Die DSGVO in Österreich – Welche Datenschutzregelungen sind betroffen?
- Redaktion Anwaltfinden.at
Die DSGVO ist die Datenschutzgrundverordnung der EU, die neue Regelungen zum Datenverkehr und zum Schutz personenbezogener Daten bei der Datenverarbeitung vorsieht. Dabei kommt der DSGVO Bedeutung besonders deshalb zu, weil sie auch in Österreich seit Mai 2018 unmittelbar anwendbar ist und dem nationalen Datenschutzgesetz in weiten Teilen übergeordnet ist.
In diesem Artikel sollen wichtige Neuerungen durch die DSGVO für Österreich vorgestellt werden und dabei auch häufige Fragen beantwortet werden, wie z. B.: Was ist die DSGVO? Muss ich die DSGVO überhaupt beachten? Gilt die DSGVO auch für den B2B Bereich? Was bringt mir persönlich die DSGVO?
Inhaltsverzeichnis
- Mit Inkrafttreten der DSGVO Österreich im Mai 2018 ist die Verordnung vorrangig zum österreichische Datenschutzgesetz, bzw zu Datenschutzregelungen in anderen Gesetzen. Es gibt aber Ausnahmen, die national, d.h auch mit österreichischen Regelungen anders oder ergänzend geregelt werden können. Diese Ausnahmen nennt man „Öffnungsklauseln“ der DSGVO.
- Die Grundregel ist weiterhin: Wenn österreichische Gesetze der DSGVO widersprechen, kann es sein, dass diese nicht anwendbar sind, sondern nach der DSGVO vorzugehen ist.
- Hierbei regelt die DSGVO die Verarbeitung personenbezogener Daten im Vergleich zur älteren EU-Datenschutz-Richtlinie neu, wodurch zahlreiche Anpassungen auf Unternehmensseite notwendig wurden.
- Außerdem formuliert die DSGVO eine ausführlichere gesetzliche Grundlage zum Recht auf eine Löschung personenbezogener Daten.
- Ferner beinhaltet die DSGVO auch neue Regelungen zur Auskunftspflicht und sieht hierbei eine Auskunftspflicht an eine Aufsichtsbehörde vor.
Bedeutung und Wirksamkeit der DSGVO in Österreich
Durch das Inkrafttreten der DSGVO (Datenschutz-Grundverordnung der EU) werden EU-weit die Verarbeitung personenbezogener Daten sowie auch die Rechte und Pflichten von Betroffenen und Verantwortlichen geregelt. Deshalb müssen seit 25. Mai 2018 alle Datenverarbeitungen in Österreich diesen Regelungen entsprechen. Dadurch verlangt die DSGVO eine entsprechende Anpassung in allen Unternehmen in der EU, die zum Bsp. personenbezogene Daten speichern, Kundendateien führen, Rechnungen ausstellen oder auch Lieferdaten speichern. Dabei bedeutet dies teilweise umfangreiche Anpassungen für die Unternehmen.
Was ändert sich im Datenschutzrecht durch die DSGVO?
Mit der neuen DSGVO werden Änderungen am Datenschutzgesetz wirksam, die sich sowohl auf die Rechte von betroffenen Personen als auch auf die Pflichten datenverarbeitender Unternehmen auswirken. Dabei sind insbesondere Unternehmen gefordert, teilweise umfangreiche neue Datenschutzmaßnahmen zu ergreifen, um in Zukunft auch empfindliche DSGVO Strafen vermeiden zu können. Die Regelungen können aber auch private Datenverarbeitungen voll treffen, wenn diese sehr umfangreich sind.
Welche wichtigen Neuerungen erwarten uns nach der DSGVO? – eine DSGVO Zusammenfassung
Über die DSGVO Verordnung werden die Rechtsgrundlagen der Datenverarbeitung neu definiert und auch die Rechte der Betroffenen sowie die Pflichten der Verantwortlichen neu geregelt. Hierbei sieht die DSGVO besonders auch eine Stärkung der Rechte der Betroffenen vor, durch neue Pflichten zur Transparenz und Information. Deshalb haben Betroffene nach der neuen DSGVO einen leichteren Zugang zu ihren persönlichen Daten und auch zu einer Information über die Datennutzung.
Zusätzlich wird mit der DSGVO auch erstmalig das sogenannte „Recht auf Vergessenwerden“ verankert. Ein ähnliches Recht gab es zuvor bereits, es wurde ausgeweitet. Außerdem werden durch die DSGVO insbesondere den Unternehmen auch sehr viel strengere Datenschutzmaßnahmen und Dokumentationspflichten abverlangt.
Generelle Neuerungen für die Unternehmen
Unternehmen werden unter anderem dazu verpflichtet, für ihre IT-Anlagen und Anwendungen datenschutzfreundliche Voreinstellungen vorzunehmen. Außerdem bringt die DSGVO auch eine neue Verpflichtung zu einer Datenschutzfolgenabschätzung, für bestimmte Datenverarbeitungen, etwa wenn besonderen Risiken bestehen oder neuartige Technologien angewendet werden oder „Profiling“ angewendet wird.
Ferner gilt die DSGVO auch für Nicht EU-Unternehmen, wenn sich ihre Angebote auch an EU-Bürger richten, wenn es sich um Warenanbote oder Dienstleistungen handelt oder wenn das Verhalten von EU Bürgern beobachtet wird. Hierbei besonders betroffen sind Unternehmen, die weltweit operieren, aber keinen Sitz in der EU haben. Mittlerweile haben allerdings die meisten großen Internetkonzerne Niederlassungen in der EU, sodass die Zuständigkeit von EU – Datenschutzbehörden meist gegeben ist. Dabei haben diese bei schweren Verstößen mit hohen Strafen von bis zu 4% des Jahresumsatzes zu rechnen gegen die DSGVO.
Detaillierte neue Datenschutzrechte der DSGVO für Betroffene
Die neuen Rechte der Betroffenen in Bezug auf personenbezogene Daten sind im DSGVO Text vor allem in den Artikeln 12-23 geregelt. Daraus folgen für die Verantwortlichen der Datenverarbeitung im Sinne teilweise umfangreiche Anpassungspflichten um den vorgeschriebenen Datenschutz gewährleisten zu können.
Das DSGVO Auskunftsrecht für Betroffene
Der Art. 15 DSGVO sieht ein umfangreiches Auskunftsrecht für Betroffene in Bezug auf ihre personenbezogenen Daten vor. Hierbei kann jeder Betroffene z. B. „eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind“ verlangen.
Deshalb muss z. B. ein Verantwortlicher auf Verlangen einer betroffenen Person schriftlich bestätigen, ob und welche personenbezogene Daten verarbeitet werden. Hierbei steht dem Betroffenen sowohl eine Auskunft zu den Zwecken der Verarbeitung, als auch der entsprechenden Kategorien der personenbezogenen Daten zu. Vor Aufnahme einer Datenverarbeitung sollte aber ohnehin eine Information an den Betroffenen ergangen sein, sodass keine überraschenden Datenverarbeitungen bestehen sollten.
Bei der Auskunft muss der Verantwortliche diese Auskünfte innerhalb 1 Monat, in Sonderfällen 3 Monaten bereitstellen.
Inwieweit man im eines Auskunftsbegehrens Kopien von Dokumenten verlangen kann, ist noch strittig.
Das DSGVO Recht auf Datenübertragbarkeit für Betroffene
Ferner wurde durch die DSGVO auch ein neues Recht auf Datenübertragbarkeit geschaffen. Hierdurch ist einem Betroffenen das Recht eingeräumt, seine verarbeiteten Daten auch übergeben zu bekommen. Das soll den „Umzug“ von einem digitalen Dienst zu einem anderen erleichtern, wenn zB ein Social Media Dienst gewechselt werden soll. Deshalb ist der Betroffene berechtigt, die personenbezogenen Daten vom Verantwortlichen übergeben zu bekommen. Dies in einem üblichen Format.
Zahlreiche große Internetdienstleister haben diese Funktion schon lange implementiert, dort ist es z.B. möglich all seine Fotos in einer einzigen komprimierten Datei herunterzuladen. Dadurch soll es einem Betroffenen möglich gemacht werden, einen Anbieterwechsel ohne Datenverlust vorzunehmen. Voraussetzung für dieses Recht ist allerdings, dass die Datenverarbeitung aufgrund einer Einwilligung gemacht wird oder mithilfe eines automatisierten Verfahrens erfolgt und die Daten vom Betroffenen zur Verfügung gestellt wurden. Dieses Recht „funktioniert“ somit nicht automatisch als Ergänzung zum Auskunftsrecht.
Das DSGVO Recht auf Löschung von Daten – das „Recht des Vergessens werden“
Die DSGVO räumt im Art. 17 Betroffenen auch ein gesetzlich festgeschriebenes Recht ein, das Löschen personenbezogener Daten zu verlangen. Folgende Fälle berechtigen zB zur Löschung:
Für den Fall, dass personenbezogene Daten für den ursprünglichen Zweck nicht mehr nötig sind, für den sie erhoben und verarbeitet wurden.
Wenn eine Einwilligung zur Verarbeitung widerrufen wird und kein weiterer Rechtsgrund für eine weitere Verarbeitung vorliegt.
Wenn eine unrechtmäßige Verarbeitung der personenbezogenen Daten stattgefunden hat.
Es gibt dazu noch detailliertere Regelungen und auch Ausnahmen, etwa wenn noch eine Aufbewahrungspflicht für die Daten besteht oder ein Gesetz die Verarbeitung vorschreibt. Erkundigen Sie sich am Besten im Einzelfall bei Ihrem Anwalt nach der besten Vorgehensweise.
Einschränkungen des Recht auf Löschung nach der DSGVO
In einigen Fällen ist das Recht auf Löschung von Daten nach DSGVO jedoch eingeschränkt. Hierbei ist dies in folgenden Fällen etwa relevant:
- Für den Fall, dass eine Verarbeitung weiterhin notwendig ist, um Rechte zur freien Meinungsäußerung oder Information auszuüben
- Außerdem im Falle, dass eine Verarbeitung weiterhin erforderlich ist um rechtlichen Bestimmungen nachzukommen.
- Ferner, wenn die Verarbeitung im öffentlichen Interesse liegt, z. B. zur Archivierung bei wissenschaftlichem oder historischem Forschungsinteresse oder wenn die Daten für statistische Zwecke benötigt werden.
Die DSGVO gewährleistet auch ein Recht auf die Berichtigung von Daten. Datenverarbeitungen dürfen überhaupt nur mit richtigen Daten erfolgen, soweit möglich. Danach können Betroffene verlangen, dass falsche personenbezogene Daten korrigiert werden oder unvollständige Daten vervollständigt werden. Außerdem bietet die DSGVO auch ein Recht auf die Einschränkung der Datenverarbeitung. Dabei kann ein Betroffener unter definierten Voraussetzungen eine Einschränkung der Datenverarbeitung verlangen.
Welche Pflichten nach der DSGVO entstehen für die Verantwortlichen?
Die DSGVO definiert die Grundsätze der Datenverarbeitung in Artikel 5 und sieht weitere neue Vorschriften für Verantwortliche vor. Herausragend ist die sogenannte Rechenschaftspflicht (Art 5 Abs 2), wonach die Einhaltung der DSGVO jederzeit belegbar sein muss. Der Verantwortliche muss somit dafür sorgen, dass seine DSGVO-Unterlagen stets aktuell und vollständig sind. Dem entsprechen umfangreiche Dokumentationspflichten.
Pflichten aus den Grundsätzen der Datenverarbeitung nach der DSGVO
Aus den Grundsätzen der Datenverarbeitung nach DSGVO folgt unter anderem, dass eine Datenverarbeitung rechtmäßig, richtig und auch zweckgebunden sowie transparent erfolgen muss. Der Betroffene – das heißt derjenige dessen Daten verarbeitet werden – soll nicht von Datenverarbeitungen überrascht werden. Außerdem muss sich die Datenverarbeitung auch an der Vorgabe zur Datenminimierung und Speicherbegrenzung orientieren. Grundsätzlich sind nur jene Datenverarbeitungen durchzuführen, die unbedingt nötig sind. Ein „Datenreichtum“ ist unbedingt zu vermeiden, außer es liegt z.B. ein DSGVO- konformes Forschungsprojekt vor oder ähnliches.
Ferner müssen die Grundsätze der Vertraulichkeit, Integrität eingehalten werden; die Betroffenenrechte müssen effektiv genutzt werden können. Datenverarbeitungen müssen nach Treu und Glauben erfolgen, daraus folgt zum Beispiel auch, dass Datenschutzhinweise klar verständlich und vollständig sein müssen, es ist nicht erlaubt den wahren Sinn einer Datenverarbeitung hinter seitenlangen verwirrenden Beschreibungen zu verbergen. Hierbei muss eine Einhaltung aller Grundsätze gegenüber einer Aufsichtsbehörde immer belegbar sein. Das bedeutet es müssen jederzeit Belege, somit Dokumente, für die Einhaltung der DSGVO vorhanden sein.
Folgen der Rechenschaftspflicht nach DSGVO
Über die Rechenschaftspflicht nach DSGVO wird von den Verantwortlichen unter anderm verlangt, dass sie ihre Datenverarbeitungen dokumentieren und Protokolle vorhalten. Dabei sind sie auch angehalten zu dokumentieren, welche Aktivitäten zur Einhaltung der Vorgaben aus der DSGVO laufend erfolgen. Hierbei spielen insbesondere folgende Maßnahmen eine Rolle:
- Aktives Führen eines Verzeichnisses aller Datenverarbeitungen
- Bei Einholen von Einwilligungen zu Datenverarbeitungen, Dokumentation dieser Einholung
- Nachweis der Rechtsmäßigkeit der Verarbeitungen von personenbezogenen Daten
- Gegebenenfalls Pflicht zur Datenschutzfolgenabschätzung und Darlegung der Ergebnisse
Deshalb ist es für ein Unternehmen heute empfehlenswert, ein Datenschutzmanagementsystem aufzusetzen, d.h. Prozesse vorzusehen, die regelmäßige Kontrolle und Updates der DSGVO Umsetzung sicherstellen. Hierbei kann ein Unternehmen einen Nachweis gegenüber einer Aufsichtsbehörde liefern. Ferner dient diese auch zum Gestalten interner Prozesse und zur Einweisung und Schulung von Mitarbeitern.
Dabei ist es immer empfehlenswert, für eine Gestaltung von Datenschutzrichtlinien die Beratung und Unterstützung eines Anwalts mit Spezialkompetenz im Datenschutzrecht zu suchen. Dies vor allem da noch wenig Rechtsprechung zur DSGVO existiert und das Rechtsgebiet einem ständigen Wandel unterliegt. Viele Fragen der DSGVO werden laufend auch von zuständigen Gremien neu beurteilt.
Hierbei wird ein Rechtsanwalt sicherstellen, dass die unternehmensinterne Datenschutzrichtlinie nicht nur vollständige Regelungsinhalte aufweist, sondern auch den Bestimmungen der DSGVO und nationalen Datenschutzgesetzen in Österreich entspricht. Bei internationalen Aktivitäten ist auch die Compliance nach den jeweils anwendbaren internationalen Normen sicherzustellen. Für technische Belange der DSGVO ist die Hilfe eines spezialisierten Technikers hinzuzuziehen.
Welche personenbezogenen Daten dürfen wann verarbeitet werden?
Die Datenverarbeitung ist auch nach der DSGVO nur dann erlaubt, wenn diese einer gesetzlichen Ausnahme entspricht.
Hierbei ist dies z. B. dann gegeben, wenn:
- Betroffene einer Verarbeitung personenbezogener Daten zugestimmt haben
- Die Verarbeitung personenbezogener Daten für die Erfüllung eines Vertrages notwendig ist oder bei vorvertraglichen Maßnahmen stattfinden müssen
- Eine Datenverarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung vorausgesetzt ist.
- Die Verarbeitung zur Wahrung von berechtigten Interessen des Verantwortlichen erforderlich wird, wenn die Schutzrechte und Freiheiten eines Betroffenen dabei nicht überwiegen
Im Einzelnen sind die Ausnahmen komplex geregelt, es existieren weitere Ausnahmen. Besondere Voraussetzungen gelten für sogenannte „besondere Kategorien von Daten“, die man früher „sensible Daten“ nannte, wie etwa Gesundheitsdaten.
Allerdings erlaubt es die DSGVO auch, dass personenbezogene Daten später auch in eine Weiterverarbeitung gehen dürfen, wenn der ursprüngliche Zweck der Erhebung erfüllt ist und die Daten für diesen Zweck nicht mehr verarbeitet werden, z.B. Archivierung. Dabei muss allerdings der weitere Verarbeitungszweck mit dem ursprünglichen in Einklang stehen. Eine Zweckänderung ist somit nicht nur vom Willen des Verarbeiters abhängig, sondern hat zahlreiche gesetzliche Voraussetzungen. Hierbei ist dies z. B. der Fall, wenn eine Erhebung für statistische Zwecke erfolgt, jedoch muss unter Umständen der Betroffene vorab informiert werden.
Welche personenbezogenen Daten dürfen nur unter besonderen Voraussetzungen verarbeitet werden?
Die DSGVO definiert besondere Kategorien von Daten, die grundsätzlich nur unter erhöhten Standards verarbeitet werden dürfen.
Dabei handelt es sich um personenbezogene Daten, die beispielsweise eine Rassenzugehörigkeit oder ethnische Zugehörigkeit ausweisen. Früher „sensible Daten“ genannt. Weiters gehören dazu Daten, die politische Meinungen oder weltanschauliche oder religiöse Einstellungen oder auch einer Gewerkschaftszugehörigkeit beinhalten. Dazu gehören weiters Gesundheitsdaten als auch Daten zur sexuellen Orientierung sowie genetische oder biometrische Daten einer natürlichen Person.
Hierbei ist eine Verarbeitung solcher Daten nur dann erlaubt, wenn ein Ausnahmetatbestand vorliegt. Dabei kann dieser vorliegen, wenn z. B. eine Einwilligung der betreffenden Person vorliegt oder wenn es sich um eine notwendige Verarbeitung handelt, um Rechte oder Ansprüche geltend zu machen oder abzuwehren, nicht jedoch aus überwiegendem legitimem Interesse des Verarbeiters, wie bei „normalen“ Daten.
Wie lassen sich die Vorgaben der DSGVO in den Unternehmen umsetzen?
Die bereits beschriebenen Rechte und Pflichten, die sich aus den Bestimmungen der DSGVO ableiten, verlangen von den Unternehmen verschiedene Anpassungsmaßnahmen. Dabei spielen besonders folgende Maßnahmen eine Rolle:
- das Erstellen eines Verzeichnisses der Verarbeitungstätigkeiten
- der Abschluss von Auftragsverarbeiterverträgen mit externen (Daten-)Dienstleistern
- die Überarbeitung von Formularen, Verträgen etc.
- eine Anpassung der eigenen Datenschutzerklärungen
- die erweiterten Informationspflichten gegenüber Betroffenen
- strengere Voraussetzungen für automatisierter Einzelfallentscheidungen
- eine Datenschutzfolgeabschätzung sowie
- die Verpflichtung zur Meldung von Datenlecks
- eventuell die Schaffung eines Datenschutzbeauftragten im Betrieb
- die laufende Aktualisierung und Anpassung der DSGVO- Unterlagen
- Mitarbeiterschulungen
Erstellen eines Verzeichnisses der Datenverarbeitungen
Durch den Art. 30 DSGVO sind die Verantwortlichen einer Datenverarbeitung verpflichtet, ein Verzeichnis der Verarbeitungstätigkeiten zu führen. Dabei müssen diese alle Verarbeitungen und Übermittlungen dokumentiert werden, die technisch organisatorischen Maßnahmen sind zu beschreiben. Löschfristen müssen dargelegt werden. Allerdings existieren unter bestimmten Voraussetzungen Befreiungen von dieser Verpflichtung bei Unternehmen mit weniger als 250 Beschäftigten.
Hierbei werden durch die neue DSGVO zusätzliche Dokumentationspflichten verlangt, die das Datenschutzgesetz in Österreich bislang in dieser Tiefe noch nicht vorgesehen hatte. Ferner müssen die Unternehmen dieses Verzeichnis immer für die Aufsichtsbehörde bereit halten.
Fragen Sie Ihren Rechtsanwalt nach der besten Vorgehensweise für die Erstellung eines Verarbeitungsverzeichnisses. Es sind gewisse Zusammenfassungen rechtlich zulässig. Auch die Konformität zur DSGVO kann ein Jurist prüfen. Für die technisch organisatorischen Maßnahmen kann die Mitarbeit eines Technikers nötig sein.
Die neuen DSGVO Informationspflichten der Verantwortlichen
Durch die DSGVO sind die Verantwortlichen von datenverarbeitenden Unternehmen auch verpflichtet, bei Erhebung von personenbezogenen Daten die Betroffenen umfassend darüber zu informieren. Dabei müssen diese Informationen einfach, klar und verständlich für jedermann formuliert sein. Jedoch unterscheidet die Regelung der DSGVO dabei zwischen Informationen, die sich durch eine Erhebung personenbezogener Daten unmittelbar beim Betroffenen ergeben und Informationen, die von Dritten bezogen wurden.
Informationspflichten für direkt beim Betroffenen erhobene Daten
Für den Fall, dass man Daten direkt von einem Betroffenen erhoben hat, muss der Verantwortliche u.a. folgende Informationen zur Verfügung stellen:
- Alle Kontaktinformationen des Verantwortlichen und ggf. eines Datenschutzbeauftragten
- Informationen zur Rechtsgrundlage der Datenverarbeitung
- Belehrung über die Zwecke der Datenverarbeitung
- Offenlegung aller Empfänger bzw. Kategorien von Empfängern der erhobenen Daten, ggf. auch zusätzliche Informationen, falls Daten an Drittländer übertragen wurden.
Ferner verpflichtet die DSGVO die Verantwortlichen auch zu einer transparenten und fairen Datenverarbeitung und deshalb auch zur Bereitstellung weiterer Informationen:
- Angaben zur Dauer der Datenspeicherung
- Information der Betroffenen bzgl. ihrer Auskunftsrechte
- Belehrung zu Widerspruchsmöglichkeiten
- Angaben zum Erstellen automatisierter Einzelfallentscheidungen oder eines Profilings (z. B. Erstellung eines Nutzerprofils)
Informationspflichten für nicht direkt beim Betroffenen erhobene Daten, wie Daten, die von Dritten bezogen werden
Für den Fall, dass Daten von Dritten bezogen werden und nicht direkt vom Betroffenen, gelten nach DSGVO abgewandelte Informationspflichten. Dabei bestehen grundsätzlich die gleichen Informationspflichten wie bei der Direkterhebung, allerdings muss der Betroffenen zusätzlich informiert werden, die Kategorien personenbezogener Daten, die verarbeitet werden. Ferner ist der Verantwortliche zusätzlich verpflichtet, den Betroffenen über die Datenquelle zu unterrichten.
Das ist zum Beispiel dann relevant, wenn Daten von Dritter Seite für einen Newsletter zugekauft werden. Die Mitteilung dieser Informationen kann bis max. innerhalb eines Monats nach Erhebung erfolgen.
In welchen Fällen gelten Ausnahmen von den Informationspflichten?
Eine Befreiung von der Informationspflicht besteht beispielsweise dann, wenn der Betroffene bereits über die relevanten Informationen verfügt. Ferner kann die Informationspflicht auch dann entfallen, wenn die Information nicht beim Betroffenen erhoben wird und die Erteilung der Informationen zu einem unverhältnismäßigen Aufwand führen würde. In diesem Fall ist dann allerdings öffentliche Bekanntmachung, z. B. auf einer Website, erforderlich.
Modifikationen der bisherigen Datenschutzerklärung
Website-Betreiber sind dazu verpflichtet, eine Datenschutzerklärung zu veröffentlichen. Dabei enthält die Datenschutzerklärung auch Informationen darüber, welche Kategorien von personenbezogenen Daten erhoben werden und für welchen Zweck. Die IP Adresse ist ein personenbezogenes Datum. Hierbei müssen jedoch durch die DSGVO neue Vorgaben berücksichtigt werden. Dabei werden die bisherigen Angaben insbesondere um folgende Angaben ergänzt:
- Veröffentlichung der Rechtsgrundlage für die Verarbeitung der Daten
- Angaben zu allen verpflichtenden Informationen nach DSGVO
- Ausarbeitung und Gestaltung der Datenschutzerklärung ein einer einfachen, klaren und verständlichen Sprache
- Einfache Zugänglichkeit der Datenschutzerklärung, z. B. über 1-Klick-Verfahren auf der Website.
Eine Überprüfung der Datenschutzerklärung durch einen Rechtsanwalt kann sich lohnen, da oft Datenverarbeitungen in Zusammenhang mit Tracking und Cookies komplex sind, schwer durchschaubar sind und daher viele Datenschutzerklärungen unvollständig sind. Für bestimmte Cookies sind vorab vor Zustimmungseinholung Informationen in der Datenschutzerklärung bereit zu halten.
Es empfiehlt sich immer, sich von einem spezialisierten Juristen beraten zu lassen. Für technische Fragen kann die Hinzuziehung eines Technikers nötig werden. Hierbei kann Ihnen der für Datenschutzrecht spezialisierte, Anwalt helfen, die Datenschutzerklärung entsprechend den Anforderungen der DSGVO rechtssicher anzupassen. Spezialisierte Anwälte für Datenschutzrecht finden Sie schnell und einfach in unserer Anwaltssuche.
Die Einschränkung von automatisierten Einzelfallentscheidungen
Die DSGVO verhindert, dass automatisierte Einzelfallentscheidungen passieren, die gegenüber den Betroffenen rechtliche Wirkungen entfalten oder diese in erheblicher Weise beeinträchtigen. Dabei gibt es Ausnahmen, zum Beispiel für Vertragserfüllung oder aufgrund von Gesetzen. Grundsätzlich hat bei Vorliegen einer solchen Ausnahme der Verantwortliche sicherzustellen, dass eine Person des Verantwortlichen auf Verlangen eingreifen muss. Weiters, dass der Betroffene seinen Standpunkt darlegen kann und eine Entscheidung anfechten können muss.
Wenn also ein „Algorithmus“ darüber entscheidet, ob jemand eine Leistung aus einem Vertragsverhältnis bekommt oder nicht, so hat der Betroffene das Recht, dass ein Mensch die Entscheidung überprüft.
Ausnahmen vom Verbot der automatisierten Einzelfallentscheidungen
Auch beim Verbot automatisierter Einzelfallentscheidungen existieren Ausnahmen in der DSGVO. Dabei gilt das Verbot in Ausnahmefällen nicht, wenn diese für den Abschluss eines Vertrages mit einem Betroffenen notwendig sind oder wenn der Betroffene ausdrücklich zugestimmt hat.
Ferner sind auch Krankenversicherer befreit von diesem Verbot, wenn es um eine Leistungsprüfung geht. Jedoch hat ein Betroffener dabei immer die Möglichkeit, eine weitere Überprüfung der automatisierten Entscheidung zu verlangen.
Andere Beispiele sind etwa vollautomatische Online-Einstellungsverfahren, vollautomatische Ablehnung eines Online-Kredites. Ferner ist hiervon auch das „Profiling“ betroffen, das man als Datenanalyse zur Erhebung oder Prognose von Persönlichkeitsmerkmalen bezeichnet (z. B. Gesundheitsprofil, persönliches Interessenprofil etc.).
Die Datenschutzfolgeabschätzung der DSGVO
Bereits das nationale Datenschutzrecht in Österreich hat Datenschutzfolgeabschätzung vorgesehen. Dabei ist hiermit eine Einschätzung der Datenverarbeitung bezüglich evtl. hoher Risiken für Freiheiten und Rechte eines Betroffenen gemeint, sowie die Anführung von Gegenmaßnahmen zur Risikominderung. Hierbei ist diese Einschätzung zumeist in mehreren Stufen durchzuführen und muss auch nachvollziehbar dokumentiert werden.
Es gibt bereits eine Reihe von standardisierten Vorgehensweisen, die von europäischen Datenschutzbehörden unterstütz werden. Jedenfalls ist das Erstellen einer Datenschutzfolgeabschätzung eine absolute Spezialmaterie und sollte keinesfalls ohne rechtliche Begleitung durchgeführt werden. Auch die Einschätzung, ob und dass im Einzelfall keine Datenschutzfolgeabschätzung nötig ist, gehört in die datenschutzrechtliche Dokumentation. Beachten Sie auch die dazu ergangenen Verordnungen der Datenschutzbehörde.
Neue Bedeutung des Datenschutzes durch die DSGVO
Mit der DSGVO wird dem Schutz personenbezogener Daten ein noch höherer Stellenwert als zuvor eingeräumt. Dabei verlangt die neue Schutzwirkung der DSGVO auch neue Anpassungen der internen Organisation und Technik der Verantwortlichen.
Deshalb sind Unternehmen dadurch verpflichtet, geeignete technische und organisatorische Maßnahmen (TOM) zu etablieren, die den Anforderungen der DSGVO entsprechen. Hierbei müssen die Maßnahmen einerseits dem Stand der Technik entsprechen und andererseits auch den Risiken für Freiheiten und persönliche Rechte der Betroffenen durch die Datenverarbeitung entsprechen. Außerdem können unzureichende Schutzmaßnahmen nicht mit wirtschaftlichen Bedingungen argumentiert werden, die Implementierungskosten sind allerdings ein Merkmal das bei der Umsetzung angesichts des Risikos beachtlich ist.
Welche Schutzmaßnahmen werden durch die DSGVO vorgegeben?
Die DSGVO enthält bereits einige Vorgaben für Schutzmaßnahmen, die jedoch keine abschließende Regelung darstellen. Hierbei geht es z. B. um:
- Sicherung personenbezogener Daten durch Verschlüsselung oder Pseudonymisierung
- Maßnahmen, die sicherstellen, dass sowohl Vertraulichkeit, Integrität, Belastbarkeit und Verfügbarkeit der relevanten Systeme gegeben ist.
- Wiederherstellungsmöglichkeiten der Verfügbarkeit von personenbezogenen Daten bei einem technischen Zwischenfall
- Einführung von Verfahren, die eine regelmäßige Überprüfung und auch Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen möglich machen
Hierbei kann es sich z. B. um effiziente IT- Sicherungsmaßnahmen handeln. Teil dieser Maßnahmen sind etwa Backups und Virenschutz, Sicherstellung der Stromversorgung, Zugangsbeschränkungen. Außerdem werden diese ergänzt durch organisatorische Maßnahmen, wie z. B. Zugriffsrechte oder Zugangskontrollen. Ferner gehören auch die internen betrieblichen Anweisungen für Mitarbeiter dazu , die eine Weitergabe von Datenregeln oder die Regeln zur Archivierung oder Löschung von Daten festlegen, sowie Mitarbeiterschulungen.
Regelungen der DSGVO zu Datenpannen / Datenlecks und entsprechenden Informations- und Meldepflichten
Auch Datenpannen mit ihren dazugehörigen Melde- und Informationspflichten werden durch die DSGVO neu geregelt. Dabei ist vorgeschrieben, dass grundsätzlich alle Datenpannen, die mit personenbezogenen passieren, der Behörde und bei hohem Risiko den Betroffenen gemeldet werden müssen, wenn dadurch ein Risiko für die Rechte und die persönlichen Freiheiten von Betroffenen besteht. Hierbei sind Unternehmen verpflichtet, solche Datenpannen unmittelbar nach Bekanntwerden, spätestens jedoch möglichst nach 72 Stunden an die entsprechende Aufsichtsbehörde zu melden.
Die Regelungen sind komplex und es empfiehlt sich mit einem Rechtsanwalt einen Prozess mit Checklisten für den Fall eines „Data Breach“ vorab zu erarbeiten.
Ferner ist ein Verantwortlicher auch dazu verpflichtet, Betroffene von der Verletzung unterrichten, wenn diese ein hohes Risiko für seine Rechte und Freiheiten darstellen kann. Dabei besteht nur eine Ausnahme von dieser Benachrichtigungspflicht jedoch beispielsweise, wenn der Verantwortliche bereits Vorkehrungen getroffen hat, die die Daten für Unbefugte unbrauchbar machen (z. B. Verschlüsselung).
Pflichten bei einer externen Auftragsverarbeitung durch Dienstleister
Die externe Auftragsverarbeitung durch Dritte wird auch durch die DSGVO weiterhin gestattet. Hierbei versteht man unter einer externen Auftragsverarbeitung durch Dienstleister – „Auftragsverarbeiter“ genannt – die Erhebung, Nutzung und Verarbeitung personenbezogener Daten für Zwecke des Verantwortlichen und nicht für eigene Zwecke. Dazu zählen alle Outsourcing Aktivitäten in Zusammenhang mit Daten. Dabei muss ein schriftlicher Vertrag als Grundlage für die unternehmerische Zusammenarbeit errichtet werden, der den Inhaltvorgaben der DSGVO entspricht.
Wesentlich ist, dass der Auftragsverarbeiter ausreichend Garantien vom Auftragsverarbeiter erhält, dass dieser DSGVO-konform tätig werden kann.
Bei Auftragsverarbeitungen kann es z. B. um Rechnungserstellung für ein Unternehmen handeln oder aber auch die Speicherung und Archivierung von Daten im Auftrag eines Unternehmens.
Ferner gibt es auch die Möglichkeit nach der DSGVO, dass verschiedene Unternehmen gemeinsam verantwortlich eine Datenverarbeitung vornehmen. Diesfalls liegt aber kein Auftragsverarbeiterverhältnis vor, sondern die Unternehmen müssen eine Vereinbarung treffen, wer für welche Bereiche der Datenverarbeitung verantwortlich ist. Diese Vereinbarungen müssen unter Umständen den Betroffenen transparent kommuniziert werden.
Ein wichtiges Unterscheidungskriterium zwischen Auftragsverarbeiter und zusätzlichem selbständigem Datenverarbeiter ist das Maß der Expertise, das ein Auftragsverarbeiter einbringt. Ein Steuerberater ist zum Beispiel etwa in Bezug auf die Bilanzerstellung für einen Kunden eventuell im Einzelfall gemeinsam Verantwortlicher mit diesem Kunden. Daneben sind die weiteren anwendbaren Vorschriften natürlich zu beachten. Hierzu empfiehlt sich anwaltliche Beratung in Anspruch zu nehmen, um die richtigen vertraglichen Ausgestaltungen vorzusehen.
Auftragsverarbeitungsverträge bei externer Auftragsbearbeitung durch einen Anwalt für Datenschutzrecht erstellen lassen
Die Regelungen der DSGVO verlangen auch vom externen Auftragsverarbeiter, dass dieser ein Verzeichnis der Verarbeitungstätigkeiten erstellt.
Für den Fall, dass man einen externen Auftragsverarbeiter beauftragen will, sollte man sich von einem erfahrenen Anwalt für Datenschutzrecht beraten lassen. Dabei kann er helfen, einen vollständigen und rechtssicheren Auftragsverarbeitungsvertrag nach den Bestimmungen der DSGVO anzufertigen. Spezialisierte und erfahrene Rechtsanwälte für Datenschutzrecht finden Sie schnell und unkompliziert in unserer Anwaltssuche.
Wann braucht man einen Datenschutzbeauftragten im Unternehmen?
Grundsätzlich schreibt die DSGVO einen Datenschutzbeauftragten für ein Unternehmen immer dann vor, wenn eine umfangreiche Datenverarbeitung vorliegt. Das ist zb jedenfalls gegeben, wenn „umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen“ erfolgt. Das ist auch der Fall wenn die Kerntätigkeit des Unternehmens die Verarbeitung von besonderen Kategorien von Daten ist. Auch die Abwägung, ob ein Datenschutzbeauftragter nötig ist, gehört in die DSGVO-Dokumentation.
Außerdem ist ein Datenschutzbeauftragter auch notwendig, wenn Daten verarbeitet werden, die eine Datenschutzfolgenabschätzung erfordern.
Welche Aufgaben hat ein Datenschutzbeauftragter im Unternehmen?
Ein Datenschutzbeauftragter muss entsprechende fachliche und berufliche Qualifikation aufweisen. Dazu gehört auch juristisches Wissen, weshalb oft Rechtsanwälte als externe Datenschutzbeauftragte bestellt werden. Auch ein Mitarbeiter des Unternehmens kann als Datenschutzbeauftragter bestellt werden. Die DSGVO verlangt außerdem, dass der Datenschutzbeauftragte in Bezug auf seine Aufgaben weisungsfrei ist und an die oberste Führungsebene eines Unternehmens berichtet. Der Datenschutzbeauftragte trägt eine große Verantwortung, er ist quasi der Aufsichtsbehörde vorgeschaltet.
Aufgabenbereiche eines Datenschutzbeauftragten:
- Unterrichtung und Beratung des Verantwortlichen hinsichtlich seiner Pflichten und des Datenschutzrechts
- Überwachung der Einhaltung des Datenschutzrechts
- Mitarbeiterschulung
- Beratung in Zusammenhang mit der Datenschutzfolgeabschätzung
- Zusammenarbeit mit der Aufsichtsbehörde
- Anlaufstelle für die Aufsichtsbehörde
