Attribut:Antwort
Aus Datencockpit
M
"Bei Organisationen, die vorwiegend spendenfinanziert sind, zählt die Verarbeitung von Spenderdaten aufgrund der untrennbaren Verbindung zwischen den Organisationsmitteln und der Mittelaufbringung durch Spenden zur Kerntätigkeit der Organisation. Diese Kerntätigkeit besteht jedoch nicht zwangsläufig in einer "umfangreichen, systematischen oder regelmäßigen Überwachung" der Spender iSv Art. 37 DSGVO. Eine generelle Verpflichtung zur Bestellung eines DSBA scheint für gemeinnützige Spendenorganisationen nicht zu bestehen. Diese setzen jedoch teilweise Methoden des E-Mail-Retargetings ein. Auch könnten gewisse Kommunikationsabläufe mit den Spendern als verhaltensbasierte Werbung angesehen werden. Je spezifischer die Beziehung zu den Spendern aufgebaut ist, desto eher wird daraus eine Pflicht zu Benennung eines DSBA resultieren."
Details siehe [https://lesen.lexisnexis.at/_/verpflichtende-datenschutzbeauftragte-fuer-spendenorganisationen/artikel/jusit/2017/5/jusIT_2017_05_080.html Scheichenbauer, Heide, "Verpflichtende Datenschutzbeauftragte für Spendenorganisationen?"], jusIT 05/2017 +
W
1. Das Recht auf Auskunft (Art. 15 DSGVO). Der Betroffene muss eine Bestätigung erhalten, ob ihn betreffende Daten verarbeitet werden, einschließlich einer Negativauskunft. Werden Daten verarbeitet, hat der Betroffene das Recht auf folgende Informationen:
* a. Verarbeitungszwecke;
* b. Datenkategorien;
* c. Kopie (z.B. Ausdruck) der verarbeiteten Dateninhalte;
* d. Datenempfänger oder Empfängerkategorien;
* e. geplante Speicherdauer (oder Kriterien für deren Festlegung);
* f. Bestehen eines Berichtigungs-, Löschungs-, Einschränkungs- oder Widerspruchsrechts;
* g. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
* h. verfügbare Informationen über Datenherkunft;
* i. Bestehen einer automatisierten Entscheidungsfindung (Profiling eingeschlossen), Logik und Tragweite solcher Verfahren.
Die Frist zur Auskunftserteilung wird durch die DSGVO auf einen Monat verkürzt. U.U. ist eine Verlängerung auf drei Monate möglich.
Das Recht auf Auskunft ist ein Recht auf Auskunft über eigene Daten des Betroffenen. Eine Kopie der verarbeiteten Dateninhalte muss so gestaltet sein, dass die Datenschutzrechte anderer Personen nicht verletzt werden.
2. Das Recht auf Berichtigung (Art. 16 DSGVO). Es bezieht sich auf Dateninhalte. Neu in der DSGVO ist das Recht auf Vervollständigung von Daten – eventuell durch eine ergänzende Anmerkung. Die Frist zur Berichtigung wird durch die DSGVO auf einen Monat verkürzt. U.U. ist eine Verlängerung auf drei Monate möglich.
3. Das Recht auf Löschung (Art. 17 DSGVO) (einschließlich des „Rechts auf Vergessenwerden“). Das Löschungsrecht setzt voraus, dass einer der folgenden Umstände vorliegt oder eingetreten ist:
* a. Wegfall des Verarbeitungszwecks
* b. Widerruf der Einwilligung des Betroffenen
* c. wirksamer Widerspruch gegen die Datenverarbeitung
* d. anfängliche Unrechtmäßigkeit der Datenverarbeitung
* e. rechtliche Verpflichtung zur Löschung (z.B. Gesetz, Urteil, Bescheid)
* f. Fehlen einer Einwilligung der Erziehungsberechtigten eines Kindes
Neu: Hat der Verantwortliche die Daten öffentlich gemacht (z.B. Im Internet), so muss er bei Löschung alle angemessenen Maßnahmen, auch technischer Art ergreifen, um verantwortliche Datenempfänger (insbesondere Suchmaschinenbetreiber) darüber zu informieren, dass der Betroffene die Löschung oder Entfernung von Links, Kopien oder Replikationen wünscht (= „Recht auf Vergessenwerden“).
Das Löschungsrecht kann durch das Recht auf Meinungsfreiheit, durch Rechtspflichten des Verantwortlichen, Interessen der Rechtsverteidigung sowie öffentliche Interessen (öffentliche Gesundheit, wissenschaftliche und Archivzwecke) beschränkt sein.
Die Frist zur Löschung wird durch die DSGVO auf einen Monat verkürzt. U.U. ist eine Verlängerung auf drei Monate möglich.
4. Neu: Das Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Es handelt sich um ein zeitlich beschränktes bzw. bedingtes Recht. Die Voraussetzungen sind:
* a. die Richtigkeit der Daten wird bestritten;
* b. die Rechtmäßigkeit der Datenverarbeitung wird bestritten, der Betroffene selbst lehnt aber die Löschung ab;
* c. der Betroffene benötigt die Daten, deren Verarbeitungszweck weggefallen ist, für die Geltendmachung von Rechtsansprüchen;
* d. der Betroffene hat Widerspruch gegen die Datenverarbeitung eingelegt.
Daten, hinsichtlich derer das Recht auf Einschränkung der Verarbeitung ausgeübt worden ist, dürfen nur mehr mit Zustimmung des Betroffenen, zur Geltendmachung von Rechtsansprüchen, zum Schutz der Rechte anderer oder aus wichtigen öffentlichen Interessen verarbeitet werden.
In den Fällen a. und d. ist die Einschränkung auf die Dauer der Prüfung des Hauptanspruchs (auf Löschung) beschränkt. Der Betroffene muss vor Aufhebung der Einschränkung informiert werden.
Datenempfänger sind, wenn nicht unmöglich oder mit unverhältnismäßigem Aufwand verbunden, über Einschränkungen zu informieren. Der Betroffene kann verlangen, über die Empfänger der Daten informiert zu werden.
Die Frist zur Einschränkung der Verarbeitung beträgt einen Monat. U.U. ist eine Verlängerung auf drei Monate möglich.
5. Neu: Das Recht auf Datenübertragbarkeit (Art. 20 DSGVO). Es soll sicherstellen, dass der Betroffene eigene Daten, die er selbst einem Verantwortlichen bekanntgegeben (sie „bereitgestellt“) hat, zurückerhalten oder einem neuen Verantwortlichen übergeben kann. Zu denken ist etwa an selbst erstellte Profile in sozialen Netzwerken. Die Verantwortlichen sollen nach Möglichkeit eine direkte, technische Übertragbarkeit sicherstellen, zwingend ist dies aber nicht vorgeschrieben. Die Daten anderer Personen als des Betroffenen unterliegen nicht diesem Recht.
6. Das Recht auf Widerspruch (Art. 21 DSGVO). Durch die Ausübung dieses Rechts kann der Betroffene bei einer Datenverarbeitung, die ohne seine ausdrückliche oder implizite Einwilligung stattfindet (etwa auf Grund einer gesetzlichen Ermächtigung oder wegen vom Verantwortlichen behaupteter überwiegender berechtigter Interessen) eine Prüfung von ihm vorgebrachter Gründe für eine Beendigung der Verarbeitung verlangen. Gegen Datenverarbeitung für Zwecke der Direktwerbung und damit verbundenes Profiling (automatische Bewertung einer Person und ihres Verhaltens, z.B. Kaufkrafteinschätzung, Einordnung in eine Marketing-Zielgruppe) ist ein jederzeitiger Widerspruch ohne Angabe von Gründen möglich. Ist der Widerspruch begründet, sind die Daten zu löschen.
Die Frist zur Entscheidung über einen Widerspruch beträgt einen Monat. U.U. ist eine Verlängerung auf drei Monate möglich.
7. Rechte betreffend automatisierte Einzelentscheidungen und Profiling (Art. 22 DSGVO). Die DSGVO verbietet solche Entscheidungen (z.B. bei Verhängung von Verwaltungsstrafen, Steuervorschreibungen, Entscheidung über Stellenbewerbungen, Kreditgewährung, Vertragsabschlüssen allgemein, Einordnung in eine Marketing-Zielgruppe) zunächst grundsätzlich, sieht aber einige Ausnahmen vor. Ausnahmegründe sind gesetzlich vorgeschriebene Anwendungsfälle, ausdrückliche und nachweisliche Einwilligung des Betroffenen und Sorgfaltspflichten anlässlich eines Vertragsabschlusses. Nicht der gesamte Entscheidungsprozess muss ausschließlich automatisiert ablaufen. Er darf sich nie ausschließlich (und nur unter besonderen Bedingungen) auf sensible Daten (besondere Datenkategorien, Art. 9 Abs. 1 DSGVO) stützen. Der Betroffene kann vor allem die Überprüfung der automatisierten Entscheidung durch einen Menschen verlangen und hat ein besonderes Auskunftsrecht hinsichtlich der Logik der automatisierten Entscheidungsfindung
Die Frist zur Entscheidung über Rechte betreffend automatisierte Entscheidungsfindung beträgt einen Monat. U.U. ist eine Verlängerung auf drei Monate möglich.
A
25. Mai 2018 +
W
Datenschutzspezifische Zertifizierungsverfahren, Datenschutzsiegel und Datenschutzprüfzeichen dienen dem Nachweis der faktischen Einhaltung von Vorgaben der DSGVO bei bestimmten Verarbeitungsvorgängen. Eine Zertifizierung wird durch die Aufsichtsbehörde auf Grundlage der Zertifizierungskriterien eines genehmigten Zertifizierungsverfahrens erteilt. Die maximale Gültigkeit einer Zertifizierung beträgt drei Jahre, eine (mehrfache) Verlängerung um je maximal drei Jahre ist möglich. +
K
Der Datenschutzbeauftragte hat nach Ansicht der Datenschutzbehörde beratende Funktion. Verbindliche Anordnungen sind von der Managementebene zu treffen. Deshalb ist die Datenschutzbehörde der Ansicht, dass ein Datenschutzbeauftragter nicht als verantwortlicher Beauftragter bestellt werden kann. +
W
Der Verantwortliche bzw. Auftragsverarbeiter muss einen Datenschutzbeauftragten bestellen, wenn
a) die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
b) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten (gemäß Art. 9) oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten (gemäß Art. 10) besteht. +
Die Aufsichtsbehörde hat drei Arten von Befugnissen:
* Untersuchungsbefugnisse (einschließlich des Betretungsrechts bestimmter Räumlichkeiten)
* Abhilfebefugnisse (das sind Befugnisse, die es der Aufsichtsbehörde ermöglichen, ein rechtswidriges Verhalten abzustellen, bspw. durch konkrete Anordnungen oder die Verhängung von Geldbußen iHv bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres)
* Genehmigungs- und Beratungsbefugnisse +
Die DSGVO findet Anwendung auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Auf folgende Bereiche findet die DSGVO keine Anwendung:
* Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen
* Tätigkeiten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik
* Datenverwendung im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten
* Tätigkeiten der zuständigen Behörden zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit +
Die DSGVO sieht Geldbußen vor. Die Geldbußen sind von der Datenschutzbehörde als Verwaltungsstrafen gegen Unternehmen (Unternehmensträger) oder Einzelpersonen zu verhängen, die jeweils als für eine Datenverarbeitung Verantwortlicher oder Auftragsverarbeiter agieren. Die Zahl der strafbaren Verhaltensweisen (Verstöße) wurde ausgedehnt. Auch Fahrlässigkeit ist strafbar.
In bestimmten Fällen kann die Datenschutzbehörde an Stelle der Verhängung einer Geldbuße auch eine förmliche Verwarnung aussprechen.
Für weniger schwere Verstöße gegen Bestimmungen der DSGVO droht eine Geldbuße in Höhe bis zu 10 Millionen Euro (keine Mindeststrafe) oder bei Unternehmen bis zu 2 Prozent des weltweiten Jahresumsatzes des letzten Geschäftsjahrs. Es gilt der höhere Betrag.
Für schwerwiegende Verstöße gegen Bestimmungen der DSGVO droht eine Geldbuße in Höhe bis zu 20 Millionen Euro (keine Mindeststrafe) oder bei Unternehmen bis zu 4 Prozent des weltweiten Jahresumsatzes des letzten Geschäftsjahrs. Es gilt der höhere Betrag.
Gegen die Verhängung einer Geldbuße kann Beschwerde an das Bundesverwaltungsgericht erhoben werden. +
Die DSGVO sieht keine Übergangsfrist vor. Es wird jeder Fall einzeln beurteilt und das Erfordernis der Verhängung einer Geldbuße durch die Datenschutzbehörde geprüft werden. +
Die Datenschutzbehörde kann keine konkrete Einzelfallprüfung vor- bzw. vorwegnehmen, ob eine Stelle als öffentliche Stelle anzusehen ist oder nicht.
Grundsätzlich obliegt es dem Verantwortlichen selbst diese Einordnung entsprechend der gegebenen Rechtsgrundlagen vorzunehmen. Neben diversen deutschsprachigen Kommentaren (siehe dazu Punkt 13 dieses Leitfadens) sowie der Leitlinie der Art. 29-Gruppe zum Datenschutzbeauftragten, welche Anhaltspunkte für die Auslegung des Begriffs der öffentlichen Stelle liefern, ist insbesondere das '''Datenschutzanpassungsgesetz 2018''' heranzuziehen. Darin findet sich in § 26 Abs. 1 DSG eine Definition für den '''Verantwortlichen des öffentlichen Bereichs'''. Darunter fallen alle Verantwortliche,
• die in Formen des öffentlichen Rechts eingerichtet sind oder
• zwar in Form des Privatrechts eingerichtet sind, jedoch in Vollziehung der Gesetze tätig werden (so genannte „beliehene Rechtsträger“ sowie Fälle der schlichten Hoheitsverwaltung).
Nach derzeitiger Ansicht der Datenschutzbehörde kann diese Definition als Beurteilungskriterium herangezogen werden. Sie entspricht auch weitgehend jener Definition, die das deutsche Bundesdatenschutzgesetz vorsieht, welches den Begriff der „öffentlichen Stelle“ schon jetzt kennt.
Sofern diese Merkmale vom jeweiligen Verantwortlichen nicht erfüllt werden, wird schwerlich eine Einordnung als öffentliche Stelle möglich sein. +
S
Die Stellung des Datenschutzbeauftragten ist in Art. 38 DSGVO näher geregelt. Demnach erhält der Datenschutzbeauftragte bei der Erfüllung seiner Aufgaben keine Anweisungen und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Der Datenschutzbeauftragte berichtet unmittelbar der höchsten Managementebene. Ferner müssen der Verantwortliche und der Auftragsverarbeiter den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen und ihm die für die Erfüllung dieser Aufgaben erforderlichen Ressourcen zur Verfügung stellen.
Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen (Art. 37 Abs. 6 DSGVO).
Für '''Bundesministerien und diesen nachgeordnete Dienststellen bzw. Einrichtungen''' sieht § 5 DSG vor, dass der Datenschutzbeauftragte dem Dienststand des jeweiligen Ministeriums bzw. der Dienststelle oder Einrichtung anzugehören hat. Sozialversicherungsträger bzw. Selbstverwaltungskörper, bei denen lediglich ein Aufsichtsrecht des Bundes besteht, fallen nicht unter § 5 DSG. +
W
Was ist bei Übermittlungen von Daten ins Nicht-EU-Ausland zu beachten und was passiert mit bisherigen Genehmigungen? +
Durch die DSGVO erfolgt eine weitreichende Genehmigungsfreiheit im internationalen Datenverkehr (Art. 44-50 DSGVO). Es ist – wie bisher auch – darauf zu achten, dass alle Verarbeitungsvorgänge zuerst im Inland zulässig sind, bevor ein Datenexport möglich ist.
Die bereits bekannten rechtlichen Instrumente für den Datenexport bleiben erhalten und werden ergänzt:
Daten dürfen an ein Drittland oder eine internationale Organisation übermittelt werden, wenn dort ein angemessenes Schutzniveau besteht (Art. 45 DSGVO). Die Feststellung erfolgt wie bisher durch die Kommission der EU. Die bestehende Liste bleibt gültig.
Weiters ist die Übermittlung zulässig, wenn eine vertragliche Vereinbarung mit Standarddatenschutzklauseln abgeschlossen wurde oder verbindliche interne Datenschutzvorschriften (Binding Corporate Rules, BCRs) bestehen. Diese Instrumente gab es schon bisher. Zu den neuen rechtlichen Instrumenten gehören Verhaltensregeln (Art. 40 DSGVO) und Zertifizierungsmechanismen (Art. 42 DSGVO). Art. 46 Abs. 3 DSGVO enthält die Möglichkeit, in Sonderfällen eine Genehmigung durch die Aufsichtsbehörde einzuholen.
Art. 49 DSGVO enthält einige Sonderfälle, von denen einige mit den Regeln im bestehenden § 12 DSG 2000 übereinstimmen (Zustimmung, Vertragserfüllung, öffentliches Interesse, Verteidigung von Rechtsansprüchen, lebenswichtige Interessen) und einige neu dazugekommen sind (Übermittlung eines Auszugs aus einem öffentlichen Register).
Die DSGVO bringt weniger Behördenwege, und mehr Verantwortung. Es ist insbesondre erforderlich, die eigenen Zwecke und Datenbanken zu kennen und selbst zu entscheiden, welche rechtlichen Instrumente geboten sind.
Es bestehen auch Informationspflichten an Betroffene, wenn Daten ins Nicht-EU-Ausland übermittelt werden sollen (Art. 13 Abs. 1 lit. f und 14 Abs. 1 lit. f DSGVO).
Bereits erteilte Genehmigungen bleiben grundsätzlich gültig (Art. 6 Abs. 5 DSGVO). +
S
Eher ja.
Die Frage ist ungeklärt. Knyrm argumentiert differenziert, während Bergauer zu folgendem Fazit kommt: "Sämtliche einschägigen datenschutzrechtlichen Normen und Definitionen [...] legen aufgrund ihres eindeugiten Wortlauts den Schluss nahe, dass Bilddateeien erkennbarer Personen aufgrund einer rein nach objektiven Gesichtspunkten gebotenen Betrachtung als sensible Daten zu quelifizieren sind, da sich aufgrund der Informationsdichte eines Bilde stets Rückschlüsse auf besonders schutzwürdige Datenkategorien (insb. Angaben über die Gesundheit und ethnische Herkunft) ziehen lassen. Um dabei nicht über das Ziel hinauszuschießen, sollte der jeweilige diesbezüglich zu weit formulierte Wortlaut (§4 Z2 DSG 2000, <span class="noglossary">Art. 8 Abs 1 DS-RL</span> bzw. Art. 9 Abs 1 DSGVO) im Sinne der ratio legis durch das Kriterium der "hinlänglichen Sicherheit" eingeschränkt werden."
Details siehe: [https://lesen.lexisnexis.at/_/die-einordnung-von-bilddaten-erkennbarer-personen-im-datenschutz/artikel/jusit/2016/6/jusIT_2016_06_103.html Bergauer, Christian, Die Einordnung von Bilddaten erkennbarer Personen im Datenschutzrecht. Eine Replik auf Knyrim, Bilddaten:immer sensibel?], jusIT 2016/102, 235 in: jusIT 06/2016, Art. Nr. 103, Dezember 2016. +
W
Gem. Art. 40 DSGVO legen Verhaltensregeln die Rechtslage inhaltsspezifisch näher aus, indem sie die Anwendung der DSGVO in gewissen Bereichen präzisieren. Verbände und andere Vereinigungen, die Kategorien von Verantwortlichen oder Auftragsverarbeitern vertreten, können solche Verhaltensregeln ausarbeiten und der Aufsichtsbehörde zur Genehmigung vorlegen. Mit der Überwachung der Einhaltung von genehmigten Verhaltensregeln ist die Aufsichtsbehörde beauftragt, wobei diese auch eine von ihr dafür besonders geeignete Stelle akkreditieren kann. +
Hier tritt kein wesentlicher Unterschied zur Rechtslage nach dem DSG 2000 ein. Es ist zu beachten, dass durch die Inanspruchnahme von Cloud-Services ggf. eine Datenübermittlung in ein Drittland stattfindet, für die es eine gesonderte Rechtsgrundlage braucht (bspw. Standardvertragsklauseln). Wird ein Cloud-Diensteanbieter in Anspruch genommen, so muss eine sichere Datenverarbeitung durch diesen gewährleistet sein. Kommt es zu einer Verletzung des Schutzes personenbezogener Daten in der Cloud (bspw. durch einen Hackerangriff o.ä.) trägt die datenschutzrechtliche Verantwortung (einschließlich schadenersatzrechtlicher Ansprüche) nach außen hin der Verantwortliche (d.h. jene Person/jene Einrichtung, die Cloud-Services in Anspruch nimmt). +
Im Folgenden erhalten Sie einen kurzen Überblick über die wesentlichsten Pflichten, welche auf die Verantwortlichen bzw. auf die Auftragsverarbeiter im Zuge der DSGVO zukommen werden:
'''*Verzeichnis von Verarbeitungstätigkeiten (Art. 30)'''
Verantwortliche müssen schriftlich ein Verzeichnis aller Verarbeitungstätigkeiten (= Datenanwendungen), die ihrer Zuständigkeit unterliegen, führen. Dieses Verzeichnis hat jedenfalls zu enthalten: seinen Namen und seine Kontaktdaten, Daten eines mit ihm gemeinsamen Verantwortlichen (falls vorhanden), Daten seines Vertreters (falls vorhanden), Daten des Datenschutzbeauftragten falls vorhanden), die Zwecke der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (= betroffene Personenkreise und Datenarten), Kategorien von Empfängern (einschließlich Empfänger in Drittländern oder internationalen Organisationen); wenn möglich: Löschungsfristen, Beschreibung technischer und organisatorischer Maßnahmen.
Auch Auftragsverarbeiter müssen schriftlich ein Verzeichnis aller Kategorien von im Auftrag des Verantwortlichen durchgeführten Tätigkeiten führen.
Der Verantwortliche, sein Auftragsverarbeiter oder gegebenenfalls deren Vertreter haben der Datenschutzbehörde auf deren Anfrage das Verzeichnis zur Verfügung zu stellen.
Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, trifft die Pflicht zur Führung eines Verzeichnisses nicht, außer eine Verarbeitung birgt ein Risiko für Rechte und Freiheiten der Betroffenen oder sie erfolgt nicht nur gelegentlich oder umfasst Daten über rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung (Art. 9 Abs. 1) oder Daten über strafrechtliche Verurteilungen bzw. über Straftaten (Art. 10).
'''Zur Information:'''<br/>
Mit 25. Mai 2018 entfällt die Meldepflicht gemäß §§ 17 ff Datenschutzgesetz 2000 (DSG 2000) an das Datenverarbeitungsregister. DVR-Meldungen sind ab diesem Zeitpunkt nicht mehr vorgesehen (siehe dazu auch die Information unter Punkt 11).<br/>
Da die Erstellung und Führung eines Verzeichnisses nach Art. 30 DSGVO ausschließliche Verantwortung von Verantwortlichen/Auftragsverarbeitern ist, bleibt es nach Ansicht der Datenschutzbehörde auch diesen überlassen, wie sie ihr Verzeichnis inhaltlich gestalten wollen. Seitens der Datenschutzbehörde wird es dazu keine Vorgaben/kein Muster geben. DVR-Meldungen können als Vorlage für ein Verzeichnis herangezogen werden, zwingend ist dies jedoch nicht. Seit August 2017 wird im DVR-ONLINE-Meldebereich eines jeden Auftraggebers eine Schnittstelle zur Verfügung gestellt, sodass bestehende DVR-Meldungen exportiert und in ein Verzeichnis nach Art. 30 DSGVO übertragen werden können.
'''*Zusammenarbeit mit der Aufsichtsbehörde (Art. 31)'''
Der Verantwortliche und der Auftragsverarbeiter, gegebenenfalls deren Vertreter, haben mit der Datenschutzbehörde auf deren Anfrage zusammenzuarbeiten.
'''*Sicherheit der Verarbeitung (Art. 32)'''
Der Verantwortliche und sein Auftragsverarbeiter müssen durch geeignete technische und organisatorische Maßnahmen ein angemessenes Schutzniveau gewährleisten, dies kann
u.a. nachgewiesen werden durch genehmigte Verhaltensregeln (Art. 40) oder aufgrund genehmigter Zertifizierungsverfahrens (Art. 42).
'''*Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde (Art. 33)'''
Ein Verantwortlicher hat eine Meldung im Falle einer Verletzung des Schutzes personenbezogener Daten an die Datenschutzbehörde zu erstatten, wenn dadurch ein Risiko für die Rechte und Freiheiten der Betroffenen besteht; dies unverzüglich und möglichst binnen 72 Stunden nachdem ihm die Verletzung bekannt wurde. Darüber hinaus sind die notwendigen Informationen (Beschreibung der Verletzung, Anzahl der Betroffenen bzw. der Datensätze, Maßnahmen, wahrscheinliche Folgen, Dokumentation etc.) der Datenschutzbehörde zu übermitteln.
'''*Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person (Art. 34)'''
Ein Verantwortlicher hat Betroffene über die von ihm verursachten Datenschutzverletzungen zu benachrichtigen, wenn ein hohes Risiko für Rechte und Freiheiten der Betroffenen besteht; dies ohne ungebührliche Verzögerung (Ausnahmen sind hier möglich).
'''*Datenschutz-Folgenabschätzung (Art. 35)'''
Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen.
Eine Datenschutz-Folgenabschätzung ist insbesondere in folgenden Fällen erforderlich:
• systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen, die sich auf automatisierte Verarbeitung einschließlich Profiling gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkung gegenüber natürlichen Personen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen;
• umfangreiche Verarbeitung besonderer Kategorien von personenbezogenen Daten gemäß Art. 9 Abs. 1 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 oder
• systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.
Die Datenschutzbehörde hat eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung jedenfalls durchzuführen ist. Sie wird eine Liste der Verarbeitungsvorgänge, bei denen keine Datenschutz-Folgenabschätzung durchzuführen ist, veröffentlichen. Auch Rechtsvorschriften können eine verpflichtende Datenschutz-Folgenabschätzung vorsehen.
Die Datenschutz-Folgenabschätzung hat zumindest zu enthalten:
• eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen;
• eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;
• eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen und
• die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.
Für die Untersuchung mehrerer ähnlicher Verarbeitungsvorgänge mit ähnlich hohen Risiken kann eine einzige Datenschutz-Folgenabschätzung vorgenommen werden.
'''Hinweis:'''
• In der Leitlinie der Art. 29-Gruppe zur Datenschutz-Folgenabschätzung (siehe dazu oben Kapitel IV) werden neun Kriterien angeführt, die für die Durchführung einer Datenschutz-Folgenabschätzung ausschlaggebend sein können.
• In der genannten Leitlinie finden sich Hinweise auf bereits etablierte Verfahren für Datenschutz-Folgenabschätzungen.
• Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist (das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012), kommt dies hingegen nicht in Betracht. Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 Abs. 1 DSGVO zutreffen. Generell wird empfohlen, bereits existierende Datenverarbeitungsvorgänge einer regelmäßigen Evaluierung zu unterziehen, ob sich Voraussetzungen geändert haben. Bejahendenfalls wäre - bei Vorliegen aller Voraussetzungen - eine Datenschutz-Folgenabschätzung durchzuführen. Überdies wird empfohlen, auch zu dokumentieren, aus welchen Gründen keine Datenschutz-Folgenabschätzung durchgeführt wurde.
'''*Vorherige Konsultation (Art. 36)'''
Der Verantwortliche hat vor Beginn der Verarbeitung die Datenschutzbehörde zu konsultieren, wenn aus einer Datenschutz-Folgenabschätzung gemäß Art. 35 hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
Sollte die Datenschutzbehörde zur Auffassung gelangen, dass die geplante Verarbeitung nicht im Einklang mit der DSGVO stünde, insbesondere weil der Verantwortliche das Risiko nicht ausreichend ermittelt oder nicht ausreichend eingedämmt hat, unterbreitet sie dem Verantwortlichen (und gegebenenfalls dem Auftragsverarbeiter) entsprechende schriftliche Empfehlungen und kann ihre in Art. 58 genannten Befugnisse ausüben.
Der Verantwortliche hat der Datenschutzbehörde im Rahmen einer Konsultation folgende Informationen zur Verfügung zu stellen:
• gegebenenfalls Angaben zu den jeweiligen Zuständigkeiten des Verantwortlichen, der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen;
• die Zwecke und die Mittel der beabsichtigten Verarbeitung;
• die zum Schutz der Rechte und Freiheiten der betroffenen Personen gemäß der DSGVO vorgesehenen Maßnahmen und Garantien;
• gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
• die Datenschutz-Folgenabschätzung gemäß Art. 35 und
• alle sonstigen von der Aufsichtsbehörde angeforderten Informationen.
Darüber hinaus können Verantwortliche durch Rechtsvorschriften verpflichtet werden, bei der Verarbeitung zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe, einschließlich der Verarbeitung zu Zwecken der sozialen Sicherheit und der öffentlichen Gesundheit, die Aufsichtsbehörde zu konsultieren und deren vorherige Genehmigung einzuholen.
'''*Benennung eines Datenschutzbeauftragten (Art. 37)'''
Der Verantwortliche und der Auftragsverarbeiter haben einen Datenschutzbeauftragten zu benennen, wenn:
• die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
• die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art. 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Art. 10 besteht.
Andere Verantwortliche oder Auftragsverarbeiter können einen Datenschutzbeauftragten auf freiwilliger Basis bestellen. Eine Gruppe von Unternehmen bzw. öffentliche Einrichtungen können einen gemeinsamen Datenschutzbeauftragten benennen. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Datenschutzbehörde mitzuteilen.
G
Ja, mit [https://www.ris.bka.gv.at/eli/bgbl/II/2018/108/20180525 BGBl. II Nr. 108/2018] wurden Ausnahmen verordnet. +
Z
Ja.
<span class="noglossary">Art. 2 Buchst. a</span> der Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ist dahin auszulegen, dass eine dynamische Internetprotokoll-Adresse, die von einem Anbieter von Online-Mediendiensten beim Zugriff einer Person auf eine Website, die dieser Anbieter allgemein zugänglich macht, gespeichert wird, für den Anbieter ein personenbezogenes Datum im Sinne der genannten Bestimmung darstellt, wenn er über rechtliche Mittel verfügt, die es ihm erlauben, die betreffende Person anhand der Zusatzinformationen, über die der Internetzugangsanbieter dieser Person verfügt, bestimmen zu lassen.
Siehe: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX:62014CJ0582 +
G
Ja. Das österreichische Parlament hat dazu das Datenschutz-Anpassungsgesetz erlassen +