th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

EU-Datenschutz-Grundverordnung (DSGVO): Pflichten des Verantwortlichen

Wofür ist der Verantwortliche haftbar?

 

Hinweis:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu „Zeitplan und Kurzüberblick“)

Begriff – Was ist neu?

Mit der DSGVO wird der Begriff des datenschutzrechtlichen Auftraggebers auf den Verantwortlichen geändert. Als Verantwortliche gelten natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden

Pflichten

Wie der Name bereits suggeriert, ist der Verantwortliche für den gesamten Datenverarbeitungsvorgang verantwortlich und muss auch den Nachweis erbringen können, dass er sämtliche Pflichten erfüllt. Er fungiert als erster Ansprechpartner für betroffene Personen und Behörden. Seine Pflichten sind:  

  • Der Verantwortliche erfüllt die Informationspflichten gegenüber den betroffenen Personen und handhabt die Anträge und Anfragen bzgl der Betroffenenrechte
  • Er hat unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen (Näheres hierzu „Datensicherheit und privacy by design/privacy by default“) umzusetzen, um eine rechtmäßige Datenverarbeitung sicherzustellen. Hierfür muss er auch den Nachweis erbringen können. 
  • Jeder Verantwortliche und seine Vertreter müssen zudem ein Verzeichnis aller Datenverarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. 
  • Er ist verpflichtet mit der Aufsichtsbehörde auf Anfrage zusammen zu arbeiten
  • Im Falle einer Datenschutzverletzung muss der Verantwortliche unverzüglich (spätestens in 72 Stunden) eine Meldung an die Aufsichtsbehörde durchführen (Näheres hierzu „Meldung von Datenschutzverletzungen“), es sei denn, es läge ein Ausnahmegrund vor. Ebenso hat er uU die betroffenen Personen direkt zu informieren.

  • Der Verantwortliche hat Risikoanalysen der Datenanwendungen durchzuführen. Führen diese zu einem wahrscheinlich hohen Risiko für betroffene Personen, muss er zusätzlich eine sogenannte „Datenschutz-Folgenabschätzung“ vornehmen (bzw ggf die Aufsichtsbehörde zu konsultieren).

  • Es ist ein Datenschutzbeauftragter verpflichtend zu bestellen, wenn die Kerntätigkeit des Unternehmers eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Hinweis:
Der Verantwortliche muss sicherstellen und den Nachweis erbringen können, dass die Verarbeitung entsprechend der DSGVO erfolgt.

Gemeinsam für die Verarbeitung Verantwortliche

Als gemeinsam für die Verarbeitung Verantwortliche sind zwei oder mehr Verantwortliche zu bezeichnen, die gemeinsam die Zwecke und die Mittel der Verarbeitung festlegen (ähnlich den Informationsverbundsystemen nach dem DSG 2000). In diesem Fall ist in einer Vereinbarung festzuhalten, wer von ihnen welche gesetzliche Verpflichtung übernimmt (z.B. wer handhabt die Betroffenenrechte, wer kommt den Informationspflichten nach). In der Vereinbarung kann auch eine Anlaufstelle für die betroffenen Personen angegeben werden. 

Unabhängig vom Inhalt der Vereinbarung können Betroffene ihre Rechte aber gegenüber jedem Einzelnen geltend machen. Die Vereinbarung ist aber für die interne Aufgabenverteilung und etwaige Regressansprüche gegeneinander wichtig.

Vertreter von nicht in der Union niedergelassenen Verantwortlichen 

Für Verantwortliche, deren Sitz sich außerhalb der Europäischen Union befindet, die sich aber dennoch im Geltungsbereich der DSGVO befinden, benennt der Verantwortliche schriftlich einen Vertreter. Dieser Vertreter muss in einem der Mitgliedstaaten niedergelassen sein, in denen die betroffenen Personen, deren personenbezogene Daten im Zusammenhang mit den ihnen angebotenen Waren oder Dienstleistungen verarbeitet werden oder deren Verhalten beobachtet wird, sich befinden. Der Vertreter fungiert zusätzlich oder an Stelle des Verantwortlichen als Anlaufstelle insbesondere für Aufsichtsbehörden und Betroffene. 

Ausnahmen von der Pflicht zur Benennung eines Vertreters bestehen nur bei: 

  • einer Verarbeitung, die gelegentlich erfolgt, keine umfangreiche Verarbeitung besonderer Datenkategorien („sensible Daten) oder  umfangreiche Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten einschließt und unter Berücksichtigung der Art, der Umstände, des Umfangs und der Zwecke der Verarbeitung voraussichtlich zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen führt, oder
  • Behörden oder öffentlichen Stellen. 

Der Verantwortliche haftet weiterhin selbst. 

Haftung

Die betroffenen Personen haben neben verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfen auch das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche im Falle einer Rechtsverletzung durch den Verantwortlichen. 

Die betroffenen Personen können auf materiellen oder immateriellen Schadenersatz klagen. Jeder an einer Verarbeitung Beteiligte haftet für den Schaden, der durch eine unrechtmäßige Verarbeitung verursacht wurde. Die Haftung entfällt, wenn die fehlende Verantwortung für den Umstand, durch den der Schaden eingetreten ist, nachgewiesen werden kann.

Ist mehr als ein Verantwortlicher oder sowohl ein Verantwortlicher als auch ein Auftragsverarbeiter an derselben Verarbeitung beteiligt und sind sie für einen Schaden verantwortlich, haftet jeder Verantwortliche oder jeder Auftragsverarbeiter für den gesamten Schaden. Es ist jedoch möglich, von den übrigen an derselben Verarbeitung Beteiligten den Teil des Schadenersatzes zurückzufordern, der ihrem Anteil an der Verantwortung für den Schaden entspricht, also Regress zu nehmen.

Achtung:
Die Pflichten des Verantwortlichen entfallen nicht durch Bestellung eines Auftragsverarbeiters.
Relevante Artikel der DSGVO: 24 – 27, 30, 31

Relevante Erwägungsgründe: 13, 22-24, 80, 146

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.