Dieser Artikel wurde Ihnen von einem unserer Abonnenten zur Verfügung gestellt. Mit einem Abonnement der RdW erhalten Sie die Zeitschrift in Print und vollen digitalen Zugriff im Web, am Smartphone und Tablet. Mehr erfahren…
Testen Sie
ALLE 13 Zeitschriftenportale
30 Tage lang kostenlos.
Der Zugriff endet nach 30 Tagen automatisch.
Im zweiten Teil der Ausführungen zur DSGVO sollen die besonderen Pflichten der Verantwortlichen näher untersucht werden; wo derartige Pflichten auch Auftragsverarbeiter treffen, wird darauf speziell eingegangen.1
Die Pflicht, jederzeit über die Verarbeitung von personenbezogenen Daten Rechenschaft ablegen zu können, setzt vor allem einen dokumentierten Überblick über alle vorgenommenen Verarbeitungstätigkeiten voraus. Aufzeichnungen darüber mussten auch nach dem DSG 2000 geführt werden, allerdings nur von den Verantwortlichen. Die DSGVO dehnt diese Pflicht auch auf die Auftragsverarbeiter aus.
Weggefallen ist die Publizität dieser Aufzeichnungen in Form der Veröffentlichung im Datenverarbeitungsregister. Die Verzeichnisse nach Art 30 DSGVO müssen ausschließlich der Datenschutzbehörde zugänglich gemacht werden.
1.1. Der obligatorische (Mindest-)Inhalt des Verarbeitungsverzeichnisses2 eines Verantwortlichen muss Angaben über den Zweck der Datenverarbeitung samt Speicherdauer, zu den Datenkategorien, Betroffenenkategorien und Empfängerkategorien und die Aufzählung jener Drittländer enthalten, in die Daten übermittelt werden. Hinzu kommt eine allgemeine Beschreibung der für Zwecke der Datensicherheit vorgesehenen Maßnahmen. Es fehlt allerdings - erstaunlicherweise - die Verpflichtung, in dieser Dokumentation Angaben über die Rechtsgrundlagen der Datenverarbeitung zu machen. Da Klarheit über diese Frage aber ein zentraler Punkt der von einem Verantwortlichen zu erwartenden datenschutzrechtlichen Sorgfalt ist, folgt daraus, dass Verantwortliche zusätzlich eingehendere Aufzeichnungen über ihre Datenverarbeitungen haben müssen, wenn sie ihren Verpflichtungen nach der DSGVO umfassend entsprechen wollen. Dies wird insb deutlich, wenn man das Verarbeitungsverzeichnis nach Art 30 mit dem Inhalt der Informationen vergleicht, die gem Art 13 und Art 14 gegeben werden müssen.3
Die Art und Weise, wie die Beschreibung einer Datenverarbeitung erfolgt, ist dem Verantwortlichen im Rahmen des Art 30 DSGVO freigestellt, sofern nur der erforderliche Inhalt vorhanden ist. An sich kann man sich auch durchaus an die bisherige Art der Darstellung von Datenverarbeitungen in den Meldungen an das Datenverarbeitungsregister anlehnen.4 Die Datenschutzbehörde hat erkennen lassen,5 dass gegen eine Weiterverwendung erstatteter Meldungen an das Datenverarbeitungsregister kein prinzipieller Einwand besteht, vorausgesetzt, dass sie vollständig und aktuell sind und um jene Punkte ergänzt sind, die gegenüber § 19 DSG 2000 zusätzlich erforderlich sind.6
1.2. Abweichend von der bisherigen Rechtslage in Österreich müssen nunmehr auch Auftragsverarbeiter Verfahrensverzeichnisse führen. Hier fehlt es noch an Beispielen in Entscheidungen von Datenschutzbehörden, wie die Beschreibung dieser Tätigkeiten am zweckmäßigsten zu erfolgen hat, zB was hier sinnvollerweise als "Kategorie einer Verarbeitung" anzusehen ist.7 Auch ist der Wortlaut des Art 30 Abs 2 lit a unklar hinsichtlich der Frage, inwieweit Sub-Verarbeiter-Relationen in dem Verzeichnis anzuführen sind.8 Übermittlungen in Drittländer müssen an sich schon vom Verantwortlichen dokumentiert werden, doch soll der Auftragsverarbeiter offenbar zusätzlich dokumentieren, an welchen Übermittlungen er beteiligt ist. Mehr Sicherheit hinsichtlich der
Art der Darstellung des notwendigen Inhalts der Dokumentation wird sich erst durch die künftige Praxis ergeben. Angaben über die vorgesehenen Datensicherheitsmaßnahmen sind in das Verarbeitungsverzeichnis jedenfalls aufzunehmen.
1.3. Von der Pflicht zur Führung von Verarbeitungsverzeichnissen gibt es praktisch keine Ausnahme, da Art 30 Abs 5, der die zulässigen Ausnahmen behandelt, nur einen äußerst schmalen Anwendungsbereich besitzt.
Von der bisherigen österreichischen Situation, wonach infolge der durch Verordnung geregelten "Standardanwendungen"9 für etwa 50 % der Verarbeitungen keine Verzeichnisführungspflicht bestand, musste mangels einer Öffnungsklausel in diesem Bereich Abschied genommen werden. Allerdings wird auf die "Standardanwendungen" im Zusammenhang mit der Pflicht zur Risikofolgenabschätzung nochmals zurückzukommen sein.
Im Verarbeitungsverzeichnis sind die Drittländer/Internationalen Organisationen aufzuzählen, in/an die Daten übermittelt werden. Im Folgenden sollen nun die Voraussetzungen für den zulässigen Datenexport in Drittländer bzw an Internationale Organisationen dargestellt werden:
Hinsichtlich des Internationalen Datenverkehrs enthält die DSGVO gegenüber der DS-RL wenige grundsätzliche Neuerungen, abgesehen davon, dass die Genehmigungspflichtigkeit von Datentransfers stark zurückgefahren wurde. Im Übrigen ist so wie bisher zwischen Ländern (eigentlich: Rechtsordnungen) zu unterscheiden, die im Verhältnis zur DSGVO
| - | gleichwertigen Datenschutz verheißen, das sind naturgemäß die Mitgliedstaaten der Union, aber auch jene Mitgliedstaaten des EWR, die nicht zugleich Unionsmitglieder sind (das sind Island, Liechtenstein und Norwegen): Mit ihnen ist der Datenverkehr ohne zusätzliche Maßnahmen zulässig; |
| - | angemessenen Datenschutz gewährleisten, was nur angenommen werden darf, wenn dies durch einen im ABl der EU verlautbarten Beschluss der EU-Kommission festgestellt wurde (so zB für die Schweiz geschehen): Auch in diesen Fällen ist der Datenverkehr ohne besondere zusätzliche Voraussetzungen zulässig; |
| - | keinen ausreichenden Datenschutz vorsehen: Das sind alle bisher nicht genannten Länder/Rechtsordnungen. Wer Daten dorthin exportiert, muss prüfen, inwieweit gemäß Kapitel V - insb Art 49 und Art 46 - DSGVO, besondere Schutzgarantien erforderlich sind und wie diese erbracht werden können. |
So wie bisher muss derjenige,12 der personenbezogene Daten in den Herrschaftsbereich einer fremden Rechtsordnung übermitteln will, nicht nur eine ausreichende Rechtsgrundlage iSd Art 6 Abs 1 DSGVO für die Datenübermittlung besitzen,13 sondern zusätzlich dafür Sorge tragen, dass diese Daten beim ausländischen Empfänger entsprechend geschützt sind, wenn dort weder gleichwertiger noch angemessener Datenschutz herrscht.
| - | In manchen Konstellationen wird von der DSGVO allerdings hinreichender Schutz bereits infolge der Umstände des Datentransfers angenommen: Art 49 Abs 1 lit a-g enthält die Liste der Fälle, in welchen besondere Schutzmaßnahmen nicht erforderlich sind.14 |
| - | Für ausnahmsweise,15 auf zwingende berechtigte Interessen gestützte Datenübermittlungen16 mit beschränktem Umfang und Betroffenenkreis enthält Art 49 Abs 1, 2. Unterabsatz, eine - gegenüber der DS-RL - neue Regelung: Eine solche ausnahmsweise Übermittlung darf vorgenommen werden unter ad hoc ergriffenen Schutzmaßnahmen, muss aber begleitet sein von einer Benachrichtigung der Datenschutzbehörde und von der (nachträglichen?) Information der Betroffenen. |
| - | In allen anderen Fällen muss der inländische Übermittelnde besondere Garantien für den Schutz der Daten im Ausland vor Durchführung des Datenexports eingerichtet haben. |
Als geeignete Garantien kommen zunächst vor allem vertragliche Vereinbarungen zwischen dem inländischen Datenexporteur und dem ausländischen Datenimporteur infrage,17 wobei der Datenexport ohne Genehmigung der Datenschutzbehörde erfolgen darf, wenn sog "Standarddatenschutzklauseln" verwendet werden, die von der EU-Kommission oder von der nationalen Datenschutzbehörde erlassen wurden. Eine gleichartige Wirkung haben Verhaltensregeln iSd Art 40 DSGVO, wenn sie die Überbindung von datenschutzrechtlichen Pflichten an ausländische
Datenempfänger vorsehen und von der Datenschutzbehörde als ausreichend genehmigt wurden, ferner auch zertifizierte Vorgangsweisen beim Datenexport iSd Art 42.18 Schließlich kann ein genehmigungsfreier Datenexport auch auf "verbindliche interne Datenschutzvorschriften gemäß Art 47" gestützt werden, das sind die bisher als Soft Law in Verwendung stehenden "binding corporate rules", also konzerninterne Datenschutzregeln, die den Datenschutzbehörden zur Begutachtung vorgelegt wurden. Ein auf solchen genehmigten Datenschutzvorschriften beruhender Datenverkehr ins Ausland bedarf keiner weiteren Genehmigung im Einzelfall.
Für Datenverarbeitungen, die "wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen", ist in der DSGVO ein besonderes Prüfverfahren vorgesehen, das vor Beginn der Verarbeitung durchzuführen ist: Die sog "Datenschutz-Folgenabschätzung" ist vom Verantwortlichen vorzunehmen und mündet ggf in die Befassung der Datenschutzbehörde in Form der "vorherigen Konsultation".20 Bei dieser Konsultation wird geklärt, ob bzw unter welchen Bedingungen die Verarbeitung vorgenommen werden darf.
3.1. Die DSGVO führt in Art 35 Abs 3 Beispiele für Verarbeitungen an, die wahrscheinlich ein hohes Risiko beinhalten, definiert aber nicht, worin ein Risiko im speziell datenschutzrechtlichen Sinn zu sehen ist.21 Der Ausgangspunkt für die Verpflichtung zur Vornahme einer Datenschutz-Folgenabschätzung ist daher etwas vage, auch wenn die Art-29-Gruppe in ihren Leitlinien zur Datenschutz-Folgenabschätzung22 nähere Ausführungen zur Liste der in Art 35 Abs 3 angeführten Beispielsfälle gemacht hat. Danach wären Verarbeitungen insb dann einer Folgenabschätzung zu unterziehen, wenn sie
| - | sensible Daten, strafrelevante Daten oder Daten über höchstpersönliche Umstände beinhalten oder |
| - | besonders schutzwürdige Betroffenenkreise wie Kinder, behinderte Personen etc betreffen oder |
| - | Bewertungen durch automatisierte Verfahren (Scoring) vornehmen, insb wenn dadurch ein Recht oder Dienst nicht ausgeübt/erlangt werden kann, oder |
| - | die systematische Beobachtung/Überwachung von natürlichen Personen zum Inhalt haben oder |
| - | Daten in sehr großen Mengen betreffen, insb in Form des Abgleichens oder Zusammenführens oder der Analyse von Datenmengen, oder |
| - | neuartige Technologien oder Organisationslösungen zum Einsatz bringen. |
Zum Zweck weiterer Klarstellungen sieht die DSGVO vor, dass von den Aufsichtsbehörden eine Liste jener Verarbeitungen zu erstellen ist, die jedenfalls einer Datenschutz-Folgenabschätzung zu unterziehen sind (sog "Black List"), und darüber hinaus eine Liste erstellt werden kann für jene Verarbeitungen, die keinesfalls einer Folgenabschätzung bedürfen (sog "White List"). In Österreich wurde bereits eine "White List" durch Verordnung der Datenschutzbehörde (DSFA-AV)23 erlassen. Sie knüpft hinsichtlich der Einschätzung des Risikopotenzials von Datenverarbeitungen an die - mit 25. 5. 2018 außer Kraft getretene - Standard- und Muster-Verordnung24 an:
| - | Die Liste der in der Anlage zur DSFA-AV enthaltenen Verarbeitungstypen stimmt weitgehend mit der Liste der seinerzeitigen Standard- und Musteranwendungen überein, enthält aber auch zusätzliche Verarbeitungstypen25; |
| - | sofern Datenanwendungen mit Ablauf des 24. 5. 2018 den Vorgaben der DSGVO entsprachen und seit dem Inkrafttreten der DSFA-AV mit 25. 5. 2018 nicht wesentlich verändert wurden, sind sie von der Pflicht zur Datenschutz-Folgeabschätzung ausgenommen, falls |
Darüber hinaus kann in einzelnen Gesetzen für konkrete Datenverarbeitungen ausdrücklich festgelegt werden, dass eine Datenschutz-Folgenabschätzung nicht erforderlich ist.28
Eine Regelung, die festlegt, für welche Datenverarbeitungen jedenfalls eine Datenschutz-Folgenabschätzung vorgenommen werden muss, ist noch ausständig.
3.2. Die Vornahme einer Datenschutz-Folgenabschätzung beginnt, soweit durch Verordnung nicht bereits Festlegungen erfolgt sind, mit der Beurteilung des potenziellen Risikos der Verarbeitung, das mE vor allem an den Folgen einer möglichen rechtswidrigen Anwendung der untersuchten Datenverarbeitung zu messen ist.29 Sämtliche Elemente der Verarbeitung können zum Risikopotenzial beitragen, wie insb der Zweck der Verarbeitung, die Art und Menge der verarbeiteten Daten, eine Mehrzahl von Verantwortlichen,30 die Art der betroffenen Personen, die Übermittlungsempfänger, der Datenexport in Drittländer usw. In diesen Beurteilungsprozess ist insb auch ein allenfalls vorhandener Datenschutzbeauftragter31 einzubinden.32
Daran müssen sich Überlegungen anschließen, ob und wie den festgestellten Risikofaktoren begegnet werden kann. In diesem Zusammenhang ist auch die Verpflichtung zum Einsatz von "privacy by design" und/oder "privacy by default"33 zu erwähnen: Soweit dies nach der Art der Datenverarbeitung, dem Stand der Technik und angesichts der Implementierungskosten möglich ist, sollten besondere technische und organisatorische Mittel eingesetzt oder Vorkehrungen getroffen werden, um den rechtswidrigen Gebrauch der verarbeiteten personenbezogenen Daten unmöglich zu machen oder zumindest erheblich zu erschweren. Wenn Mittel eingesetzt werden können, die den Eintritt der festgestellten Risiken faktisch ausschließen, sodass kein erhebliches Restrisiko bleibt, steht einer Vornahme der Verarbeitung nichts im Wege.
Wenn solche Mittel nicht in vollem Umfang zur Verfügung stehen oder mit vernünftigem Aufwand nicht eingesetzt werden können und daher ein hohes Restrisiko bestehen bleibt,34 muss vor Aufnahme der Verarbeitung die Datenschutzbehörde konsultiert werden zur Frage, ob die Verarbeitung dennoch, möglicherweise unter besonderen Auflagen, vorgenommen werden darf oder nicht.35
Die einzelnen Schritte der Folgenabschätzung sind jedenfalls schriftlich zu dokumentieren; auch bei der Konsultation der Datenschutzbehörde ist diese Dokumentation vorzulegen. Der zwingende Inhalt einer solchen Dokumentation ergibt sich aus Art 35 Abs 7 DSGVO; er besteht aus:
| - | der Beschreibung der geplanten Verarbeitungsvorgänge, |
| - | einer Bewertung der Notwendigkeit der Durchführung der Verarbeitung, |
| - | einer Bewertung der Risiken der Verarbeitung,36 |
| - | den zur Bewältigung der Risiken geplanten Abhilfemaßnahmen. |
Die Äußerung der Datenschutzbehörde im Konsultationsverfahren hat innerhalb von acht Wochen zu ergehen, wobei eine Fristverlängerung um sechs Wochen wegen der Komplexität des Sachverhalts erfolgen darf.
Hat der Verantwortliche das Restrisiko fälschlich als vernachlässigbar beurteilt, ist seine Entscheidung zunächst keiner weiteren Prüfung unterworfen. Das Ausmaß an Sorgfalt, das zu dieser Entscheidung geführt hat, wird in einem späteren allfälligen Strafverfahren allerdings von Bedeutung sein, weshalb die schriftliche Dokumentation durch den Verantwortlichen mit umfassender und detaillierter Begründung seiner Einschätzung so wichtig ist.
Art 35 Abs 11 stellt im Übrigen fest, dass die Risikobewertung nicht eine einmalige Handlung darstellen sollte, sondern in angemessenen Abständen wiederholt werden sollte, um neueren Entwicklungen gerecht zu werden.
4.1. Das in Österreich bisher heiß umkämpfte Thema der Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist in der DSGVO nunmehr so gelöst, dass sie für den öffentlichen Bereich generell37 besteht, für den privaten Bereich jedoch nur bei Zutreffen der folgenden Voraussetzungen: Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters ist eine umfangreiche ("large scale") Verarbeitung von Daten,
| - | die die regelmäßige und systematische Überwachung38 von natürlichen Personen beinhaltet, oder |
| - | die Daten nach Art 9 DSGVO ("sensible Daten") oder Art 10 DSGVO ("strafrelevante Daten") betrifft. |
Entscheidend ist, dass es sich um die (bzw eine der) hauptsächliche(n) Tätigkeit(en) ("Kerntätigkeit[en]") des Unternehmens
handelt, also zB nicht nur darum, dass auf dem Unternehmensgelände Videoüberwachung stattfindet, sondern dass der Betrieb von elektronischen Überwachungssystemen der (oder zumindest ein wesentlicher) Unternehmensgegenstand ist. Weiters muss die Verarbeitung auch noch objektiv "umfangreich" ("large scale") sein, um die Pflicht zur Bestellungen eines Datenschutzbeauftragten zu bewirken. Zum Begriff einer "Large scale-Verarbeitung" führt ErwGr 9139 Folgendes aus: "Die Verarbeitung personenbezogener Daten sollte nicht als umfangreich gelten, wenn die Verarbeitung personenbezogene Daten von Patienten oder von Mandanten betrifft und durch einen einzelnen Arzt, sonstigen Angehörigen eines Gesundheitsberufes oder Rechtsanwalt erfolgt." Sehr wohl aber müssten zB (auch private) Krankenanstalten einen Datenschutzbeauftragten bestellen. (Die neuen Primärversorgungszentren werden wohl eher als "large scale" einzustufen sein und bedürften besonderer Vorkehrungen wohl schon deshalb, weil die Organisationsform auch in datenschutzrechtlicher Hinsicht wesentlich komplizierter ist als die Praxis eines einzelnen niedergelassenen Arztes.)
Ausnahmen von der Bestellungspflicht eines Datenschutzbeauftragten im obigen Rahmen - etwa im Zusammenhang mit der Beschäftigtenanzahl beim Verantwortlichen oder Auftragsverarbeiter - sind nicht vorgesehen. Allerdings kann ein Datenschutzbeauftragter auch für mehrere Teilorganisationen (Niederlassungen), insb einer Unternehmensgruppe, bestellt werden.
Wenn Datenschutzbeauftragte freiwillig bestellt und als solche bezeichnet werden, muss ihnen auch die von Art 38 DSGVO vorgegebene unabhängige Stellung eingeräumt sein.
4.2. Zum Datenschutzbeauftragten können Mitarbeiter oder auch Externe bestellt werden, die die notwendige Berufserfahrung und das entsprechende Fachwissen in (datenschutz)rechtlicher, technischer und organisatorischer Hinsicht besitzen. Sie müssen gegenüber der Unternehmensleitung eine Stellung haben, die ausreichende Unabhängigkeit und Schutz vor Benachteiligung gewährleistet, da sie die Unternehmensführung fachgerecht, also unbeeinflusst, und (an)weisungsfrei40 beraten sollen. Sie sind in alle datenschutzrechtlich bedeutsamen Vorgänge einzubeziehen und sollten auch direkten Zugang zur Unternehmensleitung haben, um jederzeit dringende Anliegen vorbringen zu können; sehr oft wird daher der Datenschutzbeauftragte als Stabsstelle bei der Geschäftsleitung eingerichtet. Leiter der IT-Abteilung41 oder auch Auftragsverarbeiter sind hingegen als Datenschutzbeauftragte eher nicht geeignet, da sie sich zu einem erheblichen Teil selbst überwachen müssten, was nicht zweckdienlich ist.42
Der Datenschutzbeauftragte ist nicht verantwortlich für Datenschutzverletzungen - diese Verantwortung trifft jeweils die Unternehmensleitung.43
Neben der Beratung der Geschäftsleitung hat der Datenschutzbeauftragte die Aufgabe, Anlaufstelle für die Datenschutzbehörde zu sein, sowie Kontaktpunkt in allen Datenschutzfragen für Außenstehende, insb Betroffene; aus diesem Grund ist auch seine Kontaktadresse in zweckdienlicher Weise bekannt zu machen.
5.1. Die Sorgfaltspflichten von Verantwortlichen haben sich nicht nur mit der rechtlichen Richtigkeit der Verarbeitung zu beschäftigen, sondern auch mit der Sicherheit der Verarbeitung, dh, dass die tatsächlich erfolgenden Verarbeitungsschritte mit den (als rechtlich zulässig) geplanten Verarbeitungshandlungen voll übereinstimmen. Insb dürfen personenbezogene Daten nicht Unbefugten zugänglich werden (Vertraulichkeit der Verarbeitung), das Ergebnis der Verarbeitung muss den Vorgaben entsprechen (Integrität der Verarbeitung), das eingesetzte Verarbeitungssystem und die verwendeten Daten müssen in einem angemessenen Zeitraum verfügbar sein (Verfügbarkeit des Systems und der Daten, zB 7/24) und es muss die Verarbeitungsmenge auch bewältigt werden können bzw müssen bei Absturz das System und die Daten rasch wieder einsetzbar sein (Belastbarkeit des Systems und ausreichende Daten-Back-ups). Dies erfordert umfangreiche technische und organisatorische Vorkehrungen, insb auch hinsichtlich der Schulung der Mitarbeiter, und regelmäßige Überprüfung.
Die Pflicht zur Vorsorge für Datensicherheit trifft auch die Auftragsverarbeiter. Sie haben angesichts des Umstandes, dass das besondere technische Know-how oft mehr beim Auftragsverarbeiter als beim Verantwortlichen vorhanden ist, die ausdrückliche Pflicht, den Verantwortlichen in Fragen der Datensicherheit zu unterstützen.45
5.2. Hat eine Verletzung der Datensicherheit stattgefunden, muss der Verantwortliche dies der Datenschutzbehörde umgehend
melden, es sei denn, dass die Sicherheitsverletzung voraussichtlich nicht zu einem Risiko für die Schutzinteressen der Betroffenen führt. 46
Darüber hinaus sind die Betroffenen zu benachrichtigen, wenn die Sicherheitsverletzung voraussichtlich ein hohes Risiko für die Schutzinteressen der Betroffenen zur Folge hat. 47 Dies ist auszuschließen, wenn wirksame technische oder organisatorische Sicherheitsmaßnahmen, wie zB starke Verschlüsselung der Daten, eingerichtet sind und daher der Zugriff Unbefugter faktisch unmöglich ist. Auch nachträglich ergriffene Maßnahmen zur Datensicherheit können uU von der Pflicht zur Benachrichtigung der Betroffenen befreien. Außerdem kann die Benachrichtigung der einzelnen Betroffenen bei unverhältnismäßigem Aufwand auch durch "öffentliche Bekanntmachungen und ähnliche Maßnahmen" ersetzt werden.
Die umfassendste Darlegung, wie der Verantwortliche seine Pflichten nach der DSGVO wahrgenommen hat, ist in der Information nach Art 13 (anlässlich der Erhebung von Daten beim Betroffenen) bzw Art 14 (bei der Ermittlung von Daten über den Betroffenen bei Dritten) vorzunehmen.
Die DSGVO bringt gegenüber dem diesbezüglich bisher geltenden § 24 DSG 2000 eine Präzisierung und wohl auch Ausweitung. Art 13 und Art 14 enthalten nunmehr eine ausführliche Liste jener Punkte, die in der Information darzulegen sind: Anzugeben sind - neben der Identität des Verantwortlichen48 - vor allem Zweck, Rechtsgrundlage und Speicherdauer der Datenverarbeitung sowie allfällige Übermittlungen an Empfänger(kategorien),49 insb in Drittländern.50 , 51 Wenn im Zuge der Verarbeitung automatisierte Entscheidungen iSd Art 22 DSGVO getroffen werden, ist dies ebenso offenzulegen52 wie eine allenfalls beabsichtigte Weiterverarbeitung der Daten iSd Art 5 Abs 1 lit b. Hinzu kommt die Notwendigkeit der Belehrung über die Betroffenenrechte und die Möglichkeit der Anrufung der Datenschutzbehörde.53
Unterschiede zwischen dem notwendigen Inhalt der Information nach Art 13 und Art 14 ergeben sich aus der unterschiedlichen Grundsituation: Wenn Daten vom Betroffenen selbst ermittelt werden, muss dieser darüber informiert werden, ob die Angabe der erfragten Daten aus rechtlichen Gründen erforderlich ist oder freiwillig erfolgt. Wenn die Daten bei Dritten erhoben werden, müssen dem Betroffenen die ermittelten Datenkategorien bekannt gegeben werden und die Quellen,54 aus der diese Daten stammen.55
Wichtige Unterschiede bestehen weiters hinsichtlich der Ausnahmen von der Informationspflicht: Während bei der Datenermittlung beim Betroffenen die Information nur unterbleiben darf, wenn "die betroffene Person bereits über die Information verfügt",56 sind folgende zusätzliche Ausnahmen von der Informationserteilung im Fall der Datenermittlung bei Dritten zulässig:
| - | Die Datenermittlung ist durch Rechtsvorschrift vorgesehen57 oder |
| - | die Informationserteilung ist unmöglich (zB weil keine Kontaktadressen der Betroffenen ermittelt werden können) oder mit unverhältnismäßigem Aufwand verbunden58 (zB weil die Ermittlung der Kontaktadressen sehr schwierig ist und die Verarbeitung nicht speziell risikobehaftet ist) oder |
| - | die Datenermittlung unterliegt besonderen rechtlichen Geheimhaltungsverpflichtungen59 (zB muss ein Rechtsanwalt bei der Ermittlung [bei Dritten] von Daten über den Prozessgegner seines Mandanten den Prozessgegner über die Datenermittlung nicht informieren). |
Ein dritter Teil des Beitrags folgt in der nächsten Ausgabe der RdW (siehe FN 1).
Ein dritter und letzter Teil wird sich mit Mechanismen zur nachweisbaren Erhöhung von Compliance auseinandersetzen und sodann die Folgen von rechtswidriger Verarbeitung behandeln.
Siehe für Details hiezu zB Horn, Die Dokumentationspflichten im Verarbeitungsverzeichnis nach Art 30 DSGVO, in Bergauer/Jahnel/Mader/Staudegger (Hrsg), jusIT Spezial: DS-GVO 79.
Vgl hiezu Punkt 6.
Vgl zB die von der WKO beispielshalber zu Verfügung gestellten Dokumentationsbehelfe unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Musterdokumente-zur-EU-Datenschutzgrundverordnung.html
Die Datenschutzbehörde hat die technische Möglichkeit der elektronischen Extraktion von Meldungen aus dem Datenverarbeitungsregister geschaffen und stellt diese Möglichkeit bis Ende 2019 zur Verfügung.
Das sind nach Art 30 Abs 1 DSGVO: Angaben zum Datenschutzbeauftragten (falls anwendbar), zu den vorgesehenen Löschfristen und zu den geeigneten Garantien bei außergewöhnlichen Übermittlungen in Drittländer nach Art 49 Abs 1, 2. Unterabsatz.
Auftragsverarbeiter werden die von ihnen betreuten Kategorien von Datenverarbeitungen voraussichtlich zT ähnlich wie Verantwortliche beschreiben, wie zB "Personalverrechnung", "Whistleblowing-Systeme", zT aber auch nur technische Leistungskategorien anführen, wie "Hosting", "Cloud-Dienste" etc. Eine Angabe von Datenkategorien und Betroffenenkategorien ist jedenfalls nicht erforderlich.
Art 30 Abs 2 lit a verlangt die Offenlegung von Namen und Kontaktdaten "des Auftragsverarbeiters oder der Auftragsverarbeiter und jedes Verantwortlichen…", ohne zu erklären, wer die in Mehrzahl angeführten Auftragsverarbeiter im Verhältnis zum dokumentierenden Auftragsverarbeiter sein sollen.
Nach der Standard- und Muster-Verordnung 2004 BGBl II 2004/312, aufgehoben durch BGBl I 2017/120.
Der Begriff "Übermittlung" ist unter der DSGVO kein terminus technicus mehr und kann daher nunmehr auch für die Datenweitergabe an Auftragsverarbeiter verwendet werden.
Die DSGVO erwähnt überdies "Internationale Organisationen" als "ausländische" Empfänger; da diese Organisationen jeweils ein eigenes Statut besitzen und daher von einer eigenen Rechtsordnung beherrscht werden, sind sie im Kontext des internationalen Datenverkehrs wie fremde Staaten zu behandeln.
Das kann ein Verantwortlicher sein, der Daten an ausländische Auftragsverarbeiter oder Dritte übermittelt, oder auch ein Auftragsverarbeiter, der Daten im Auftrag des Verantwortlichen - oder zumindest mit seinem Einverständnis - an ausländische Auftragsverarbeiter oder Dritte übermittelt.
Eine Rechtspflicht zur Übermittlung von personenbezogenen Daten ins Ausland, die sich nur aus der fremden Rechtsordnung ergibt, ist keine ausreichende Rechtsgrundlage für eine zulässige Übermittlung nach der DSGVO - dies ergibt sich nunmehr eindeutig aus Art 6 Abs 3 DSGVO; Art 48 enthält eine zusätzliche diesbezügliche Klarstellung hinsichtlich ausländischer Gerichtsurteile oder verwaltungsbehördlicher Entscheidungen.
Diese Liste ist ident mit den bisher gem Art 26 Abs 1 der DS-RL genehmigungsfrei zulässigen Übermittlungsfällen.
Art 49 Abs 1, 2. Unterabsatz, spricht von "nicht wiederholten" Übermittlungen.
Art 49 Abs 1, 2. Unterabsatz, verlangt - im Einklang mit Art 6 Abs 1 lit f - dass überwiegende Schutzinteressen der Betroffenen beachtet werden müssen; da aber die berechtigten Interessen des Verantwortlichen an der Übermittlung "zwingend" sein müssen, ist bei einer in sich nicht widersprüchlichen Rechtsordnung davon auszugehen, dass Schutzinteressen der Betroffenen nicht entgegenstehen. Darauf, dass sich das (zwingende) berechtigte Interesse des Verantwortlichen gem Art 6 Abs 3 aus dem Unionsrecht oder Mitgliedstaatsrecht ergeben muss, sei nochmals hingewiesen.
Vgl Art 46 Abs 2 und 3 DSGVO.
Näheres zu diesen Rechtsinstrumenten im nächsten (dritten und letzten) Teil der Ausführungen.
Vgl hiezu detaillierter zB Kotschy, Die Datenschutz-Folgenabschätzung nach Art 35 und 36 DSGVO, in Krempelmeier/Staudinger/Weiser (Hrsg), Datenschutzrecht nach der DSGVO - zentrale Fragestellungen.
Art 36 DSGVO.
Sinnvollerweise wäre das Risikopotenzial vor allem daran zu messen, wie viel Schaden ein rechtswidriger Gebrauch der jeweiligen Datenverarbeitung stiften könnte - dieser ist zweifellos größer, wenn zB sensible Daten oder große Mengen von Daten verarbeitet werden - und wie wahrscheinlich die Möglichkeit einer rechtswidrigen Verwendung ist. Rechtmäßiger Gebrauch von Daten sollte hingegen eigentlich kein "Risiko" darstellen können, da "Rechtmäßigkeit der Datenverarbeitung" bereits den Interessenausgleich zwischen Verwendungs- und Schutzinteressen voraussetzt; allerdings kann die Verhältnismäßigkeit eines Grundrechtseingriffs durch Datenverarbeitung oft nicht ohne Weiteres eindeutig beurteilt werden, sodass sich in dieser Hinsicht ebenfalls ein mögliches Risiko ergeben kann. Art 35 Abs 7 lit b deutet in diese Richtung.
WP 248 Rev. 01 vom 4. 10. 2017.
Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung (DSFA-AV) BGBl II 2018/108, in Kraft getreten am 25. 5. 2018.
Standard- und Muster-Verordnung 2004 BGBl II 2004/312, aufgehoben durch BGBl I 2017/120.
Nicht enthalten sind - wegen offenbarer Risikobehaftetheit - zB Whistleblowing- und Geldwäsche-Bekämpfungs-Systeme, hinzugekommen sind zB Verarbeitungen, die die Klientenverwaltung bei Rechts- und Beratungsberufen oder die Organisation von Veranstaltungen oder die Verleihung von Preisen und Ehrungen betreffen.
"gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig war" (§ 1 Abs 2 Z 2).
Art 35 Abs 10 DSGVO.
Vgl dazu FN 21.
Bisher war dies bei den Informationsverbundsystemen nach § 50 DSG 2000 anerkannt, indem sie dem speziellen Vorabkontrollverfahren unterworfen waren; nach der DSGVO, wonach es "gemeinsame Verantwortliche" gibt, wird jeweils zu prüfen sein, ob tatsächlich eine ausreichende Rechtsgrundlage für diese Mehrheit von Verantwortlichen besteht und ob die datenschutzrechtlichen Pflichten der einzelnen Verantwortlichen hinreichend klar abgegrenzt sind, sodass nicht schon aus der Unklarheit der Zuständigkeitsverteilung die Gefahr rechtswidriger Verarbeitungshandlungen oder Unterlassungen entsteht.
Vgl hiezu Punkt 4.
So ausdrücklich Art 35 Abs 2 und Art 39 Abs 1 lit c DSGVO.
Art 25 DSGVO übersetzt diese gängigen Bezeichnungen mit "Datenschutz durch Technikgestaltung" und "datenschutzfreundliche Voreinstellungen". Insb die Pseudonymisierung von personenbezogenen Daten sollte als eine Form von "Datenschutz durch Technikgestaltung" in Erwägung gezogen werden, wo immer dies bei hohem Risiko der Verarbeitung möglich ist.
Dieses Verständnis des Art 36 Abs 1 wird von der Art-29-Gruppe in ihren Leitlinien zur Datenschutz-Folgenabschätzung, WP 248 Rev. 01, 23, propagiert.
Art 36 DSGVO; auch die Frage, ob das Restrisiko tatsächlich hoch ist, ist naturgemäß Gegenstand der Beurteilung durch die Datenschutzbehörde.
Art 35 Abs 9 DSGVO sieht vor, dass "gegebenenfalls" auch die Meinung der Betroffenen bzw ihrer Vertreter (?) einzuholen ist. Dies wird jedoch wohl nur bei erheblichen Risiken und verhältnismäßigem Aufwand verlangt werden können.
Im justiziellen Bereich gilt diese Pflicht nur hinsichtlich des Bereichs der Justizverwaltung.
Das Wort "Überwachung" ist eine nicht ganz treffende Übersetzung von "monitoring" in der englischen Sprachfassung. Darunter fallen - im privaten Bereich - zB nicht nur die Sicherheitsdienste-Branche, sondern auch Unternehmen der Direktmarketing-Branche, die als Unternehmensgegenstand "tracking" von Internet-Nutzern betreiben, diese also zwar nicht "überwachen", aber regelmäßig in ihrem Verhalten im Internet beobachten.
ErwGr 91 erläutert an sich die Datenschutz-Folgenabschätzung nach Art 35 DSGVO. In Art 35 Abs 3 ist die "umfangreiche Verarbeitung von Daten", ebenso wie in Art 37 Abs 1, als besonderes Risikoelement angeführt, das besondere Maßnahmen erfordert; eine solche besondere Maßnahme ist im Zusammenhang des Art 35 die Durchführung einer Datenschutz-Folgenabschätzung, im Kontext des Art 37 die Bestellung eines Datenschutzbeauftragten.
So ausdrücklich Art 38 Abs 3 DSGVO und ErwGr 97: "... Datenschutzbeauftragte sollten unabhängig davon, ob es sich bei ihnen um Beschäftigte des Verantwortlichen handelt oder nicht, ihre Pflichten und Aufgaben in vollständiger Unabhängigkeit ausüben können."
Das Bayrische Landesamt für Datenschutzaufsicht hat in einem Bußgeldverfahren im Oktober 2016 die Unvereinbarkeit dieser Position mit der eines Datenschutzbeauftragten ausdrücklich festgestellt.
Ein Mitarbeiter, der als Datenschutzbeauftragter bestellt wurde, darf auch mit anderen Aufgaben betraut sein, sofern sich daraus kein Interessenkonflikt ergibt.
Vgl dazu näher den dritten Teil dieses Beitrags.
Dieses Schutzinstrument wird häufig auch als "data breach notification" bezeichnet.
Siehe Art 28 Abs 3 DSGVO.
Art 33 Abs 1.
Art 34 Abs 1.
Auch die Kontaktdaten eines allenfalls vorhandenen Datenschutzbeauftragten sind anzugeben.
Zu nennen sind "Empfänger oder Kategorien von Empfängern". "Empfänger" sind gem Art 4 Z 9 sowohl Dritte als auch Auftragsverarbeiter. Der von der Art-29-Gruppe in WP 260 ("Transparenz nach der DSGVO") vertretenen Ansicht, dass die Empfänger grundsätzlich namentlich genannt werden müssten, kann insb hinsichtlich der Auftragsverarbeiter keineswegs gefolgt werden, da dies angesichts des häufigen Wechsels von Auftragsverarbeitern zu einer unzumutbaren Vervielfachung der Informationserteilungspflicht führen müsste. Die Frage, wann die Benennung von Empfängerkategorien ausreicht und wann einzelne Empfänger zu nennen wären, muss nach dem vorhersehbaren Schutzinteresse der Betroffenen beurteilt werden: In durchschnittlichen Fällen wird die Empfängerkategorie anzugeben sein, bei der Datenübermittlung an ganz außergewöhnliche Empfänger oder solche mit besonderem Risikopotenzial wird der konkrete Empfänger zu benennen sein.
Damit bezeichnet Kapitel V der DSGVO jene Länder, die kein gleichwertiges Datenschutzniveau im Vergleich zur DSGVO aufweisen, also alle Länder außerhalb der Mitgliedstaaten der EU und des EWR. Keine Drittländer sind daher nur die EU-Mitgliedstaaten und Island, Liechtenstein und Norwegen.
Bei derartigen Übermittlungen sind zusätzlich die entsprechend Kapitel V der DSGVO vorzusehenden Schutzgarantien bekannt zu geben (siehe Art 13 bzw 14, jeweils Abs 1 lit f).
Die DSGVO erfordert in diesem Zusammenhang zusätzlich eine aussagekräftige Information über die Logik der automatisierten Entscheidungsfindung und über die Tragweite der Entscheidung.
Die Art-29-Gruppe verlangt in WP 260 ("Transparenz nach der DSGVO") eine zusammenfassende Erklärung darüber, was die Rechte des Betroffenen umfassen und wie ein Betroffener sie ausüben kann. Dies scheint jedoch weder verhältnismäßig noch zielführend, da der durchschnittliche Verantwortliche - in Österreich meist ein Klein- oder Mittelbetrieb - nicht über jenes juristische Wissen verfügen wird, das eine fehlerfreie, umfassende und verständliche Darstellung des datenschutzrechtlichen Rechtsschutzinstrumentariums gewährleistet. Leider fehlt auch eine solche zusammenfassende Darstellung auf der Website der Datenschutzbehörde, auf die man verweisen könnte. Eine Aufzählung der Rechte nach Art 15-22 DSGVO und ein Verweis auf die Datenschutzbehörde samt Kontaktadresse sind aber jedenfalls vorzunehmen.
Auch ob die Quelle "öffentlich zugänglich" ist, sollte angegeben werden.
Unterschiedlich ist auch der Zeitpunkt, in dem die Information erteilt werden muss: Werden Daten vom Betroffenen ermittelt, muss dieser vor der Bekanntgabe seiner Daten informiert worden sein. Betreffend Datenermittlung bei Dritten siehe Art 14 Abs 3 DSGVO.
Art 13 Abs 4 DSGVO.
Konkret muss gem Art 14 Abs 5 lit c die entsprechende unionsrechtliche oder mitgliedstaatliche Regelung geeignete datenschutzrechtliche Schutzmaßnahmen enthalten, was zu berücksichtigen sein wird, wenn der Verantwortliche sich auf diese Ausnahme von der Informationspflicht berufen will.
Art 14 Abs 5 lit b.
Art 14 Abs 5 lit d.
