Bearbeiter: Sabine Kriwanek / Bearbeiter: Barbara Tuma
Dieser Inhalt ist frei verfügbar.
Mit einem
Abonnement der jusIT
erhalten Sie die Zeitschrift in Print und vollen digitalen
Zugriff im Web, am Smartphone und Tablet.
Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. 4. 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der RL 95/46/EG (Datenschutz-Grundverordnung)
ABl L 119 vom 4. 5. 2016 S 1.
Mit dieser Verordnung wird die RL 95/46/EG (DatenschutzRL) mit Wirkung vom 25. 5. 2018 aufgehoben; deren Grundsätze werden aktualisiert und modernisiert.
Die Datenschutz-GrundVO definiert in ihrem Art 1 als ihren Gegenstand und ihre Ziele ua einerseits den Schutz der „Grundrechte und Grundfreiheiten natürlicher Personen und insb deren Recht auf Schutz personenbezogener Daten“ und andererseits, dass der „freie Verkehr personenbezogener Daten in der Union [...] aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden“ darf.
Die Verordnung gilt „für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen“ (Art 2 Abs 1).
Neben der Rechte natürlicher Personen sowie der Pflichten derjenigen, die die Daten verarbeiten bzw für die Verarbeitung der Daten verantwortlich sind, legt die Verordnung fest, wie die Einhaltung der Vorschriften gewährleistet werden soll und welche Sanktionen bei Verstößen gegen die Vorschriften zu verhängen sind.
Hauptgesichtspunkte der Verordnung:
-
Rechte der betroffenen Person: Die Verordnung listet die Rechte der betroffenen Person auf. Diese erhalten mehr Kontrolle über ihre personenbezogenen Daten, und zwar ua durch
das Erfordernis der Einwilligung der betroffenen Person zur Verarbeitung personenbezogener Daten,
den einfacheren Zugang der betroffenen Person zu ihren personenbezogenen Daten,
die Rechte auf Berichtigung und auf Löschung („Recht auf Vergessenwerden“),
das Widerspruchsrecht, auch in Bezug auf die Verwendung personenbezogener Daten für die Zwecke der „Profilerstellung“, und
das Recht auf Übertragbarkeit der Daten von einem Dienstleister an einen anderen.
Die für die Verarbeitung Verantwortlichen sind verpflichtet, den betroffenen Personen transparente und leicht zugängliche Informationen über die Verarbeitung ihrer Daten bereitzustellen.
-
Einhaltung der Datenschutz-GrundVO: Die Verordnung regelt weiters im Einzelnen die allgemeinen Pflichten der Verantwortlichen und der Auftragsverarbeiter, dh derjenigen, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeiten. Dazu gehört die Pflicht, geeignete Sicherheitsmaßnahmen zu treffen, die dem Risiko entsprechen, das mit den Datenverarbeitungsvorgängen verbunden ist (risikobasierter Ansatz). Die Verantwortlichen müssen ferner in bestimmten Fällen Verletzungen des Schutzes personenbezogener Daten melden. Alle Behörden und Unternehmen, die bestimmte riskante Datenverarbeitungen vornehmen, müssen zudem einen Datenschutzbeauftragten benennen. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern von jeder Niederlassung aus der Datenschutzbeauftragte leicht erreicht werden kann. Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen.
-
Überwachung: Die Verordnung bestätigt die bereits bestehende Pflicht der Mitgliedstaaten, eine unabhängige Aufsichtsbehörde auf nationaler Ebene einzurichten. Ferner sollen Mechanismen geschaffen werden, die eine einheitliche Anwendung der Datenschutzvorschriften in der EU gewährleisten. Insbesondere wird in bedeutenden grenzüberschreitenden Fällen, die mehrere einzelstaatliche Aufsichtsbehörden betreffen, eine einheitliche Aufsichtsentscheidung getroffen. Dieses Prinzip der sogenannten zentralen Kontaktstelle bedeutet, dass ein Unternehmen mit Tochtergesellschaften in mehreren Mitgliedstaaten nur mit den Datenschutzbehörden in dem Mitgliedstaat verkehren muss, in dem es seinen Hauptsitz hat. Die Verordnung sieht auch die Einrichtung eines Europäischen Datenschutzausschusses vor, der den derzeitigen Ausschuss „Art 29“ ersetzt. Durch die Datenschutz-GrundVO erhalten die betroffenen Personen ferner das Recht, bei einer Aufsichtsbehörde Beschwerde einzulegen oder den Rechtsweg zu beschreiten; sie regelt zudem die Haftung und das Recht auf Schadenersatz. Um Nähe zwischen den natürlichen Personen und den sie betreffenden Entscheidungen zu schaffen, haben die betroffenen Personen künftig ein Recht darauf, dass die Entscheidung der für sie zuständigen Datenschutzbehörde von ihrem jeweiligen nationalen Gericht überprüft wird. Dies gilt unabhängig von dem Mitgliedstaat, in dem der jeweilige Verantwortliche seinen Sitz hat.
-
Sanktionen: Gegen Verantwortliche oder Auftragsverarbeiter, die die Datenschutzvorschriften verletzen, werden äußerst strenge Sanktionen verhängt werden. Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Art 58 Abs 2 VO (EU) 2016/679 werden im Einklang mit Art 83 Abs 2 VO (EU) 2016/679 Geldbußen von bis zu 20 Mio EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist. Diese verwaltungsrechtlichen Sanktionen werden von den nationalen Datenschutzbehörden verhängt.
-
Übermittlungen an ein Drittland: Die Verordnung erfasst auch die Übermittlung personenbezogener Daten in Drittländer und an internationale Organisationen. Hierzu wird die Kommission beauftragt, das Schutzniveau zu beurteilen, das ein Gebiet oder ein Sektor in einem Drittland bietet. Hat die Kommission keinen Angemessenheitsbeschluss bezüglich eines Gebiets oder eines Sektors getroffen, so kann die Übermittlung der personenbezogenen Daten trotzdem stattfinden, sofern es sich um besondere Fälle handelt oder geeignete Garantien für den Schutz bestehen (Standarddatenschutzklauseln, verbindliche unternehmensinterne Datenschutzvorschriften oder Vertragsklauseln).
Die Datenschutz-GrundVO tritt am 24. 5. 2016 in Kraft und gilt ab 25. 5. 2018. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.
IZm dem Datenschutz wurden am 4. 5. 2015 noch folgende RL im ABl der EU veröffentlicht:
-
RL (EU) 2016/680 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates, ABl L 119 vom 4. 5. 2016 S 89. Link zum Amtsblatt
-
RL (EU) 2016/681 über die Verwendung von Fluggastdatensätzen (PNR-Daten) zur Verhütung, Aufdeckung, Ermittlung und Verfolgung von terroristischen Straftaten und schwerer Kriminalität, ABl L 119 vom 4. 5. 2016 S 132. Link zum Amtsblatt
