th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail LinkedIn Google-plus Facebook Whatsapp Flickr Youtube Instagram Pinterest Skype Vimeo Snapchat arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO)

Die neuen EU-Datenschutzbestimmungen

Überblick:

  • Nach über drei Jahren Verhandlungen Einigung von Kommission, Parlament und Rat
  • Die Datenschutz-Grundverordnung soll Anfang 2018 in Kraft treten
  • Grundsätzliche Harmonisierung innerhalb der EU geplant, tlw. jedoch noch länderspezifische Abweichungen möglich (Details folgen)
  • Unternehmen mit Sitz außerhalb Europas müssen ebenfalls die DSGVO befolgen, wenn sie Dienstleistungen in der EU anbieten
  • Erhöhter Strafrahmen: Strafen bis zu 20 Millionen Euro bzw. 4 % des Konzernumsatzes sind möglich
  • Aufhebung der Meldepflicht, aber vermehrte Berichts- und Auskunftspflichten für Unternehmer
  • „Recht zu Vergessen“ verankert
  • Verpflichtung zur Durchführung einer Datenschutz-Folgeabschätzung (tlw. jedoch Ausnahmen für KMU)
  • Recht auf Datenübertragbarkeit: Personenbezogene Daten können einfacher von einem Anbieter auf einen anderen übertragen werden
  • Datenschutzbeauftragter: nur für wenige Ausnahmen verpflichtend

Die DSGVO betrifft jeden Unternehmer, der nur irgendeiner Art und Weise personenbezogene Daten erfasst oder verarbeitet

Grundgedanke der Datenschutz-Grundverordnung war, dass das Recht auf Schutz personenbezogener Daten, das auch in der Europäischen Grundrechte-Charta verankert ist, ein unionsweit einheitliches Datenschutzniveau erfordert. Die geltende Datenschutzrichtlinie, die durch die nationalen Umsetzungsgesetze in den 28 Mitgliedstaaten teilweise unterschiedliche nationale Regelungen und Anforderungen mit sich brachte, soll durch eine in allen Mitgliedstaaten unmittelbar anwendbare Verordnung ersetzt werden.

Der vorliegende Text stellt eine politische Einigung im informellen Trilog dar, d.h. er ist jedenfalls eine Kompromisslösung der unterschiedlichen Interessengruppen. 

Betroffenheit

Lediglich anonyme Daten, Daten, deren personenbezogene Herkunft nicht mehr identifizierbar ist, sollen nicht mehr darunter fallen (EG 26 bzw Art 4 (5), aber auch bereits § 4 Z 1 DSG 2000).

Beweislast

Die Beweislast liegt im Grundsätzlichen beim für die Verarbeitung Verantwortlichen.

Zulässigkeit der Verarbeitung

Eine Datenverarbeitung ist zulässig, sofern der Betroffene zugestimmt hat oder eine entsprechende Basis vorhanden ist, welche die Verordnung selbst, Unionsrecht oder das Recht der MS vorgeben. Hier gibt es möglicherweise noch Spielraum für die MS!

Räumlicher Anwendungsbereich

Unternehmen mit Sitz außerhalb Europas müssen ebenfalls die DSGVO befolgen, wenn sie personenbezogene Daten von Betroffenen der EU verarbeiten. Wenn sie Dienstleistungen oder Waren in der EU anbieten oder sich gar nur auf die EU ausrichten, fallen sie darunter. 

Einwilligung

Die datenschutzrechtliche Zustimmung kann weiterhin „unambiguous“ erteilt werden, unmissverständlich bzw eindeutig.

Die DSGVO verlangt einen „klaren Zustimmungsakt“. In EG 32 wird beispielhaft auf eine schriftliche, elektronische oder mündliche Erklärung hingewiesen. Fraglich ist, ob eine konkludente Zustimmung weiterhin möglich bleibt, aus Art 4 (11) DSGVO geht jedoch hervor, dass auch ein „clear affirmative action“ Zustimmung bedeuten kann.

Insbesondere im Internet beim Besuch einer Website werden Betroffene – wie bereits von der Artikel 29-Gruppe angestoßen - „aktiv zustimmen müssen“, um von einer gültigen Zustimmung zur Cookie-Setzung ausgehen zu können (z.B.: Infoboxen, Pop-Ups).

Eine ausdrückliche, explizite Zustimmung wird hingegen bei der Verarbeitung sensibler Daten verlangt. 

Direktmarketing

Für das Direktmarketing spricht die DSGVO selbst in den Erwägungsgründen von einem legitimen, überwiegenden Interesse des für die Verarbeitung Verantwortlichen. Der Betroffene muss jederzeit die Möglichkeit haben dem zu widersprechen. Auf diese Möglichkeit ist der Betroffene in einer deutlichen Art und Weise und getrennt von den inhaltlichen Informationen aufzuklären (ähnlich wie § 107 TKG).

Auskunftsbegehren

Die Frist zur Beantwortung eines Auskunftsbegehrens beträgt 1 Monat (vorher: 8 Wochen) und kann in Einzelfällen um weitere 2 Monate verlängert werden.

Richtigstellungs- und Löschungsanspruch

Recht auf „Vergessenwerden“: Hier wurde stark interveniert und auf die technisch fehlende Machbarkeit einer „totalen Löschung“ verwiesen. 

Recht auf Vergessen werden im Onlinekontext: Der Löschungsanspruch im Online-Umfeld soll auch die Verpflichtung umfassen, alle anderen „Controller“, welche die Daten verarbeiten oder Links verwenden oder sonstige Kopien der Daten angefertigt haben, zu informieren, dass auch diese gelöscht werden müssen.

DVR Meldeverpflichtung -> nunmehr: Datenschutz-Folgenabschätzung

Nach der DSGVO sollen die generellen Meldeverpflichtungen an das DVR entfallen, da diese zu kostspielig und bürokratisch seien (!). Stattdessen soll eine Risikoabschätzung des AG erfolgen und „geeignete Maßnahmen“ getroffen werden. 

Sollte ein hohes Risiko eingeschätzt werden, so ist eine Folgenabschätzung durchzuführen. 

Im konkreten ist die Folgenabschätzung durchzuführen bei: 

  • systematischen und extensiven automationsunterstützte Auswertungen von personenbezogenen Aspekten, z.B.: Profiling
  • bei einer großen Zahl an Datenverarbeitungen von sensiblen Daten iSd Art 9 Abs 1 DSGVO
  • systematischen Überwachungen von öffentlich zugänglichen Orten  

Datenschutzbeauftragter

Immerhin ein Erfolg – der Datenschutzbeauftragte ist grundsätzlich nur für öffentliche Stellen verpflichtend und für Unternehmen, deren Kerntätigkeit aus Datenverarbeitung besteht, welche regelmäßige und systematische Kontrolle von Datenschutzobjekten beinhaltet oder sensible Datensätze in großer Zahl erfassen. Erfasst werden wohl Unternehmen sein, welche Profiling durchführen, Unternehmen, welche nur in einer untergeordneten Weise diese Kerntätigkeiten durchführen, sind nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Grenzüberschreitende Datenverarbeitung

Sollten Daten außerhalb der EU übertragen werden, so muss das Schutzniveau dieser Verordnung jedenfalls eingehalten werden.

Informationsverpflichtung

Ähnlich zum § 24 DSG 2000 aber doch weitergehender ist die Informationsverpflichtung des AG nach Art 11ff DSGVO aufgebaut. Dem Betroffenen sind vor jeder Datenanwendung umfassende Informationen zur Verfügung zu stellen (Näheres siehe Informationsblätter unten).

Aufzeichnungspflichten – erhebliche bürokratische Verpflichtungen

Wie bereits oben unter „Dienstleister“ ausgeführt, treffen diese bürokratischen Aufzeichnungspflichten nunmehr auch die Dienstleister, welche für den AG Datenverarbeitungen durchführen.

Eine Ausnahme der Aufzeichnungsverpflichtung wurde für KMU (= Unternehmen mit weniger als 250 Mitarbeitern) verankert, außer die Datenverarbeitungsvorgänge sind mit einem hohen Risiko verbunden oder erfolgen nicht „occasional“ (= gelegentlich, vereinzelt) oder erfassen sensible Daten oder strafrechtlich relevante Daten iSd Art 9 DSGVO.

Wie geht’s weiter?

Die Bestimmungen der DSGVO gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen.