Datenschutz und Schutz der Privatsphäre

Das wohl zurzeit am häufigsten diskutierte Rechtsgebiet ist der Datenschutz und der damit verbundene Schutz der Privatsphäre. In Österreich bestimmen, abgesehen von einigen wenigen sehr spezialisierten Regelungen und den in Lektion 7 zu behandelnden Ausnahmeregelungen für staatliche Überwachungszwecke, die Europäische DSSGVO und das erstmals 1978 in Kraft getretene und in seiner heutigen Fassung auf dieser Richtlinie aufbauende Datenschutzgesetz (in der heute gültigen Fassung das DSG 2000, Datenschutzanpassungsgesetz 2018) die Entwicklung des Datenschutzes.

Aufbau der DSGVO und Grundprinzipien

Datenschutz ist in Österreich im Verfassungsrang. Bestimmende primäre rechtliche Quelle ist die DSGVO (VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)), welche in die folgenden Kapitel gegliedert ist:

I. Kapitel: Allgemeine Bestimmungen

Diese umfassen die Themen Gegenstand und Ziele (Artikel 1), Sachlicher und räumlicher Anwendungsbereich, Begriffsbestimmungen (Artikel 2 bis 4)

II. Kapitel: Verwendung von Daten

In Kapitel II der DSGVO werden die Grundprinzipien einer rechtlich korrekten Verarbeitung personenbezogener Daten formuliert. Diese umfasst:

• Grundsätze für die Verarbeitung personenbezogener Daten (Artikel 5)

• Rechtmäßigkeit der Verarbeitung (Artikel 6)

• Bedingungen für die Einwilligung (Artikel 7)

• Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft (Artikel 8)

• Verarbeitung besonderer Kategorien personenbezogener Daten (Artikel 9)

• Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (Artikel 10)

• Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist (Artikel 11)

III. Kapitel : Rechte der betroffenen Person

Die Rechte der von einer Datenverarbeitung betroffenen Personen stellen das Kernelement des Schutzes der Privatsphäre aus Sicht der Betroffenen dar, weshalb dieses Kapitel auch besonders umfangreich und in mehrere Abschnitte gegliedert ist.

• Transparenz und Modalitäten

i. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Artikel 12)

• Informationspflicht und Recht auf Auskunft zu personenbezogenen Daten

i. Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person (Artikel 13)

ii. Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden (Artikel 14)

iii. Auskunftsrecht der betroffenen Person (Artikel 15)

• Berichtigung und Löschung

i. Recht auf Berichtigung (Artikel 16)

ii. Recht auf Löschung („Recht auf Vergessenwerden“) (Artikel 17)

iii. Recht auf Einschränkung der Verarbeitung (Artikel 18)

iv. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Artikel 19)

v. Recht auf Datenübertragbarkeit (Artikel 20)

• Widerspruchsrecht und automatisierte Entscheidungsfindung im Einzelfall

i. Widerspruchsrecht (Artikel 21)

ii. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling (Artikel 22)

• Beschränkungen

i. Beschränkungen (Artikel 23)

IV. Kapitel: Verantwortliche*r und Auftragsverarbeiter*in

Kapitel IV enthält die im Rahmen der Verarbeitung personenbezogener Daten zu erfüllenden Pflichten von Auftraggeber*in (Verantwortliche*r) und Datenverarbeiter*in (Auftragsverarbeiter*in). Diese sind wie folgt gegliedert:

• Allgemeine Pflichten

i. Verantwortung des für die Verarbeitung Verantwortlichen (Artikel 24)

ii. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen (Artikel 25)

iii. Gemeinsam für die Verarbeitung Verantwortliche (Artikel 26)

iv. Vertreter*innen von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter*innen (Artikel 27)

v. Auftragsverarbeiter*innen (Artikel 28)

vi. Verarbeitung unter der Aufsicht des*der Verantwortlichen oder des*der Auftragsverarbeiter*in (Artikel 29)

vii. Verzeichnis von Verarbeitungstätigkeiten (Artikel 30)

viii. Zusammenarbeit mit der Aufsichtsbehörde (Artikel 31)

• Sicherheit personenbezogener Daten

i. Sicherheit der Verarbeitung (Artikel 32)

ii. Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Artikel 33)

iii. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Artikel 34)

• Datenschutz-Folgenabschätzung und vorherige Konsultation

i. Datenschutz-Folgenabschätzung (Artikel 35)

ii. Vorherige Konsultation (Artikel 36)

• Datenschutzbeauftragte*r

i. Benennung eines*einer Datenschutzbeauftragten (Artikel 37)

ii. Stellung des*der Datenschutzbeauftragten (Artikel 38)

iii. Aufgaben des*der Datenschutzbeauftragten (Artikel 39)

• Verhaltensregeln und Zertifizierung

i. Verhaltensregeln (Artikel 40)

ii. Überwachung der genehmigten Verhaltensregeln (Artikel 41)

iii. Zertifizierung (Artikel 42)

iv. Zertifizierungsstellen (Artikel 43)

V. Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen

i. Allgemeine Grundsätze der Datenübermittlung (Artikel 44)

ii. Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses (Artikel 45)

iii. Datenübermittlung vorbehaltlich geeigneter Garantien (Artikel 46)

iv. Verbindliche interne Datenschutzvorschriften (Artikel 47)

v. Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung (Artikel 48)

vi. Ausnahmen für bestimmte Fälle (Artikel 49)

vii. Internationale Zusammenarbeit zum Schutz personenbezogener Daten (Artikel 50)

VI. Kapitel: Unabhängige Aufsichtsbehörden

• Unabhängigkeit

i. Aufsichtsbehörde (Artikel 51)

ii. Unabhängigkeit (Artikel 52)

iii. Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde (Artikel 53)

iv. Errichtung der Aufsichtsbehörde (Artikel 54)

• Zuständigkeit, Aufgaben und Befugnisse

i. Zuständigkeit (Artikel 55)

ii. Zuständigkeit der federführenden Aufsichtsbehörde (Artikel 56)

iii. Aufgaben (Artikel 57)

iv. Befugnisse (Artikel 58)

v. Tätigkeitsbericht (Artikel 59)

VII. Zusammenarbeit und Kohärenz

• Zusammenarbeit

i. Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden (Artikel 60)

ii. Gegenseitige Amtshilfe (Artikel 61)

iii. Gemeinsame Maßnahmen der Aufsichtsbehörden (Artikel 62)

• Kohärenz

i. Kohärenzverfahren (Artikel 63)

ii. Stellungnahme Ausschusses (Artikel 64)

iii. Streitbeilegung durch den Ausschuss (Artikel 65)

iv. Dringlichkeitsverfahren (Artikel 66)

v. Informationsaustausch (Artikel 67)

• Europäischer Datenschutzausschuss

i. Europäischer Datenschutzausschuss (Artikel 68)

ii. Unabhängigkeit (Artikel 69)

iii. Aufgaben des Ausschusses (Artikel 70)

iv. Berichterstattung (Artikel 71)

v. Verfahrensweise (Artikel 72)

vi. Vorsitz (Artikel 73)

vii. Aufgaben des Vorsitzes (Artikel 74)

viii. Sekretariat (Artikel 75)

ix. Vertraulichkeit (Artikel 76)

VIII. Rechtsbehelfe, Haftung und Sanktionen

• Recht auf Beschwerde bei einer Aufsichtsbehörde (Artikel 77)

• Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde (Artikel 78)

• Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter*in (Artikel 79)

• Vertretung von betroffenen Personen (Artikel 80)

• Aussetzung des Verfahrens (Artikel 81)

• Haftung und Recht auf Schadenersatz (Artikel 82)

• Allgemeine Bedingungen für die Verhängung von Geldbußen (Artikel 83)

• Sanktionen (Artikel 84)

IX. Vorschriften für besondere Verarbeitungssituationen

• Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit (Artikel 85)

• Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten (Artikel 86)

• Verarbeitung der nationalen Kennziffer (Artikel 87)

• Datenverarbeitung im Beschäftigungskontext (Artikel 88)

• Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken,     zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken (Artikel 89)

• Geheimhaltungspflichten (Artikel 90)

• Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften

X. Delegierte Rechtsakte und Durchführungsrechtsakte

• Ausübung der Befugnisübertragung

• Ausschussverfahren

XI. Schlussbestimmungen

• Aufhebung der Richtlinie 95/46/EG

• Verhältnis zur Richtlinie 2002/58/EG

• Verhältnis zu bereits geschlossenen Übereinkünften

• Berichte der Kommission

• Überprüfung anderer Rechtsakte der Union zum Datenschutz

• Inkrafttreten und Anwendung - gilt ab dem 25. Mai 2018.

Grundlegende Definitionen

Artikel 4 Begriffsbestimmungen enthält insb. folgende grundlegende Definitionen:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

7. „Verantwortliche*r“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der*die Verantwortliche beziehungsweise können die bestimmten Kriterien seiner*ihrer Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

8.„Auftragsverarbeiter*in“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des*der Verantwortlichen verarbeitet;

12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

Wesentliche Änderungen für Unternehmen

Die wesentlichsten für Unternehmen in der EU geltende Änderungen wurden von der WKO wie folgt zusammengefasst (https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz- Grundverordnung.html):

• Es gibt keine Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) mehr.

• Stattdessen stärkere Verantwortung für Verantwortliche (derzeit '„Auftraggeber*innen“) und Auftragsverarbeiter*innen (derzeit „Dienstleister*innen“) und weitreichende Neuregelung der Pflichten bei der Datenverarbeitung:'

• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („privacy by design/privacy by default“): Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt und die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

• Verantwortliche und Auftragsverarbeiter*innen müssen ein „Verzeichnis von Verarbeitungstätigkeiten“ führen: Der Inhalt ist ähnlich den derzeitigen DVR- Meldungen und hat insbesondere die eigenen Kontaktdaten, die Zwecke der Verarbeitung, eine Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen, die Empfängerkategorien, gegebenenfalls Übermittlungen von Daten in Drittländer, wenn möglich die vorgesehenen Löschungsfristen und eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheits-Maßnahmen zu enthalten.

• Die Pflicht zur Führung dieses Verzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeiter*innen - nur - dann nicht, wenn die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt und keine Verarbeitung besonderer Datenkategorien bzw. keine Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten umfasst.

• Verletzungen des Schutzes personenbezogener Daten sind sowohl den nationalen Aufsichtsbehörden (ohne unangemessene Verzögerung – möglichst binnen höchstens 72 Stunden nach dem Entdecken; außer die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten) als auch der betroffenen Person (ohne unangemessene Verzögerung, wenn die Wahrscheinlichkeit besteht, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt) zu melden.

• Pflicht zur Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen, die (insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des

Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

• Vorherige Konsultation der Aufsichtsbehörde, wenn aus einer Datenschutz- Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

• (Verpflichtende*r) Datenschutzbeauftragte*r: Eine Verpflichtung zur Bestellung eines*einer

• Datenschutzbeauftragten besteht für Unternehmen (Verantwortliche und Auftragsverarbeiter*innen), wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.

• (Neue) Informationspflichten und Betroffenenrechte

• Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erledigen (diese Frist kann um höchstens weitere 2 Monate verlängert werden)

• Auskunftsrecht (ua. auch über geplante Speicherdauer)

• Recht auf Berichtigung

• Recht auf Löschung und auf „Vergessenwerden“

• Recht auf Einschränkung der Verarbeitung

• Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger*innen

• Recht auf Datenübertragbarkeit

• Widerspruchsrecht

• Regelungen betreffend automatisierte Generierung von Einzelentscheidungen einschließlich profiling

• Befugnisse und Aufgaben der Aufsichtsbehörden werden erweitert

• Insbesondere auch Verhängung von „Geldbußen“

• Hohe Strafen - Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.

Technisch-organisatorische Maßnahmen

Gemäß Art. 25 und 32 ff sind entsprechende technische und organisatorische Maßnahmen zu setzen, um einen angemessenen Datenschutz zu gewährleisten. Hier ist insb, auf Art. 25 („privacy by design/privacy by default“) hinzuweisen. Weiters resultieren die Verpflichtung zur Führung eines Verarbeitungsregisters, zu Vorkehrungen für eine eventuell erforderliche „data breach Notifikation“ und zur Durchführung einer Datenschutz-Folgenabschätzung, sowie das Recht auf Löschung und die in Art. 32 angeführten Sicherheitsmaßnahmen in dadurch nötig werdenden technischen und organisatorischen Vorkehrungen und Maßnahmen. Zu empfehlen ist daher für Neuentwicklungen das Aufsetzen eines entsprechenden Compliance- Prozesses, der bereits mit der „feasibility study“ eines Projektes beginnen muss. Als Orientierungshilfe können dazu folgende Unterlagen herangezogen werden:

• EU-Datenschutz-Grundverordnung (DSGVO): Ablaufplan Datenschutz-Folgenabschätzung

(https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz- Grundverordnung:-Ablaufplan-Datenschutz-Fo.html)

• Guide to undertaking privacy impact assessments (https://www.oaic.gov.au/agencies-and-organisations/guides/guide-to- undertaking-privacy-impact-assessments)

Das Hauptproblem stellen jedoch jene Legacy Systems dar, die personenbezogene Daten enthalten. Insb. die Umsetzung von Auskunftsrecht und Löschungsrecht erfordern hier oft kostspielige technische Maßnahmen.

Übungsbeispiele 

Übungsbeispiel 6.1:

Sensibilität von Daten

In einem Unternehmen sollen Mitarbeiterdaten gespeichert werden. Wie kann zwischen besonders schutzwürdigen (sensitiven) und normal schutzwürdigen Mitarbeiterdaten unterschieden werden?

Übungsbeispiel 6.2:

Datenschutz-Folgenabschätzung

Aus welchen Schritten besteht eine Datenschutz- Folgeabschätzung?

Übungsbeispiel 6.3:

Sicherheitsmaßnahmen

Welche Sicherheitsmaßnahmen empfiehlt Art. 32 der DSGVO?

Übungsbeispiel 6.4:

Strafbestimmungen

Welche Strafen können ein Unternehmen bei Verletzung der DSGVO treffen?

Zusammenfassung der Inhalte 

Lektion 6 ist dem Datenschutz aus Sicht der in Europa gültigen Gesetzgebung gewidmet. Es wird ein Überblick über die zentralen Vorschriften zum Schutz personenbezogener Daten in IT-Systemen und deren Verwendung gegeben.