • Berichtigungsrecht
    Auf Verlangen der betroffenen Person sind unrichtige Daten zu korrigieren, unvollständige zu ergänzen (Art 16).

  • Löschungsrecht ("Recht auf Vergessenwerden")
    Der Verantwortliche muss die personenbezogenen Daten der betroffenen Person löschen, wenn etwa die Daten für den Verarbeitungszweck nicht mehr notwendig sind, die Einwilligung widerrufen wurde, Widerspruch erhoben wurde oder ein anderer Grund für die Löschung besteht. Hat der Verantwortliche die zu löschenden Daten öffentlich gemacht, muss er andere, die die veröffentlichten Daten verarbeiten darüber informieren. Greift eine der Ausnahmen, muss nicht gelöscht werden, zB die Ausübung des Rechts auf freie Meinungsäußerung (Art 17).

  • Recht auf Einschränkung der Verarbeitung
    Dabei dürfen personenbezogene Daten nur sehr eingeschränkt verarbeitet werden, sofern ein Streit über die Verarbeitung besteht, bei Berichtigung, Löschung, Widerspruch (Art 18).

  • Mitteilungspflicht
    Mitteilung des Verantwortlichen jeder Berichtigung, Löschung oder Einschränkung der Verarbeitung an alle Empfänger nach Möglichkeit und vertretbarem Aufwand (Art 19).

  • Recht auf Datenübertragbarkeit
    Der Verantwortliche muss dem Betroffenen dessen Daten in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln bzw gleich einem anderen Verantwortlichen (Art 20).

  • Widerspruchsrecht
    Jeder Betroffene hat das Recht, gegen die Verarbeitung seiner personenbezogenen Daten Widerspruch zu erheben. Der Verantwortliche kann allerdings schutzwürdige Gründe für die Verarbeitung entgegenhalten bzw die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Art 21).

  • Automatisierte Entscheidungen
    Die betroffene Person hat das Recht, keiner Entscheidung unterworfen zu sein, die auf einer rein automatisierten Verarbeitung beruht ohne jegliches menschliches Eingreifen, wie etwa die automatische Ablehnung eines Online-Kreditantrags (Art 22, ErwGr 71).


Wie setze ich meine Rechte durch (Rechtsbehelfe, Maßnahmen und Sanktionen)? 

Die DSGVO sieht ein zweigleisiges Verfahren vor, verstößt ein Verantwortlicher bei der Verarbeitung personenbezogener Daten gegen die DSGVO, hat die betroffene Person das Recht auf Beschwerde bei der Aufsichtsbehörde (Art 77) - in Österreich ist dies die Datenschutzbehörde (https://www.dsb.gv.at)  - oder sie kann sich an das Gericht wenden (Art 79).

Das österreichische DSG sieht allerdings eine ausschließliche Zuständigkeit der Datenschutzbehörde für alle Belange außer der Geltendmachung von Schadenersatz vor. Nur für letzteres soll der Rechtsweg offenstehen (§§ 24 und 29 DSG), die DSGVO sieht in Art 82 die Geltendmachung von Schadenersatz bei materiellen oder immateriellen Schäden vor. Ob die nationale Regelung der DSGVO entspricht, ist umstritten. Gegen Entscheidungen der Datenschutzbehörde bzw falls diese säumig ist, besteht ebenfalls ein wirksamer gerichtlicher Rechtsbehelf (Art 78).

Der Strafrahmen wurde erheblich erweitert. Während das DSG 2000 bislang eine Geldstrafe bis zu 25 000 Euro vorsah (§ 52 Abs 1 DSG 2000), können nach der DSGVO Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden (Art 83). Die Sanktionen sollen "wirksam, verhältnismäßig und abschreckend" sein, die Bemessung der Geldbuße hängt ua von Art, Schwere und Dauer des Verstoßes, ob er vorsätzlich oder fahrlässig begangen wurde, etc. ab. Im April 2018 wurde das DSG, noch vor dessen Geltung, novelliert. Dabei wurden ua Sanktionen entschärft (Verwarnung statt Geldbuße) und Ausnahmen eingebaut (Medienprivileg). Näheres siehe Artikel Entschärfung des geplanten Datenschutzrechtes. Inwiefern dies der DSGVO entspricht, wird sich künftig weisen.

Der österreichischer Gesetzgeber hat nicht von der Möglichkeit einer echten Verbandsklage (Art 80 Abs 2 DSGVO) Gebrauch gemacht. Bei einer solchen Verbandsklage bräuchte die klagsbefugte Einrichtung nicht den Auftrag einer betroffenen Person und könnte selbst als Kläger auftreten. Dies stellt ein echtes Manko in der österreichischen Umsetzung dar, denn wie die Vergangenheit gezeigt hat, sind Verbandsklagen ein wirksames, effizientes und - gesamt gesehen - ressourcenschonendes Mittel zur Rechtsdurchsetzung und Verbraucherschutz. Der Gesetzgeber hat die Verletzung datenschutzrechtlicher Angelegenheiten auch nicht explizit in den Tatbestandskatalog des § 28a KSchG aufgenommen, der es klagsbefugten Verbänden, wie etwa dem VKI oder der BAK ermöglicht, eine Unterlassungsklage bei gesetzwidrigen Praktiken, die die allgemeinen Interessen der Verbraucher beeinträchtigen, einbringen zu können.

Ein weiteres Defizit in der österreichischen Umsetzung wurde durch den kurzfristigen Abänderungsantrag vom 20.4.2018 verursacht. Damit wurde die Möglichkeit der Vertretung bei der Geltendmachung auf Schadenersatz aus § 28 DSG gestrichen. Zu den Auswirkungen dieser Veränderung siehe den Artikel Entschärfung des geplanten Datenschutzrechtes.

Diesen Beitrag teilen

Facebook Twitter Drucken E-Mail

This could also be of interest:

Unterlassungserklärung von Temu I

Unterlassungserklärung von Temu I

Der VKI hat im Auftrag des BMSGPK die Whaleco Technology Limited (Temu) wegen unzulässiger Klauseln in ihren Allgemeinen Geschäftsbedingungen (AGB) abgemahnt.

unterstützt durch das

Sozialministerium
Zum Seitenanfang