Wien

DSGVO: Datenschutz-Grundverordnung in Österreich


Wer hat´s erfunden? Die EU !
Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ("Datenschutz-Grundverordnung", DSGVO).
Sie hebt die DSRL auf und wird ab Mai 2018 das Rückgrat des allgemeinen Datenschutzes der EU bilden. Neben der DSGVO gilt in Österreich weiterhin ein nationales Datenschutzgesetz.

Ab wann gilt die DSGVO?
Ab 25. Mai 2018.

Zuständige Behörde in Österreich?
Die Datenschutzbehörde.
   Österreichische Datenschutzbehörde
   Wickenburggasse 8
   1080 Wien
Telefon: 01-52 152-0   E-Mail: dsb@dsb.gv.at

Datenschutzrechte, die einer betroffenen Person
Neben den schon bisher bekannten Rechten
   * auf Auskunft (Art.15),
   * Berichtigung (Art.16),
   * Löschung (Art. 17; ausweitet zum „Recht auf Vergessenwerden“) und
   * Widerspruch (Art.21)
werden neue Rechte eingeführt.
   * Recht auf Einschränkung der Verarbeitung (Art. 18; Ein Betroffener kann vom Verantwortlichen die Einschränkung der Verarbeitung verlangen, wenn bspw. die Richtigkeit der Daten bestritten wird. 
   * Recht auf Datenübertragbarkeit (Art. 20). z.B. beim Wechsel eine Teleokm-Anbiertes, einer Bank oder eines Versicherungsunternehmens.

Das Recht auf Auskunft (Art. 15 DSGVO). Der Betroffene darf eine Bestätigung verlangen, ob ihn betreffende Daten verarbeitet werden, einschließlich einer Negativauskunft. Werden Daten verarbeitet, hat der Betroffene das Recht auf folgende Informationen:
a. Verarbeitungszwecke;
b. Datenkategorien;
c. Kopie (z.B. Ausdruck) der verarbeiteten Dateninhalte;
d. Datenempfänger oder Empfängerkategorien;
e. geplante Speicherdauer (oder Kriterien für deren Festlegung);
f. Bestehen eines Berichtigungs-, Löschungs-, Einschränkungs- oder Widerspruchsrechts;
g. Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
h. verfügbare Informationen über Datenherkunft;
i. Bestehen einer automatisierten Entscheidungsfindung (Profiling eingeschlossen), Logik und Tragweite solcher Verfahren.
Die Frist zur Auskunftserteilung wird durch die DSGVO auf einen Monat verkürzt wenn Sie Daten verarbeiten wollen, die Sie nicht bei den Betroffenen selbst erhoben haben, müssen Sie den Betroffenen sämtliche Informationen wie in Artikel 14 DSGVO vorgesehen mitteilen. Dies kann unterbleiben, wenn die Betroffenen über die Informationen bereits verfügen, die Erteilung der Information unmöglich oder mit unverhältnismäßigem Aufwand verbunden ist, die Verarbeitung gesetzlich vorgesehen ist oder die Daten dem Berufsgeheimnis unterliegen (vgl. Artikel 14. Abs. 5 DSGVO). 
 
Verantwortliche und Auftragsverarbeiter sind verpflichtet ein Verzeichnis von Verarbeitungstätigkeiten zu führen (Art. 30), das auf Anfrage der Aufsichtsbehörde vorzulegen ist. Diese Verpflichtung gilt nicht für Unternehmen oder Einrichtungen,
* die weniger als 250 Mitarbeiter beschäftigen, es sei denn,
   + die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und
Freiheiten der betroffenen Personen,
   + die Verarbeitung erfolgt nicht nur gelegentlich oder
   + es erfolgt eine Verarbeitung besonderer Datenkategorien gemäß Art. 9 Abs. (sensible Daten) bzw. die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten im Sinne des Art. 10

keine Anwendung der DSGVO, wenn
* Datenverwendung im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten
* Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen
* Tätigkeiten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik
* Tätigkeiten der zuständigen Behörden zur Verhütung, Ermittlung, Aufdeckung oder
Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor
und der Abwehr von Gefahren für die öffentliche Sicherheit
  
Gilt die DSGVO nur für Großunternehmen?
Nein. Die DSGVO gilt auch für Klein- und Einpersonunternehmen unter bestimmten Voraussetzungen
sowie für Behörden und öffentliche Stellen. Punktuell sind Ausnahmen für Klein- und Einpersonunternehmen vorgesehen (z.B. in Art. 30 Abs.5 DSGVO betreffend die Führung eines Verzeichnisses von Verarbeitungstätigkeiten).

Zertifizierung von Betrieben:
Datenschutzspezifische Zertifizierungsverfahren, Datenschutzsiegel und Datenschutzprüfzeichen
dienen dem Nachweis der faktischen Einhaltung von Vorgaben der DSGVO bei bestimmten Verarbeitungsvorgängen. Eine Zertifizierung wird durch die Datenschutzbehörde oder von ihr eigens dazu akkreditierten Stellen auf Grundlage der Zertifizierungskriterien eines genehmigten Zertifizierungsverfahrens erteilt. Die maximale Gültigkeit einer Zertifizierung beträgt drei Jahre, eine (mehrfache) Verlängerung um je maximal drei Jahre ist möglich.
 
Strafen:
Art. 83 enthält Geldbußentatbestände sowie jene Gründe, die als erschwerend oder mildernd bei der Strafbemessung zu berücksichtigen sind.
Die Geldbußen, bei welchen es sich um Verwaltungsstrafen handelt, reichen bis zu 20 Millionen Euro oder, im Falle eines Unternehmens, bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Es bleibt den Mitgliedstaaten vorbehalten festzulegen, ob Geldbußen auch gegen Behörden und öffentliche Stellen verhängt werden können.

Mehr Infos => Leitfaden zur DSVGO der Datenschutzbehörde 
 
Tipp: Problematische Dienste:
Das Einbinden von Social-Media Dienst auf der eigenen Webseite ist problematisch und kann zu Verletzungen von Datenschutzbestimmungen führen. 
Bei Newsletter braucht man eine Zustimmung von der Person, deren Daten im Newsletter verarbeitet wird. Dabei ist die Person aufzuklären, wofür die Daten verwendet werden, z.B. die Weitergabe an Drittdienstanbieter.
 



WKO-Checkliste

* Wird eine Bildverarbeitung (z.B. Videoüberwachung) durchgeführt?
* Erfolgt profiling?
* Welche sensiblen Daten werden verarbeitet?
* Besteht für meine  Datenverarbeitungen Dokumentationspflicht? Wie wird die Dokumentationspflicht erfüllt?
* Welche Vorkehrungen gegen Datenschutzverletzungen existieren schon in meinem Unternehmen?
* Ist für meine Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen?
* Brauche ich einen Datenschutzbeauftragten?
und vieles mehr => WKO-Checkliste zur DSGVO 
 



Wann fallen Fotos unter das Datenschutzrecht?

"Jede Anfertigung eines Fotos oder Videos, auf dem Personen erkennbar abgebildet sind, ist erst einmal eine Verarbeitung personenbezogener Daten im Sinne der der ab 25. Mai gültigen Datenschutzgrundverordnung (DSGVO). Das sagt inzwischen auch die EU-Kommission auf die Anfrage eines Fotografen hin. ..."
Qu.: Fokus vom 11.5.2018
 



Österreich reduziert die Strafen bezüglich DSGVO-Verstöße

"Österreich zieht der Datenschutzgrundverordnung "die Zähne".
Statt saftigen Geldstrafen droht in Österreich ansässigen Firmen nur mehr ein Klaps auf die Finger. Auch Behörden stehen unter dem Schutz der Regierung und müssen keine Strafen befürchten. ..."
=> Die Presse vom 25.4.2018
 





=> Kommentare & Postings eintragen