Die DSGVO in Österreich – Was sollte man dazu wissen?
Erfahren Sie in unserem Ratgeber alles über Neuerungen, Informationspflicht sowie Regelungen der DSGVO.
- Redaktion Vertragsrechtsinfo.at
Die DSGVO als Datenschutz-Grundverordnung des Europäischen Parlaments wurde zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zur Regelung einen freien Datenverkehr erlassen.
Dabei ist die DSGVO Bedeutung seit dem Mai 2018 vorrangig in Österreich, da die DSGVO in Österreich unmittelbar anwendbar ist und nur vom nationalen Datenschutzgesetz ergänzt wird.
In diesem Beitrag wollen wir alles Wissenswerte zur DSGVO zusammenstellen und dabei auch wichtige Fragen beantworten, wie z. B.: Was ist die DSGVO? Seit wann gilt die DSGVO? Muss ich die DSGVO überhaupt beachten? Gilt die DSGVO auch für den B2B Bereich?
Grundlagen der DSGVO in Österreich
Mit der beschlossenen DSGVO (Datenschutz-Grundverordnung der EU) wurden die Regelungen für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit einheitlich geregelt.
Dabei müssen seit dem Inkrafttreten der DSGVO im Mai 2018 alle Datenverarbeitungen auch in Österreich dieser Rechtsgrundlage entsprechen. Hierbei betrifft dies jedes Unternehmen in der EU, das in irgendeiner Form personenbezogene Daten speichert, Kundendateien führt, Rechnungen ausstellt oder auch Lieferdaten speichert, von der DSGVO betroffen.
Dabei hat dies für die Unternehmen wesentliche Neuerungen mit sich gebracht.
Welche Änderungen ergeben sich durch die DSGVO im Datenschutzrecht?
Durch die neue DSGVO gibt es einige Änderungen am nationalen Datenschutzgesetz, die sowohl für Privatpersonen als auch für Unternehmen zu beachten sind. Hierbei ist es besonders für Unternehmen wichtig, neue datenschutzrechtliche Maßnahmen zu treffen, da ansonsten empfindliche DSGVO Strafen drohen können.
Was sind die wichtigsten Neuerungen in der DSGVO Zusammenfassung?
Die neue DSGVO Verordnung regelt insbesondere die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen neu. Dabei stärkt die DSGVO besonders die Rechte der Nutzer durch neue Pflichten zur Transparenz und Information. Hierbei haben Betroffene einen einfacheren Zugang zu ihren Daten und auch der Information über ihre Nutzung.
Ferner wird auch das bislang nur durch Gerichte festgestellte „Recht auf Vergessenwerden“ nun durch die DSGVO gesetzlich festgeschrieben. Außerdem stellt die DSGVO auch strengere Anforderungen an den Datenschutz in Unternehmen.
Hierbei sind die Unternehmen z. B. verpflichtet, ihre elektronischen Anlagen und Anwendungen nach bestimmten Kriterien Datenschutz freundlich voreinzustellen. Ferner wurde auch eine neue Pflicht zu einer Datenschutz Folgenabschätzung für erhobene Daten, die besonderen Risiken ausgesetzt sind.
Dabei gilt die DSGVO auch für Unternehmen, die ihren Unternehmenssitz außerhalb der EU haben, sofern sich ihre Angebote auch Bürger der EU richten.
Deshalb sind hiervon besonders weltweit operierende Unternehmen wie z. B. Facebook und Google betroffen, die ihren Sitz in den USA haben. Dabei sind bei Verstößen gegen die DSGVO hohe Strafen vorgesehen, die bis zu 4% des Jahresumsatzes eines Unternehmens betragen können.
Welche Rechte haben betroffene Personen nach der neuen DSGVO?
Die Rechte zum Datenschutz werden im DSGVO Text in den Artikeln 11 -23 geregelt. Dabei bringen diese für die Verantwortlichen im Sinne des Art. 4 DSGVO, neue Pflichten mit sich, um auf die folgenden Rechte der Betroffenen angemessen reagieren zu können.
Das Auskunftsrecht nach der DSGVO
In Bezug auf den Datenschutz haben Betroffene ein sehr umfassendes Auskunftsrecht gemäß dem Art. 15 DSGVO. Dabei kann nun nach DSGVO der Betroffene auch eine Kopie der eigenen personenbezogenen Daten, die verarbeitet werden, verlangen.
Hierbei muss ein Verantwortlicher auf Anfrage einer betroffenen Person schriftlich bestätigen, ob er personenbezogene Daten verarbeitet hat. Dabei hat der Betroffene ein Recht auf Auskunft über die Verarbeitungszwecke, die Kategorien der personenbezogenen Daten und auch die Herkunft der Daten.
Hierbei ist der Verantwortliche verpflichtet, diese Auskünfte unverzüglich zu erteilen, spätestens nach Verlangen innerhalb von einem Monat. Jedoch handelt es nach Auffassung der Juristen dabei um einen höchstpersönlichen Anspruch, den man als Betroffener nur selbst geltend machen kann.
Das Recht auf Datenübertragbarkeit
Durch die DSGVO wurde auch das neue Recht auf Datenübertragbarkeit geschaffen. Dabei ist ein Betroffener befugt, seine Daten „mitzunehmen“.
Hierbei ist er berechtigt, einen Verantwortlichen anzuweisen, seine Daten von einer automatisierten Anwendung auf eine andere Anwendung zu übertragen. Hierbei hat dieses neue geschaffene Recht zum Ziel, es einem Betroffenen zu ermöglichen, z. B. einen Anbieter zu wechseln ohne Datenverlust.
Das Recht auf Löschung
Der Artikel 17 DSGVO gibt einem Betroffenen auch das Recht, die Löschung personenbezogener Daten zu verlangen. Dabei besteht dieses Recht, wenn eine der folgenden Voraussetzungen erfüllt sind:
- Personenbezogene Daten, die erhoben oder verarbeitet wurden, sind für die ursprünglichen Zwecke nicht mehr notwendig.
- Widerruf der Einwilligung zur Verarbeitung, wenn kein anderer Rechtsgrund für eine Verarbeitung vorliegt.
- Unrechtmäßige Verarbeitung der personenbezogenen Daten
- Löschung von Daten ist nach gültigem Datenschutzrecht oder der DSGVO eine rechtliche Verpflichtung des Verantwortlichen
Recht auf Löschung kann eingeschränkt werden
In manchen Fällen kann sich ein Betroffener jedoch nicht auf das Recht zur Löschung nach DSGVO berufen. Dabei gilt dies z. B. in folgenden Fällen:
- Wenn eine Verarbeitung notwendig ist, um das Recht auf freie Meinungsäußerung oder Information auszuüben
- Die Verarbeitung erforderlich ist, um eine rechtliche Verpflichtung zu erfüllen
- Eine Verarbeitung im öffentlichen Interesse zur Archivierung ist, d.h. im Interesse wissenschaftlicher oder historischer Forschung steht oder für statistische Zwecke benötigt wird
Dabei wird das Recht auf Löschung durch die DSGVO erstmalig detailliert gesetzlich geregelt. Zusätzlich sieht die DSGVO auch ein Recht auf Berichtigung vor, wonach Betroffene verlangen können, dass unrichtige personenbezogene Daten korrigiert oder vervollständigt werden.
Außerdem sieht die DSGVO auch ein Recht auf die Einschränkung der Verarbeitung vor. Hierbei hat der Betroffene das Recht, unter bestimmten Voraussetzungen eine Einschränkung der Verarbeitung seiner Daten zu verlangen.
Welche Vorgaben macht die DSGVO für die Verantwortlichen?
Die Pflichten der Verantwortlichen sind in der DSGVO durch die Grundsätze der Datenverarbeitung im Artikel 5 definiert. Hierbei handelt es sich um die Einhaltung der Datenschutzgrundsätze und die Rechenschaftspflicht der Verantwortlichen, aus der sich vielfache weitere Pflichten ergeben.
Grundsätze der Datenverarbeitung
Die Grundsätze der Datenverarbeitung verlangen, dass diese sowohl rechtmäßig, richtig als auch zweckgebunden und transparent erfolgt. Ferner muss diese sich auch an den Vorgaben der Datenminimierung und Speicherbegrenzung orientieren.
Außerdem gilt dabei der Grundsatz der Vertraulichkeit, Integrität, Belastbarkeit, Intervenierbarkeit sowie eine Verarbeitung nach Treu und Glauben. Dabei muss die Einhaltung dieser Grundsätze gegenüber einer Aufsichtsbehörde nachweisbar sein.
Die Rechenschaftspflicht
Die Rechenschaftspflicht verlangt von den Verantwortlichen, dass sie ihre Datenverarbeitungsaktivitäten dokumentieren müssen und auch darlegen können, welche Maßnahmen sie zur Einhaltung der Vorgaben aus der DSGVO getroffen haben. Hierbei sind vor allen Dingen folgende Maßnahmen relevant:
- Führen eines Verzeichnisses der Verarbeitungsaktivitäten
- Dokumentation rechtmäßiger Einwilligungen
- Nachweis, dass personenbezogene Daten rechtmäßig verarbeitet werden
- Ergebnisse einer Datenschutzfolgenabschätzung darlegen
Hierbei ist es immer empfehlenswert, für ein Unternehmen eine Datenschutz- und Informationssicherheitsrichtlinie zu formulieren und zu dokumentieren.
Dabei kann diese nicht nur als Nachweis gegenüber einer Aufsichtsbehörde dienen, sondern auch zum Gestalten interner Prozesse dienen und zur Anleitung von Mitarbeitern. Deshalb empfiehlt es sich immer, bei der Gestaltung dieser Richtlinien die Unterstützung eines spezialisierten Anwalts für Vertragsrecht in Anspruch zu nehmen.
Hierbei kann dieser sicherstellen, dass eine unternehmensinterne Datenschutzrichtlinie vollständige Regelungsinhalte aufweist und den gesetzlichen Bestimmungen der DSGVO und den nationalen Datenschutzgesetzen entspricht.
Implementierung der Vorgaben aus der DSGVO in den Unternehmensprozess
Aus den oben beschriebenen Rechten und Pflichten, die sich für Betroffene und Verantwortliche aus den Bestimmungen der DSGVO ergeben, leiten sich direkt für die Unternehmen verschiedene Maßnahmen ab.
Hierbei sind besonders das Verzeichnis der Verarbeitungstätigkeiten, die Informationspflichten, die Anpassung der eigenen Datenschutzerklärung, das Verbot automatisierter Einzelfallentscheidungen, die Datenschutzfolgeabschätzung, die Meldung von Datenpannen und die Ernennung eines Datenschutzbeauftragten relevant
Das Verzeichnis der Verarbeitungstätigkeiten
Der DSGVO Text schreibt in Art. 30 vor, dass Verantwortliche ein Verzeichnis der Verarbeitungstätigkeiten führen müssen.
Hierbei handelt es sich um die Dokumentierung und Zusammenstellung aller Verfahren, bei denen die personenbezogenen Daten verarbeitet werden. Jedoch können bei Vorliegen bestimmter Voraussetzungen Unternehmen, die weniger als 250 Beschäftigte haben, ausgenommen werden von dieser Verpflichtung.
Dabei sieht die neue DSGVO Verordnung im Verhältnis zur bisherigen Gesetzeslage zusätzliche Angaben vor. Außerdem müssen Unternehmen dieses Verzeichnis auch einer Aufsichtsbehörde auf Verlangen verfügbar machen.
Die Informationspflichten der Verantwortlichen
Die neue DSGVO sieht für die Verantwortlichen außerdem weitreichende Informationspflichten gegenüber den Betroffenen vor. Hierbei müssen diese Informationen klar und verständlich sein. Außerdem bestehen die Informationspflichten sowohl online z. B. über die Datenschutzerklärung als auch offline z. B. für Besucher vor Ort.
Allerdings unterscheidet die DSGVO zwischen Informationspflichten, die sich aus der Erhebung personenbezogener Daten direkt beim Betroffenen ergeben und Informationspflichten, in denen personenbezogene Daten von Dritten bezogen werden.
Informationspflichten für Daten, die direkt beim Betroffenen erhoben werden
Für den Fall, dass Daten direkt vom Betroffenen erhoben werden, ist der Verantwortliche zu folgenden Informationen verpflichtet:
- Information zum Namen und allen Kontaktdaten des Verantwortlichen
- Zusätzlich evtl. die Kontaktdaten des Datenschutzbeauftragten
- Hinweis auf die Rechtsgrundlage der Datenverarbeitung
- Aufklärung über die Zwecke der Datenverarbeitung
- Dokumentation eines berechtigten Interesses an der Datenverarbeitung
- Offenlegung der Empfänger der Datenerhebung
- Information bei einer Datenübertragung an Drittländer
Außerdem sind Verantwortliche in ihrer Verpflichtung nach DSGVO zu einer transparenten und fairen Datenverarbeitung auch zur Bereitstellung weiterer Informationen verpflichtet:
- Informationen zur Dauer der Datenspeicherung
- Belehrung der Betroffenen bzgl. ihrer Rechte
- Hinweis auf Widerspruchsmöglichkeiten
- Aufklärung darüber, ob eine Datenverarbeitung vertraglich oder gesetzlich vorgeschrieben ist oder für einen Vertragsabschluss notwendig ist.
- Information über ein Bestehen einer automatisierten Einzelfallentscheidung oder Profiling (z. B. Erstellung eines Nutzerprofils)
Informationspflichten für personenbezogene Daten, die von Dritten bezogen werden
Für den Fall, dass personenbezogene Daten von einem Dritten bezogen werden und eben nicht direkt vom Betroffenen selbst, sieht die DSGVO leicht abgewandelte Informationspflichten vor.
Dabei bestehen im Wesentlichen die gleichen Informationspflichten wie bei einer Direkterhebung, jedoch muss dem Betroffenen zusätzlich mitgeteilt werden, welche Kategorien an personenbezogenen Daten in der Verarbeitung berücksichtigt wurden.
Außerdem ist der Verantwortliche auch verpflichtet, den Betroffenen über die Datenquelle zu informieren.
Für den Fall, dass die Daten direkt beim Betroffenen erhoben werden, müssen die Informationen bereits zum Erhebungszeitpunkt mitgeteilt und verfügbar gemacht werden. Hingegen können bei einer Weiterverarbeitung der Daten durch Dritte diese Information auch zu einem späteren Zeitpunkt erfolgen, jedoch maximal innerhalb eines Monats.
Ausnahmen von den Informationspflichten
Ausnahmen von den Informationspflichten bestehen in dem Falle, wenn ein Betroffener bereits über die Informationen verfügt.
Außerdem kann ein Anspruch auf Information auch dann ausgeschlossen werden, wenn eine Erteilung der Informationen zu einem unverhältnismäßigen Aufwand führen würde. Hierbei ist dann allerdings eine öffentliche Bekanntmachung erforderlich, z. B. auf einer Website.
Die Anpassung der Datenschutzerklärung
Generell ist jeder Betreiber einer Website dazu verpflichtet, eine Datenschutzerklärung bereitzustellen. Hierbei klärt er seine Besucher darüber auf, welche Daten erhoben werden und für welchen Zweck.
Dabei müssen nach dem Inkrafttreten der DSGVO jedoch von den Webseitenbetreibern neue Anforderungen berücksichtigt werden. Hierbei ergänzen sich die bisherigen Anforderungen insbesondere um folgende Punkte:
- Angabe der Rechtsgrundlage für die Datenverarbeitungen
- Bereithaltung aller verpflichtenden Informationen nach DSGVO
- Formulierung der Datenschutzerklärung ein einer klaren, verständlichen Sprache
- Die Datenschutzerklärung muss leicht zugänglich sein und bei Webseiten z. B. mit einem Klick erreichbar sein
Jedoch entsprechen die aktuell verwendeten Datenschutzerklärungen in den meisten Fällen noch nicht diesen Anforderungen.
Deshalb ist es dringend geboten, diese anzupassen. Lassen Sie sich hierzu beraten von einem spezialisierten Juristen für Vertragsrecht, der Ihnen helfen kann, Ihre Datenschutzerklärung anhand der Erfordernisse der DSGVO rechtlich korrekt zu modifizieren.
Berücksichtigung des Verbots automatisierter Einzelfallentscheidungen
Nach der DSGVO haben Betroffene das Recht, nicht einer ausschließlich automatisierten Verarbeitung ihrer Daten unterworfen zu werden, wen diese eine rechtliche Wirkung erzeugt oder sie in vergleichbarer Weise deutlich beeinträchtigt.
Dabei gehören zu den automatisierten Einzelfallentscheidungen alle diejenigen, die rechtliche Relevanz haben oder in anderer Weise eine beeinträchtigend wirken und nicht von einem Menschen getroffen wurden.
Hierbei kann es sich z. B. um vollautomatische Handhabung eines Online-Einstellungsverfahren handeln oder auch um die Ablehnung eines Online-Kredites. Außerdem ist hierbei auch das „Profiling“ betroffen, das eine Datenanalyse zur Feststellung oder Prognose von Persönlichkeitsmerkmalen darstellt (z. B. Gesundheit, persönliche Interessen etc.).
Jedoch wird nach DSGVO nicht das Profiling selbst verboten, sondern lediglich die Entscheidungen, die auf dieser Grundlage getroffen werden.
Ausnahmen vom Verbot automatisierter Einzelfallentscheidungen
Die DSGVO sieht jedoch Ausnahmen von diesem Verbot vor. Hierbei gilt das Verbot der automatisierten Einzelfallentscheidung ausnahmsweise nicht, wenn diese für den Abschluss eines Vertrages mit einem Betroffenen notwendig ist oder wenn ein Betroffener ausdrücklich eingewilligt hat. Außerdem werden auch Krankenversicherer ausgenommen von diesem Verbot, wenn es um die Leistungsprüfung geht.
Allerdings hat ein Betroffener dabei die Möglichkeit, eine Überprüfung der automatisierten Entscheidung zu verlangen.
Die Datenschutzfolgeabschätzung
Die Datenschutzfolgeabschätzung ist bereits durch das nationale Datenschutzrecht etabliert. Hierbei meint sie die Einschätzung von Verantwortlichen zu einer Datenverarbeitung in Bezug auf evtl. hohe Risiken für Freiheiten und Rechte eines Betroffenen.
Dabei ist eine Datenschutzfolgeabschätzung in mehreren Stufen durchzuführen und muss schriftlich dokumentiert werden.
Neuer Stellenwert des Schutzes personenbezogener Daten durch die DSGVO
Durch das Inkrafttreten der DSGVO erhält der Schutz personenbezogener Daten nochmals einen höheren Stellenwert als er im österreichischen Datenschutzgesetz schon vorgesehen war. Deshalb werden über die DSGVO auch neue Anforderungen an die interne Organisation und die Technik der Verantwortlichen gestellt.
Hierbei sind Verantwortliche also verpflichtet, geeignete technische und organisatorische Maßnahmen (TOM) zu treffen, die den Anforderungen gerecht werden.
Dabei sind die zu treffenden Maßnahmen einerseits vom Stand der Technik abhängig und aber auch den Risiken für die Freiheiten und persönlichen Rechte der Betroffenen durch die personenbezogene Datenverarbeitung. Allerdings können dabei unzureichende Schutzmaßnahmen nicht durch wirtschaftliche Bedingungen gerechtfertigt werden.
Vorgabe von Schutzmaßnahmen durch die DSGVO
Hierfür werden in der DSGVO bereits grundlegende Vorgaben für Schutzmaßnahmen gemacht, die jedoch nicht abschließend sind. Dabei handelt es sich z. B. um:
- Verschlüsselung und Pseudonymisierung personenbezogener Daten
- Maßnahmen, die auf Dauer sicherstellen, dass die Vertraulichkeit, Integrität, Belastbarkeit und Verfügbarkeit der Systeme gewährleistet ist bei der Verarbeitung personenbezogener Datenanalyse
- Sicherstellung der Verfügbarkeit von personenbezogenen Daten bei einem technischen Zwischenfall durch schnelle Wiederherstellungsmöglichkeiten
- Etablierung von Verfahren, die es erlauben, eine regelmäßige Überprüfung und auch Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen vorzunehmen
Dabei handelt es ich z. B. um wirksame IT- Sicherungsmaßnahmen, wie Virenschutz, Sicherstellung der Stromversorgung oder Back-Up Programme. Ferner gehören hierzu auch organisatorische Maßnahmen, wie z. B. Zugriffsrechte oder Zugangskontrollen. Außerdem zählen hierzu natürlich auch die internen betrieblichen Anweisungen für Mitarbeiter z. B. in Bezug auf Weitergabe von Daten und die Regeln zur Archivierung oder Löschung von Daten.
Regelungen zu Datenpannen – Informations- und Meldepflichten
Die DSGVO regelt ebenfalls die Informations- und Meldepflichten bei Datenpannen neu. Hierbei müssen alle Verletzungen von personenbezogenen Daten gemeldet werden, wenn sie ein Risiko für die Rechte und die persönlichen Freiheiten eines Betroffenen darstellen können.
Dabei sind Verantwortliche verpflichtet entsprechende Datenpannen sofort nach Bekanntwerden, jedoch spätestens nach 72 Stunden an die Aufsichtsbehörde zu melden.
Außerdem muss der Verantwortliche auch persönlich die betroffene Person von der Verletzung unterrichten, wenn diese voraussichtlich ein hohes Risiko für seine Rechte und Freiheiten darstellt. Dabei kann die Benachrichtigungspflicht jedoch entfallen, wenn Vorkehrungen getroffen wurden, die Daten für Unbefugte unzugänglich macht (z. B. Verschlüsselung).
Auftragsverarbeitung durch externe Dienstleister
Eine Auftragsverarbeitung durch Dritte ist auch nach der DSGVO weiterhin erlaubt. Dabei versteht sich die Auftragsverarbeitung als Erhebung, Nutzung und Verarbeitung von personenbezogenen Daten durch einen externen Dienstleister, der auf Weisung des Verantwortlichen arbeitet.
Hierbei bildet dann ein Dienstvertrag die Grundlage für die Zusammenarbeit. Dabei kann es sich z. B. um die Erstellung von Rechnungen durch einen externen Anbieter handeln oder die Speicherung der Daten.
Allerdings ist die Auftragsverarbeitung nur dann zulässig, wenn der Anbieter ausreichende Bedingungen bietet, die eine ordnungsgemäße Datenverarbeitung ermöglichen.
Hierbei sind in der DSGVO bereits viele Regelungen enthalten, die die Rechte und Pflichten beinhalten, die in einem entsprechenden Dienstvertrag zwingend vertraglich vereinbart werden müssen.
Ferner ist es nach der DSGVO auch zulässig, dass mehrere Unternehmen gemeinsam verantwortlich die Datenverarbeitung betreiben. Hierbei muss dann eine transparente Vereinbarung getroffen werden, die die Verarbeitungsziele und Verantwortlichkeiten festlegt und auch die Vorkehrungen zur Wahrung der Rechte von Betroffenen festlegt.
Rechtssichere Vertragsgestaltung durch einen Anwalt für Vertragsrecht
Dabei entsprechen die Regelungen der DSGVO weitgehend dem nationalen Datenschutzgesetz, jedoch verlangen sie zusätzlich vom Auftragsverarbeiter, dass auch er ein Verzeichnis der Verarbeitungstätigkeiten erstellen muss.
Für den Fall, dass sie einen Auftragsverarbeiter beauftragen wollen, sollten Sie sich im Vorfeld von einem spezialisierten Anwalt für Vertragsrecht beraten lassen.
Hierbei kann dieser Ihnen helfen einen rechtssicheren Vertrag gemäß den Bestimmungen der DSGVO zu erstellen. Geprüfte und erfahrene Rechtsanwälte für Vertragsrecht finden Sie schnell und unkompliziert unter vertragsrechtsinfo.at.
Der Datenschutzbeauftragte im Unternehmen
Ein Unternehmen ist nach der DSGVO immer dann verpflichtet einen Datenschutzbeauftragten zu benennen, wenn die Verarbeitung personenbezogener Daten eine systematische Überwachung erfordert oder wenn es um die Verarbeitung besonders sensibler Daten geht.
Ferner wird dies durch das nationale Datenschutzgesetz erweitert. Hierbei verlangt dieses auch einen Datenschutzbeauftragten, wenn im Unternehmen zumindest 10 Personen fortlaufend mit der Datenverarbeitung beschäftigt sind.
Außerdem wird dies verlangt, wenn Datenverarbeitungen vorgenommen werden, die einer Datenschutzfolgenabschätzung unterliegen und wenn geschäftsmäßig personenbezogene Daten verarbeitet werden, die einer Übermittlung dienen oder für Markt- und Meinungsforschung verarbeitet werden.
Aufgaben des Datenschutzbeauftragten im Unternehmen
Ein Datenschutzbeauftragter muss immer eine entsprechende fachliche und berufliche Qualifikation aufweisen.
Dabei kann dieser sowohl ein Mitarbeiter des Unternehmens sein oder als Externer eingesetzt werden für die Aufgabe. Hierbei sieht die DSGVO vor, dass ein Datenschutzbeauftragter fachlich weisungsfrei ist und an die höchste Managementebene des Unternehmens berichtet.
Dabei umfasst der Aufgabenbereich eines Datenschutzbeauftragten immer folgende Tätigkeiten:
- Beratung und Information des Verantwortlichen und ggf. auch des Auftragsverarbeiters
- Überwachung einer Einhaltung aller rechtlichen Regelungen, Schulung von Mitarbeitern und Bestimmung von Zuständigkeiten
- Anlaufstelle für die Aufsichtsbehörde und Zusammenarbeit mit der Aufsichtsbehörde
EXKURS: Wann dürfen welche Daten verarbeitet werden?
Eine Datenverarbeitung ist gemäß der DSGVO auch zukünftig nur dann zulässig, wenn sie durch eine Verordnung oder ein Gesetz ausdrücklich erlaubt wird.
Dabei ist eine Datenverarbeitung dann zulässig, wenn:
- ein Betroffener in die Verarbeitung seiner personenbezogenen Daten eingewilligt hat
- eine Verarbeitung der Daten zur Erfüllung eines Vertrages notwendig ist oder im Rahmen vorvertraglicher Maßnahmen stattfinden muss
- die Datenverarbeitung für die Erfüllung einer rechtlichen Verpflichtung vorausgesetzt ist.
- eine Verarbeitung für die Wahrung eines berechtigten Interesses eines Verantwortlichen erforderlich wird und dabei die schutzwürdige Rechte und Freiheiten eines Betroffenen nicht überwiegen
Außerdem sieht die DSGVO auch vor, dass personenbezogene Daten zu einem späteren Zeitpunkt auch weiterverarbeitet werden dürfen, wenn sie nicht mehr dem ursprünglichen Zweck der Erhebung dienen.
Hierbei muss jedoch der Verarbeitungszweck mit dem ursprünglichen Erhebungsgrund kompatibel sein. Deshalb gilt z. B. die Erhebung für statistische Zwecke generell als rechtmäßig, jedoch muss der Betroffene darüber informiert werden.
Welche Daten dürfen grundsätzlich nicht verarbeitet werden?
Auch die DSGVO sieht bestimmte Kategorien von Daten vor, die generell nicht verarbeitet werden dürfen.
Hierbei handelt es sich um Daten, die z. B. eine Rassenzugehörigkeit oder ethnische Zugehörigkeit bestimmen. Ferner dürfen auch Daten zu politischen Meinungen oder weltanschaulichen oder religiösen Einstellungen oder auch einer Gewerkschaftszugehörigkeit nicht verarbeitet werden.
Außerdem ist es verboten, Gesundheitsdaten, Daten zur sexuellen Orientierung oder genetische oder biometrische Daten einer natürlichen Person zu verarbeiten.
Dabei ist eine Verarbeitung derartiger Daten nur dann zulässig, wenn ein Ausnahmetatbestand vorliegt. Hierbei ist dieser z. B. gegeben, wenn eine Einwilligung der betreffenden Person vorliegt oder wenn eine Verarbeitung notwendig wird, um Rechte oder Ansprüche geltend zu machen oder abzuwehren.
Allerdings ist durch das Inkrafttreten der DSGVO ein derartiger Ausnahmetatbestand nicht mehr an eine gerichtliche Geltendmachung oder auch Abwehr geknüpft.
