Datenschutz-Grundverordnung
| 4.5.2016 | Amtsblatt der Europäischen Union | L 119/1 |
I
(Gesetzgebungsakte)
Verordnungen
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 27. April 2016
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
(Text von Bedeutung für den EWR)
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES[Bearbeiten]
DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —
gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16,
auf Vorschlag der Europäischen Kommission,
nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),
nach Stellungnahme des Ausschusses der Regionen (2),
gemäß dem ordentlichen Gesetzgebungsverfahren (3),
in Erwägung nachstehender Gründe
HABEN FOLGENDE VERORDNUNG ERLASSEN:
Erläuterungen
Die DSGVO (Verordnung (EU) 2016/679) wurde am 04.05.2016 im ABl. Nr. L119 S. 1 kundgemacht, trat am 20. Tag nach ihrer Veröffentlichung in Kraft und gilt ab dem 25.05.2018. Sie hebt die DSRL auf und wird ab Mai 2018 das Rückgrat des allgemeinen Datenschutzes der EU bilden. Die Verordnung ist unmittelbar anwendbar und bedürfte grundsätzlich keines weiteren innerstaatlichen Umsetzungsaktes. Die DSGVO enthält zahlreiche „Öffnungsklauseln“, die den nationalen Gesetzgeber verpflichten und/oder berechtigen, bestimmte Angelegenheiten gesetzlich näher zu regeln. Es wird daher neben der DSGVO in Österreich weiterhin ein nationales Datenschutzgesetz geben.
Zielsetzungen der DSGVO sind
- einheitlicher Rechtsschutz für alle Betroffenen in der EU
- einheitliche Regeln für die Datenverarbeitung innerhalb der EU
- Gewährleistung eines starken und einheitlichen Vollzuges
Die datenschutzrechtliche Terminologie ist in bestimmten Bereichen neu. So wird bspw. der bisherige Auftraggeber zum „Verantwortlichen“ und der Dienstleister zum „Auftragsverarbeiter“.
KAPITEL I. Allgemeine Bestimmungen
KAPITEL II. Grundsätze
- Artikel 5. Grundsätze für die Verarbeitung personenbezogener Daten
- Artikel 6. Rechtmäßigkeit der Verarbeitung1 Fragestellung
- Artikel 7. Bedingungen für die Einwilligung1 Fragestellung
- Artikel 8. Bedingungen für die Einwilligung eines Kindes in Bezug auf Dienste der Informationsgesellschaft
- Artikel 9. Verarbeitung besonderer Kategorien personenbezogener Daten2 Fragestellungen
- Artikel 10. Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten1 Fragestellung
- Artikel 11. Verarbeitung, für die eine Identifizierung der betroffenen Person nicht erforderlich ist
KAPITEL III. Rechte der betroffenen Person
- Artikel 12. Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person
- Artikel 13. Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person2 Fragestellungen
- Artikel 14. Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden2 Fragestellungen
- Artikel 15. Auskunftsrecht der betroffenen Person Änderungen!1 Fragestellung
- Artikel 16. Recht auf Berichtigung1 Fragestellung
- Artikel 17. Recht auf Löschung („Recht auf Vergessenwerden“)1 Fragestellung
- Artikel 18. Recht auf Einschränkung der Verarbeitung1 Fragestellung
- Artikel 19. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung
- Artikel 20. Recht auf Datenübertragbarkeit Änderungen!1 Fragestellung
- Artikel 21. Widerspruchsrecht1 Fragestellung
- Artikel 22. Automatisierte Entscheidungen im Einzelfall einschließlich Profiling1 Fragestellung
- Artikel 23. Beschränkungen
Erläuterungen
Kapitel III regelt jene Datenschutzrechte, die einer betroffenen Person zukommen.
Die Art. 13 und 14 – wie bereits schon Art. 10 und 11 der DSRL – legen die Informationspflichten gegenüber Betroffenen fest. Demnach sind Betroffene darüber zu informieren, von wem, auf welcher Rechtsgrundlage und zu welchem Zweck ihre Daten verarbeitet und an wen sie übermittelt werden. Der EuGH misst diesen Informationspflichten großen Wert bei, weil diese die Voraussetzungen dafür schaffen, dass Betroffene ihre Rechte (Auskunft, Richtigstellung, Löschung, Widerspruch) ausüben können.
Neben den schon bisher bekannten Rechten auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17; ausweitet zum „Recht auf Vergessenwerden“) und Widerspruch (Art. 21)8 werden neue Rechte eingeführt.
So sieht Art. 18 das Recht auf Einschränkung der Verarbeitung vor, wonach ein Betroffener vom Verantwortlichen die Einschränkung der Verarbeitung verlangen kann, wenn bspw. die Richtigkeit der Daten bestritten wird.
Art. 20 räumt einem Betroffenen das Recht auf Datenübertragbarkeit ein. Damit soll sichergestellt werden, dass die von einem Betroffenen zur Verfügung gestellten personenbezogene Daten, die bei einem (privaten) Anbieter in einer bestimmten technischen Umgebung gespeichert werden, bei einem Anbieterwechsel ohne technische Barrieren für die Betroffenen in eine neue technische Umgebung übertragen werden können.
Art. 23 ermächtigt die Union und die Mitgliedstaaten, die in den Art. 12 bis 22 und Art. 34 und 5 normierten Rechte und Pflichten unter bestimmten Voraussetzungen einzuschränken. Nach der Rsp des EuGH unterliegen solche Einschränkungen aber insofern der Kontrolle des EuGH, als auch Einschränkungen, die Mitgliedstaaten vornehmen können, in den Anwendungsbereich des Unionsrechtes fallen.
KAPITEL IV. Verantwortlicher und Auftragsverarbeiter
- Artikel 24. Verantwortung des für die Verarbeitung Verantwortlichen
- Artikel 25. Datenschutz durch Technikgestaltung und durch datenschutzfreundliche Voreinstellungen Änderungen!
- Artikel 26. Gemeinsam Verantwortliche Änderungen!
- Artikel 27. Vertreter von nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeitern
- Artikel 28. Auftragsverarbeiter Änderungen!
- Artikel 29. Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters
- Artikel 30. Verzeichnis von Verarbeitungstätigkeiten2 Fragestellungen
- Artikel 31. Zusammenarbeit mit der Aufsichtsbehörde1 Fragestellung
- Artikel 32. Sicherheit der Verarbeitung Änderungen!1 Fragestellung
- Artikel 33. Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde1 Fragestellung
- Artikel 34. Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person1 Fragestellung
- Artikel 35. Datenschutz-Folgenabschätzung2 Fragestellungen
- Artikel 36. Vorherige Konsultation1 Fragestellung
- Artikel 37. Benennung eines Datenschutzbeauftragten Änderungen!6 Fragestellungen
- Artikel 38. Stellung des Datenschutzbeauftragten1 Fragestellung
- Artikel 39. Aufgaben des Datenschutzbeauftragten1 Fragestellung
- Artikel 40. Verhaltensregeln Änderungen!1 Fragestellung
- Artikel 41. Überwachung der genehmigten Verhaltensregeln Änderungen!
- Artikel 42. Zertifizierung Änderungen!1 Fragestellung
- Artikel 43. Zertifizierungsstellen Änderungen!1 Fragestellung
Erläuterungen
Die DSGVO nimmt stärker als die DSRL und das DSG 2000 Verantwortliche und Auftragsverarbeiter in die Pflicht.
KAPITEL V. Übermittlungen personenbezogener Daten an Drittländer oder an internationale Organisationen
- Artikel 44. Allgemeine Grundsätze der Datenübermittlung Änderungen!1 Fragestellung
- Artikel 45. Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses1 Fragestellung
- Artikel 46. Datenübermittlung vorbehaltlich geeigneter Garantien1 Fragestellung
- Artikel 47. Verbindliche interne Datenschutzvorschriften1 Fragestellung
- Artikel 48. Nach dem Unionsrecht nicht zulässige Übermittlung oder Offenlegung1 Fragestellung
- Artikel 49. Ausnahmen für bestimmte Fälle1 Fragestellung
- Artikel 50. Internationale Zusammenarbeit zum Schutz personenbezogener Daten1 Fragestellung
Erläuterungen
Kapitel V regelt die näheren Voraussetzungen für den Datenverkehr mit Empfängern in Drittstaaten oder internationalen Organisationen.
Ein derartiger Datenfluss ist nur unter folgenden Bedingungen zulässig:
- Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45)
- Vorliegen geeigneter Garantien (Art. 46)
- Vorliegen verbindlicher unternehmensinterner Vorschriften (Art. 47)
Art. 49 sieht Ausnahmen für bestimmte Fälle vor.
Die Ratio hinter Kapitel V ist, dass die übermittelten Daten beim Empfänger im Drittstaat demselben Schutzregime wie in der EU unterliegen sollen.
KAPITEL VI. Unabhängige Aufsichtsbehörden
- Artikel 51. Aufsichtsbehörde
- Artikel 52. Unabhängigkeit
- Artikel 53. Allgemeine Bedingungen für die Mitglieder der Aufsichtsbehörde
- Artikel 54. Errichtung der Aufsichtsbehörde
- Artikel 55. Zuständigkeit1 Fragestellung
- Artikel 56. Zuständigkeit der federführenden Aufsichtsbehörde1 Fragestellung
- Artikel 57. Aufgaben Änderungen!
- Artikel 58. Befugnisse Änderungen!
- Artikel 59. Tätigkeitsbericht
Erläuterungen
Wie derzeit wird es in jedem Mitgliedstaat zumindest eine unabhängige Aufsichtsbehörde geben. Die Aufgaben und Befugnisse werden erheblich erweitert (Art. 57 und 58). Art. 58 normiert drei Arten von Befugnissen: • Untersuchungsbefugnisse (einschließlich des Betretungsrechts bestimmter Räumlichkeiten) • Abhilfebefugnisse (das sind Befugnisse, die es der Aufsichtsbehörde ermöglichen, ein rechtswidriges Verhalten abzustellen, bspw. durch konkrete Anordnungen oder die Verhängung von Geldbußen iHv bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres) • Genehmigungs- und Beratungsbefugnisse. Gerichte sind von der Aufsicht ausgenommen, sofern sie im Rahmen ihrer justiziellen Tätigkeit handeln. Im Umkehrschluss unterliegen Organe der Gerichtsbarkeit daher der Aufsicht, wenn sie im Rahmen der Justizverwaltung tätig werden. [2]
Fußnoten[Bearbeiten]
- ↑ Vgl. dazu im Detail Schmidl, Aufgaben und Befugnisse der Aufsichtsbehörden sowie Rechtsschutzmöglichkeiten nach der DSGVO, ÖBA 1/17 S. 27 ff; Flendrovsky, Die Aufsichtsbehörden, in Knyrim (Hrgs.) aaO S. 281 ff.
- ↑ Vgl. dazu näher Schmidl in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zu Datenschutz-Grundverordnung1[2017] Art. 55 Anm. 3; Nguyen in Gola (Hrsg.), Datenschutz-Grundverordnung [2017] Art. 55 Rz. 13.
KAPITEL VII. Zusammenarbeit und Kohärenz
- Artikel 60. Zusammenarbeit zwischen der federführenden Aufsichtsbehörde und den anderen betroffenen Aufsichtsbehörden
- Artikel 61. Gegenseitige Amtshilfe
- Artikel 62. Gemeinsame Maßnahmen der Aufsichtsbehörden
- Artikel 63. Kohärenzverfahren
- Artikel 64. Stellungnahme des Ausschusses Änderungen!
- Artikel 65. Streitbeilegung durch den Ausschuss Änderungen!
- Artikel 66. Dringlichkeitsverfahren
- Artikel 67. Informationsaustausch
- Artikel 68. Europäischer Datenschutzausschuss
- Artikel 69. Unabhängigkeit Änderungen!
- Artikel 70. Aufgaben des Ausschusses Änderungen!
- Artikel 71. Berichterstattung
- Artikel 72. Verfahrensweise
- Artikel 73. Vorsitz
- Artikel 74. Aufgaben des Vorsitzes
- Artikel 75. Sekretariat
- Artikel 76. Vertraulichkeit
Erläuterungen
Da im digitalen Zeitalter grenzüberschreitende Sachverhalte die Norm sind, sieht die DSGVO auch eine verstärkte Zusammenarbeit zwischen den einzelnen Aufsichtsbehörden vor. Liegt ein grenzüberschreitender Sachverhalt vor, soll unter Einbindung aller betroffenen Aufsichtsbehörden eine abgestimmte Entscheidung getroffen werden, die dann dem Verantwortlichen oder Auftragsverarbeiter am Sitz seiner Hauptniederlassung zuzustellen ist.
Dabei fungiert die Aufsichtsbehörde am Sitz der Hauptniederlassung als federführende Aufsichtsbehörde [2], die die Einbindung der (sonst noch) betroffenen Aufsichtsbehörden koordiniert und einen Entscheidungsentwurf vorbereitet und mit den betroffenen Aufsichtsbehörden abstimmt.
Der Empfänger ist, sofern er die Entscheidung nicht bekämpft, verpflichtet, die Entscheidung in all seinen Niederlassungen in der EU umzusetzen.
Kapitel VII sieht auch noch die Verpflichtung zur wechselseitigen Amtshilfe (Art. 61) und die Möglichkeit zur Durchführung gemeinsamer Maßnahmen der Aufsichtsbehörden (Art. 62) vor.
Das Verfahren zur Zusammenarbeit findet keine Anwendung, wenn es sich beim Verantwortlichen/Auftragsverarbeiter um eine Behörde oder einen beliehenen Rechtsträger handelt (Art. 55 Abs. 2).
Eine wesentliche Rolle wird der nach Art. 68 einzurichtende Europäische Datenschutzausschuss spielen, in welchem die Aufsichtsbehörden aller Mitgliedstaaten, der Europäische Datenschutzbeauftragte sowie die Europäische Kommission vertreten sind. Der Ausschuss hat nach Art. 70 vielfältige Aufgaben, darunter die Verabschiedung von Leitlinien zu bestimmten Themen der DSGVO, aber auch die Abgabe von Stellungnahmen sowie die Fällung verbindlicher Beschlüsse (Art. 64 und 65). Er wird dabei von einem Sekretariat unterstützt, das vom Europäischen Datenschutzbeauftragten bereitgestellt wird.
Fußnoten[Bearbeiten]
- ↑ Siehe dazu im Detail Leissler/Wolfbauer, Der One Stop Shop in der DSGVO, in Knyrim (Hrsg.) aaO S. 291 ff; Schmidl, Kooperation der Aufsichtsbehörden bei grenzüberschreitenden Fällen, in Knyrim (Hrsg.) aaO S. 303 ff.
- ↑ Vgl. dazu WP 244, Leitlinie der Art. 29-Gruppe vom 13.12.2016 zur Feststellung der federführenden Aufsichtsbehörde, abrufbar in Englisch unter http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.
KAPITEL VIII. Rechtsbehelfe, Haftung und Sanktionen
- Artikel 77. Recht auf Beschwerde bei einer Aufsichtsbehörde Änderungen!
- Artikel 78. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde
- Artikel 79. Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter Änderungen!
- Artikel 80. Vertretung von betroffenen Personen
- Artikel 81. Aussetzung des Verfahrens
- Artikel 82. Haftung und Recht auf Schadenersatz1 Fragestellung
- Artikel 83. Allgemeine Bedingungen für die Verhängung von Geldbußen Änderungen!1 Fragestellung
- Artikel 84. Sanktionen1 Fragestellung
Erläuterungen
Art. 77 normiert das Recht auf eine Beschwerde bei einer Aufsichtsbehörde.
Gegen verbindliche Entscheidungen der Aufsichtsbehörde bzw. gegen Untätigkeit der Aufsichtsbehörde steht der Rechtsweg an ein Gericht offen (Art. 78). Zuständig für solche Beschwerden sind die Gerichte jenes Mitgliedstaates, in welchem die Behörde ihren Sitz hat.
Art. 79 normiert das Recht auf einen wirksamen gerichtlichen Behelf gegen Verantwortliche oder Auftragsverarbeiter.
Nach Art. 80 können sich betroffene Personen von spezialisierten Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht vor der Aufsichtsbehörde vertreten und Schadenersatz gerichtlich einklagen lassen. Die Mitgliedstaaten können auch vorsehen, dass diese Einrichtungen auch unabhängig von einer Bevollmächtigung Beschwerde bei der Aufsichtsbehörde einreichen können. Die Geltendmachung von Schadenersatzforderungen ist hingegen ohne Mandat nicht möglich. [1]
Art. 82 normiert die Möglichkeit, für erlittenen materiellen und immateriellen Schaden Schadenersatz vom Verantwortlichen oder Auftragsverarbeiter zu verlangen. Sind an einer Verarbeitung mehrere Verantwortliche oder Auftragsverarbeiter beteiligt, so haftet jeder von ihnen für den Gesamtschaden (Art. 82 Abs. 4).
Art. 83 enthält Gelbußentatbestände sowie jene Gründe, die als erschwerend oder mildernd bei der Strafbemessung zu berücksichtigen sind.
Die Geldbußen, bei welchen es sich um Verwaltungsstrafen handelt [2], reichen bis zu 20 Millionen Euro oder, im Falle eines Unternehmens [3], bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Es bleibt den Mitgliedstaaten vorbehalten festzulegen, ob Geldbußen auch gegen Behörden und öffentliche Stellen verhängt werden können. [4]
Sieht die Rechtsordnung eines Mitgliedstaates keine Geldbußen vor, kann Art. 83 so angewendet werden, dass die Aufsichtsbehörde einen Strafantrag bei Gericht stellt und die Geldbuße von einem Gericht verhängt wird. [5]
Art. 84 verpflichtet die Mitgliedstaaten, zusätzliche Sanktionen, vor allem gerichtlich strafbare Tatbestände, zu normieren.
Fußnoten[Bearbeiten]
- ↑ Siehe dazu EG 142. Damit sollen Sammelklagen verhindert werden.
- ↑ Dies ergibt sich eindeutig aus einem Vergleich der Sprachfassungen; die englische Sprachfassung spricht von „administrative fines“, die französische von „amendes administratives“. Bei Geldbußen handelt es sich folglich um Strafen und nicht um eine andere Sanktion (vgl. dazu zu Geldbußen im Bereich des Vergabewesens etwa das Erkenntnis des VwGH vom 16.12.2015, Zl. Ro 2014/04/0065).
- ↑ Da dem österreichischen Verwaltungsstrafrecht die Strafbarkeit juristischer Personen fremd ist, müsste innerstaatlich dafür eine Rechtsgrundlage geschaffen werden (vgl. dazu bspw. § 35 FM-GWG).
- ↑ Für Österreich siehe zur Unzulässigkeit der Verhängung einer Verwaltungsstrafe gegen ein oberstes Organ VfSlg. 19.988/2015.
- ↑ Flendrovsky argumentiert auf Basis der Rsp des VfGH, dass derart hohe Geldstrafen in Österreich zwingend von einem Gericht zu verhängen wären und nicht von einer Verwaltungsbehörde; vgl. dazu Flendrovsky, Die Aufsichtsbehörden, in Knyrim (Hrgs.) aaO S. 287.
KAPITEL IX. Vorschriften für besondere Verarbeitungssituationen
- Artikel 85. Verarbeitung und Freiheit der Meinungsäußerung und Informationsfreiheit
- Artikel 86. Verarbeitung und Zugang der Öffentlichkeit zu amtlichen Dokumenten
- Artikel 87. Verarbeitung der nationalen Kennziffer
- Artikel 88. Datenverarbeitung im Beschäftigungskontext Änderungen!
- Artikel 89. Garantien und Ausnahmen in Bezug auf die Verarbeitung zu im öffentlichen Interesse liegenden Archivzwecken, zu wissenschaftlichen oder historischen Forschungszwecken und zu statistischen Zwecken
- Artikel 90. Geheimhaltungspflichten
- Artikel 91. Bestehende Datenschutzvorschriften von Kirchen und religiösen Vereinigungen oder Gemeinschaften
KAPITEL X. Delegierte Rechtsakte und Durchführungsrechtsakte
Erläuterungen
Kapitel IX legt besondere Verarbeitungssituationen (bspw. Freiheit der Meinungsäußerung, Zugang zu amtlichen Dokumenten, Beschäftigungskontext) fest. Die Mitgliedstaaten sind dazu angehalten, durch Rechtsvorschriften diese Verarbeitungssituationen näher zu determinieren, um sie in Einklang mit der DSGVO zu bringen.
Nach Art. 99 trat die Verordnung am zwanzigsten Tag nach ihrer Veröffentlichung im ABl. in Kraft (das war der 25.05.2016) und gilt ab dem 25.05.2018.
KAPITEL XI. Schlussbestimmungen
- Artikel 94. Aufhebung der Richtlinie 95/46/EG
- Artikel 95. Verhältnis zur Richtlinie 2002/58/EG
- Artikel 96. Verhältnis zu bereits geschlossenen Übereinkünften
- Artikel 97. Berichte der Kommission
- Artikel 98. Überprüfung anderer Rechtsakte der Union zum Datenschutz
- Artikel 99. Inkrafttreten und Anwendung1 Fragestellung
