73 – Die Datenschutz-Grundverordung (DSGVO)

Am 25. Mai 2018 trat die Datenschutz-Grundverordnung der Europäische Union (DSGVO) in Kraft. Sie ergänzt/overruled/verschärft das Österreichische Datenschutzgesetz.

Die DSGVO in Kürze …

• Die DSGVO legt fest, wie vor allem Unternehmen personenbezogene Daten verarbeiten müssen, um die Privatsphäre und den Schutz der personenbezogenen Daten der Betroffenen zu gewährleisten.
• Sie legt die Verantwortlichkeiten dafür fest (wer ist in einem Betrieb dafür verantwortlich),
• weist den Betroffenen (den Menschen, von denen die Daten stammen) bestimmte Rechte zu
• und gibt den Aufsichtsbehörden die Befugnis, Rechenschaft zu verlangen
• und im Fall von Verfehlungen Strafen zu verhängen.

Die wichtigsten Forderungen der DSGVO

1. Unternehmen, die personenbezogene Daten verarbeiten, müssen dies nach Rechtmäßigkeit, Treu und Glauben und Transparenz tun
   • Rechtmäßig: die gesamte Verarbeitung muss auf einem legitimen Zweck beruhen
   • nach Treu und Glauben: das Unternehmen muss sich verantwortlich zeigen und Daten nicht über den legitimen Zweck hinaus verarbeiten
   • Transparent: das Unternehmen muss die betroffenen Personen über die Verarbeitungstätigkeiten bezüglich ihrer personenbezogenen Daten informieren
2. Von den Unternehmen wird Zweckbindung, Daten- und Aufbewahrungsdauerbegrenzung gefordert
   • personenbezogene Daten dürfen nur für den Zweck verwendet werden, für den sie legitim erhoben wurden (ein Verein gibt eine Zeitschrift heraus, er darf die Adressen der BezieherInnen sammeln und speichern, um die Zeitschrift zuschicken zu können (Zweck)
   • es dürfen nur die für den legitimen Zweck notwendigen personenbezogenen Daten eingeholt erhoben werden (der Verein darf nur die Adressen sammeln, nicht aber Geburtsdatum, Augenfarbe, Schulbildung …)
   • die personenbezogene Daten müssen gelöscht werden, sobald der legitime Zweck, für den sie erhoben wurden, erfüllt ist (sobald der Verein die Zeitschrift einstellt, muss der die Adressdaten löschen)
     
     Weiteres Beispiel: Eine Pfarre erhebt zur Firmung bzw. Firmvorbereitung die Adressdaten und die Religionszugehörigkeit der KanditatInnen. Nach der erfolgten Firmung (Ende des Zwecks der Datenerhebung) müssen sie gelöscht werden.
3. Rechte der Betroffenen
   Betroffene haben das Recht
   • zu erfahren, welche Daten ein Unternehmen über sie hat
   • was das Unternehmen mit diesen Daten tut
   • eine Berichtigung zu verlangen
   • der Verarbeitung zu widersprechen
   • eine Beschwerde einzureichen
   • die Löschung oder Übertragung der Daten zu verlangen
4. Einwilligung zur Datenverarbeitung über den legitimen Zweck hinaus
   • Für eine Datenverarbeitung über den legitimen Zweck hinaus müssen Betroffene ausdrücklich zustimmen. Die Zustimmung muss dokumentiert werden und kann jederzeit widerrufen werden.
   • Für unter 16-Jährige ist die Zustimmung der Erziehungsberechtigten erforderlich.
5. Umgang mit Datenschutzverletzungen
   Unternehmen müssen selber ein Verzeichnis von Schutzverletzungen personenbezogener Daten führen und die Aufsichtsbehörde und die Betroffenen je nach Schwere der Verletzung innerhalb von 72 Stunden nach Festsellung der Schutzverletzung informieren.
6. Vorbeugender Datenschutz
   Unternehmen sollen bei Veränderung und Entwicklung von Systemen und Prozessen organisatorische und technische Mechanismen einbauen, um personenbezogene Daten zu schützen.
7. Datenschutz-Folgenabschätzung
   Wenn in einem Unternehmen Veränderungen durchgeführt werden (Verfahren, neue Projekte, neue Produkte, …), muss eine Datenschutz-Folgenabschätzung durchgeführt werden, sofern auch eine Veränderung der Verarbeitung personenbezogener Daten erfolgt.
8. Verantwortung von Datenübertragungen an Dritte
   Wenn personenbezogene Daten an Dritte übertragen werden, ist das ursprüngliche Unternehmen dafür verantwortlich, dass die Bestimmungen des DSGVO eingehalten werden.
9. Datenschutz-Beauftragte/r
   Wenn in einem Unternehmen bzw. einer Organisation eine erhebliche Verarbeitung personenbezogener Daten stattfindet, ist ein Datenschutz-Beauftragter/eine Datenschutz-Beauftragte zu ernennen, der/die die Einhaltung des DSGVO überwacht und gegebenenfalls die Unternehmensleitung zu informieren hat.