· web viewdatenarten genau aufzählen, z.b. „name“, „adresse“ etc.) zum zweck der …...

WissenPlus | Politische Bildung und Recht

Das neue Datenschutzrecht

1. Einleitung Dieser Beitrag soll einen Überblick über die aktuellen Änderungen im Datenschutzrecht in ausgewählten Bereichen geben. Für Details und eine abschließende Betrachtung wird ausdrücklich auf die verwendeten Quellen verwiesen.

Der Schutz personenbezogener Daten war bisher in Österreich durch das Datenschutzgesetz 20001 (DSG 2000) geregelt. Nach jahrelangen Verhandlungen wurde im Mai 2016 die Datenschutz-Grundverordnung2 (DS-GVO) kundgemacht, mit der das materielle Datenschutzrecht innerhalb der EU vereinheitlicht wurde. Im Gegensatz zu Richtlinien, deren Zielvorgaben von den EU-Mitgliedstaaten innerhalb einer bestimmten Frist in entsprechende nationale Rechtsnormen umzusetzen sind, werden Verordnungen automatisch Bestandteil der nationalen Rechtsordnung. Als unmittelbar anwendbare EU-Verordnung gilt daher die Datenschutz-Grundverordnung nach einer Übergangsphase von zwei Jahren ab dem 25.5.2018 in allen EU-Ländern, somit auch in Österreich.

Laut Presseberichten gab es in Brüssel zuvor massives Lobbying seitens der IT-Unternehmen, um ein allzu strenges Datenschutzrecht zu verhindern.3 Da auch nach jahrelanger Diskussion auf europäischer Ebene nicht in allen Punkten Einigung erzielt werden konnte4, enthält die DS-GVO sogenannte „Öffnungsklauseln“, die national-staatliche Regelungen ermöglichen beziehungsweise in manchen Fällen sogar zwingend vorsehen. Österreich stimmte der Richtlinie im Rat aus wegen u.a. zu weitreichender Möglichkeiten der Weiterverarbeitung von Daten nicht zu5.

Zur Umsetzung der DS-GVO wurde in Österreich das ebenfalls ab 25.5.2018 gültige Datenschutz-Anpassungsgesetz 20186 beschlossen, mit dem das Datenschutzgesetz 2000 geändert wird7. Es heißt nunmehr „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)“. Bis 24. 5. 2018 gelten die bisherigen Regelungen.

Am 20.4.2018 – noch knapp vor dem Inkrafttreten der DS-GVO – wurde (für manche überraschend) im Nationalrat das Datenschutz-Deregulierungs-Gesetz 20188 beschlossen, mit dem das Datenschutz-Anpassungsgesetz geändert wurde. Pressemeldungen dazu: „Österreich zieht neuem Datenschutz die Zähne“,9 „Österreich 1 Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000), StF: BGBl. I Nr. 165/1999, zuletzt geändert mit BGBl. I Nr. 120/20172 Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)3 derstandard.at/2000058102109/Was-die-Datenschutzverordnung-bringt-Sammelklagen-Beauftragte4 derstandard.at/2000059157975/Neues-Datenschutzgesetz-droht-Unternehmen-mit-Millionenstrafen, 5 Dako (Datenschutz-konkret) 4/2017, Seite 74 6 Bundesgesetz, mit dem das Datenschutzgesetz 2000 geändert wird (Datenschutz-Anpassungsgesetz 2018), BGBl. I Nr. 120/20177 Für ein neues Gesetz mit Verfassungsbestimmungen wurde keine Zweidrittelmehrheit erzielt – Dako 4/2107, 798 Bundesgesetz, mit dem das Datenschutzgesetz geändert wird /bei Verfassung dieses Artikels lag erst der NR-Beschluss vor – https://www.parlament.gv.at/PAKT/VHG/XXVI/BNR/BNR_00027/index.shtml9 https://www.heise.de/newsticker/meldung/Keine-Strafen-Oesterreich-zieht-neuem-Datenschutz-die-Zaehne-4031217.html

Mai 2018 © MANZ Verlag Schulbuch | Autorin: Dr. Cornelia Cassan-Juen- 1-

https://www.heise.de/newsticker/meldung/Keine-Strafen-Oesterreich-zieht-neuem-Datenschutz-die-Zaehne-4031217.html

https://www.ris.bka.gv.at/eli/bgbl/I/2017/120

https://www.ris.bka.gv.at/eli/bgbl/I/2017/120

https://www.ris.bka.gv.at/Dokumente/BgblPdf/1999_165_1/1999_165_1.pdf


weicht europäischen Datenschutz auf“.10 Zum Inhalt dieses Gesetzes siehe Punkt 12 „Änderungen durch das Datenschutz-Deregulierungs-Gesetz 2018“ bzw. wurden die Änderungen kursiv in den Text eingebaut.

Die DS-GVO vereinheitlicht EU-weit die Regelungen für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen. Dadurch soll einerseits das Grundrecht auf Schutz personenbezogener Daten und andererseits der uneingeschränkte freie Verkehr personenbezogener Daten in der EU gewährleistet werden.

„Für den Datenverkehr darf es innereuropäisch keine Grenzen mehr geben (free movement of data). Der Datenschutz darf kein Argument mehr sein, den Datenverkehr zu behindern. Der Datenverkehr zwischen EU-Ländern soll nicht stärker reguliert sein als innerhalb eines Mitgliedsstaates.“11

Hier sind einige wesentliche Änderungen kurzgefasst:

Wegfall der Meldepflicht für Datenanwendungen im Datenverarbeitungsregister, dafür nachträgliche Kontrolle durch die Datenschutzbehörde und stärkere Eigenverantwortung der Verantwortlichen:

Neue Dokumentationspflichten: Rechenschaftspflicht für Verantwortliche und Auftragsverarbeiter

Nachweis von technischen und organisatorischen Datensicherheitsmaßnahmen durch entsprechende Dokumentation vom Verantwortlichen und/oder Auftragsverarbeiter

Meldung von Datenschutzverletzungen Einsatz von Datenschutzbeauftragten in bestimmten Fällen, z.B. bei

umfangreicher Verarbeitung sensibler Daten als Kerntätigkeit Datenschutz-Folgenabschätzung bei Verarbeitungen mit voraussichtlich

hohem Risiko für die Rechte und Freiheiten natürlicher PersonenRechte von Betroffenen (Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung, Widerspruchsrecht, Verankerung des Rechts auf Vergessenwerden etc.)Erhöhter Strafrahmen: Strafen bis zu 20 Millionen Euro beziehungsweise 4 Prozent des Konzernumsatzes sind möglich.

Der Datenschutz im Bereich Justiz und Polizei wird durch eine eigene EU-Richtlinie samt Anpassungsgesetz geregelt (DSRL-PJ). 12

10 https://derstandard.at/2000078602336/DSGVO-Oesterreich-verwaessert-europaeischen-Datenschutz11Kommentar zu Art 1 DS-GVO in https://www.datenschutz-grundverordnung.eu/grundverordnung/art-1-ds-gvo/12 Die Richtlinie zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates (Datenschutzrichtlinie-Polizei Justiz –DSRL-PJ) wurde am 04.05.2016 im Amtsblatt Nr. L119 S. 89 kundgemacht und trat am Tag nach ihrer Kundmachung in Kraft. Sie ist bis zum 06.05.2018 in nationales Recht umzusetzen./ Datenschutz-Anpassungsgesetz Justiz 2018 – DS-AGJ 2018



2. GrundsätzeDas Recht auf Datenschutz ist ein Grundrecht. Die Bestimmung des § 1 DSG ist eine Verfassungsbestimmung und lautet auszugsweise: „Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. …“ Diese Bestimmung verpflichtet nicht nur den Staat, sondern muss auch von Privaten untereinander eingehalten werden (mittelbare Drittwirkung). Das Grundrecht auf Datenschutz ergibt sich u.a. auch aus Art. 8 Abs. 2 der EU-Grundrechtscharta (EU-GRCh) oder auch aus Art. 8 der Europäischen Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK).

Die Verarbeitung personenbezogener Daten ist grundsätzlich verboten und darf nur dann durchgeführt werden, wenn es gesetzlich erlaubt ist (Prinzip des Verbots mit Erlaubnisvorbehalt).

Unter das europäische Datenschutzrecht fallen auch Unternehmen aus Nicht-EU-Ländern, die auf dem europäischen Markt tätig sind.

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten darf nur unter behördlicher Aufsicht vorgenommen werden oder aufgrund von Regelungen mit Garantien für Rechte und Freiheiten der betroffenen Personen. Ein umfassendes Register der strafrechtlichen Verurteilungen darf nur unter behördlicher Aufsicht geführt werden.

3. Einige wichtige Begriffe13

Die DS-GVO schützt nur personenbezogene Daten von natürlichen Personen. Juristischen Personen steht nach dieser Rechtsgrundlage kein Grundrecht auf den Schutz der sie betreffenden personenbezogenen Daten zu. Die Verfassungsbestimmung des § 1 DSG 2000, die auch für juristische Personen gilt, bleibt jedoch bestehen. Dieses Thema ist in Fachkreisen umstritten.14 Es gibt Meinungen, nach denen der Datenschutz für juristische Personen in Österreich bestehen bleibt15, jedoch künftig sehr eng ausgelegt werden wird16 oder es eigentlich gar keinen Bedarf für ein strenges Datenschutzrecht für juristische Personen gibt.17 Daten von juristischen Personen können jedenfalls vertraglich oder als Betriebs- und Geschäftsgeheimnisse geschützt sein. Im Datenschutz-Deregulierungsgesetz 201818 wurde festgehalten, dass die Bestimmungen der DS-GVO nur für die Verarbeitung personenbezogener Daten natürlicher Personen gelten.

„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifiziert wird eine natürliche Person angesehen, wenn sie sich aufgrund einzelner oder mehrerer Daten in einer Personengruppe von allen anderen Personen unterscheidet und daher eindeutig bestimmt ist. Beispiele: Name, Adresse, Geburtsdatum, Bankdaten etc. Auch pseudonymisierte Daten gelten als personenbezogene Daten. Diese Daten sind zwar grundsätzlich noch einer bestimmten Person zuordenbar. Die Zuordnung ist jedoch nur mit zusätzlichen Informationen möglich und es wurden ausreichende technische und

13 Art. 4 DS-GVO14 https://diepresse.com/home/recht/rechtallgemein/5361987/DatenschutzGrundverordnung_Unnoetige-Aufregung-um-Firmendaten?from=suche.intern.portal15 Interview Dr. Riedl, Legist im Bundeskanzleramt, in Datenschutz-Konkret 4/2017, S. 75 (https://www.dataprotect.at/juristische-person/) 16 https://www.hrweb.at/2017/08/datenschutzgesetz-datenschutzrecht-oesterreich-datenschutz-anpassungsgesetz-2018/17 Siehe FN 11 18 Siehe FN 8


https://www.dataprotect.at/juristische-person/


organisatorische Maßnahmen getroffen, damit diese Zuordnung nicht (mehr) erfolgt.19 Diese zusätzlichen Informationen müssen gesondert aufbewahrt werden. Beispiele: Namen von Kunden werden durch Zufallscodes ersetzt.

Die Grundsätze des Datenschutzes gelten nicht für „anonyme Informationen“, das sind jene, bei denen eine Zuordnung zu einer natürlichen Person unmöglich ist. Unmöglich laut DS-GVO ist die Zuordnung auch dann, wenn sie zwar technisch möglich ist, aber damit wegen des großen benötigten Zeit- und Kostenaufwandes nicht zu rechnen ist.

Sensible Daten sind Daten, aus denen rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Diese Daten sind stärker geschützt, z.B. gilt der Erlaubnistatbestand der Interessensabwägung hier generell nicht. Eine Einwilligung zur Verarbeitung sensibler Daten muss auch immer ausdrücklich erteilt werden, eine konkludente Einwilligung ist nicht ausreichend.

Mit „Profiling“ wird jede Art der automatisierten Verarbeitung personenbezogener Daten definiert, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.20 Beispiele: Unternehmen wie Amazon, Google oder Facebook erfassen das Nutzerverhalten (welche Seiten aufgerufen werden, welche Suchbegriffe eingegeben werden) und errechnen mit Algorithmen, welche Produkte die Besucher interessieren können (zielgerechte, „targeted“ Werbung). NutzerInnen erhalten nur noch das, was sie laut den erstellten Profilen interessiert. Kritik am Profiling: Das Profiling baut auf der Prämisse auf, dass ein Nutzer Interessen hat, die sich aus seinem Nutzerverhalten mathematisch ableiten lassen – eine Annahme, die nicht unumstritten ist. Eine „Welt der Vorhersagen“, die zu einer „Welt der Vorherbestimmung“ wird, bei der der freie Wille auf der Strecke bleibt, ist gewiss alles andere als wünschenswert. Dies umso weniger, als Kreativität, Flexibilität und Spontaneität auf der Strecke bleiben könnten.21

Der Begriff „Verarbeitung“ umfasst jeden Vorgang in Bezug auf personenbezogene Daten: z.B. Erhebung, Speicherung, Anpassung oder Veränderung, Abfragen, Verwendung, Übermittlung – auch die manuelle Verarbeitung von Daten in einem Dateisystem oder Daten, die auf sonstige Weise gespeichert werden sollen.

Verantwortliche sind natürliche oder juristische Personen, Behörden oder Einrichtungen, die über die Verarbeitung personenbezogener Daten entscheiden.

Auftragsverarbeiter sind natürliche oder juristische Personen, Behörden oder Einrichtungen, die personenbezogene Daten im Auftrag der Verantwortlichen verarbeiten.

19 Ecolex, Sonderheft Datenschutz-Grundverordnung, Seite 912 20 Art. 4 Z. 4 DS-GVO 21 https://www.cr-online.de/blog/2013/10/09/datenschutz-im-21-jahrhundert-teil-1-um-was-geht-es-beim-profiling/



4. Wann ist die Datenverarbeitung zulässig? Dafür müssen bestimmte Grundsätze22 erfüllt werden:

Rechtmäßigkeit gem. Art. 6 DS-GVO (Erlaubnistatbestände) Verarbeitung nach Treu und Glauben Transparenz (Verarbeitung muss für die betroffene Person nachvollziehbar sein) Zweckbindung (Datenerhebung für festgelegte, eindeutige und legitime Zwecke) Datenminimierung Sachliche Richtigkeit Speicherbegrenzung (Speicherung nur so lange, wie es für die Zweckerreichung

notwendig ist) Integrität und Vertraulichkeit (Schutz vor unbefugter Verarbeitung, Verlust,

Zerstörung oder Beschädigung)

Die Rechtmäßigkeit23 ist in folgenden Fällen gegeben: Bei Einwilligung24 der betroffenen Person: diese muss freiwillig, für einen

bestimmten Fall, nach Information (auch über die Widerrufsmöglichkeit) und unmissverständlich abgegeben werden. Der Text muss klar und einfach geschrieben und in Allgemeinen Geschäftsbedingungen deutlich vom Rest des Textes unterscheidbar sein25. Kinder können in „Dienste der Informationsgesellschaft, die ihnen direkt gemacht werden“26 (z.B. Social Media-Anbieter), mit Vollendung des 14. Lebensjahres selbst einwilligen

Für die Vertragsanbahnung, Vertragserfüllung Zur Erfüllung rechtlicher Pflichten (z.B. Erhebung der Sozialversicherungsnummer

zur Anmeldung bei der Krankenkasse) Zum Schutz lebenswichtiger Interessen der betroffenen oder einer anderen Person Für öffentliche Interessen Bei berechtigten Interessen (Interessenabwägung): Die Verarbeitung ist zur

Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, wenn nicht die berechtigten Interessen oder Grundrechte der betroffenen Person überwiegen, besonders bei Kindern

Wenn die schutzwürdigen Geheimhaltungsinteressen des Betroffenen nicht verletzt werden

Formulierungsvorschlag einer Einwilligungserklärung der WKO: „Der Vertragspartner stimmt zu, dass seine persönlichen Daten, nämlich … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur Zusendung von Werbematerial über die Produkte der Firma …“) bei der Firma NN verarbeitet werden und die Daten … (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“ etc.) zum Zweck der … (genaue Zweckangabe, z.B. „zur zentralen Abwicklung des Kunden-Beschwerdemanagements“) an … (genaue Angabe des Übermittlungsempfängers, z.B. Name der Konzernmutter mit Anschrift) weitergegeben werden. Diese Einwilligung kann jederzeit bei … (Angabe der entsprechenden Kontaktdaten) widerrufen werden.“

22 Art. 5 DS-GVO, § 6 DSG (neu) 23 Art. 6 DS-GVO 24 Bereits erteilte Einwilligungen bleiben aufrecht, wenn sie den Bestimmungen der DS-GVO entsprechen. 25 Besser sind separate Einwilligungserklärungen – in AGBs integrierte könnten gegen das Prinzip der Freiwilligkeit verstoßen 26 § 4 Abs. 4 Datenschutz-Anpassungsgesetz 2018



5. Zulässigkeit der Verarbeitung sensibler Daten Dafür gelten strengere Voraussetzungen. Die Datenverarbeitung27

ist zur Erfüllung arbeits- oder sozialrechtlicher Verpflichtungen (einschließlich der Kollektivverträge und Betriebsvereinbarungen) erforderlich

ist zum Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person erforderlich und die betroffene Person ist aus körperlichen oder rechtlichen Gründen außer Stande, ihre Einwilligung zu geben,

erfolgt auf der Grundlage geeigneter Garantien (z.B. verbindliche interne Datenschutzvorschriften, Zertifizierungen) durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht im Rahmen ihrer rechtmäßigen Tätigkeiten und unter der Voraussetzung, dass sich die Verarbeitung ausschließlich auf die Mitglieder oder ehemaligen Mitglieder der Organisation oder auf Personen, die im Zusammenhang mit deren Tätigkeitszweck regelmäßig Kontakt mit ihr unterhalten, bezieht und die personenbezogenen Daten nicht ohne Einwilligung der betroffenen Personen nach außen offengelegt werden,

bezieht sich auf personenbezogene Daten, die die betroffene Person offensichtlich öffentlich gemacht hat,

ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich,

ist auf Grundlage gesetzlicher Vorgaben aus Gründen eines erheblichen öffentlichen Interesses erforderlich,

ist für Zwecke der Gesundheitsvorsorge oder der Arbeitsmedizin, für die Beurteilung der Arbeitsfähigkeit des Beschäftigten, für die medizinische Diagnostik, die Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich auf der Grundlage von Gesetzen oder aufgrund eines Vertrags mit einem Angehörigen eines Gesundheitsberufs erforderlich (Verarbeitung durch Fach-personal, das der Geheimhaltungspflicht unterliegt)

ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit, wie dem Schutz vor schwerwiegenden, grenzüberschreitenden Gesundheitsgefahren oder zur Gewährleistung hoher Qualitäts- und Sicherheitsstandards bei der Gesundheitsversorgung und bei Arzneimitteln und Medizinprodukten, auf der Grundlage von europarechtlichen oder nationalen Gesetzen erforderlich oder

die Verarbeitung ist auf gesetzlicher Grundlage für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke erforderlich

oder bei ausdrücklicher Einwilligung.

27 Art. 9 DS-GVO



6. Pflichten für Unternehmen28: Es gibt keine Meldepflicht bei der Datenschutzbehörde mehr (Datenverarbeitungsregister), dafür stärkere Eigenverantwortung und Neuregelung der Pflichten für Verantwortliche und Auftragsverarbeiter:

Datengeheimnis29: Verschwiegenheitspflicht; Datenweitergabe durch MitarbeiterInnen nur aufgrund einer ausdrücklichen Anordnung des Dienstgebers, MitarbeiterInnen müssen verpflichtet werden, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten (z.B. durch Aufnahme in den Dienstvertrag).

Datenverarbeitungsverzeichnis30: Inhalt ähnlich den derzeitigen DVR-Meldungen (Kontaktdaten, Verarbeitungszweck, Information über betroffene Personen, Daten, Empfänger, allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen u.a.). Unternehmen mit weniger als 250 MitarbeiterInnen müssen nur dann kein solches Verzeichnis führen, wenn die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt und keine Verarbeitung besonderer Datenkategorien (sensible Daten) bzw. keine Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten umfasst.

Datenschutz durch technische und organisatorische Sicherheitsmaßnahmen31 und deren Dokumentation: Diese müssen vom Verantwortlichen „unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der mit der Verarbeitung verbundenen Risiken für die Rechte und Freiheiten natürlicher Personen“ getroffen werden.

Organisatorische Maßnahmen sind z.B.: Zugangskontrolle, Datenträgerkontrolle, interne Datenschutz-Leitlinien, System für den Umgang mit Datenzwischenfällen, Mitarbeiterschulungen, regelmäßige Kontrollen der Datenschutz-Compliance, Formulare für Datenschutzerklärungen, Einwilligungserklärungen, Vertraulichkeitsvereinbarungen.32

Zu den technischen Maßnahmen gehören „privacy by design“-Maßnahmen („Datenschutz durch Technikgestaltung“) – z.B. der Einsatz von pseudonymisierten Daten, Verschlüsselung, Passwortsicherung, Zugriffsbeschränkungen, Eingabekontrolle, Gewährleistung der Wiederherstellung, Gewährleistung der Zuverlässigkeit des Systems und der Datenintegrität; und „privacy by default“-Maßnahmen („datenschutzfreundliche Voreinstellungen“) – diese sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden und personenbezogene Daten nicht ohne Eingreifen der betroffenen Person einer unbestimmten Anzahl von natürlichen Personen zugänglich gemacht werden.

28 https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html29 § 6 Datenschutz-Anpassungsgesetz 2018 30 Art. 30 DS-GVO, § 49 Datenschutz-Anpassungsgesetz 201831 Art. 25 DS-GVO, § 54 Datenschutz-Anpassungsgesetz 201832 Ecolex 2017, 919



Beispiel: Reicht das Alter oder das Geburtsjahr einer Person für den Zweck der Datenverarbeitung aus, darf nicht auch das genaue Geburtsdatum verarbeitet werden.

Informationspflicht33 bei Erhebung von personenbezogenen Daten direkt bei der betroffenen Person, z.B. mit einer Datenschutzerklärung (Name und Kontaktdaten des Verantwortlichen, Zweck und Rechtsgrundlage der Verarbeitung, allfällige automatisierte Entscheidungsfindungen einschließlich Profiling, Empfänger der Daten, Information über Betroffenenrechte, Möglichkeit der Anrufung der Aufsichtsbehörde, Aufklärung, ob Datenerhebung verpflichtend ist und die Folgen der Nichtbereitstellung – z.B. kein Vertragsabschluss). In der Praxis werden die Informationen häufig über Datenschutzbestimmungen oder Datenschutzerklärungen (Privacy Policies) erteilt.34

Datenschutz-Folgenabschätzung35: für Verarbeitungsvorgänge, bei denen das Risiko einer Verletzung von Rechten betroffener Personen voraussichtlich besonders hoch ist (z.B. Identitätsdiebstahl, Rufschädigung, Verletzung von Berufsgeheimnissen, Profiling, sensible Daten im großen Umfang, systematische umfangreiche Überwachung des öffentlichen Raumes). Diese muss vor Beginn der Verarbeitung durchgeführt werden und Folgendes beinhalten: geplante Verarbeitung, Zweck, Risikobewertung, Maßnahmen zur Risikoabwehr, „gegebenenfalls“ Stellungnahme der betroffenen Person. Ergibt sich aus der Datenschutz-Folgenabschätzung, dass die geplante Datenverarbeitung ein hohes Risiko hätte und dieses auch nicht durch geeignete Maßnahme eingedämmt werden kann, muss der Verantwortliche die Datenschutzbehörde konsultieren. Die Datenschutzbehörde hat die Pflicht zur Veröffentlichung einer „schwarzen Liste“ von Verarbeitungen, für die eine Datenschutz-Folgenabschätzung jedenfalls erforderlich ist, und kann eine „weiße Liste“ mit Verarbeitungen herausgeben, für die es keine Datenschutz-Folgenabschätzung braucht. Beispiel für Pflicht zur Datenschutz-Folgenabschätzung: Umfangreiche Verarbeitung von Gesundheitsdaten oder von Daten über strafrechtliche Verurteilungen und Straftaten.

Ein Datenschutzbeauftragter36 muss bestellt werden, wenn die Kerntätigkeit in der umfangreichen, regelmäßigen und systematischen Überwachung von natürlichen Personen besteht (z.B. Banken, Versicherungen, Securityfirmen37) oder die Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten (z.B. Krankenanstalten) oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht. Ihre/Seine Aufgaben sind Beratung des Unternehmens zu datenschutzrechtlichen Pflichten, Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften, Beratung zur Datenschutz-Folgenabschätzung, Zusammenarbeit mit der Datenschutzbehörde. Diese Tätigkeit können sowohl eigene Beschäftigte als auch Externe ausführen. Es gibt keine Detailvorschriften über Ausbildungsdauer usw. – wichtig ist Fachwissen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis. Datenschutzbeauftragte müssen weisungsfrei sein, genießen Kündigungsschutz und sind zur Verschwiegenheit verpflichtet. Behörden und öffentliche Stellen müssen ebenfalls eine/n Datenschutzbeauftragte/n bestellen (für Schulen übernimmt laut Auskunft des BMBWF der jeweilige Landesschulrat diese Funktion).

33 Art 13 DS-GVO34https://www.usp.gv.at/Portal.Node/usp/public/content/it_und_geistiges_eigentum/datenschutz_neu/pflichten_unternehmen/313019.html35 Art. 35 DS-GVO, § 52 Datenschutz-Anpassungsgesetz 201836 Art. 37-39 DS-GVO 37 Ecolex 2017, 918 mit den dortigen Quellenverweisen



Meldung von Datenschutzverletzungen an die Aufsichtsbehörde (Data Breach Notification)38 unverzüglich, längstens binnen 72 Stunden nach dem Entdecken – außer die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten – und bei hohem Risiko auch Verständigung der betroffenen Person. Beispiele: Verlust eines Datenträgers, auf dem Kundendaten gespeichert sind; Hackerangriff.

7. Rechte von Betroffenen

Recht auf Information (siehe auch Punkt 5 Informationspflicht):Der Verantwortliche muss betroffenen Personen bestimmte Informationen zukommen lassen (z.B. Name und Kontaktdaten des Verantwortlichen, Zweck der Datenverarbeitung, Speicherdauer usw.). Alle Informationen müssen präzise, transparent, verständlich und leicht zugänglich in einer klaren und einfachen Sprache übermittelt werden (Recht auf Transparenz).39

Auskunftsrecht40: über alle Daten im Rahmen der Informationspflicht; die Daten sind in elektronischer Form zur Verfügung zu stellen. Frist: ein Monat nach Einlagen des Antrags (kann um zwei Monate verlängert werden). Einschränkung durch das Datenschutz-Deregulierungsgesetz 2018: "Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde."

Recht auf sofortige Berichtigung41 unrichtiger oder unvollständiger Daten

Recht auf Löschung (Recht auf „Vergessenwerden“)42: Daten müssen unverzüglich gelöscht werden, wenn sie für die Verarbeitung nicht mehr notwendig sind, bei Widerruf der Einwilligung, berechtigtem Widerspruch gegen die Verarbeitung, unrechtmäßiger Verarbeitung oder einer sonstigen Pflicht zur Löschung.

Recht auf Einschränkung der Verarbeitung43, z.B. wenn die Datenrichtigkeit bestritten wird oder wenn ein Streit über die Berechtigung anhängig ist (z.B. Sperre für Nutzer, Entfernen von Website)

Recht auf Datenübertragbarkeit44: Die betroffene Person hat das Recht, ihre selbst bereitgestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

Das Widerspruchsrecht45 bei Verarbeitungen, die auf Basis eines öffentlichen Interesses oder einer Interessensabwägung erfolgen, führt zu einer Beendigung der Datenverarbeitung, außer der Verantwortliche weist nach, dass die Verarbeitung aufgrund des Überwiegens seiner eigenen berechtigten Interessen zulässig oder zur Rechtsverteidigung notwendig ist. Bei Direktwerbung führt ein Widerspruch immer zur Beendigung der Datenverarbeitung.

38 Art. 33 DS-GVO 39 Art. 12 DS-GVO 40 Art 15 DS-GVO41 Art. 16 DS-GVO42 Art. 17 DS-GVO 43 Art. 18 DS-GVO 44 Art. 20 DS-GVO45 Art. 21 DS-GVO



8. Bildverarbeitung (bisher „Videoüberwachung“)46 Unter die neue Regelung fallen grundsätzlich alle Foto- und Videoaufnahmen im privaten Bereich. Bisher musste eine Videoüberwachung auch im privaten Bereich bis auf wenige Ausnahmen der Datenschutzbehörde gemeldet werden. Nun gibt es zulässige Bildaufnahmen: im lebenswichtigen Interesse einer Person, bei Einwilligung, wenn gesetzlich erlaubt oder wenn „im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist“. Jedenfalls zulässig sind Aufnahmen,

die dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dienen und räumlich nicht über die Liegenschaft hinausreichen, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,

wenn sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich sind und kein gelinderes geeignetes Mittel zur Verfügung steht (z.B. Juweliere, Banken …)

wenn sie ein privates Dokumentationsinteresse verfolgen, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist (z.B. Urlaubsfotos).

Unzulässige Aufnahmen sind Bildaufnahmen ohne ausdrückliche Einwilligung der betroffenen Person in deren

höchstpersönlichen Lebensbereich, Bildaufnahmen zum Zweck der Kontrolle von Arbeitnehmern der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen

personenbezogenen Daten mit anderen personenbezogenen Daten oder die Auswertung von mittels Bildaufnahmen gewonnenen personenbezogenen

Daten anhand von besonderen Kategorien personenbezogener Daten (sensible Daten) als Auswahlkriterium. Allerdings: Mit ausdrücklicher Einwilligung der betroffenen Person ist ein Abgleich von Bilddaten zulässig (z.B. bei Zutrittskontrollen auf der Basis eines Abgleichs biometrischer Bilddaten) – gemäß Datenschutz-Deregulierungsgesetz 201.

Für Bildaufnahmen Verantwortliche müssen folgende besondere Datensicherheitsmaßnahmen und Kennzeichnungen47 ergreifen: (sofern die Bildaufnahme nicht lediglich ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist – z.B. Urlaubsfotos):

dem Risiko des Eingriffs angepasste geeignete Datensicherheitsmaßnahmen ergreifen und dafür sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung durch Unbefugte ausgeschlossen ist,

jeden Verarbeitungsvorgang protokollieren, außer bei Echtzeitüberwachung, aufgenommene personenbezogene Daten löschen, wenn sie für den Zweck, für

den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzliche Aufbewahrungspflicht besteht (– eine länger als 72 Stunden andauernde Aufbewahrung muss verhältnismäßig sein und ist gesondert zu protokollieren und zu begründen),

die Bildaufnahme geeignet kennzeichnen. Aus der Kennzeichnung muss jedenfalls der Verantwortliche eindeutig hervorgehen, es sei denn, dieser ist den betroffenen Personen nach den Umständen des Falles bereits bekannt.

46 §§ 12, 13 Datenschutz-Anpassungsgesetz 201847 § 13 Datenschutz-Anpassungsgesetz 2018



Werden keine ausreichenden Informationen bereitgestellt, kann jeder von einer Verarbeitung potentiell Betroffene vom Eigentümer oder Nutzungsberechtigten einer Liegenschaft oder eines Gebäudes oder sonstigen Objekts, von dem aus eine solche Verarbeitung augenscheinlich ausgeht, Auskunft über die Identität des Verantwortlichen begehren.

Strafbestimmungen: Wer eine Bildverarbeitung entgegen den genannten Bestimmungen betreibt, ist mit Geldstrafe bis zu € 50.000,– zu bestrafen, sofern die Tat nicht unter die Strafbestimmungen der Datenschutz-Grundverordnung fällt oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist.

9. Datenübermittlung an Drittländer Wie eingangs erwähnt, ist die Datenübermittlung innerhalb der EU ohne Einschränkungen möglich, wohingegen die Übermittlung an Drittländer strengen und detaillierten Vorschriften unterliegt.48 Daten dürfen darüber hinaus an Drittländer übermittelt werden, wenn ein Beschluss der Europäischen Kommission die Datenschutzstandards als angemessen einstuft (z.B. Andorra, Argentinien, Israel, Kanada, Neuseeland, Schweiz, USA nur für nach dem US-Privacy-Shield zertifizierte Empfänger49). Innerhalb eines Konzerns dürfen Daten an Drittländer übermittelt werden, wenn der Konzern von der Datenschutzbehörde genehmigte verbindliche Datenschutzvorschriften („Binding Corporate Rules“) erlassen hat.50

10. Rechtsdurchsetzung und Strafen:

Strafen bei Datenschutzverletzungen sollen wirksam, verhältnismäßig und abschreckend sein. Die Rolle der Datenschutzbehörde wurde aufgewertet.

Jede Person, die glaubt, dass die Verarbeitung der sie betreffenden Daten nicht rechtmäßig ist, hat das Recht auf eine Beschwerde bei der Datenschutzbehörde51. Bei grenzüberschreitenden Verarbeitungen ist nach dem „One-Stop-Shop-Prinzip“ die Aufsichtsbehörde am Sitz der Hauptniederlassung als „federführende Aufsichtsbehörde“ zuständig52. Betroffene Personen können sich auch von einer Datenschutzeinrichtung ohne Gewinnerzielungsabsicht (NGO) vertreten lassen, allerdings dürfen solche Einrichtungen seit dem Datenschutz-Deregulierungsgesetz 2018 keine Schadenersatzansprüche geltend machen, was ihre Arbeit nach Ansicht von Datenschützern massiv erschwert.53

Die Datenschutzbehörde ist u.a. berechtigt, nach Verständigung des Inhabers Räume, in welchen die Datenverarbeitung vorgenommen wird, zu betreten, Datenverarbeitungsanlagen in Betrieb zu setzen, die zu überprüfenden Verarbeitungen durchzuführen, Kopien von Datenträgern herzustellen, eine vorübergehende oder endgültige Beschränkung der Verarbeitung oder ein Verbot zu verhängen. 54 Gegen einen Beschluss der Datenschutzbehörde oder wegen Verletzung der Entscheidungspflicht kann Beschwerde an das Bundesverwaltungsgericht erhoben werden.

Bei bestimmten schweren Verstößen können nach der DS-GVO Geldbußen von bis zu EUR 20 Mio. oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres eines Unternehmens verhängt werden, je nachdem, welcher Betrag höher ist (z.B. Verletzung der Betroffenenrechte). In sonstigen Fällen beträgt die Strafhöhe bis zu EUR 10 Mio. bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres (z.B. Verletzung der 48 Art. 44 -50 DS-GVO, §§ 58, 59 Datenschutz-Anpassungsgesetz 2018 49 Ecolex 2017, 923 mit den angegebenen Quellen 50 Art. 46, 47 DS-GVO 51 Art. 55 DS-GVO, §§ 24 ff Datenschutz-Anpassungsgesetz 2018 52 Art. 56 DS-GVO 53 https://derstandard.at/2000078602336/DSGVO-Oesterreich-verwaessert-europaeischen-Datenschutz54 Art. 58 DS-GVO, § 33 Datenschutz-Anpassungsgesetz 2018


https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Rechtsdurchsetzung-und-St.html#heading_Strafen_nach_der_DSGVO


Datensicherheitsvorschriften). Mit dem Datenschutz-Deregulierungsgesetz 2018 wurde das Prinzip „Verwarnen statt Strafen“ festgelegt. „Die Datenschutzbehörde wird insbesondere bei erstmaligen Verstößen gegen Datenschutzbestimmungen von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen“.55

Ebenfalls im Datenschutz-Deregulierungsgesetz 2018: Verhängt eine andere Verwaltungsbehörde eine Verwaltungsstrafe, kann die Datenschutzbehörde ihrerseits nicht mehr strafen – egal, wie hoch die andere Verwaltungsstrafe war.

Gegen juristische Personen können Geldstrafen verhängt werden, wenn die Verletzung durch ein Organ in Führungsposition begangen wurde oder wegen mangelnder Überwachung oder Kontrolle durch eine Führungsperson (Bsp: Strafe gegen das Unternehmen selbst wegen fehlendem Datenschutz-Managementsystem oder fehlender Implementierung eines Kontrollsystems). Aber: Nur wenn das Management oder eine unternehmensinterne Kontrolleinrichtung wiederholt den Datenschutz verletzt, kann die Datenschutzbehörde Strafen aussprechen (Datenschutz-Deregulierungsgesetz 2018).

Im Falle von Schäden durch Datenschutzverletzungen kann eine Klage auf Schadenersatz56 gegen alle Verantwortlichen eingebracht werden, Auftragsverarbeiter haften nur unter gewissen Voraussetzungen.

11. Weitere Inhalte:

Das neue DSG sieht auch eine Verwaltungsstrafbestimmung mit Geldstrafen durch die Datenschutzbehörde von bis zu € 50.000,– vor, z.B. wenn sich jemand vorsätzlich widerrechtlichen Zugang zu einer Datenverarbeitung verschafft, wenn Daten vorsätzlich in Verletzung des Datengeheimnisses übermittelt werden, wenn sich jemand unter Vortäuschung, Verantwortlicher einer Hilfsorganisation im Katastrophenfall zu sein, Daten beschafft oder wenn gegen die Regeln der Bildverarbeitung (siehe Punkt 7) verstoßen wird.

Weiters wird der gerichtliche Straftatbestand der „Datenverarbeitung in Gewinn- oder Schädigungsabsicht“ geschaffen57 und mit Freiheitsstrafe bis zu einem Jahr oder Geldstrafe bis zu 720 Tagessätzen bestraft.

Es gibt auch umfangreiche und detaillierte Regelungen für die Verarbeitung personenbezogener Daten für Zwecke der Sicherheitspolizei einschließlich des polizeilichen Staatsschutzes, des militärischen Eigenschutzes, der Aufklärung und Verfolgung von Straftaten, der Strafvollstreckung und des Maßnahmenvollzuges.58

55 Siehe FN856 Zuständig ist gemäß § 29 Datenschutz-Anpassungsgesetz 2018 das Landesgericht im Sprengel des Wohnortes oder gewöhnlichen Aufenthalts des Klägers oder des Beklagten. 57 § 63 Datenschutz-Anpassungsgesetz 2018 58 §§ 36 ff Datenschutz-Anpassungsgesetz 2018



12. Änderungen durch das Datenschutz-Deregulierungsgesetz 201859 (Auszug):

Klarstellung, dass die Bestimmungen der Datenschutz-Grundverordnung (DSGVO) sowie des Datenschutzgesetzes für die Verarbeitung personenbezogener Daten natürlicher Personen – nicht juristischer Personen – gelten.

Es besteht kein Auskunftsrecht von BürgerInnen gegenüber der allgemeinen öffentlichen Verwaltung, wenn durch die Auskunftserteilung die Erfüllung gesetzlich übertragener Aufgaben gefährdet wird.

Das Datenschutzgesetz sowie weite Teile der DSGVO gelten nicht für Medienunternehmen und journalistische Arbeit. Die Datenschutzbehörde muss bei Ausübung ihrer Befugnisse gegenüber Journalisten u.a. den Schutz des Redaktionsgeheimnisses beachten.

Die Datenschutzbehörde macht insbesondere bei erstmaligen Verstößen gegen Datenschutzbestimmungen von ihren Abhilfebefugnissen (insbesondere Verwarnung) Gebrauch.

Unternehmen können für Gesetzesverletzungen untergeordneter Mitarbeiter nicht bestraft werden. Nur wenn das Management oder eine unternehmensinterne Kontrolleinrichtung wiederholt den Datenschutz verletzt, kann die Datenschutzbehörde Strafen aussprechen.

Verhängt eine andere Verwaltungsbehörde eine Verwaltungsstrafe, kann die Datenschutzbehörde ihrerseits nicht mehr strafen – egal, wie hoch die andere Verwaltungsstrafe war.

Einschränkungen des Auskunftsrechts: "Das Recht auf Auskunft der betroffenen Person gemäß Art. 15 DSGVO besteht gegenüber einem Verantwortlichen unbeschadet anderer gesetzlicher Beschränkungen in der Regel dann nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde."

Gemeinnützige Organisationen, die im Auftrag von Betroffenen einzelne Fälle sammeln, dürfen keinen Schadenersatz verlangen.

Videoüberwachung ist auch dann zulässig, wenn es datenschutzfreundlichere Sicherheitsvorkehrungen gäbe.

Mit ausdrücklicher Einwilligung der betroffenen Person ist ein Abgleich von Bilddaten zulässig (z.B. bei Zutrittskontrollen auf der Basis eines Abgleichs biometrischer Bilddaten).

59 Siehe FN 8, help.gv.at, http://www.monitor.at/storyid/article/dsgvo-ein-zahnloser-loewe/



13. Schulbuchbezug

Recht kompetentRecht für HUMSB-Nr.: 185958 mit digi4schoolISBN: 9783706855266NEU Auflage 2018

Zum Online Katalog

Volkswirtschaft und Recht HAS 3Menschen - Mächte - MärkteSB-Nr.: 176266 mit digi4schoolISBN: 9783706853620Auflage 2017

Zum Online Katalog

Recht für FachschulenSB-Nr.: 176905 mit digi4schoolISBN: 9783706855907NEU Auflage 2018

Zum Online Katalog

Recht für Techniker HTL IV/VWirtschaft und Recht, Kompetenzbereich RechtSB-Nr.: 185963 mit digi4schoolISBN: 9783706854825NEU Auflage 2018

Zum Online Katalog

Recht kompaktSB-Nr.: 180957 mit digi4schoolISBN: 9783706855884NEU Auflage 2018

Zum Online Katalog


https://wirlernenmitmanz.at/produkt/recht-kompakt-mit-digi4school/

https://wirlernenmitmanz.at/produkt/volkswirtschaft-und-recht-has-3-mit-digi4school/



https://wirlernenmitmanz.at/produkt/recht-kompetent-mit-digi4school/


14. Anregungen zum Einsatz im Unterricht

Aufgabe mit RIS-Recherche und Lesen eines Bundesgesetzblattes:

Suchen Sie das Datenschutz-Anpassungsgesetz auf www.ris.bka.gv.at (BGBl. I Nr. 120/2017)!

Lesen Sie die erste und letzte Seite des Bundesgesetzblattes und wiederholen Sie, wie ein Bundesgesetz entsteht! Wie heißt das Gesetz zum Datenschutz in Österreich jetzt? Wann treten die Änderungen in Kraft?

Suchen Sie die Bestimmungen zur Zulässigkeit einer Bildaufnahme! Nennen Sie Beispiele für Tätigkeiten, welche das Gesetz unter „Bildverarbeitung“ versteht!

Lösung:

Bundesgesetzgebung: Gesetzesvorschlag meist durch Bundesregierung (Regierungsvorlage), dann Beschluss durch Nationalrat, Bundesrat hat suspensives Vetorecht, Beurkundung durch Bundespräsident, Gegenzeichnung Bundeskanzler, Veröffentlichung im Bundesgesetzblatt Teil I. Das Gesetz heißt „Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz – DSG)“. Die meisten Änderungen treten mit 25.5.2018 in Kraft. Bestimmung zur Bildverarbeitung:

Zulässigkeit der Bildaufnahme§ 12. (1) Eine Bildaufnahme im Sinne dieses Abschnittes bezeichnet die durch Verwendung technischer Einrichtungen zur

Bildverarbeitung vorgenommene Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken. Zur Bildaufnahme gehören auch dabei mitverarbeitete akustische Informationen. Für eine derartige Bildaufnahme gilt dieser Abschnitt, soweit nicht durch andere Gesetze Besonderes bestimmt ist.

(2) Eine Bildaufnahme ist unter Berücksichtigung der Vorgaben gemäß § 13 zulässig, wenn1. sie im lebenswichtigen Interesse einer Person erforderlich ist,2. die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat,3. sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder4. im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit

gegeben ist.(3) Eine Bildaufnahme ist gemäß Abs. 2 Z 4 insbesondere dann zulässig, wenn

1. sie dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenschaften, die ausschließlich vom Verantwortlichen genutzt werden, dient, und räumlich nicht über die Liegenschaft hinausreicht, mit Ausnahme einer zur Zweckerreichung allenfalls unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen,

2. sie für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen, aufgrund bereits erfolgter Rechtsverletzungen oder eines in der Natur des Ortes liegenden besonderen Gefährdungspotenzials erforderlich ist und kein gelinderes geeignetes Mittel zur Verfügung steht, oder

3. sie ein privates Dokumentationsinteresse verfolgt, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder die gezielte Erfassung von Objekten, die sich zur mittelbaren Identifizierung solcher Personen eignen, gerichtet ist.

(4) Unzulässig ist1. eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichen Lebensbereich,2. eine Bildaufnahme zum Zweck der Kontrolle von Arbeitnehmern,3. der automationsunterstützte Abgleich von mittels Bildaufnahmen gewonnenen personenbezogenen Daten mit anderen

personenbezogenen Daten oder4. die Auswertung von mittels Bildaufnahmen gewonnenen personenbezogenen Daten anhand von besonderen Kategorien

personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium.(5) Im Wege einer zulässigen Bildaufnahme ermittelte personenbezogene Daten dürfen im erforderlichen Ausmaß übermittelt werden,

wenn für die Übermittlung eine der Voraussetzungen des Abs. 2 Z 1 bis 4 gegeben ist. Abs. 4 gilt sinngemäß.


http://www.ris.bka.gv.at/


Aufgabe mit Bezug zum EU-Recht: Besuchen Sie die Website der Datenschutzbehörde! Verwenden Sie den Link zur

Datenschutz-Grundverordnung (direkt zum Text der Verordnung) und lesen Sie den Einleitungstext!

Beschreiben Sie, o was eine EU-Verordnung ist und wie sie wirkto welche EU-Organe daran beteiligt sind

Lösung: Eine Verordnung ist eine in allen EU-Mitgliedsländern unmittelbar anwendbare Rechtsvorschrift. Der Vorschlag dazu kommt von der EU-Kommission, danach Beschluss durch Ministerrat und Europäisches Parlament.

https://www.gdd.de/downloads/materialien/cartoons


· web viewdatenarten genau aufzählen, z.b. „name“, „adresse“ etc.) zum zweck der …...

Documents