.. 1010 Wien, Brandstätte 6   |   Tel: +43 1 512 28 65   |   kanzlei@nhp.at 

  

 

Kontakt 

online-Notartermin buchen

   

Kontakt 

   

 

Kontakt 

   

 

Kontakt 

online-Notartermin buchen

   

Kontakt 

   

 

Kontakt 

   

 

DSGVO – Datenschutzgrundverordnung

17. Dezember 2018 by nhp Allgemein, Europarecht
Home | Allgemein | DSGVO – Datenschutzgrundverordnung

DSGVO (Daten­schutz-Grund­ver­ord­nung)

Mit der Daten­schutz­grund­ver­ord­nung hat es der euro­päi­sche Gesetz­ge­ber nach einem lang­jäh­ri­gen Pro­zess schluss­end­lich geschafft, das Daten­schutz­recht inner­ge­mein­schaft­lich zu har­mo­ni­sie­ren. Die DS-GVO ist im gesam­ten Uni­ons­ge­biet unmit­tel­bar ver­bind­lich. Die­ses Rege­lungs­werk stellt zwar kei­ne Voll­har­mo­ni­sie­rung dar, hebt das Daten­schutz­ni­veau im inter­na­tio­na­len Ver­gleich betrach­tet aller­dings stark an. Das ist vor allem in Hin­blick auf diver­se euro­päi­sche Län­der, deren Daten­schutz­recht bis­her kei­nen moder­nen Stan­dard auf­wies, durch­aus begrü­ßens­wert. Auf­grund der Schaf­fung neu­er Rechts­in­sti­tu­te, dem Bestehen zahl­rei­cher Öff­nungs­klau­seln und der dras­ti­schen Straf­ver­schär­fun­gen, wur­den aller­dings neue Rechts­un­si­cher­hei­ten geschaffen.

Die DS-GVO gilt grund­sätz­lich für alle Daten­ver­ar­bei­tun­gen, die eine natür­li­che Per­son betref­fen und die ent­we­der (teil-)automatisiert erfol­gen oder Daten betref­fen, die in einem Datei­sys­tem gespei­chert sind oder wer­den sol­len. Von die­sem Grund­satz sind eini­ge Kon­stel­la­tio­nen, so zB die von natür­li­chen Per­so­nen durch­ge­führ­te Ver­ar­bei­tung zur Aus­übung aus­schließ­lich pri­va­ter oder fami­liä­rer Tätig­kei­ten, ausgenommen.

Für Daten­ver­ar­bei­tun­gen (dar­un­ter fal­len etwa die Erhe­bung oder das Löschen von Daten) sieht die Ver­ord­nung zunächst eini­ge Grund­prin­zi­pi­en vor, die bei jedem sol­chen Vor­gang ein­zu­hal­ten sind. Dies sind:

  • Der Zweck­bin­dungs­grund­satz, nach dem Daten­ver­ar­bei­tun­gen immer nur in Hin­blick auf einen bestimm­ten, fest­ge­leg­ten Zweck erfol­gen dürfen
  • Der Grund­satz der Daten­mi­ni­mie­rung, der gebie­tet, dass so weni­ge Daten wie mög­lich ver­ar­bei­tet wer­den dürfen
  • Die Ver­ar­bei­tung nach Treu und Glauben
  • Rich­tig­keit (Daten müs­sen ins­be­son­de­re aktu­ell gehal­ten wer­den und haben rich­tig zu sein)
  • Inte­gri­tät und Ver­trau­lich­keit (Daten müs­sen sicher ver­ar­bei­tet wer­den, sodass Unbe­fug­te nicht zugrei­fen können)
  • Die Recht­mä­ßig­keit einer Daten­ver­ar­bei­tung setzt ins­be­son­de­re vor­aus, dass die­se auf einem nor­mier­ten Erlaub­nis­tat­be­stand beruht
  • Der Trans­pa­renz­grund­satz gebie­tet, dass eine Ver­ar­bei­tung von einem Erlaub­nis­tat­be­stand gedeckt sein muss und Infor­ma­tio­nen leicht ver­ständ­lich sein müssen
  • Grund­satz der Daten­mi­ni­mie­rung und Spei­cher­be­gren­zung (es müs­sen mög­lichst weni­ge Daten mög­lichst kurz gespei­chert werden)

Neben der Ein­hal­tung aller Grund­prin­zi­pi­en, muss jede Daten­ver­ar­bei­tung durch einen nor­mier­ten Erlaub­nis­tat­be­stand gerecht­fer­tigt sein. Ist kei­ner der vor­ge­se­he­nen Tat­be­stän­de erfüllt, darf kei­ne Daten­ver­ar­bei­tung erfol­gen. Neben der „klas­si­schen“ Ein­wil­li­gung der betrof­fe­nen Per­son kommt zur Recht­fer­ti­gung vor­ran­gig die Not­wen­dig­keit zur Wah­rung berech­tig­ter Inter­es­sen des Daten­ver­ar­bei­ters (mit­tels Durch­füh­rung einer Inter­es­sens­ab­wä­gung) in Betracht.

Für bestimm­te Kate­go­rien von Daten (wie etwa Gesund­heits­da­ten oder Daten, die die eth­ni­sche Her­kunft oder poli­ti­sche Mei­nung betref­fen) hat der euro­päi­sche Gesetz­ge­ber dar­über hin­aus beson­de­re Erfor­der­nis­se für Ver­ar­bei­tun­gen nor­miert. Dies­falls hat eine all­fäl­li­ge Ein­wil­li­gung der betrof­fe­nen Per­son aus­drück­lich zu erfol­gen. Eine Recht­fer­ti­gung auf­grund der Wah­rung berech­tig­ter Inter­es­sen des Daten­ver­ar­bei­ters ist dies­falls nicht zulässig.

Betrof­fe­ne Per­so­nen wer­den durch die DS-GVO all­ge­mein mit einem Bün­del an ver­schie­de­nen Rech­ten aus­ge­stat­tet. Hier sind vor allem die unter bestimm­ten Umstän­den zuste­hen­den Rech­te auf Wider­spruch, Löschung und Berich­ti­gung her­vor­zu­he­ben. Den Daten­ver­ar­bei­ter trifft außer­dem eine umfas­sen­de Infor­ma­ti­ons­pflicht, die sich an den jewei­li­gen Ver­ar­bei­tungs­vor­gän­gen orientiert.

Abge­se­hen von der Nor­mie­rung der eben dar­ge­stell­ten all­ge­mei­nen Grund­sät­ze, hat der euro­päi­sche Gesetz­ge­ber noch eini­ge spe­zi­el­le Rege­lun­gen in die Ver­ord­nung aufgenommen.

Hier gilt es, vor allem das grund­sätz­li­che Ver­bot auto­ma­ti­sier­ter Ein­zel­fall­ent­schei­dun­gen, die natür­li­che Per­so­nen betref­fen, her­vor­zu­he­ben. Davon wer­den für Betrof­fe­ne mit­un­ter sehr nach­tei­li­ge Ent­schei­dun­gen erfasst, die auf einer auto­ma­ti­sier­ten Ver­ar­bei­tung, wie etwa Pro­fil­ing (erst­mals expli­zit im euro­päi­schen Daten­schutz­recht nor­miert), beru­hen und recht­li­che Wir­kun­gen gegen­über der betrof­fe­nen Per­son ent­fal­ten oder die­se auf ähn­li­che Wei­se erheb­lich beein­träch­ti­gen. Denk­bar (und pro­ble­ma­tisch) sind hier­bei etwa die auto­ma­ti­sche Aus­wahl (bzw Ableh­nung) von Bewer­bern durch E‑Re­crui­ting-Pro­gram­me oder auto­ma­ti­sier­tes „Kre­dit-Scoring“, bei dem die Kre­dit­wür­dig­keit bestimm­ter Per­so­nen auf Grund­la­ge einer Daten­aus­wer­tung ermit­telt wer­den soll.

In die­sen Fäl­len muss ent­we­der die aus­drück­li­che Ein­wil­li­gung der betrof­fe­nen Per­son vor­lie­gen oder die Ent­schei­dung auf­grund von Rechts­vor­schrif­ten zuläs­sig oder für den Abschluss oder die Erfül­lung eines Ver­trags not­wen­dig sein.

Gänz­lich neu im Daten­schutz­recht ist die soge­nann­te Datenschutz-Folgenabschätzung.

Die­se stellt ein neu geschaf­fe­nes Rechts­in­sti­tut dar, das dem Daten­ver­ar­bei­ter in bestimm­ten Fäl­len, die poten­zi­ell risi­ko­be­haf­tet sind, die Pflicht auf­er­legt, ein mehr­stu­fi­ges Ver­fah­ren durch­zu­füh­ren, bei dem unter ande­rem die Risi­ken eva­lu­iert und Prä­ven­ti­ons­maß­nah­men erör­tert wer­den sollen.

In bestimm­ten Fäl­len müs­sen Daten­ver­ar­bei­ter außer­dem einen soge­nann­ten Daten­schutz­be­auf­trag­ten bestel­len, der die Daten­ver­ar­bei­tungs­tä­tig­kei­ten überwacht.

Zu den wich­tigs­ten Ände­run­gen gegen­über der bis­he­ri­gen hie­si­gen Rechts­la­ge zäh­len die im Fall einer Miss­ach­tung der Vor­schrif­ten dro­hen­den Ver­wal­tungs­stra­fen dar. Hier­bei muss zwi­schen zwei ver­schie­de­nen Kate­go­rien von Ver­stö­ßen unter­schie­den werden.

  • Unter die „mil­de­re“ Kate­go­rie fal­len unter ande­rem Ver­stö­ße gegen die Pflich­ten im Rah­men der Daten­schutz-Fol­gen­ab­schät­zung bzw gegen die Pflicht der Bestel­lung des Daten­schutz­be­auf­trag­ten. Dies­falls sind Stra­fen bis zu 10 Mio Euro bzw 2 % des gesam­ten welt­weit erziel­ten Umsat­zes möglich.
  • Schwe­re­re Ver­stö­ße stel­len etwa die Miss­ach­tung der Rech­te der betrof­fe­nen Per­so­nen oder die Nicht­ein­hal­tung der oben erör­ter­ten Grund­prin­zi­pi­en der Ver­ord­nung dar, wel­che Stra­fen von bis zu 20 Mio Euro bzw 4% des gesam­ten welt­weit erziel­ten Umsat­zes (in bei­den Fäl­len, je nach­dem wel­cher Betrag höher ist) nach sich zie­hen können.

Der Voll­zug der Ver­ord­nung und die Ver­hän­gung von Stra­fen oblie­gen in Öster­reich der Daten­schutz­be­hör­de. Die­se hat bei der Straf­be­mes­sung den Grund­satz der Ver­hält­nis­mä­ßig­keit zu wahren.