Die EU-Datenschutz-Grundverordnung

Am 4. Mai 2016 wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ kundgemacht. Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Kraft. Die Datenschutz-Grundverordnung (DS-GVO) ist als EU-Verordnung in jedem EU-Mitgliedstaat grundsätzlich unmittelbar anwendbar, sie enthält allerdings zahlreiche Öffnungsklauseln und ermöglicht dem nationalen Gesetzgeber somit gewisse Spielräume, weshalb damit zu rechnen ist, dass es auch noch eine Änderung des österreichischen Datenschutzgesetzes 2000 (DSG) geben wird bis zur unmittelbaren Anwendbarkeit der Verordnung ab dem 28.05.2018.

Die VO betrifft jeden Unternehmer, welcher personenbezogene Daten verarbeitet. Die Strafdrohungen wurden verschärft. Es empfiehlt sich, sich rechtzeitig mit der DS-GVO vertraut zu machen.

Ausblick auf die Datenschutz-Grundverordnung

1. Datenschutz-Folgenabschätzung

Eine Meldung von Datenanwendungen an die Datenschutzbehörde ist in der DS-GVO nicht mehr vorgesehen. Dafür gibt es die sogenannte Datenschutz-Folgenabschätzung (Art 35 DS-GVO).

Gemäß Art 35 Abs 1 muss der Auftraggeber bei Formen der Verarbeitung, die aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten haben, insbesondere bei Verwendung von Technologien, vorab eine Abschätzung der Folgen einer Datenanwendung für den Schutz personenbezogener Daten durchführen.

In Abs 3 werden weiter Beispiele (demonstrativ) aufgezählt, bei denen eine Datenschutz-Folgenabschätzung vorzunehmen ist.

Die nationale Aufsichtsbehörde erstellt gemäß Art 35 Abs 4 eine Liste mit jenen Datenanwendungen, für die eine Datenschutz-Folgenabschätzung vorzunehmen ist (positive Liste). Gemäß Abs 5 kann die Aufsichtsbehörde eine Liste erstellen, für die keine Schätzung aufgestellt werden muss (Negativliste).

Die Datenschutz-Folgenabschätzung muss einen bestimmten Mindestinhalt aufweisen gemäß Art 35 Abs 7 DS-GVO:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen gemäß Absatz 1 und
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz
    personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Hinsichtlich der Dokumentation und der Zusammenfassung der Datenschutz-Folgenabschätzung werden in der Verordnung explizit keine Vorgaben gemacht. Geht aus der Datenschutz-Folgenabschätzung hervor, dass die Verarbeitung ein hohes Risiko darstellt, hat der Verantwortliche gemäß Art 36 Abs 1 DS-GVO die Aufsichtsratsbehörde zu konsultieren. Ist dieser wiederum der Ansicht, dass die geplante Verarbeitung nicht im Einklang mit der Verordnung steht, kann sie dem Verantwortlichen eine schriftliche Empfehlung unterbreiten und ihre Befugnisse nach Art 58 DS-GVO ausüben (vgl Art 36 Abs 2 DS-GVO).

2. Verzeichnis von Verarbeitungstätigkeiten

Gemäß Art 30 DS-GVO sind Verantwortliche künftig verpflichtet eine Übersicht über ihre Datenverarbeitungen zu führen.

Das Verzeichnis muss die wesentlichen Informationen über die Datenverarbeitung zusammenfassen.

  • den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;
  • die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des
    betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen;

Dies entspricht-abgesehen von der Speicherdauer, dem Inhalt der bisherigen Meldungen an das Datenverarbeitungsregister. Neu ist allerdings, dass die Verpflichtung zum Führen des Verzeichnisses nicht nur den Auftraggeber (Verantwortlichen) sondern auch den Dienstleister (Auftragsverarbeiter) trifft.

3. Datenschutzbeauftragter

Wesentliche Neuerung ist die Pflicht zur Bestellung eines Datenschutzbeauftragten gemäß Art 37ff DS-GVO in bestimmten Fällen, nämlich wenn

  • die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Der Funktion des Datenschutzbeauftragten kommt maßgebliche Bedeutung zu. Ihn soll künftig die Pflicht treffen, den Auftraggeber und den Dienstleister, die personenbezogene Daten verarbeiten, sowohl über ihre Pflichten nach der DS-GVO als auch hinsichtlich ihrer Pflichten nach anderen Datenschutzvorschriften der EU oder der Mitgliedstaaten zu unterrichten und zu beraten. Dem Datenschutzbeauftragten obliegt auch die Überwachung der Einhaltung dieser Vorschriften. Der Datenschutzbeauftragte ist weiters Ansprechperson für die Aufsichtsratbehörde.

4. Strafhöhen

Art 83 DS-GVO regelt die allgemeinen Bedingungen für die Verhängung von Geldbußen.

Es können Geldbußen von bis zu 20 Millionen Euro oder im Fall eines Unternehmens von bis zu 4 % seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden (vgl hierzu Abs 4 Verstöße gegen Dokumentationspflicht und Datenschutz-Folgeabschätzung; Abs 5).

5. Sonstige Änderungen

  • Begriffliche Änderungen: der Auftraggeber wird zum Verantwortlichen und der Dienstleister zum Auftragsverarbeiter
  • Die Befugnisse und Aufgaben der Aufsichtsbehörden wurden erweitert insbesondere in Hinblick auf die Verhängung von „Geldbußen“
  • Klare Einwilligung als Eckpfeiler
  • Informationsrechte und Transparenz
  • Strenge Regeln für Datentransfer in Drittstaaten
  • Datenschutzkonforme Technikgestaltung: Privacy by Design und by Default
  • Einheitliche Rechtsdurchsetzung
  • Feste Ansprechpartner für Datenverarbeiter innerhalb der EU
  • Informationspflichten und Betroffenenrechte wurden erweitert
    • Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden
    • Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erledigen
    • Auskunftsrecht (vgl Speicherdauer)
    • Recht auf Berichtigung
    • Recht auf Löschung und auf „Vergessenwerden“
    • Recht auf Einschränkung der Verarbeitung
    • Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger
    • Recht auf Datenübertragbarkeit
    • Widerspruchsrecht

DISCLAIMER
Diese Information wird unentgeltlich zur Verfügung gestellt. Für die darin enthaltenen Inhalte wird weder für Vollständigkeit noch Richtigkeit eine Gewährleistung oder Haftung übernommen. Eine individuelle Beratung wird hiermit nicht ersetzt.