DSGVO (Datenschutz-Grundverordnung)
Mit der Datenschutzgrundverordnung hat es der europäische Gesetzgeber nach einem langjährigen Prozess schlussendlich geschafft, das Datenschutzrecht innergemeinschaftlich zu harmonisieren. Die DS-GVO ist im gesamten Unionsgebiet unmittelbar verbindlich. Dieses Regelungswerk stellt zwar keine Vollharmonisierung dar, hebt das Datenschutzniveau im internationalen Vergleich betrachtet allerdings stark an. Das ist vor allem in Hinblick auf diverse europäische Länder, deren Datenschutzrecht bisher keinen modernen Standard aufwies, durchaus begrüßenswert. Aufgrund der Schaffung neuer Rechtsinstitute, dem Bestehen zahlreicher Öffnungsklauseln und der drastischen Strafverschärfungen, wurden allerdings neue Rechtsunsicherheiten geschaffen.
Die DS-GVO gilt grundsätzlich für alle Datenverarbeitungen, die eine natürliche Person betreffen und die entweder (teil-)automatisiert erfolgen oder Daten betreffen, die in einem Dateisystem gespeichert sind oder werden sollen. Von diesem Grundsatz sind einige Konstellationen, so zB die von natürlichen Personen durchgeführte Verarbeitung zur Ausübung ausschließlich privater oder familiärer Tätigkeiten, ausgenommen.
Für Datenverarbeitungen (darunter fallen etwa die Erhebung oder das Löschen von Daten) sieht die Verordnung zunächst einige Grundprinzipien vor, die bei jedem solchen Vorgang einzuhalten sind. Dies sind:
Neben der Einhaltung aller Grundprinzipien, muss jede Datenverarbeitung durch einen normierten Erlaubnistatbestand gerechtfertigt sein. Ist keiner der vorgesehenen Tatbestände erfüllt, darf keine Datenverarbeitung erfolgen. Neben der „klassischen“ Einwilligung der betroffenen Person kommt zur Rechtfertigung vorrangig die Notwendigkeit zur Wahrung berechtigter Interessen des Datenverarbeiters (mittels Durchführung einer Interessensabwägung) in Betracht.
Für bestimmte Kategorien von Daten (wie etwa Gesundheitsdaten oder Daten, die die ethnische Herkunft oder politische Meinung betreffen) hat der europäische Gesetzgeber darüber hinaus besondere Erfordernisse für Verarbeitungen normiert. Diesfalls hat eine allfällige Einwilligung der betroffenen Person ausdrücklich zu erfolgen. Eine Rechtfertigung aufgrund der Wahrung berechtigter Interessen des Datenverarbeiters ist diesfalls nicht zulässig.
Betroffene Personen werden durch die DS-GVO allgemein mit einem Bündel an verschiedenen Rechten ausgestattet. Hier sind vor allem die unter bestimmten Umständen zustehenden Rechte auf Widerspruch, Löschung und Berichtigung hervorzuheben. Den Datenverarbeiter trifft außerdem eine umfassende Informationspflicht, die sich an den jeweiligen Verarbeitungsvorgängen orientiert.
Abgesehen von der Normierung der eben dargestellten allgemeinen Grundsätze, hat der europäische Gesetzgeber noch einige spezielle Regelungen in die Verordnung aufgenommen.
Hier gilt es, vor allem das grundsätzliche Verbot automatisierter Einzelfallentscheidungen, die natürliche Personen betreffen, hervorzuheben. Davon werden für Betroffene mitunter sehr nachteilige Entscheidungen erfasst, die auf einer automatisierten Verarbeitung, wie etwa Profiling (erstmals explizit im europäischen Datenschutzrecht normiert), beruhen und rechtliche Wirkungen gegenüber der betroffenen Person entfalten oder diese auf ähnliche Weise erheblich beeinträchtigen. Denkbar (und problematisch) sind hierbei etwa die automatische Auswahl (bzw Ablehnung) von Bewerbern durch E-Recruiting-Programme oder automatisiertes „Kredit-Scoring“, bei dem die Kreditwürdigkeit bestimmter Personen auf Grundlage einer Datenauswertung ermittelt werden soll.
In diesen Fällen muss entweder die ausdrückliche Einwilligung der betroffenen Person vorliegen oder die Entscheidung aufgrund von Rechtsvorschriften zulässig oder für den Abschluss oder die Erfüllung eines Vertrags notwendig sein.
Gänzlich neu im Datenschutzrecht ist die sogenannte Datenschutz-Folgenabschätzung.
Diese stellt ein neu geschaffenes Rechtsinstitut dar, das dem Datenverarbeiter in bestimmten Fällen, die potenziell risikobehaftet sind, die Pflicht auferlegt, ein mehrstufiges Verfahren durchzuführen, bei dem unter anderem die Risiken evaluiert und Präventionsmaßnahmen erörtert werden sollen.
In bestimmten Fällen müssen Datenverarbeiter außerdem einen sogenannten Datenschutzbeauftragten bestellen, der die Datenverarbeitungstätigkeiten überwacht.
Zu den wichtigsten Änderungen gegenüber der bisherigen hiesigen Rechtslage zählen die im Fall einer Missachtung der Vorschriften drohenden Verwaltungsstrafen dar. Hierbei muss zwischen zwei verschiedenen Kategorien von Verstößen unterschieden werden.
Der Vollzug der Verordnung und die Verhängung von Strafen obliegen in Österreich der Datenschutzbehörde. Diese hat bei der Strafbemessung den Grundsatz der Verhältnismäßigkeit zu wahren.