Datenschutz Neu

Ab dem 25.05.2018 gilt die Datenschutz-Grundverordnung (DSGVO) als neues Datenschutzrecht für die gesamte Europäische Union, sowie zusätzlich in Österreich das Datenschutz-Anpassungsgesetz 2018. Die Datenschutz-Grundverordnung ist als EU-Verordnung in Österreich unmittelbar anwendbar und verdrängt entgegenstehendes innerstaatliches Recht.

Dies führt für Unternehmen und auch für Gemeinden zu wichtigen Änderungen. Insbesondere den Rechten der betroffenen Personen muss besonderes Augenmerk zukommen. Auch im Bereich der Datensicherheit gibt es zukünftig strengere Vorgaben.

Diese Zusammenfassung des neuen Datenschutzes beschränkt sich darauf, jene Rechtsfolgen hervorzuheben, die auch für Gemeinden besondere Bedeutung haben.

  1. Allgemeines:

Das Recht auf Datenschutz ist ein Grundrecht. Es verpflichtet nicht nur den Staat (und die Gemeinden), sondern muss auch von Privaten untereinander eingehalten werden.

Im Datenschutz gilt das Prinzip des „Verbotes mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich verboten ist und nur dann vorgenommen werden darf, wenn das Gesetz dies ausnahmsweise erlaubt.

  1. Begriffsbestimmungen:

Die DS-GVO verwendet verschiedene rechtstechnische Begriffe, die teilweise vom normalen Sprachgebrauch abweichen. Die wichtigsten sind:

  • Personenbezogene Daten:

Als personenbezogene Daten bezeichnet man alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Nicht betroffen sind demzufolge Daten, die sich auf juristische Personen [Vereine, Körperschaften öffentlichen Rechtes (dazu gehören auch Feuerwehren) oder auf Gesellschaften des Privatrechtes (GmbH, AG, etc.)] beziehen.

(Beispiele: Name, Alter, Telefonnummer, E-Mail-Adresse, Sozialversicherungsnummer, Kontonummer, usw.).

  • Pseudonymisierte Daten:

Das sind solche personenbezogenen Daten, die zwar grundsätzlich noch einer bestimmten Person zugeordnet werden können, allerdings ist diese Zuordnung nur mit zusätzlichen Informationen möglich und müssen technische und administrative Sicherungsmaßnahmen getroffen sein, damit diese Zuordnung nur unter speziellen Bedingungen möglich ist (beispielsweise getrennte Verwahrung des Zuordnungsschlüssels, wobei der Verantwortliche keinen Zugriff darauf hat).

  • Anonyme personenbezogene Daten:

Das sind solche Daten, die von niemandem mehr einer natürlichen Person zugeordnet werden können. Die Zuordnung mag zwar technisch noch möglich sein, allerdings muss in Anbetracht des dafür benötigten Zeit- und Kostenaufwandes eine Zuordnung als sehr unwahrscheinlich anzunehmen sein. Anonyme Daten fallen gänzlich aus dem Anwendungsbereich der DS-GVO heraus. Klassisches Beispiel sind statistische Auswertungen.

  • Sensible Daten:

Für sensible Daten (die DS-GVO nennt sie eine „besondere Kategorie von Daten“) gelten noch strengere Bestimmungen. Sensible personenbezogene Daten sind solche, die sich auf rassische oder ethnische Herkunft beziehen (zB Asylwesen), die politische Meinungen, religiöse oder weltanschauliche Überzeugungen wiedergeben, weiters Daten über die Gewerkschaftszugehörigkeit, schließlich genetische Daten, biometrische Daten, Gesundheitsdaten und Daten zum Sexualleben oder zur sexueller Orientierung.

  • Personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten:

Auch hier handelt es sich um eine besondere Kategorie von Daten, für die die DS-GVO noch restriktivere Bedingungen vorsieht, als für die bloß „sensiblen Daten“.

  • Betroffene Person:

Das ist jene natürliche Person, auf die sich die personenbezogenen Daten beziehen: Juristische Personen welcher Art immer fallen nicht darunter und sind nach der DS-GVO auch nicht geschützt.

  • Verarbeitung von Daten:

Dieser Begriff ist sehr weit gefasst und erfasst jeden Vorgang in Bezug auf personenbezogene Daten (zB Erheben von Daten, Speicherung, Anpassung, Veränderung von Daten, Abfragen, Verwendung und Übermittlung von Daten). Ebenso fallen die Veröffentlichung, die Verknüpfung und das Löschen oder die Vernichtung von Daten darunter.

  • Verantwortlicher:

Darunter versteht man jene natürliche oder juristische Person, die alleine oder gemeinsam mit anderen darüber entscheidet, ob, wie und für welchen Zweck bestimmte personenbezogene Daten verarbeitet werden.

  • Auftragsverarbeiter:

Dies ist im Gegensatz zum „Verantwortlichen“ jene natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Der Auftragsverarbeiter entscheidet also nicht selbst, sondern muss den Weisungen des Verantwortlichen folgen.

  1. Anwendungsbereich:

Die DS-GVO gilt sowohl für automatisierte als auch für die manuelle Verarbeitung von personenbezogenen Daten. Werden Daten manuell verarbeitet, ist Voraussetzung, dass dies „systematisiert“ erfolgt. Eine Karteibox fällt daher unter das DS-GVO, ein Aktenvermerk, den ich handschriftlich oder mit der Schreibmaschine erstelle und in meinem Handakt ablege, nicht. Persönliche und familiäre Tätigkeiten ohne Bezug zu einer beruflichen und wirtschaftlichen Tätigkeit fallen ebenfalls nicht unter das DS-GVO (zB Anlegen eines Fotoalbums).

  1. Voraussetzungen für die Zulässigkeit der Verarbeitung personenbezogener Daten:

Um personenbezogene Daten verarbeiten zu können, müssen bestimmte Grundsätze erfüllt sein. Zudem muss die Verarbeitung rechtmäßig sein.

  • Grundsätze für die Verarbeitung personenbezogener Daten:

Hier ist eingangs darauf hinzuweisen, dass der Verantwortliche die Einhaltung der Grundsätze auf Anfrage nachweisen können muss. Die Beweislast liegt daher beim Verantwortlichen, Zweifel gehen zu seinen Lasten. Nachstehende Grundsätze sind einzuhalten:

  • Die Verarbeitung muss rechtmäßig Sie muss daher auf einem sogenannten „Erlaubnistatbestand“ beruhen.
  • Jede Verarbeitung muss „fair“ erfolgen und sich im Rahmen der vernünftigen Erwartungen der betroffenen Person (also desjenigen, dessen Daten verarbeitet werden) bewegen.
  • Jede Verarbeitung muss für die betroffene Person nachvollziehbar
  • Jede Verarbeitung bedarf eines im Vorhinein festgelegten, eindeutigen und legitimen Zwecks.
  • Jede Verarbeitung ist in Anbetracht des jeweiligen Verarbeitungszwecks auf das unbedingt erforderliche Maß zu beschränken.
  • Es sollen nur sachlich richtige Daten verarbeitet werden.
  • Personenbezogene Daten dürfen nicht länger als für die Zweckerreichung nötig gespeichert werden.
  • Personenbezogene Daten sind vor unbefugter oder unrechtmäßiger Verarbeitung oder vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unabsichtlicher Schädigung zu schützen.
  • Rechtsmäßigkeit der Verarbeitung:

Eine Verarbeitung personenbezogener Daten ist nur dann nicht verboten, wenn sie ausdrücklich gesetzlich erlaubt ist. Die DS-GVO kennt nachfolgende Erlaubnistatbestände:

  • Einwilligung:

Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten gegeben.

  • Vertragsanbahnung, Vertragserfüllung:

Die Verarbeitung ist zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Partei ist, oder für vorvertragliche Maßnahmen erforderlich.

  • Erfüllung rechtlicher Verpflichtungen:

Der Verantwortliche muss die Verarbeitung vornehmen, um seine rechtlichen Verpflichtungen erfüllen zu können.

  • Schutz lebenswichtiger Interessen:

Die Verarbeitung ist notwendig, um lebenswichtige Interessen der betroffenen Person (oder einer anderen natürlichen Person) zu schützen.

  • Öffentliche Interessen:

Dieser Erlaubnistatbestand betrifft Verarbeitungen für die Wahrnehmung von Aufgaben im öffentlichen Interesse bzw. in Ausübung öffentlicher Gewalt (Gemeinden, Sicherheitsbehörden, Finanzämter, sonstige Behörden, etc.)

  • Interessensabwägung:

Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich. Dieser Erlaubnistatbestand greift nur dann, wenn nicht die ebenso zu berücksichtigenden berechtigten Interessen der betroffenen Personen schwerer wiegen. Gleichwertigkeit der Interessen genügt also für diesen Erlaubnistatbestand.

  1. Verarbeitung „sensibler Daten“:
  • Auch für die Verarbeitung sensibler Daten (zB Gesundheitsdaten) gilt das Verbotsprinzip mit Erlaubnisvorbehalt. Die Erlaubnistatbestände sind ähnlich wie die vorgenannten, aber oft strenger formuliert. Wesentlich ist, dass der Erlaubnistatbestand der Interessensabwägung nicht genutzt werden kann.
  • Besonders streng sind die Regeln in Bezug auf personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten.
  1. Einwilligung des Betroffenen:
  • Die Verarbeitung von personenbezogenen Daten mit Einwilligung der betroffenen Person ist immer zulässig. Dies gilt für alle Datenarten inklusive sensibler Daten. Zu beachten ist allerdings, dass die „betroffene Person“ auch eine dritte Person sein kann, beispielsweise ein Opfer, das von einer Feuerwehr geborgen wird. Es wird in der Praxis nicht ganz einfach sein, eine solche Einwilligung einzuholen.
  • Für die Einwilligung gibt es relativ strenge Voraussetzungen. Sie muss
  1. freiwillig
  2. nur für den bestimmten Fall,
  3. in informierter Weise und
  4. unmissverständlich abgegeben

werden.

Ob das Ganze „freiwillig“ ist, ist nach der jeweiligen Situation zu beurteilen. Ein wirtschaftliches oder rechtliches Ungleichgewicht (beispielsweise Arbeitgeber-Arbeitnehmer-Situation) könnte dem Ganzen bereits den Charakter der Freiwilligkeit nehmen.

Für den bestimmten Fall bedeutet das, dass Pauschaleinwilligungen ohne Angabe des genauen Zwecks der Verarbeitung unwirksam sind.

In informierter Weise bedeutet, dass die betroffene Person weiß, wer der für die Datenverarbeitung Verantwortliche ist und für welche Zwecke die personenbezogenen Daten genau verarbeitet werden.

Unmissverständlich ist eine Erklärung vor allem dann, wenn sie schriftlich erfolgt. Dies kann auch elektronisch erfolgen, zB durch das Anklicken eines Kästchens beim Besuch einer Internetseite.

Wird die Einwilligungserklärung vorformuliert, so muss sie klar und einfach geschrieben sein.

Falls sie Teil eines anderen Textes ist (AGBs), muss die Einwilligung deutlich vom Rest des Textes unterscheidbar sein (am besten Fettdruck).

Schließlich muss die betroffene Person am besten in der Einwilligungserklärung darüber aufgeklärt werden, dass das und wie sie die Einwilligung jederzeit widerrufen kann. Der Widerruf muss genauso einfach möglich sein, wie die vorherige Einwilligung.

Zu beachten ist, dass auch bei Vorliegen einer Einwilligung die Grundsätze der Datenverarbeitung weiter zu beachten sind, also Treue und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit (siehe Ausführungen unter Pkt. 4.1). Es müssen also auch trotz Einwilligung der Person diese Grundsätze beachtet werden.

  • Wesentlich ist noch, dass eine Beweislastumkehr stattfindet:

Der Verantwortliche (oder der Datenverarbeiter) muss beweisen, dass die betroffene Person der Verarbeitung ihrer personenbezogenen Daten zugestimmt hat. Die betroffene Person kann die Einwilligung natürlich jederzeit widerrufen.

Hier ist allerdings wichtig, dass im Falle eines Widerrufes die Datenverarbeitung nur dann bzw. insoweit eingestellt werden muss, als kein anderer Erlaubnistatbestand zur Verfügung steht.

  • Kinder können mit Vollendung des 14. Lebensjahres in die Verarbeitung ihrer personenbezogenen Daten in Bezug auf sogenannte „Dienste der Informationsgesellschaft“ (zB Social Media Plattformen) einwilligen. Für jüngere Kinder ist die Zustimmung des gesetzlichen Vertreters erforderlich. Der Verantwortliche muss sich vergewissern, dass eine solche Einwilligung bzw. Zustimmung des gesetzlichen Vertreters tatsächlich erteilt wurde.
  1. Praxistip:

Prüfen Sie, ob die Einwilligungen, die Sie vor Inkrafttreten der DSGVO eingeholt haben, den oben beschriebenen Voraussetzungen entsprechen. Sollte dies nicht der Fall sein, müssen Sie neue Einwilligungserklärungen einholen, um die Verarbeitung fortführen zu können!

  1. Pflichten des Verantwortlichen (oder des Datenverarbeiters):
  • Die DS-GVO definiert zahlreiche, sehr konkret umschriebene Pflichten, die ein Verantwortlicher (oder ein Datenverarbeiter, wenn ihm diese Aufgaben vom Verantwortlichen übertragen worden sind) bei der Datenverarbeitung einzuhalten hat.

Es existieren

  1. Pflichten in Bezug auf die Verarbeitung
  2. Pflichten in Bezug auf die betroffenen Personen
  3. Pflichten in Bezug auf die Datensicherheit bzw. den Umgang mit Datenschutzverletzungen.
  • Pflichten in Bezug auf die Verarbeitung:
  • Verzeichnis von Verarbeitungstätigkeiten:

Verantwortliche, aber auch Auftragsverarbeiter haben ein schriftliches Verzeichnis ihrer Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Dieses Verzeichnis hat zu enthalten

  1. die Kontaktdaten des Verantwortlichen (bzw. Auftragsverarbeiters) und eines allfällig bestellten Datenschutzbeauftragten;
  2. die Zwecke der Verarbeitung;
  3. Information über betroffene Personen, Datenarten, Empfänger von Daten etc.;
  4. eine allgemeine Beschreibung der getroffenen technischen und organisatorischen Maßnahmen zum Schutz der Daten.

Diese Verpflichtung trifft zwar grundsätzlich nur Unternehmen, die mehr als 250 Mitarbeiter beschäftigen. Allerdings gibt es eine Gegenausnahme. Kleinere Unternehmen sind nämlich nur dann von der Verpflichtung zur Führung dieses Verzeichnisses befreit, wenn ihre Verarbeitungen

  1. nicht risikogeneigt sind;
  2. nur gelegentlich erfolgen und
  3. keine sensiblen Daten betroffen sind.

Es ist daher davon auszugehen, dass Gemeinden ein solches Verzeichnis von Verarbeitungstätigkeiten führen müssen.

  • Datenschutzfolgenabschätzung:

Für Datenverarbeitungen, bei denen das Risiko einer Verletzung von Rechten betroffener Personen voraussichtlich besonders hoch ist, schreibt die DS-GVO vor, dass vor Beginn der Verarbeitung eine Datenschutz-Folgenabschätzung durchzuführen ist.

Ein derart besonders hohes Risiko wird von der Verordnung angenommen, wenn Verarbeitungen stattfinden, bei denen

  1. Entscheidungen, die natürliche Personen betreffen, ausschließlich auf automatisierter Basis getroffen werden (zB Profiling);
  2. sensible Daten in großem Umfang verarbeitet werden;
  3. der öffentliche Raum systematisch und umfangreich überwacht wird.

Es ist daher davon auszugehen, dass insbesondere lit. c) für zahlreiche Gemeinden von Bedeutung ist, sodass in diesen Fällen eine Datenschutzfolgenabschätzung durchzuführen ist. Empfehlenswert ist es auch, den Entscheidungsprozess gegen die Durchführung einer Datenschutzfolgenabschätzung zu dokumentieren und abzulegen, damit dies gegebenenfalls der Datenschutzbehörde vorgelegt werden kann.

  • Datenschutzbeauftragter:

Erfolgt die Verarbeitung von Daten durch eine Behörde oder öffentliche Stelle, ist ein Datenschutzbeauftragter zu bestellen.

Bestellt werden können sowohl Personen, die im Unternehmen beschäftigt sind, als auch Externe.

Sie müssen das nötige Fachwissen besitzen, wobei es allerdings hiefür keine zwingenden Vorgaben gibt.

Wesentlich ist, dass der Datenschutzbeauftragte frühzeitig in alle datenschutzrelevanten Themen des Unternehmens eingebunden werden muss. Sein Ansprechpartner ist immer die oberste Managementebene. Er hat quasi dieselbe Stellung wie ein Innenrevisor oder ein Compliance-Beauftragter. Es müssen ihm die entsprechenden Ressourcen zur Verfügung stehen. Der Datenschutzbeauftragte ist darüber hinaus weisungsfrei und genießt – sofern er Arbeitnehmer ist – Kündigungsschutz.

  • Organisatorische und technische Maßnahmen:

Der Verantwortliche (und auch der Auftragsverarbeiter) müssen geeignete technische und organisatorische Maßnahmen setzen, um sicherzustellen, dass die Datenverarbeitung gemäß den Vorschriften des DS-GVO erfolgt. Es ist nötig,

  1. interne Regelungen für die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten;
  2. interne Regeln für die Bestellung eines Datenschutzbeauftragten;
  3. ein internes System für den Umgang mit Datenzwischenfällen;
  4. Mitarbeiterschulungen, regelmäßige Kontrollen der Datenschutz-Compliance;
  5. Formulare für diverse Zwecke

zu erstellen.

Weiters sind technische Maßnahmen nötig, die unter den Begriffen „Privacy by design“ (zB Datenminimierung, Speicherbegrenzung etc.) oder „Privacy by default“ (das sind Voreinstellungen, die dafür sorgen, dass personenbezogene Daten nur im unbedingt notwendigen Umfang verarbeitet werden und dass solche Daten nicht ohne Eingreifen der betroffenen Person einer unbestimmten Zahl Dritter zugänglich gemacht werden können) zusammengefasst werden.

  • Pflichten in Bezug auf die betroffenen Personen:
  • Informationspflichten:

Wenn personenbezogene Daten direkt bei der betroffenen Person erhoben werden, ist der Verantwortliche (oder der Auftragsverarbeiter) verpflichtet, der betroffenen Person umfangreiche Informationen zu erteilen. Dies erfolgt üblicherweise in Form einer sogenannten „Datenschutzerklärung“. Darin müssen nachstehende Informationen enthalten sein:

  1. Namen und Kontaktdaten des Verantwortlichen bzw. des Verarbeiters und eines etwaigen Datenschutzbeauftragten.
  2. Zweck und Rechtsgrundlage der Verarbeitung.
  3. Allfällige automatisierte Entscheidungsfindungen (zB Profiling)
  4. Empfänger der Daten.
  5. Information über Betroffenenrechte inklusive der Möglichkeit der Anrufung der Aufsichtsbehörde.
  6. Aufklärung, ob die Datenerhebung verpflichtend ist, also gesetzlich oder vertraglich vorgesehen ist bzw., wenn eine solche Pflicht nicht besteht, welche Folgen die Nichtbereitstellung hat (zB Unmöglichkeit der Mitgliedschaft bei einer Feuerwehr oder sonstigen Rettungsorganisation).

Es ist unklar, was zu gelten hat, wenn die personenbezogenen Daten bereits vor der Geltendmachung der DS-GVO am 25.05.2018 erhoben worden sind.

Werden die Informationen nicht direkt bei der betroffenen Person erhoben, ist der Verantwortliche (oder der Auftragsverarbeiter) verpflichtet, der betroffenen Person im Wesentlichen die selben Informationen zu erteilen, wie zuvor dargestellt. Zusätzlich ist aber offenzulegen, welche Kategorien von personenbezogenen Daten verarbeitet werden und aus welcher Quelle die personenbezogenen Daten stammen.
Diese Informationen sind der betroffenen Personen binnen angemessener Frist, jedoch längstens binnen eines Monates nach der Datenerhebung mitzuteilen. In formaler Hinsicht bestehen hier nicht so strenge Kriterien: Es genügt, wenn die Information in elektronischer Form bereitgestellt wird (zB auf einer Website).

Selbstverständlich besteht eine Auskunftspflicht. Einerseits müssen die Informationen ja bereits aktiv an die betroffene Person erteilt werden, andererseits ist auch auf Anfrage der betroffenen Person all das mitzuteilen, was der Informationspflicht unterliegt. Ausnahmen bestehen dann, wenn die personenbezogenen Daten einem Berufsgeheimnis unterliegen.

Die verarbeiteten personenbezogenen Daten sind der betroffenen Person auch in Kopie zur Verfügung zu stellen.

  • Selbstverständlich hat die betroffene Person das Recht, vom Verantwortlichen die Berichtigung von unrichtiger oder unvollständiger personenbezogener Daten zu verlangen.
  • Recht auf „Vergessenwerden“:

Der Verantwortliche (oder der Auftragsverarbeiter) ist zu unverzüglichen Löschung von personenbezogenen Daten verpflichtet, wenn

  1. die personenbezogenen Daten für die Zwecke der Verarbeitung nicht mehr notwendig sind;
  2. die betroffene Person ihre Einwilligung widerrufen hat und keine anderweitige Rechtsgrundlage für die Verarbeitung besteht;
  3. die betroffene Person berechtigten Widerspruch gegen die Verarbeitung erhoben hat und
  4. die personenbezogenen Daten unrechtmäßig bearbeitet wurden;
  5. die Pflicht zur Löschung der personenbezogenen Daten besteht.

Trotz Vorliegens eines dieser Punkte besteht nicht immer eine Löschungspflicht, so zum Beispiel, wenn die Daten weiter für die Erfüllung rechtlicher Verpflichtungen oder zur Geltendmachung von Rechtsansprüchen erforderlich sind.

Beispielsweise würde dies wohl bedeuten, dass das Löschungsbegehren einer betroffenen Person, die einer Feuerwehr angehört, nicht zu erfüllen ist, solange

  1. eine rechtliche Verpflichtung zur Aufbewahrung von Daten besteht (zB aus steuerlichen oder sozialversicherungsrechtlichen Gründen) oder
  2. es nicht ausgeschlossen werden kann, dass die Daten für eine spätere Geltendmachung oder Abwehr von Ansprüchen benötigt werden. Letzteres gilt wohl bis zum Ablauf der allgemeinen Verjährungsfrist (30 Jahre).

Besteht allerdings die Pflicht zur Löschung, muss diese effektiv und umfassend sein, sich also auf alle Datenträger beziehen. Dies schließt wohl Sicherungsdateien mit ein.

  • Pflicht zur Einschränkung der Verarbeitung:

Kommt es zu einem Streit mit einer betroffenen Person, ob und inwieweit die Datenverarbeitung gerechtfertigt ist, hat die betroffene Person für die Dauer bis zur Klärung der offenen Punkte den Anspruch darauf, dass die verarbeitenden Daten nur sehr eingeschränkt (etwa zu Zwecken der Rechtsverteidigung) verarbeitet werden. Einer solchen Verpflichtung muss der Verantwortliche (oder der Auftragsverarbeiter) unverzüglich, längstens jedoch binnen eines Monates nach Einlangen des Ansuchens der betroffenen Person nachkommen.

  • Pflicht zur Datenübertragung:
  • Der Verantwortliche (bzw. der Auftragsverarbeiter) muss einer betroffenen Person ihre selbst bereitgestellten personenbezogenen Daten, die aufgrund einer Einwilligung des Betroffenen erhoben worden sind, in einer strukturierten, gängigen und maschinenlesbaren Form zur Verfügung stellen.
  • Widerspruchsrecht des Betroffenen:

Werden Daten auf Basis eines öffentlichen Interesses oder einer Interessensabwägung verarbeitet (vgl. Pkt. 5.5. und 5.6.), kann die betroffene Person dagegen jederzeit Widerspruch erheben. In diesem Fall muss die Verarbeitung beendet werden, es sei denn, es wird nachgewiesen, dass ein überwiegendes berechtigtes Interesse des Verantwortlichen besteht oder er die Daten zu Zwecken seiner Rechtsverteidigung weiter benötigt. Eine Datenverarbeitung zu Zwecken der Direktwerbung ist im Fall des Widerspruches einer betroffenen Person immer einzustellen.

  1. Datensicherheit:
  • Der Verantwortliche bzw. Auftragsverarbeiter muss technische und organisatorische Maßnahmen treffen, um einen angemessenen Schutz der Daten sicherzustellen. Es gilt hier der sogenannte „Stand der Technik“, der stets eingehalten werden muss.
  • Ein sogenannter „Datenzwischenfall“ (darunter versteht man eine Verletzung der Sicherheit der Datenverarbeitung, die zur Vernichtung, zum Verlust, zur Veränderung oder zur unbefugten Offenlegung von personenbezogenen Daten führt), muss binnen 72 Stunden der Aufsichtsbehörde gemeldet werden. Die Meldung muss eine Abschätzung der möglichen Folgen enthalten und erläutern, welche Abhilfemaßnahmen gesetzt werden.

Die Meldung kann unterbleiben, wenn der Datenzwischenfall voraussichtlich nicht zu seinem Risiko für die betroffenen Personen führt (zB ausreichend verschlüsselte oder pseudonymisierte Daten).

Muss aufgrund eines Datenzwischenfalles mit hohem Risiko für die betroffenen Personen gerechnet werden, muss der Verantwortliche auch die betroffenen Personen unverzüglich über den Datenzwischenfall verständigen. Auch hier gilt, dass die Benachrichtigungspflicht entfällt, wenn die Daten etwa ausreichend gesichert waren (verschlüsselt) oder nach dem Datenzwischenfall Maßnahmen gesetzt worden sind, die einen Schadenseintritt sehr unwahrscheinlich machen.

Ist die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden, muss nicht jeder betroffene einzeln verständigt werden. Es genügt hier die öffentliche Bekanntmachung.

Fachleute empfehlen, ein Konzept für den Umgang mit Datenzwischenfällen zu erstellen, das auf Verlangen der Behörde vorgewiesen werden kann.

  1. Einsatz von Auftragsverarbeitern:

Der Verantwortliche kann für seine Verarbeitung einen Auftragsverarbeiter einsetzen. Diesen treffen dann natürlich dieselben Pflichten, wie den Verantwortlichen selbst.

Zwischen dem Verantwortlichen und dem Auftragsverarbeiter muss stets ein schriftlicher Vertrag abgeschlossen werden, der den Gegenstand der Auftragsverarbeitung festhält. Der Vertrag muss enthalten, dass

  1. der Auftragsverarbeiter nur gemäß den Weisungen des Verantwortlichen tätig wird;
  2. ohne Zustimmung des Verantwortlichen keine Subauftragsverarbeiter einsetzt und
  3. die beim Auftragsverarbeiter tätigen Personen zur Verschwiegenheit verpflichtet werden;
  4. alle angemessenen organisatorischen und technischen Sicherheitsstandards eingehalten werden;
  5. dass nach Abschluss der Tätigkeit alle personenbezogenen Daten entweder gelöscht oder zurückgegeben werden, sofern nicht eine gesetzliche Verpflichtung zur Speicherung besteht.

Für den schriftlichen Vertrag zwischen Verantwortlichem und Auftragsverarbeiter (Pkt. 10) wird die europäische Kommission Standardvertragsklausel ausarbeiten.

Für die Datenschutzfolgenabschätzung (siehe Pkt. 8.2.2) wird die Datenschutzbehörde „schwarze und weiße Listen“ in Form einer Verordnung erlassen.

Sobald diese Standardvertragsklauseln und die Verordnung veröffentlicht sind, werden wir diese bekannt geben und der Datenschutzgrundverordnung entsprechende Formulare (zB Datenschutzerklärung, Einwilligungserklärung, Vertraulichkeitsvereinbarung) und Vertragsmuster, zB Vertrag zwischen Verantwortlichem und Auftragsverarbeiter, ausarbeiten und zur Verfügung stellen.

[1] Zusammenfassung des Artikels „Einführung in die Datenschutz-Grundverordnung“ von Ferdinand Graf und Marija Krizanac, ecolex 2017, 912 ff

dr. ernst dejaco rechtsanwälte gmbh
RA Dr. Ernst Dejaco, Exec. MBL-HSG

Zurück zur Übersicht der Beiträge