DSVGO
DSGVO (Datenschutz-Grundverordnung)
Mit der Datenschutzgrundverordnung hat es der europäische Gesetzgeber nach einem langjährigen Prozess schlussendlich geschafft, das Datenschutzrecht innergemeinschaftlich zu harmonisieren. Die DS-GVO ist im gesamten Unionsgebiet unmittelbar verbindlich. Dieses Regelungswerk stellt zwar keine Vollharmonisierung dar, hebt das Datenschutzniveau im internationalen Vergleich betrachtet allerdings stark an. Das ist vor allem in Hinblick auf diverse europäische Länder, deren Datenschutzrecht bisher keinen modernen Standard aufwies, durchaus begrüßenswert. Aufgrund der Schaffung neuer Rechtsinstitute, dem Bestehen zahlreicher Öffnungsklauseln und der drastischen Strafverschärfungen, wurden allerdings neue Rechtsunsicherheiten geschaffen.
Die DS-GVO gilt grundsätzlich für alle Datenverarbeitungen, die eine natürliche Person betreffen und die entweder (teil-)automatisiert erfolgen oder Daten betreffen, die in einem Dateisystem gespeichert sind oder werden sollen. Von diesem Grundsatz sind einige Konstellationen, so zB die von natürlichen Personen durchgeführte Verarbeitung zur Ausübung ausschließlich privater oder familiärer Tätigkeiten, ausgenommen.
Für Datenverarbeitungen (darunter fallen etwa die Erhebung oder das Löschen von Daten) sieht die Verordnung zunächst einige Grundprinzipien vor, die bei jedem solchen Vorgang einzuhalten sind. Dies sind:
- Der Zweckbindungsgrundsatz, nach dem Datenverarbeitungen immer nur in Hinblick auf einen bestimmten, festgelegten Zweck erfolgen dürfen
- Der Grundsatz der Datenminimierung, der gebietet, dass so wenige Daten wie möglich verarbeitet werden dürfen
- Die Verarbeitung nach Treu und Glauben
- Richtigkeit (Daten müssen insbesondere aktuell gehalten werden und haben richtig zu sein)
- Integrität und Vertraulichkeit (Daten müssen sicher verarbeitet werden, sodass Unbefugte nicht zugreifen können)
- Die Rechtmäßigkeit einer Datenverarbeitung setzt insbesondere voraus, dass diese auf einem normierten Erlaubnistatbestand beruht
- Der Transparenzgrundsatz gebietet, dass eine Verarbeitung von einem Erlaubnistatbestand gedeckt sein muss und Informationen leicht verständlich sein müssen
- Grundsatz der Datenminimierung und Speicherbegrenzung (es müssen möglichst wenige Daten möglichst kurz gespeichert werden)
Neben der Einhaltung aller Grundprinzipien, muss jede Datenverarbeitung durch einen normierten Erlaubnistatbestand gerechtfertigt sein. Ist keiner der vorgesehenen Tatbestände erfüllt, darf keine Datenverarbeitung erfolgen. Neben der „klassischen“ Einwilligung der betroffenen Person kommt zur Rechtfertigung vorrangig die Notwendigkeit zur Wahrung berechtigter Interessen des Datenverarbeiters (mittels Durchführung einer Interessensabwägung) in Betracht.
Für bestimmte Kategorien von Daten (wie etwa Gesundheitsdaten oder Daten, die die ethnische Herkunft oder politische Meinung betreffen) hat der europäische Gesetzgeber darüber hinaus besondere Erfordernisse für Verarbeitungen normiert. Diesfalls hat eine allfällige Einwilligung der betroffenen Person ausdrücklich zu erfolgen. Eine Rechtfertigung aufgrund der Wahrung berechtigter Interessen des Datenverarbeiters ist diesfalls nicht zulässig.
Betroffene Personen werden durch die DS-GVO allgemein mit einem Bündel an verschiedenen Rechten ausgestattet. Hier sind vor allem die unter bestimmten Umständen zustehenden Rechte auf Widerspruch, Löschung und Berichtigung hervorzuheben. Den Datenverarbeiter trifft außerdem eine umfassende Informationspflicht, die sich an den jeweiligen Verarbeitungsvorgängen orientiert.
Abgesehen von der Normierung der eben dargestellten allgemeinen Grundsätze, hat der europäische Gesetzgeber noch einige spezielle Regelungen in die Verordnung aufgenommen.
Hier gilt es, vor allem das grundsätzliche Verbot automatisierter Einzelfallentscheidungen, die natürliche Personen betreffen, hervorzuheben. Davon werden für Betroffene mitunter sehr nachteilige Entscheidungen erfasst, die auf einer automatisierten Verarbeitung, wie etwa Profiling (erstmals explizit im europäischen Datenschutzrecht normiert), beruhen und rechtliche Wirkungen gegenüber der betroffenen Person entfalten oder diese auf ähnliche Weise erheblich beeinträchtigen. Denkbar (und problematisch) sind hierbei etwa die automatische Auswahl (bzw Ablehnung) von Bewerbern durch E-Recruiting-Programme oder automatisiertes „Kredit-Scoring“, bei dem die Kreditwürdigkeit bestimmter Personen auf Grundlage einer Datenauswertung ermittelt werden soll.
In diesen Fällen muss entweder die ausdrückliche Einwilligung der betroffenen Person vorliegen oder die Entscheidung aufgrund von Rechtsvorschriften zulässig oder für den Abschluss oder die Erfüllung eines Vertrags notwendig sein.
Gänzlich neu im Datenschutzrecht ist die sogenannte Datenschutz-Folgenabschätzung.
Diese stellt ein neu geschaffenes Rechtsinstitut dar, das dem Datenverarbeiter in bestimmten Fällen, die potenziell risikobehaftet sind, die Pflicht auferlegt, ein mehrstufiges Verfahren durchzuführen, bei dem unter anderem die Risiken evaluiert und Präventionsmaßnahmen erörtert werden sollen.
In bestimmten Fällen müssen Datenverarbeiter außerdem einen sogenannten Datenschutzbeauftragten bestellen, der die Datenverarbeitungstätigkeiten überwacht.
Zu den wichtigsten Änderungen gegenüber der bisherigen hiesigen Rechtslage zählen die im Fall einer Missachtung der Vorschriften drohenden Verwaltungsstrafen dar. Hierbei muss zwischen zwei verschiedenen Kategorien von Verstößen unterschieden werden.
- Unter die „mildere“ Kategorie fallen unter anderem Verstöße gegen die Pflichten im Rahmen der Datenschutz-Folgenabschätzung bzw gegen die Pflicht der Bestellung des Datenschutzbeauftragten. Diesfalls sind Strafen bis zu 10 Mio Euro bzw 2 % des gesamten weltweit erzielten Umsatzes möglich.
- Schwerere Verstöße stellen etwa die Missachtung der Rechte der betroffenen Personen oder die Nichteinhaltung der oben erörterten Grundprinzipien der Verordnung dar, welche Strafen von bis zu 20 Mio Euro bzw 4% des gesamten weltweit erzielten Umsatzes (in beiden Fällen, je nachdem welcher Betrag höher ist) nach sich ziehen können.
Der Vollzug der Verordnung und die Verhängung von Strafen obliegen in Österreich der Datenschutzbehörde. Diese hat bei der Strafbemessung den Grundsatz der Verhältnismäßigkeit zu wahren.
die notare im zacherlhaus
nhp - Notare Huppmann, Poindl, Pfaffenberger, Nierlich | 1010 Wien, Brandstätte 6 | Tel. 01 512 28 65 | kanzlei@nhp.at
© Copyright 2019 | Implemented by HOKOHOKO Media GmbH
nhp - Notare Huppmann, Poindl, Pfaffenberger, Nierlich | 1010 Wien, Brandstätte 6 | Tel. 01 512 28 65 | kanzlei@nhp.at
© Copyright 2019 | Implemented by HOKOHOKO Media GmbH
