Cookies helfen uns bei der Bereitstellung von Datencockpit. Durch die Nutzung von Datencockpit erklärst du dich damit einverstanden, dass wir Cookies speichern. Weitere Informationen

Datenschutz-Grundverordnung

Aus Datencockpit
(Weitergeleitet von DSGVO)
Wechseln zu:Navigation, Suche
4.5.2016 Amtsblatt der Europäischen Union L 119/1

I
(Gesetzgebungsakte)

Verordnungen

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 27. April 2016
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
(Text von Bedeutung für den EWR)

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),

nach Stellungnahme des Ausschusses der Regionen (2),

gemäß dem ordentlichen Gesetzgebungsverfahren (3),

in Erwägung nachstehender Gründe

HABEN FOLGENDE VERORDNUNG ERLASSEN:

Erläuterungen

Die DSGVO (Verordnung (EU) 2016/679) wurde am 04.05.2016 im ABl. Nr. L119 S. 1 kundgemacht, trat am 20. Tag nach ihrer Veröffentlichung in Kraft und gilt ab dem 25.05.2018. Sie hebt die DSRL auf und wird ab Mai 2018 das Rückgrat des allgemeinen Datenschutzes der EU bilden. Die Verordnung ist unmittelbar anwendbar und bedürfte grundsätzlich keines weiteren innerstaatlichen Umsetzungsaktes. Die DSGVO enthält zahlreiche „Öffnungsklauseln“, die den nationalen Gesetzgeber verpflichten und/oder berechtigen, bestimmte Angelegenheiten gesetzlich näher zu regeln. Es wird daher neben der DSGVO in Österreich weiterhin ein nationales Datenschutzgesetz geben.

Zielsetzungen der DSGVO sind

  • einheitlicher Rechtsschutz für alle Betroffenen in der EU
  • einheitliche Regeln für die Datenverarbeitung innerhalb der EU
  • Gewährleistung eines starken und einheitlichen Vollzuges

Die datenschutzrechtliche Terminologie ist in bestimmten Bereichen neu. So wird bspw. der bisherige Auftraggeber zum „Verantwortlichen“ und der Dienstleister zum „Auftragsverarbeiter“.

Erläuterungen

Kapitel III regelt jene Datenschutzrechte, die einer betroffenen Person zukommen.

Die Art. 13 und 14 – wie bereits schon Art. 10 und 11 der DSRL – legen die Informationspflichten gegenüber Betroffenen fest. Demnach sind Betroffene darüber zu informieren, von wem, auf welcher Rechtsgrundlage und zu welchem Zweck ihre Daten verarbeitet und an wen sie übermittelt werden. Der EuGH misst diesen Informationspflichten großen Wert bei, weil diese die Voraussetzungen dafür schaffen, dass Betroffene ihre Rechte (Auskunft, Richtigstellung, Löschung, Widerspruch) ausüben können.

Neben den schon bisher bekannten Rechten auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17; ausweitet zum „Recht auf Vergessenwerden“) und Widerspruch (Art. 21)8 werden neue Rechte eingeführt.

So sieht Art. 18 das Recht auf Einschränkung der Verarbeitung vor, wonach ein Betroffener vom Verantwortlichen die Einschränkung der Verarbeitung verlangen kann, wenn bspw. die Richtigkeit der Daten bestritten wird.

Art. 20 räumt einem Betroffenen das Recht auf Datenübertragbarkeit ein. Damit soll sichergestellt werden, dass die von einem Betroffenen zur Verfügung gestellten personenbezogene Daten, die bei einem (privaten) Anbieter in einer bestimmten technischen Umgebung gespeichert werden, bei einem Anbieterwechsel ohne technische Barrieren für die Betroffenen in eine neue technische Umgebung übertragen werden können.

Art. 23 ermächtigt die Union und die Mitgliedstaaten, die in den Art. 12 bis 22 und Art. 34 und 5 normierten Rechte und Pflichten unter bestimmten Voraussetzungen einzuschränken. Nach der Rsp des EuGH unterliegen solche Einschränkungen aber insofern der Kontrolle des EuGH, als auch Einschränkungen, die Mitgliedstaaten vornehmen können, in den Anwendungsbereich des Unionsrechtes fallen.

KAPITEL IV. Verantwortlicher und Auftragsverarbeiter

Erläuterungen

Die DSGVO nimmt stärker als die DSRL und das DSG 2000 Verantwortliche und Auftragsverarbeiter in die Pflicht.

Erläuterungen

Kapitel V regelt die näheren Voraussetzungen für den Datenverkehr mit Empfängern in Drittstaaten oder internationalen Organisationen.

Ein derartiger Datenfluss ist nur unter folgenden Bedingungen zulässig:

  • Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45)
  • Vorliegen geeigneter Garantien (Art. 46)
  • Vorliegen verbindlicher unternehmensinterner Vorschriften (Art. 47)

Art. 49 sieht Ausnahmen für bestimmte Fälle vor.

Die Ratio hinter Kapitel V ist, dass die übermittelten Daten beim Empfänger im Drittstaat demselben Schutzregime wie in der EU unterliegen sollen.

Erläuterungen

[1]

Wie derzeit wird es in jedem Mitgliedstaat zumindest eine unabhängige Aufsichtsbehörde geben. Die Aufgaben und Befugnisse werden erheblich erweitert (Art. 57 und 58). Art. 58 normiert drei Arten von Befugnissen: • Untersuchungsbefugnisse (einschließlich des Betretungsrechts bestimmter Räumlichkeiten) • Abhilfebefugnisse (das sind Befugnisse, die es der Aufsichtsbehörde ermöglichen, ein rechtswidriges Verhalten abzustellen, bspw. durch konkrete Anordnungen oder die Verhängung von Geldbußen iHv bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres) • Genehmigungs- und Beratungsbefugnisse. Gerichte sind von der Aufsicht ausgenommen, sofern sie im Rahmen ihrer justiziellen Tätigkeit handeln. Im Umkehrschluss unterliegen Organe der Gerichtsbarkeit daher der Aufsicht, wenn sie im Rahmen der Justizverwaltung tätig werden. [2]

Fußnoten

  1. Vgl. dazu im Detail Schmidl, Aufgaben und Befugnisse der Aufsichtsbehörden sowie Rechtsschutzmöglichkeiten nach der DSGVO, ÖBA 1/17 S. 27 ff; Flendrovsky, Die Aufsichtsbehörden, in Knyrim (Hrgs.) aaO S. 281 ff.
  2. Vgl. dazu näher Schmidl in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zu Datenschutz-Grundverordnung1[2017] Art. 55 Anm. 3; Nguyen in Gola (Hrsg.), Datenschutz-Grundverordnung [2017] Art. 55 Rz. 13.

Erläuterungen

[1]

Da im digitalen Zeitalter grenzüberschreitende Sachverhalte die Norm sind, sieht die DSGVO auch eine verstärkte Zusammenarbeit zwischen den einzelnen Aufsichtsbehörden vor. Liegt ein grenzüberschreitender Sachverhalt vor, soll unter Einbindung aller betroffenen Aufsichtsbehörden eine abgestimmte Entscheidung getroffen werden, die dann dem Verantwortlichen oder Auftragsverarbeiter am Sitz seiner Hauptniederlassung zuzustellen ist.

Dabei fungiert die Aufsichtsbehörde am Sitz der Hauptniederlassung als federführende Aufsichtsbehörde [2], die die Einbindung der (sonst noch) betroffenen Aufsichtsbehörden koordiniert und einen Entscheidungsentwurf vorbereitet und mit den betroffenen Aufsichtsbehörden abstimmt.

Der Empfänger ist, sofern er die Entscheidung nicht bekämpft, verpflichtet, die Entscheidung in all seinen Niederlassungen in der EU umzusetzen.

Kapitel VII sieht auch noch die Verpflichtung zur wechselseitigen Amtshilfe (Art. 61) und die Möglichkeit zur Durchführung gemeinsamer Maßnahmen der Aufsichtsbehörden (Art. 62) vor.

Das Verfahren zur Zusammenarbeit findet keine Anwendung, wenn es sich beim Verantwortlichen/Auftragsverarbeiter um eine Behörde oder einen beliehenen Rechtsträger handelt (Art. 55 Abs. 2).

Eine wesentliche Rolle wird der nach Art. 68 einzurichtende Europäische Datenschutzausschuss spielen, in welchem die Aufsichtsbehörden aller Mitgliedstaaten, der Europäische Datenschutzbeauftragte sowie die Europäische Kommission vertreten sind. Der Ausschuss hat nach Art. 70 vielfältige Aufgaben, darunter die Verabschiedung von Leitlinien zu bestimmten Themen der DSGVO, aber auch die Abgabe von Stellungnahmen sowie die Fällung verbindlicher Beschlüsse (Art. 64 und 65). Er wird dabei von einem Sekretariat unterstützt, das vom Europäischen Datenschutzbeauftragten bereitgestellt wird.

Fußnoten

  1. Siehe dazu im Detail Leissler/Wolfbauer, Der One Stop Shop in der DSGVO, in Knyrim (Hrsg.) aaO S. 291 ff; Schmidl, Kooperation der Aufsichtsbehörden bei grenzüberschreitenden Fällen, in Knyrim (Hrsg.) aaO S. 303 ff.
  2. Vgl. dazu WP 244, Leitlinie der Art. 29-Gruppe vom 13.12.2016 zur Feststellung der federführenden Aufsichtsbehörde, abrufbar in Englisch unter http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Erläuterungen

Art. 77 normiert das Recht auf eine Beschwerde bei einer Aufsichtsbehörde.

Gegen verbindliche Entscheidungen der Aufsichtsbehörde bzw. gegen Untätigkeit der Aufsichtsbehörde steht der Rechtsweg an ein Gericht offen (Art. 78). Zuständig für solche Beschwerden sind die Gerichte jenes Mitgliedstaates, in welchem die Behörde ihren Sitz hat.

Art. 79 normiert das Recht auf einen wirksamen gerichtlichen Behelf gegen Verantwortliche oder Auftragsverarbeiter.

Nach Art. 80 können sich betroffene Personen von spezialisierten Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht vor der Aufsichtsbehörde vertreten und Schadenersatz gerichtlich einklagen lassen. Die Mitgliedstaaten können auch vorsehen, dass diese Einrichtungen auch unabhängig von einer Bevollmächtigung Beschwerde bei der Aufsichtsbehörde einreichen können. Die Geltendmachung von Schadenersatzforderungen ist hingegen ohne Mandat nicht möglich. [1]

Art. 82 normiert die Möglichkeit, für erlittenen materiellen und immateriellen Schaden Schadenersatz vom Verantwortlichen oder Auftragsverarbeiter zu verlangen. Sind an einer Verarbeitung mehrere Verantwortliche oder Auftragsverarbeiter beteiligt, so haftet jeder von ihnen für den Gesamtschaden (Art. 82 Abs. 4).

Art. 83 enthält Gelbußentatbestände sowie jene Gründe, die als erschwerend oder mildernd bei der Strafbemessung zu berücksichtigen sind.

Die Geldbußen, bei welchen es sich um Verwaltungsstrafen handelt [2], reichen bis zu 20 Millionen Euro oder, im Falle eines Unternehmens [3], bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Es bleibt den Mitgliedstaaten vorbehalten festzulegen, ob Geldbußen auch gegen Behörden und öffentliche Stellen verhängt werden können. [4]

Sieht die Rechtsordnung eines Mitgliedstaates keine Geldbußen vor, kann Art. 83 so angewendet werden, dass die Aufsichtsbehörde einen Strafantrag bei Gericht stellt und die Geldbuße von einem Gericht verhängt wird. [5]

Art. 84 verpflichtet die Mitgliedstaaten, zusätzliche Sanktionen, vor allem gerichtlich strafbare Tatbestände, zu normieren.

Fußnoten

  1. Siehe dazu EG 142. Damit sollen Sammelklagen verhindert werden.
  2. Dies ergibt sich eindeutig aus einem Vergleich der Sprachfassungen; die englische Sprachfassung spricht von „administrative fines“, die französische von „amendes administratives“. Bei Geldbußen handelt es sich folglich um Strafen und nicht um eine andere Sanktion (vgl. dazu zu Geldbußen im Bereich des Vergabewesens etwa das Erkenntnis des VwGH vom 16.12.2015, Zl. Ro 2014/04/0065).
  3. Da dem österreichischen Verwaltungsstrafrecht die Strafbarkeit juristischer Personen fremd ist, müsste innerstaatlich dafür eine Rechtsgrundlage geschaffen werden (vgl. dazu bspw. § 35 FM-GWG).
  4. Für Österreich siehe zur Unzulässigkeit der Verhängung einer Verwaltungsstrafe gegen ein oberstes Organ VfSlg. 19.988/2015.
  5. Flendrovsky argumentiert auf Basis der Rsp des VfGH, dass derart hohe Geldstrafen in Österreich zwingend von einem Gericht zu verhängen wären und nicht von einer Verwaltungsbehörde; vgl. dazu Flendrovsky, Die Aufsichtsbehörden, in Knyrim (Hrgs.) aaO S. 287.
KAPITEL X. Delegierte Rechtsakte und Durchführungsrechtsakte

Erläuterungen

Kapitel IX legt besondere Verarbeitungssituationen (bspw. Freiheit der Meinungsäußerung, Zugang zu amtlichen Dokumenten, Beschäftigungskontext) fest. Die Mitgliedstaaten sind dazu angehalten, durch Rechtsvorschriften diese Verarbeitungssituationen näher zu determinieren, um sie in Einklang mit der DSGVO zu bringen.

Nach Art. 99 trat die Verordnung am zwanzigsten Tag nach ihrer Veröffentlichung im ABl. in Kraft (das war der 25.05.2016) und gilt ab dem 25.05.2018.

jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (siehe Art. 4 DSGVO).

EU Datenschutz-Grundverordnung

Datenschutz-Richtlinie (Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr), die durch die DSGVO aufgehoben wird.

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet (siehe Art. 4 DSGVO)

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten

Auskunftsrecht der betroffenen Person

Recht auf Berichtigung

Recht auf Löschung („Recht auf Vergessenwerden“)

Widerspruchsrecht

Recht auf Einschränkung der Verarbeitung

die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken (siehe Art. 4. DSGVO)

Recht auf Datenübertragbarkeit

Beschränkungen

Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person

Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person

die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden (siehe Art. 4 DSGVO)

Datenschutzgesetz.

  • Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten
  • auch: Datenschutz-Anpassungsgesetz 2018

Datenübermittlung auf der Grundlage eines Angemessenheitsbeschlusses

Datenübermittlung vorbehaltlich geeigneter Garantien

Verbindliche interne Datenschutzvorschriften

Ausnahmen für bestimmte Fälle

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung (siehe Art. 4 DSGVO)

eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle (siehe Art. 4 DSGVO)

Aufgaben

Befugnisse

Zuständigkeit

a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt (siehe Art. 4 DSGVO)

Gegenseitige Amtshilfe

Gemeinsame Maßnahmen der Aufsichtsbehörden

Europäischer Datenschutzausschuss

Aufgaben des Ausschusses

Stellungnahme des Ausschusses

Verarbeitung unter der Aufsicht des Verantwortlichen oder des Auftragsverarbeiters

Recht auf Beschwerde bei einer Aufsichtsbehörde

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

Vertretung von betroffenen Personen

Haftung und Recht auf Schadenersatz

Allgemeine Bedingungen für die Verhängung von Geldbußen

Sanktionen

Besondere Befugnisse der Datenschutzbehörde

Inkrafttreten und Anwendung