Die DSGVO (Verordnung (EU) 2016/679) wurde am 04.05.2016 im ABl. Nr. L119 S. 1 kundgemacht, trat am 20. Tag nach ihrer Veröffentlichung in Kraft und gilt ab dem 25.05.2018. Sie hebt die DSRL auf und wird ab Mai 2018 das Rückgrat des allgemeinen Datenschutzes der EU bilden. Die Verordnung ist unmittelbar anwendbar und bedürfte grundsätzlich keines weiteren innerstaatlichen Umsetzungsaktes. Die DSGVO enthält zahlreiche „Öffnungsklauseln“, die den nationalen Gesetzgeber verpflichten und/oder berechtigen, bestimmte Angelegenheiten gesetzlich näher zu regeln. Es wird daher neben der DSGVO in Österreich weiterhin ein nationales Datenschutzgesetz geben.

Zielsetzungen der DSGVO sind

• einheitlicher Rechtsschutz für alle Betroffenen in der EU
• einheitliche Regeln für die Datenverarbeitung innerhalb der EU
• Gewährleistung eines starken und einheitlichen Vollzuges

Die datenschutzrechtliche Terminologie ist in bestimmten Bereichen neu. So wird bspw. der bisherige Auftraggeber zum „Verantwortlichen“ und der Dienstleister zum „Auftragsverarbeiter“.

Kapitel III regelt jene Datenschutzrechte, die einer betroffenen Person zukommen.

Die Art. 13 und 14 – wie bereits schon Art. 10 und 11 der DSRL – legen die Informationspflichten gegenüber Betroffenen fest. Demnach sind Betroffene darüber zu informieren, von wem, auf welcher Rechtsgrundlage und zu welchem Zweck ihre Daten verarbeitet und an wen sie übermittelt werden. Der EuGH misst diesen Informationspflichten großen Wert bei, weil diese die Voraussetzungen dafür schaffen, dass Betroffene ihre Rechte (Auskunft, Richtigstellung, Löschung, Widerspruch) ausüben können.

Neben den schon bisher bekannten Rechten auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17; ausweitet zum „Recht auf Vergessenwerden“) und Widerspruch (Art. 21)8 werden neue Rechte eingeführt.

So sieht Art. 18 das Recht auf Einschränkung der Verarbeitung vor, wonach ein Betroffener vom Verantwortlichen die Einschränkung der Verarbeitung verlangen kann, wenn bspw. die Richtigkeit der Daten bestritten wird.

Art. 20 räumt einem Betroffenen das Recht auf Datenübertragbarkeit ein. Damit soll sichergestellt werden, dass die von einem Betroffenen zur Verfügung gestellten personenbezogene Daten, die bei einem (privaten) Anbieter in einer bestimmten technischen Umgebung gespeichert werden, bei einem Anbieterwechsel ohne technische Barrieren für die Betroffenen in eine neue technische Umgebung übertragen werden können.

Art. 23 ermächtigt die Union und die Mitgliedstaaten, die in den Art. 12 bis 22 und Art. 34 und 5 normierten Rechte und Pflichten unter bestimmten Voraussetzungen einzuschränken. Nach der Rsp des EuGH unterliegen solche Einschränkungen aber insofern der Kontrolle des EuGH, als auch Einschränkungen, die Mitgliedstaaten vornehmen können, in den Anwendungsbereich des Unionsrechtes fallen.

Die DSGVO nimmt stärker als die DSRL und das DSG 2000 Verantwortliche und Auftragsverarbeiter in die Pflicht.

Kapitel V regelt die näheren Voraussetzungen für den Datenverkehr mit Empfängern in Drittstaaten oder internationalen Organisationen.

Ein derartiger Datenfluss ist nur unter folgenden Bedingungen zulässig:

• Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45)
• Vorliegen geeigneter Garantien (Art. 46)
• Vorliegen verbindlicher unternehmensinterner Vorschriften (Art. 47)

Art. 49 sieht Ausnahmen für bestimmte Fälle vor.

Die Ratio hinter Kapitel V ist, dass die übermittelten Daten beim Empfänger im Drittstaat demselben Schutzregime wie in der EU unterliegen sollen.

Wie derzeit wird es in jedem Mitgliedstaat zumindest eine unabhängige Aufsichtsbehörde geben. Die Aufgaben und Befugnisse werden erheblich erweitert (Art. 57 und 58). Art. 58 normiert drei Arten von Befugnissen: • Untersuchungsbefugnisse (einschließlich des Betretungsrechts bestimmter Räumlichkeiten) • Abhilfebefugnisse (das sind Befugnisse, die es der Aufsichtsbehörde ermöglichen, ein rechtswidriges Verhalten abzustellen, bspw. durch konkrete Anordnungen oder die Verhängung von Geldbußen iHv bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres) • Genehmigungs- und Beratungsbefugnisse. Gerichte sind von der Aufsicht ausgenommen, sofern sie im Rahmen ihrer justiziellen Tätigkeit handeln. Im Umkehrschluss unterliegen Organe der Gerichtsbarkeit daher der Aufsicht, wenn sie im Rahmen der Justizverwaltung tätig werden. ^[2]

Fußnoten[Bearbeiten]

Da im digitalen Zeitalter grenzüberschreitende Sachverhalte die Norm sind, sieht die DSGVO auch eine verstärkte Zusammenarbeit zwischen den einzelnen Aufsichtsbehörden vor. Liegt ein grenzüberschreitender Sachverhalt vor, soll unter Einbindung aller betroffenen Aufsichtsbehörden eine abgestimmte Entscheidung getroffen werden, die dann dem Verantwortlichen oder Auftragsverarbeiter am Sitz seiner Hauptniederlassung zuzustellen ist.

Dabei fungiert die Aufsichtsbehörde am Sitz der Hauptniederlassung als federführende Aufsichtsbehörde ^[2], die die Einbindung der (sonst noch) betroffenen Aufsichtsbehörden koordiniert und einen Entscheidungsentwurf vorbereitet und mit den betroffenen Aufsichtsbehörden abstimmt.

Der Empfänger ist, sofern er die Entscheidung nicht bekämpft, verpflichtet, die Entscheidung in all seinen Niederlassungen in der EU umzusetzen.

Kapitel VII sieht auch noch die Verpflichtung zur wechselseitigen Amtshilfe (Art. 61) und die Möglichkeit zur Durchführung gemeinsamer Maßnahmen der Aufsichtsbehörden (Art. 62) vor.

Das Verfahren zur Zusammenarbeit findet keine Anwendung, wenn es sich beim Verantwortlichen/Auftragsverarbeiter um eine Behörde oder einen beliehenen Rechtsträger handelt (Art. 55 Abs. 2).

Eine wesentliche Rolle wird der nach Art. 68 einzurichtende Europäische Datenschutzausschuss spielen, in welchem die Aufsichtsbehörden aller Mitgliedstaaten, der Europäische Datenschutzbeauftragte sowie die Europäische Kommission vertreten sind. Der Ausschuss hat nach Art. 70 vielfältige Aufgaben, darunter die Verabschiedung von Leitlinien zu bestimmten Themen der DSGVO, aber auch die Abgabe von Stellungnahmen sowie die Fällung verbindlicher Beschlüsse (Art. 64 und 65). Er wird dabei von einem Sekretariat unterstützt, das vom Europäischen Datenschutzbeauftragten bereitgestellt wird.

Fußnoten[Bearbeiten]

Art. 77 normiert das Recht auf eine Beschwerde bei einer Aufsichtsbehörde.

Gegen verbindliche Entscheidungen der Aufsichtsbehörde bzw. gegen Untätigkeit der Aufsichtsbehörde steht der Rechtsweg an ein Gericht offen (Art. 78). Zuständig für solche Beschwerden sind die Gerichte jenes Mitgliedstaates, in welchem die Behörde ihren Sitz hat.

Art. 79 normiert das Recht auf einen wirksamen gerichtlichen Behelf gegen Verantwortliche oder Auftragsverarbeiter.

Nach Art. 80 können sich betroffene Personen von spezialisierten Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht vor der Aufsichtsbehörde vertreten und Schadenersatz gerichtlich einklagen lassen. Die Mitgliedstaaten können auch vorsehen, dass diese Einrichtungen auch unabhängig von einer Bevollmächtigung Beschwerde bei der Aufsichtsbehörde einreichen können. Die Geltendmachung von Schadenersatzforderungen ist hingegen ohne Mandat nicht möglich. ^[1]

Art. 82 normiert die Möglichkeit, für erlittenen materiellen und immateriellen Schaden Schadenersatz vom Verantwortlichen oder Auftragsverarbeiter zu verlangen. Sind an einer Verarbeitung mehrere Verantwortliche oder Auftragsverarbeiter beteiligt, so haftet jeder von ihnen für den Gesamtschaden (Art. 82 Abs. 4).

Art. 83 enthält Gelbußentatbestände sowie jene Gründe, die als erschwerend oder mildernd bei der Strafbemessung zu berücksichtigen sind.

Die Geldbußen, bei welchen es sich um Verwaltungsstrafen handelt ^[2], reichen bis zu 20 Millionen Euro oder, im Falle eines Unternehmens ^[3], bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Es bleibt den Mitgliedstaaten vorbehalten festzulegen, ob Geldbußen auch gegen Behörden und öffentliche Stellen verhängt werden können. ^[4]

Sieht die Rechtsordnung eines Mitgliedstaates keine Geldbußen vor, kann Art. 83 so angewendet werden, dass die Aufsichtsbehörde einen Strafantrag bei Gericht stellt und die Geldbuße von einem Gericht verhängt wird. ^[5]

Art. 84 verpflichtet die Mitgliedstaaten, zusätzliche Sanktionen, vor allem gerichtlich strafbare Tatbestände, zu normieren.

Fußnoten[Bearbeiten]

Kapitel IX legt besondere Verarbeitungssituationen (bspw. Freiheit der Meinungsäußerung, Zugang zu amtlichen Dokumenten, Beschäftigungskontext) fest. Die Mitgliedstaaten sind dazu angehalten, durch Rechtsvorschriften diese Verarbeitungssituationen näher zu determinieren, um sie in Einklang mit der DSGVO zu bringen.

Nach Art. 99 trat die Verordnung am zwanzigsten Tag nach ihrer Veröffentlichung im ABl. in Kraft (das war der 25.05.2016) und gilt ab dem 25.05.2018.