Wo wir sind: | Wien |

phone Hotline: +43 650 999 9402

GDPR – Datenschutz-Grundverordnung

audit1Der Schutz personenbezogener Daten gehört zum Bereich der Achtung grundlegender Menschenrechte und Grundfreiheiten. Den Verarbeitern personenbezogener Daten entsteht eine Reihe von Verpflichtungen in Bezug zum Schutz natürlicher Personenbei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG Dies umfasst insbesondere die Bewertung von Auswirkungen auf Informationssysteme, in denen personenbezogene Daten verarbeitet werden und angemessene technische, organisatorische und personelle Maßnahmen ergriffen werden.

Die Datenschutz-Grundverordnung (GDPR) ist die Abkürzung der europäischen Verordnung über allgemeine Schutzvorschriften (2016/679). Die Allgemeine Verordnung über das GDPR bringt neue Datenschutzregeln mit sich und stärkt vor allem ihre soziale Bedeutung. Sie teilt die Verarbeiter in verschiedene Gruppen auf, was unterschiedliche Zuständigkeiten mit sich bringt. Es wird daher auch eine Änderung des österreichischen Datenschutzgesetzes DSG 2000 geben.

Achtung: Die Datenverarbeitung muss spätestens am 25. Mai 2018 der neuen Verordnung entsprechen.

 
Wichtige Änderungen

  1. Die Regeln für die Einwilligung zur Verarbeitung personenbezogener Daten sind strenger geworden:
    1. Als „Einwilligung“ der betroffenen Person gilt jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen Ausdruck der Einwilligung des Betroffenen zur Verarbeitung seiner ihn betreffenden personen-bezogenen Daten ist (z. B. durch elektronische Mittel oder mündliche Erklärung oder Kästchenmarkierung beim Besuch der Website; wir bemerken, dass die Kästchen nicht im Voraus markiert werden darf).
    2. Wenn die Verarbeitung zu mehreren Zwecken erfolgt, muss für alle diese Zwecke die Zustimmung erteilt / getrennt werden.
    3. Das Verbot der Einwilligung in die Verarbeitung personenbezogener Daten nicht in Erfüllung des Vertrages, einschließlich der Bereitstellung der Dienstleistung, ist notwendig.
       
  2. . Verarbeitung personenbezogener Daten für Personen unter 16 Jahren
    1. Wenn der Verantwortlicher die personenbezogenen Daten des Betroffenen auf der Grundlage der Einwilligung des Betroffenen verarbeitet, im Zusammenhang mit dem Angebot von Dienstleistungen, die direkt an den Minderjährigen gerichtet sind, ist die Verarbeitung personenbezogener Daten des Minderjährigen nur dann legal, wenn er ein Mindestalter von 16 Jahren hat. Wenn ein Minderjähriger jünger als 16 Jahre alt ist, ist eine solche Verarbeitung nur unter den Bedingungen und in dem Umfang zulässig, in dem diese Zustimmung vom Vormund oder Erziehungsberechtigten des Minderjährigen geäußert oder genehmigt wurde. Ein solcher Betreiber ist verpflichtet, angemessene Anstrengungen zu unternehmen, um in solchen Fällen zu verifizieren, dass der Erziehungsberechtigte oder der gesetzliche Vormund des Minderjährigen unter Berücksichtigung der verfügbaren Technologie seine Zustimmung erteilt oder diese gebilligt hat.
       
  3. Verarbeitung biometrischer Daten
    1. Die neue Gesetzgebung hat auf die Melde - und Registrierungspflicht laut § 33 ff. des Gesetzes abzusehen. Nach dieser Regelung des Schutzes personenbezogener Daten wird die Registrierungspflicht durch die Führung von Aufzeichnungen gemäß Artikel 30 der Verordnung ersetzt..
    2. Im Falle einer groß angelegten Verarbeitung einer bestimmten Kategorie von personenbezogenen Daten muss der Betreiber die Auswirkungen auf den Schutz personenbezogener Daten bewerten und eine verantwortliche Person benennen.
    3. Die Übertragung einer bestimmten Kategorie von personenbezogenen Daten an einen in einem Drittland niedergelassenen Dritten, der kein angemessenes Schutzniveau für personenbezogene Daten gewährleistet, ist nur mit vorheriger ausdrücklicher Zustimmung der betroffenen Person zulässig, sofern nicht in einem gesonderten Gesetz etwas anderes bestimmt ist.
       
  4. Verantwortung des Verantwortlicher und Auftragsverarbeiter
    1. Die neue Regelung regelt das gegenseitige Verhältnis der Verantwortlichen und Auftragsverarbeiter (sofern nicht in einer gesonderten gesetzlichen Regelung geregelt wird) laut Artikel 26 der Verordnung so, dass sie ihnen festsetzt:
      1. die Verpflichtung zum Abschluss ihres beiderseitigen Vertrages,
      2. transparente Identifizierung der jeweiligen Verantwortungs-beziehungen in Bezug auf die Verarbeitung personenbezogener Daten und die Erfüllung von Verpflichtungen in der Verordnung und im neuen Gesetz (Betonung der Rechte des Betroffenen, Erfüllung der Informationspflicht),
      3. eine Empfehlung zur Identifizierung der Kontaktstelle eines Betreibers für die betroffenen Personen (dies berührt nicht das Recht des Betroffenen, seine Rechte für alle und jeden Betreiber auszuüben),
      4. die Verpflichtung, den betroffenen Personen die wesentlichen Teile ihres beiderseitigen Vertrages mitzuteilen.
    2. Die neue Gesetzgebung über die Bereitstellung eines Vermittlers hat neue inhaltliche Anforderungen für einen Vertrag festgelegt, wie zum Beispiel:
      1. Gegenstand und Zeitpunkt der Verarbeitung,
      2. Art und Zweck der Verarbeitung,
      3. Art der persönlichen Daten,
      4. Kategorien von betroffenen Personen,
      5. Pflichten und Rechte des Betreibers,
      6. Berechtigung zur Verarbeitung personenbezogener Daten durch den Betreiber nur auf der Grundlage dokumentierter Benutzeranweisungen; Weisung und Pflicht zur Vertraulichkeit der berechtigten Personen auch durch den Vermittler; die Verpflichtung des Vermittlers, alle Maßnahmen zu ergreifen, die ergriffen wurde, um die Auswirkungen auf den Datenschutz zu beurteilen.
         
  5. Verantwortlicher
    1. Die Verpflichtung zur Bestellung einer verantwortlichen Person entsteht:
      1. den Behörden,
      2. den Einrichtungen, die im öffentlichen Interesse tätig sind,
      3. dem, wer personenbezogene Daten in großem Umfang verarbeitet,
      4. die Haupttätigkeiten eines Verantwortlicher oder Auftragsverarbeiter sind Verarbeitungsvorgänge, die eine regelmäßige und systematische Überwachung der betreffenden Personen in großem Umfang erfordern,
      5. die Haupttätigkeiten eines Verantwortlicher oder Auftragsverarbeiter sind die Verarbeitung bestimmter Datenkategorie.
    2. Eine juristische Person kann auch eine verantwortlicher sein, wenn die Identifizierung einer bestimmten Person, die für die Verarbeitung personenbezogener Daten mit einem bestimmten Betreiber verantwortlich ist, gewährleistet ist.
    3. Die verantwortliche Person muss berufliche Qualitäten im Bereich des Schutzes personenbezogener Daten und der Fähigkeit besitzen, die Aufgaben der verantwortlicher auszuführen; es besteht keine Verpflichtung, die Prüfung im Amt zu bestehen, die Meldepflicht gegenüber dem Amt blieb erhalten.
       
  6. Entwicklung der Sicherheitsmaßnahmen
    1. Die neue Regelung hat die Verpflichtung des Verantwortlichen festgelegt, die Auswirkungen auf den Schutz personenbezogener Daten zu bewerten, darunter:
      1. eine systematische Beschreibung der geplanten Verarbeitungs-vorgänge und Verarbeitungszwecke, einschließlich aller legitimen Interessen als Rechtsgrundlage, laut Artikel 6 Abs. 1 B. f) der Verordnung, gefolgt von einem Betreiber,
      2. eine Bewertung der Notwendigkeit und Angemessenheit der Verarbeitungsvorgänge in Bezug auf den Zweck,
      3. Risikobewertung der Rechte und Freiheiten der betroffenen Personen in Bezug auf Risikoverarbeitungsvorgänge und
      4. Risikomaßnahmen einschließlich Schutzmaßnahmen und Mechanismen zum Schutz personenbezogener Daten und zum Nachweis der Übereinstimmung mit dieser Verordnung unter Berücksichtigung der Rechte und berechtigten Interessen der betroffenen Personen und anderer betroffener Personen.
      5. Die von den Betreibern durchgeführte Folgenabschätzung ist obligatorisch, zumindest bei einer Änderung des Risikos.
    2. Das Ergebnis der Bewertung sollte bei der Festlegung der geeigneten Maßnahmen berücksichtigt werden, die zu beweisen sind, dass die Verarbeitung personenbezogener Daten mit der Verordnung in Einklang steht. Wenn sich auf der Grundlage der Datenschutz-Folgenabschätzung herausstellt, dass bei den Verarbeitungsvorgängen ein hohes Risiko besteht, dass der Betreiber durch geeignete Maßnahmen in Bezug auf die neuesten Technologien und die Umsetzungskosten der Maßnahmen nicht abmildern kann, sollte vor der Verarbeitung eine Konsultation mit der Behörde stattfinden.
       
  7. Obligatorische Meldung von Datenschutzverstößen an die Behörde
    1. Ein Verantwortlicher hat dem Aufsichtsorgan eine Verletzung des Schutzes personenbezogener Daten spätestens innerhalb von 72 Stunden zu melden. Wenn die Benachrichtigung nicht innerhalb von 72 Stunden übermittelt werden kann, sollte die Benachrichtigung zu einem späteren Zeitpunkt durch eine verzögerte Begründung ergänzt werden, und die Informationen können in mehreren Phasen ohne unnötige Verzögerung bereitgestellt werden.
       
  8. Die Auswahl des Leiters der Aufsichtsbehörde
    1. Der Verantwortlichere, der in mehreren EU-Ländern tätig ist, kann selbst den zuständigen leitenden Aufseher ernennen, dem er unterstellt werden soll.
    2. Die Ernennung des Leiters des Aufsichtsorgans betrifft die Berichterstattung der verantwortlichene Person; Meldung einer Datenschutzverletzung, die Folgenabschätzung für den Schutz personenbezogener Daten und Ersuchen um vorherige Konsultation.