Die Datenschutz-Grundverordnung: Wichtige Neuerungen im Datenschutzrecht

Grundlegendes zur DSGVO

Mit 27.4.2016 erging die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung von personenbezogenen Daten, zum freien Datenverkehr (und zur Aufhebung der Richtlinie 95/46/EG), auch besser bekannt als Datenschutz-Grundverordnung oder DSGVO.

Bereits der vollständige Name vermittelt einen durchaus komplexen gesetzgeberischen Akt der Union, und selbst die Abkürzungen werden ihrem Wortsinn nur unzureichend gerecht: die Verordnung umfasst nämlich 88 Seiten, 99 Artikel sowie 173 Erwägungsgründe.

Wenngleich die DSGVO bereits mit 27.4.2016 erlassen wurde, tritt sie nach Art 99 Abs. 2 DSGVO erst mit 25.5.2018 in Kraft.
Ein Datum allerdings, das man sich schon jetzt fett und rot im Kalender markieren sollte. Denn zwar ist es noch mehr als ein Jahr hin bis zu diesem Tag, aber je früher man mit den Vorbereitungen im Unternehmen beginnt, desto sinnvoller ist es.

Bewusst wurde von der Union das Mittel der Verordnung gewählt, da diese einen Rechtsakt darstellt, der unmittelbar anwendbares Recht in den Mitgliedsstaaten erzeugt.
Demgegenüber stünde eine „Richtlinie“, die gewissermaßen nur die ‚Basics‘ vorgibt und die die konkrete gesetzliche Ausgestaltung den einzelnen Mitgliedsstaaten überlässt. Die DSGVO hingegen ist ab 25.5.2018 direkt – wie ein innerstaatliches Gesetz – anzuwenden und genießt sogar einen ‚Anwendungsvorrang‘ gegenüber nationalen Gesetzen. Dies bedeutet: Wenn beispielsweise das nationale Datenschutzgesetz (DSG 2000) der DSGVO widersprechen sollte, wäre die DSGVO und nicht das DSG in diesem Bereich ausschlaggebend. Hierdurch ergibt sich eine Rechtsvereinheitlichung innerhalb der Union.

Die wichtigsten Neuerungen

Mit dem Wirksamwerden der DSGVO wird das (österreichische) DSG nicht aufgehoben, sondern es tritt – zumindest in einigen Bereichen – hinter die DSGVO zurück. Die Unternehmen haben  in Zukunft also beide Regelwerke zu beachten. Der DSGVO kommt dabei insofern besondere Bedeutung zu, als sie die Verarbeitung personenbezogener Daten betrifft. Eine derartige Verarbeitung erfolgt bereits heute, wenn auf einer Website Cookies gesetzt wurden oder etwa ein Newsletter- beziehungsweise Online-Shop-System besteht.

DAVITS hat daher die wichtigsten zu beachtenden Neuerungen durch die DSGVO zusammengefasst:

1. Verbot mit Erlaubnisvorbehalt

Dieser Grundsatz existiert bereits im geltenden Datenschutzrecht. Auch die DSGVO folgt diesem Prinzip. Daher ist an sich jedwede Verarbeitung von personenbezogenen Daten per se unzulässig, wenn keine Ausnahme von diesem Verbot besteht. Ein wesentlicher Grund für eine rechtlich einwandfreie Verarbeitbarkeit ist die Einwilligung des/der Betroffenen. Unternehmen können dies durch eine ordnungsgemäße Datenschutzerklärung erreichen, der ausdrücklich zugestimmt werden muss (vgl. ‚Zustimmung zu Cookies‘).

2. Recht auf Vergessenwerden

Bereits jetzt kommt dem/der von der Datenverarbeitung Betroffenen das Recht zu, zu erfahren, welche Daten gesammelt/verarbeitet werden, und er/sie kann diese auch richtigstellen bzw. löschen lassen. Hinsichtlich der Löschung geht die DSGVO einen Schritt weiter: In Zukunft kann der/die Betroffene nicht nur vom Datenverarbeiter selbst das Löschen der Daten begehren, sondern dass dieser auch all jene Dritte über diese Pflicht unterrichtet, welche ebenfalls über die zu löschenden Daten verfügen. Eingeschränkt wird dies allerdings durch die wirtschaftliche und technische Machbarkeit.

3. Datenportabilität

Diese Neuerungen betreffen die Übertragung von Datensätzen, die von einer/m Betroffenen zur Verfügung stehen. Der/Die Betroffene hat damit Anspruch darauf, dass ihm/ihr eine Kopie seiner/ihrer personenbezogenen Daten in einer strukturierten und maschinenlesbaren Form zur Verfügung gestellt wird. Neben dem Erhalt der Daten seitens der/des Betroffen kann diese/r auch verlangen, dass die Datensätze gleich an einen neuen Datenverarbeiter übertragen werden. Dies ist etwa sinnvoll, wenn ein Anbieterwechsel seitens der/des Betroffenen geplant ist.

4. Privat als Grundeinstellung

Insbesondere soziale Netzwerke sind nach wie vor von ihren Einstellungen her so eingerichtet, dass ein ‚Mehr an Privatsphäre‘ aktiv eingestellt werden muss und dass die Standard-Einstellungen klar in Richtung ‚öffentlich‘ gehen. Dem Prinzip der Minimierung der Datenverarbeitung folgend sieht die DSGVO vor, dass die bestehenden Voreinstellungen möglichst wenige Daten erfassen beziehungsweise lediglich die erforderlichen Datensätze verarbeitet werden.

5. Meldepflicht bei der Verletzung des Schutzes personenbezogener Daten

Im Falle einer derartigen Verletzung muss der für die Datenverarbeitung Verantwortliche ohne Verzögerung, jedoch zumindest binnen 72 Stunden, diese Verletzung an die zuständige Aufsichtsbehörde melden. Mitumfasst von dieser Meldung ist auch die Verpflichtung zur Erteilung von Informationen betreffend die Verletzung. Auch Betroffene sind zu informieren, wenn die Gefahr besteht, dass persönliche Rechte und Freiheiten beeinträchtigt werden.

6. Datenschutzbeauftragter

Laut der DSGVO besteht in den folgenden drei Fällen die Verpflichtung, einen Datenschutzbeauftragten vorzusehen:

  • Die Datenverarbeitung erfolgt durch Behörden oder öffentliche Stellen
  • Die Kerntätigkeit besteht in Verarbeitungsvorgängen, die eine regelmäßige und systematische Beobachtung erforderlich machen
  • Die Kerntätigkeit besteht in umfangreichen Verarbeitungsvorgängen von sensiblen Daten oder Daten über Verurteilungen/Straftaten.

Seitens der Mitgliedsstaaten besteht die Möglichkeit, weitere verpflichtende Datenschutzbeauftragte vorzusehen.

7. Sanktionen

Bereits nach dem DSG sind die Sanktionen für Datenschutzverletzungen hoch und werden durch die DSGVO noch empfindlich verschärft. So drohen hier (verwaltungsrechtliche) Bußgelder von bis zu € 20.000.000 oder bis zu 4% des (globalen) Jahresumsatzes. Hinzu treten im Sanktionsfall außerdem noch allfällige strafrechtliche Konsequenzen oder mögliche Schadenersatzforderungen von Betroffenen.

Autor:
Mag. Michael Lanzinger
Rechtsanwalt für IT-Recht in Wels
Alois-Auer-Straße 9, 4600 Wels
Tel.: 07242/224044
office@kanzlei-lanzinger.at
www.rechtsanwalt-lanzinger.at