FAQ & more

Übersicht

    1. Über die Datenschutzgrundverordnung und das Datenschutzanpassungsgesetz 2018
    2. Kurzerklärungen zur DSGVO und DSAnpG 2018

Über die Datenschutzgrundverordnung und das Datenschutzanpassungsgesetz 2018

Die Datenschutzgrundverordnung wurde nach jahrelangen Verhandlungen am 27.4.2016 beschlossen und am 4.5.2016 im Amtsblatt der EU veröffentlicht. Als einziges Land hat Österreich dagegen gestimmt, weil das bestehende Datenschutzniveau durch die Verordnung aus Sicht der Regierung unterschritten wird. Im Konkreten nannte Österreich in seiner Stellungnahme folgende Defizite:

  • Fehlende Einbeziehung privater Aktivitäten in sozialen Medien in den Schutzbereich der Verordnung („Haushaltsausnahme“; Erwägungsgrund 18 und Artikel 2 Abs. 2 lit. c)
  • Unterschreitung des derzeitigen nationalen österreichischen Datenschutzniveaus im privaten Sektor durch Wegfall des Erfordernisses des Nachweises eines „Überwiegens“ der Interessen des Verantwortlichen im Verhältnis zu Geheimhaltungsinteressen Betroffener (Artikel 6 Abs. 1 lit. f)
  • Unterlaufen des Zweckbindungsgrundsatzes durch unscharfe Regelungen über die Möglichkeit der Weiterverarbeitung von Daten für sog. “kompatible“ Zwecke (Artikel 5 und 6)
  • Möglichkeit der Beschränkung von allgemeinen datenschutzrechtlichen Grundprinzipien wie Treu und Glauben, Rechtmäßigkeit oder Verhältnismäßigkeit durch die MS oder EU
  • Möglichkeit der Auslandsdatenübermittlung auf der Basis des berechtigten Interesses des Verantwortlichen
  • Beschwerdemöglichkeit vor der Datenschutzkontrollbehörde parallel zur Beschreitung des Gerichtswegs in derselben Sache

Die DSGVO enthält zahlreiche sogenannte “Öffnungsklauseln”, das sind Bestimmungen die es dem nationalen Gesetzgeber erlauben abweichende oder ergänzende Regelungen zu treffen.

Am 12.5.2017 hat die österreichische Bundesregierung den Entwurf eines neuen Datenschutzgesetzes in Begutachtung geschickt, die Begutachtungsfrist lief bis 23.6.2017. Wenige Tage nach Aussendung des Entwurfs wurde dieser bereits im Ministerrat beschlossen. Inhaltlich wurde nicht nur die Kompetenz mittels Verfassungsbestimmung zur Gänze dem Bund übertragen, sondern, wie einige Kritiker meinten, auch möglichst strenge Standards auf nationaler Ebene gesetzt. Manche sprechen in diesem Zusammenhang von gold-plating. Über 100 Stellungnahmen, viele davon aus dem Bereich der Wissenschaft und Forschung wurden eingebracht. Am Montag nach Ende der Begutachtungsfrist war die Regierungsvorlage bereits auf der Tagesordnung des Verfassungsausschusses des Parlaments. Da die erforderliche 2/3 Mehrheit aber nicht realistisch war, wurde ein Abänderungsantrag von ÖVP und SPÖ eingebracht, der nur die Verfassungsbestimmungen des geltenden DSG 2000 beließ und alle anderen Teile durch neue ersetzte. Die ursprünglich vorgesehene Kompetenzneuregelung wurde daher fallen gelassen. Noch in derselben Woche wurde der Entwurf dem Plenum weitergeleitet. 6 Tage nach Ende der Begutachtungsfrist wurde das Gesetz bereits im Nationalrat beschlossen und am 31.7.2017 im Bundesgesetzblatt veröffentlicht. Aus Sicht der Wissenschaft und Forschung hat sich der wesentliche Paragraph der eben jenen Bereich regelt inhaltlich nicht geändert. Von der Öffnungsklausel des Art. 89 DSGVO, die dem nationalen Gesetzgeber gestattet, Ausnahmen (auch hinsichtlich der Betroffenenrechte) für die Wissenschaft und Forschung zu machen, wurde nicht Gebrauch gemacht. Im Gegensatz dazu hat der deutsche Gesetzgeber diese eher extensiv genutzt. Eine Homogenisierung des Rechts in diesem Bereich ist daher meiner Meinung nur bedingt zustande gekommen und Wettbewerbsnachteile der österreichischen Forschungsinstitutionen im Vergleich zu beispielsweise deutschen wären in Zukunft nicht auszuschließen.

Unter der nach den Wahlen neu gebildeten Bundesregierung wurden zahlreiche Materienanpassungsgesetze, sowie ein Deregulierungsgesetz mit dem das ab 25.5. geltende DSG (beschlossen als Datenschutzanpassungsgesetz) novelliert werden sollte, ausgearbeitet. Mit der Einbringung des Datenschutz-Deregulierungsgesetzes am 22.3.2018 wurde ein neuer Anlauf unternommen um die Bundesverfassung zu ändern und die Kompetenz zur Gänze dem Bund zuzuweisen, womit die 9 Landesgesetze hinfällig geworden wären. Ebenso wäre der Schutz auf personenbezogene Daten natürlicher Personen eingeschränkt worden und somit der DSGVO angeglichen. Dieser passierte zwar den Verfassungsauschuss aber es wurde absehbar, dass eine 2/3 Mehrheit im Plenum nicht zustande kommen würde, weil die von der Opposition verlangten Sammelklagerechte der Betroffenen nicht aufgenommen werden sollten.
Ein von den Regierungsparteien eingebrachter Abänderungsantrag verzichtete auf all jene Änderungen die eine 2/3 Mehrheit bedeutet hätten. Erneut wurde der Gesetzestext zur Gänze ersetzt und auf einfachgesetzlicher Ebene ein paar Bestimmungen geändert und vorhandene Ausnahmen erweitert. Das Schutzniveau wurde somit gesenkt und der Versuch gemacht im nationalen Gesetz festzuschreiben, dass beim ersten Verstoss gegen das Europarecht nur verwarnt aber nicht gestraft werden soll.
Für weit mehr Diskussion in der Öffentlichkeit sorgte aber das Materienanpassungsgesetz WFDSAG 2018 (Datenschutzanpassungsgesetz – Wissenschaft und Forschung 2018). Dessen Kernstück bildet die Forschungsorganisationsgesetznovelle (FOG Novelle). Im FOG fanden sich zuvor keine datenschutzrechtlichen Bestimmungen, sodass es hier nicht darum ging, Begriffe aus der Richtlinien-Umsetzung an die Verordnungs-Durchführung anzupassen, sondern die Wünsche der Forschungsinstitutionen und die Kritik am ursprünglichen Entwurf des Datenschutzanpassungsgestezes 2018 (also der über 100 Stellungnahmen) zu berücksichtigen. Das Ergebnis ist ein Werk, das mehr als doppelt so viele Seiten wie die DSGVO hat (Erläuterungen und Anhänge bzw. Erwägungsgründe miteingerechnet) und Forschung auf nationaler Ebene regelt. Durch das extensive Nutzen von zahlreichen Öffnungsklauseln wurden der Forschung zahlreiche Rechte eingeräumt.

Kurzerklärungen

Sofern nicht anders angegeben beziehen sich diese Ausführungen auf die DSGVO und das DSAnpG 2018.

  1. Was bedeutet Datenschutz?
  2. Welche Daten sind geschützt?
  3. Wessen Daten sind geschützt?
  4. Wer ist Verantwortlicher?
  5. Wer ist Auftragsverarbeiter?
  6. Was sind personenbezogene Daten?
  7. Was versteht man unter Verarbeitung?
  8. Was ist Profiling?
  9. Was ist Pseudonymisierung?
  10. Welche besonderen Kategorien von Daten gibt es?
  11. Wann dürfen personenbezogene Daten verarbeitet werden?
  12. Welche Rechte haben Betroffene?
  13. Welche Pflichten haben Verantwortliche?
  14. Welche Pflichten haben Auftragsverarbeiter?
  15. Was bedeutet Data Breach?
  16. Was ist eine Datenschutzfolgenabschätzung?
  17. Was meint Privacy by Design und Privacy by Default?
  18. Welche Ausnahmen gibt es für die Forschung?
  19. Was bedeutet das Recht auf Vergessen?
  20. Was umfasst das Recht auf Datenübertragbarkeit?
  21. Wann dürfen Daten ins Ausland übermittelt werden?
  22. Was versteht man unter dem One Stop Shop Prinzip in Bezug auf Beschwerden?
  23. Welche Strafen drohen bei Verstößen?
  24. Wo können Beschwerden oder Klagen eingebracht werden?
  25. Wer kann Beschwerden oder Klagen einbringen?

Was bedeutet Datenschutz?

Darunter versteht man den Schutz personenbezogener Daten vor einer missbräuchlichen Verwendung. Ab 25.5.2018 ist dies EU-weit einheitlich durch die Datenschutzgrundverordnung der EU (DSGVO) sowie in Österreich ergänzt durch das Datenschutz-Anpassungsgesetz 2018 (DSG 2018) geregelt.

Inhaltlich legt die DSGVO die Grundzüge des Datenschutzes EU-weit fest. Soweit Daten gemäß dieser Verordnung rechtmäßig verarbeitet werden und die Verordnung selbst keine Grundlage für eine nationale Einschränkung normiert, darf der Verkehr solcher Daten innerhalb der EU nicht beschränkt werden. Das österreichische DSG 2018  trifft zusätzliche spezielle Regelungen, wie zum Beispiel das verfassungsmäßig gewährleistete Grundrecht auf Schutz der persönlichen Daten, Regelungen zur wissenschaftlichen Forschung, etc.

nach oben

Welche Daten sind geschützt?

Erfasst sind alle Daten die:

  1. ganz oder teilweise automatisiert verarbeitet werden
  2. nicht automatisiert verarbeitete Daten sofern diese in einem Dateisystem gespeichert werden

Unter einem Dateisystem sind strukturierte Sammlungen die nach mindestens einem Suchkriterien zugänglich sind zu verstehen, im Fall nicht automatisierter Verarbeitungen also beispielsweise Karteikartensysteme oder Akten sofern diese nicht ungeordnet sind. Dabei ist es unerheblich ob diese Sammlungen zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geführt werden. Es geht also um die logische bzw. inhaltliche Betrachtung und nicht darum ob die Daten beispielsweise alle an demselben Ort sind.

Nicht erfasst sind Daten von natürlichen Personen zur Ausübung persönlicher oder familiärer Tätigkeiten verarbeitet werden, in den Bereich der Rechtsprechung, nationaler Sicherheit und Strafverfolgung uam. fallen.

nach oben

Wessen Daten sind geschützt?

Geschützt sind die Daten von betroffenen Personen wenn die Verarbeitung für eine Tätigkeit eines Verantwortlichen oder Auftragsverarbeiters, der seine Niederlassung in der EU hat, erfolgt auch wenn die Verarbeitung selbst nicht in er EU stattfindet. Außerdem auf Verarbeitungen wenn die betroffene Person sich innerhalb der EU befindet, wenn der Verantwortliche oder Auftragsverarbeiter keine Niederlassung in der Union hat, aber Waren oder Dienstleistungen in der EU anbietet oder das Verhalten der betroffenen Personen innerhalb der EU beobachtet. Ebenfalls besteht ein Schutz, wenn sich die Niederlassung außerhalb der EU aber in einem völkerrechtlich einem Mitgliedsstaat unterstehenden Ort befindet.

nach oben

Wer ist Verantwortlicher?

Die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle die von der betroffenen Person verschieden ist und über Zweck und Mittel der Verarbeitung entscheidet. Es können auch mehrere gemeinsam Verantwortlicher sein.

nach oben

Wer ist Auftragsverarbeiter?

Verarbeitet personenbezogene Daten im Auftrag eines Verantwortlichen.

nach oben

Was sind personenbezogene Daten?

Alle Informationen die sich auf eine identifizierte oder identifizierbare Person (=betroffene Person) beziehen. Eine Person ist identifizierbar, wenn sie direkt oder indirekt (mit Hilfe Dritter) einer bestimmten Kennung (Name, Kennnummer, Standortdaten etc.) oder bestimmten Merkmalen (die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität sind) zugeordnet (identifizierbar) werden kann.

nach oben

Was versteht man unter Verarbeitung?

Vorgang oder Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das:

    • Erheben,
    • das Erfassen,
    • die Organisation,
    • das Ordnen,
    • die Speicherung,
    • die Anpassung oder Veränderung,
    • das Auslesen,
    • das Abfragen,
    • die Verwendung,
    • die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung,
    • den Abgleich oder die Verknüpfung,
    • die Einschränkung,
    • das Löschen
    • oder die Vernichtung;

Der Unterschied zwischen Löschung und Vernichtung liegt wohl darin, dass gelöschte Daten der normalen Verarbeitung nicht mehr zugänglich sind, aber mittels spezieller Verfahren (beispielsweise von einer Sicherung) wiederherstellbar sind, während vernichtete Daten tatsächlich nicht mehr im Dateisystem und desen Kopien existieren.

nach oben

Was ist Profiling?

Eine automatisierten Verarbeitung die personenbezogenen Daten verwendet, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen

nach oben

Was ist Pseudonymisierung?

Die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden. Also beispielsweise Daten bei denen der Name durch eine Nummer ersetzt wurde und diese Zuordnungsliste gesondert und vor dem Zugriff des die Daten verarbeiteten geschützt aufbewahrt werden.

nach oben

Welche besonderen Kategorien von Daten gibt es?

Daten aus denen die

      • rassische und ethnische Herkunft,
      • politische Meinungen,
      • religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen.

Weiters

      • genetischen Daten,
      • biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person,
      • Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Die Erlaubnis solche Daten zu verarbeiten unterliegt besonderen Bestimmungen.
nach oben

Wann dürfen personenbezogene Daten verarbeitet werden?

Sofern die DSGVO anwendbar ist (siehe Welche Daten sind geschützt und Wessen Daten sind geschützt) dürfen personenbezogene Daten verarbeitet werden sofern mindestens eines der folgenden Kriterien zutrifft:

      1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;
      2. die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;
      3. die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;
      4. die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;
      5. die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;
      6. die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt es sei denn die Verarbeitung erfolgt durch Behörden in Erfüllung ihrer Aufgaben.

Handelt es sich um besondere Kategorien von Daten, dürfen diese nur dann verarbeitet werden, wenn:

      1. Die betroffene Person hat in die Verarbeitung der genannten personenbezogenen Daten für einen oder mehrere festgelegte Zwecke ausdrücklich eingewilligt, es sei denn, nach Unionsrecht oder dem Recht der Mitgliedstaaten kann das Verbot der Verarbeitung besonderer Kategorien von Daten durch die Einwilligung der betroffenen Person nicht aufgehoben werden (Altersgrenze von mindestens 14 Jahren, Einwilligung muss informiert und ohne Zwang erfolgen),
      2. die Verarbeitung ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann, soweit dies nach Unionsrecht oder dem Recht der Mitgliedstaaten oder einer Kollektivvereinbarung nach dem Recht der Mitgliedstaaten, das geeignete Garantien für die Grundrechte und die Interessen der betroffenen Person vorsieht, zulässig ist,
      3. die Verarbeitung ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außerstande, ihre Einwilligung zu geben,
      4. die Verarbeitung erfolgt auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemalige Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßige Kontakte mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,
      5. die Verarbeitung bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,
      6. die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,
      7. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, aus Gründen eines erheblichen öffentlichen Interesses erforderlich,
      8. die Verarbeitung ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs wenn die Daten von Fachpersonal oder unter dessen Verantwortung verarbeitet werden und dieses Fachpersonal nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen dem Berufsgeheimnis unterliegt, oder wenn die Verarbeitung durch eine andere Person erfolgt, die ebenfalls nach dem Unionsrecht oder dem Recht eines Mitgliedstaats oder den Vorschriften nationaler zuständiger Stellen einer Geheimhaltungspflicht unterliegt
      9. die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das angemessene und spezifische Maßnahmen zur Wahrung der Rechte und Freiheiten der betroffenen Person, insbesondere des Berufsgeheimnisses, vorsieht, erforderlich, oder
      10. die Verarbeitung ist auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaats, das in angemessenem Verhältnis zu dem verfolgten Ziel steht, den Wesensgehalt des Rechts auf Datenschutz wahrt und angemessene und spezifische Maßnahmen zur Wahrung der Grundrechte und Interessen der betroffenen Person vorsieht, für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gemäß Artikel 89 Absatz 1 erforderlich.

Handelt es sich um die Verarbeitung von genetischen, biometrischen oder Gesundheitsdaten können die Mitgliedsstaaten zusätzliche Bedingungen einführen oder Aufrecht erhalten.

nach oben

Welche Rechte haben Betroffene?

Die Rechte der Betroffenen wurden durch die DSGVO erheblich ausgeweitet.
Grundsätzlich haben Betroffene das Recht auf transparente Kommunikation, dh. es muss eine klare und verständliche Sprache gewählt werden, die Informationen müssen klar erkennbar sein (keine versteckten Zustimmungen) und die Wahrung der Rechte muss für den Betroffenen grundsätzlich kostenlos sein (Einschränkungen bei exzessiver Inanspruchnahme von Auskunftspflichten sind möglich). Zudem haben Antworten an die Betroffenen grundsätzlich innerhalb eines Monats zu erfolgen.
Die Rechte im Einzelnen sind:

  • Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person: Betroffene sind umfassend zu informieren, sofern sie diese Informationen nicht schon bekommen haben,
  • Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden: Recht auf Information besteht auch wenn Daten nicht direkt von den Betroffenen erhoben werden, in ähnlicher Form wie bei unmittelbarer Erhebung,
  • Auskunftsrecht: Welche Daten werden gespeichert?
  • Recht auf Berichtigung (von falschen Daten),
  • Recht auf Löschung (Recht auf Vergessenwerden)
  • Recht auf Einschränkung der Verarbeitung: ZB Daten sind nicht mehr zu ursprünglichen Zweck notwendig, werden aber zur Durchsetzung von Rechtsansprüchen benötigt)
  • Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung durch den Verantwortlichen,
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
  • Recht nur unter bestimmten Voraussetzungen einer automatisierten Einzelentscheidung unterworfen zu werden (wenn notwendig damit Vertrag zustande kommt, aufgrund gesetzlicher Bestimmungen, aufgrund Zustimmung)

nach oben

Welche Pflichten haben Verantwortliche?

Neben der Gewährleistung und Erfüllung der Rechte der Betroffenen (vor allem Informationspflicht) haben Verantwortliche folgende Pflichten:

  • Treffen von organisatorischen und technischen Maßnahmen um Sicherheit und Kontinuität der Verarbeitung zu gewährleisten,
  • Einhalten der Grundsätze datenschutzfreundlicher Grundeinstellungen und Techniken (gemeint sind organisatorische und technische Systeme, vgl. die engl. Fassung),
  • Einhalten des Prinzips der Datenminimierung,
  • Führen eines Verzeichnisses der Verarbeitungstätigkeiten,
  • Durchführen einer Datenschutzfolgeabschätzung (sofern notwendig),
  • Informieren der Aufsichtsbehörde und der Betroffenen im Falle einer Datenpanne,
  • Bestellung eines Datenschutzbeauftragten (sofern Voraussetzungen erfüllt sind oder auch freiwillig).

nach oben

Welche Pflichten haben Auftragsverarbeiter?

  • Garantien für entsprechend ausreichende technische und organisatorische Maßnahmen die das erforderliche Schutzniveau gewährleisten,
  • Keine Inanspruchnahme weiterer Auftragsverarbeiter ohne Zustimmung des Verantwortlichen,
  • Verarbeitung ausschließlich aufgrund von Vertrag oder Gesetz, mit hinreichenden Bestimmungen, dass Verantwortlicher die Einhaltung des Vertrags und der Bestimmungen der DSGVO kontrollieren kann, seine Pflichten wahrnehmen kann (zB Unterstützung bei Auskunftserteilung, etc.),
  • Verarbeitung nur auf dokumentierte Weisung des Verantwortlichen,
  • Führen eines Verzeichnisses der Verarbeitungstätigkeiten,
  • Löschen oder Zurückstellung der Daten bei Vertragsende.

nach oben

Was bedeutet Data Breach?

Darunter versteht man jede Art der “Datenpanne”, also wenn der Schutz der personenbezogenen Daten verletzt wurde. in diesem Fall bestehen umfassende Pflichten zur Information (Meldung an Behörde binnen 72 Stunden), Ergreifen von Maßnahmen um eine weitere Verletzung oder Risiko derselben zu verhindern und Information der Betroffenen. Die Behörde kann Auflagen und Strafen auferlegen.

nach oben

Was ist eine Datenschutzfolgenabschätzung?

Soll eine neue Verarbeitung aufgenommen werden, ist zuerst in einer Risikoabwägung zu entscheiden, ob ein hohes Risiko für den Schutz personenbezogener Daten bestehen könnte. Ist dies der Fall so ist einer Datenschutzfolgeabschätzung (DSFA) durchzuführen. Dabei handelt es sich um eine Analyse in der alle möglichen Risiken gesammelt, bewertet und deren Eintrittswahrscheinlichkeit festgelegt wird. Für jedes Risiko wird dann festgelegt ob es vertretbar ist oder nicht und geprüft welche Maßnahmen ergriffen werden können, um es zu verringern oder gänzlich zu beseitigen. Sind hohe Risiken vorhanden und können keine Maßnahmen die diese beseitigen oder verringern gefunden werden, ist die Datenschutzbehörde zu konsultieren. Das Ergebnis wird wohl ein Dokument sein, welches Aufschluss über bestehende Risiken und Maßnahmen gibt, sowie einer Begründung warum die Aufnahme der Verarbeitung vertretbar ist. Eine Stellungnahme des Datenschutzbeauftragten ist einzuholen und diese zu dokumentieren sofern dessen Empfehlungen nicht Folge geleistet wird.
nach oben

Was ist Privacy by Design und Privacy by Default?

Unter Privacy by Design versteht man datenschutzfreundliche organisatorische und technische Maßnahmen die ein möglichst hohes Schutzniveau gewährleisten sollen. Dazu zählen auch Maßnahmen wie Pseudonymisierung und Datenminimierung. Dabei geht es auch um organisatorische Maßnahmen auch wenn die deutsche Übersetzung von Technikgestaltung spricht. Unter Privacy by Default sind datenschutzfreundliche Grundeinstellungen zu verstehen.
nach oben

Welche Ausnahmen gibt es für die Forschung?

Art. 89 DSGVO normiert, dass wissenschaftliche, historische Archiv- und Registerforschung grundsätzlich möglich sein sollen und erlaubt den Mitgliedsstaaten hierzu spezielle Regelungen zu treffen und dabei in einem gewissen Rahmen und die Grundsätze der DSGVO berücksichtigend gewisse Ausnahmen zu erlassen. Deutschland hat sehr weitgehende Ausnahmen erlassen (zB. broad consent) und dem Risikoansatz der DSGVO folgend im Gegenzug der Forschung besondere technische und organisatorische Maßnahmen aufgetragen um das Schutzniveau zu gewährleisten. Österreich hat weitgehend seine Regelung aus dem DSG 2000 sprachlich angepasst übernommen. Daher sind in Österreich die Regelugen für die Forschung wieder in 2 Kategorien einzuordnen:

  1. Für eine Untersuchung zu einem bestimmten Zweck die keine personenbezogene Ergebnisse zum Ziel hat: dürfen Daten verarbeitet werden, die
    1. öffentlich zugänglich sind,
    2. vom Verantwortlichen der Untersuchung zulässigerweise zu einem anderen Zweck erhoben wurden, oder
    3. pseudonymisierte personenbezogene Daten sind und die Identität der Personen vom Verantwortlichen mit rechtlich zulässigen Mittel nicht ermittelt werden kann.
  2. In allen anderen Fällen gilt: Daten dürfen nur aufgrund
    1. besonderer gesetzlicher Vorschriften,
    2. Einwilligung der betroffenen Personen oder
    3. Genehmigung der Datenschutzbehörde, wobei ein besonderes öffentliches Interesse bestehen muss, die Einholung der Zustimmung der Betroffenen unverhältnismäßig oder unmöglich sein muss und der Verantwortliche seine fachliche Eignung glaubhaft machen muss. Bei der Verarbeitung besonderer Kategorien von Daten kommen weitere Auflagen hinzu.

Unabhängig davon welche der beiden Kategorien das Forschungsvorhaben fällt, sind die Daten sobald als möglich zu pseudonymisieren, bzw. wenn möglich zu anonymisieren, also der Personenbezug gänzlich zu entfernen.

nach oben

Was bedeutet das Recht auf Vergessen?

Unter dem Recht auf Vergessen versteht man die Pflicht des Verantwortlichen dem Recht auf Löschung der Daten der betroffenen Person nachzukommen soweit die Voraussetzungen erfüllt sind. Darüber hinaus hat der Verantwortliche die Daten nicht nur zu Löschen sondern auch all jene an die er Daten der betroffenen Person übermittelt bzw. öffentlich gemacht hat von diesem Vorgang zu informieren.
nach oben

Was umfasst das Recht auf Datenübertragbarkeit?

Das Recht auf Datenportabilität gestattet es der betroffenen Person von einem Verantwortlichen entweder die Herausgabe der gespeicherten Daten in einem strukturierten, gängigen, maschinenlesbaren Format oder die direkte Übermittlung an einen an anderen Verantwortlichen zu verlangen. Dadurch soll bei einem Wechsel des Verantwortlichen gewährleistet werden, dass die Daten von einem Vertanwortlichen zum anderen transferiert werden können, soweit dies technisch machbar ist.
nach oben

Wann dürfen Daten ins Ausland übermittelt werden?

Die DSGVO gewährleistet den freien Datenverkehr innerhalb der Union und sobald entsprechende Beschlüsse der EFTA Staaten gefasst worden sind auch in diese. In Drittländer oder an internationale Organisationen dürfen Daten nur aufgrund,

  • eines Angemessenheitsbeschlusses der Kommission oder
  • vorbehaltlich geeigneter Garantien (zB. genehmigte Standardvertragsklauseln, Verhaltensregeln, verbindliche interne Datenschutzvorschriften, Abkommen zwischen Behörden)

übermittelt werden.
nach oben

Was versteht man unter dem One Stop Shop Prinzip in Bezug auf Beschwerden?

Eine betroffene Person kann sich wahlweise an die Aufsichtsbehörde in ihrem Mitgliedsstaat oder in jenem wo der Verantwortliche seinen Sitz hat wenden. Die Aufsichtsbehörden der verschiedenen involvierten Mitgliedsstaaten arbeiten dann unter einer federführenden Behörde zusammen, sodass die betroffene Person stets eine Behörde als Ansprechpartner hat.
nach oben

Welche Strafen drohen bei Verstößen?

Die DSGVO sieht Strafen von bis zu 20 Millionen EUR bzw. 4% des Weltjahresumsatzes je nachdem was höher ist bzw. 10 Millionen EUR oder 2% des Weltjahresumsatzes je nachdem was höher ist vor. Neben den Geldbußen können die Aufsichtsbehörden auch Auflagen und Anweisungen erteilen. Davon unbeschadet räumt die DSGVO den betroffenen das Recht ein, immateriellen und materiellen Schaden bei den Gerichten einzuklagen.

Das österreichische Datenschutzgesetz (DSAnpG) sieht vor, das grundsätzlich die juristische Person zu bestrafen ist, lässt die Bestrafung natürlicher Personen aber zu, wenn gegen die juristische Person keine Strafe verhängt wurde. Neben der Geschäftsführung kann hier auch ein Verantwortlicher gemäß Verwaltungsstrafgesetz (§9 VwStG) belangt werden. Zusätzlich sind noch weitere Tatbestände mit einer Strafandrohung von bis zu 50.000 EUR gegen diejenigen die Tat tatsächlich begangen oder den Versuch diese zu begehen unternommen haben.
nach oben

Wo können Beschwerden oder Klagen eingebracht werden?

Grundsätzlich können Beschwerden bei Aufsichtsbehörden innerhalb der EU eingebracht werden. Eine Zuständigkeit der Behörde ist jedenfalls dann gegeben wenn entweder der Verantwortliche oder sein Auftragsverarbeiter eine Niederlassung im Mitgliedsstaat der Behörde hat, der Beschwerdeführer oder dessen Vertreter seinen Wohnsitz oder Niederlassung in dem Mitgliedsstaat der Behörde hat oder andere betroffene Personen ihren Wohnsitz im jeweiligen Mitgliedsstaat haben.

Das DSAnpG legt fest, dass jenes Gericht zuständig ist, in dessen Sprengel der Kläger (Antragssteller) seinen gewöhnlichen Wohnsitz (Niederlassung) hat. Alternativ kann die Klage bzw. ein Antrag auch bei jenem Gericht eingebracht werden, indem der Beklagte seinen gewöhnlichen Aufenthalt (oder Niederlassung) hat.
nach oben

Wer kann Beschwerden oder Klagen einbringen?

Jede betroffene Person kann Beschwerden oder Klagen einbringen. In Österreich können sich Betroffene auch von bestimmten Organisationen vertreten lassen. Die DSGVO erlaubt soweit es im nationalen Recht der Mitgliedsstaaten vorgesehen ist auch eine Verbandsklage (-beschwerde). Diese Möglichkeit steht in Österreich nicht zur Verfügung, Ein österreichscher Verantwortlicher oder Auftragsverarbeiter kann aber durch eine Verbandsklage erfasst werden wenn diese in einem Mitgliedsstaat wo dies möglich ist eingebracht wird. Ebenso können sich österreichische Betroffene an solchen Klagen beteiligen wenn das Recht des Staates wo diese eingebracht wird dies zulässt.
nach oben