Datenschutz-Grundverordnung

Aus Datencockpit
(Weitergeleitet von DSGVO)
Wechseln zu:Navigation, Suche
4.5.2016 Amtsblatt der Europäischen Union L 119/1

I
(Gesetzgebungsakte)

Verordnungen

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 27. April 2016
zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
(Text von Bedeutung für den EWR)

VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES[Bearbeiten]

DAS EUROPÄISCHE PARLAMENT UND DER RAT DER EUROPÄISCHEN UNION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union, insbesondere auf Artikel 16,

auf Vorschlag der Europäischen Kommission,

nach Zuleitung des Entwurfs des Gesetzgebungsakts an die nationalen Parlamente, nach Stellungnahme des Europäischen Wirtschafts- und Sozialausschusses (1),

nach Stellungnahme des Ausschusses der Regionen (2),

gemäß dem ordentlichen Gesetzgebungsverfahren (3),

in Erwägung nachstehender Gründe

HABEN FOLGENDE VERORDNUNG ERLASSEN:

Erläuterungen

Die DSGVO (Verordnung (EU) 2016/679) wurde am 04.05.2016 im ABl. Nr. L119 S. 1 kundgemacht, trat am 20. Tag nach ihrer Veröffentlichung in Kraft und gilt ab dem 25.05.2018. Sie hebt die DSRL auf und wird ab Mai 2018 das Rückgrat des allgemeinen Datenschutzes der EU bilden. Die Verordnung ist unmittelbar anwendbar und bedürfte grundsätzlich keines weiteren innerstaatlichen Umsetzungsaktes. Die DSGVO enthält zahlreiche „Öffnungsklauseln“, die den nationalen Gesetzgeber verpflichten und/oder berechtigen, bestimmte Angelegenheiten gesetzlich näher zu regeln. Es wird daher neben der DSGVO in Österreich weiterhin ein nationales Datenschutzgesetz geben.

Zielsetzungen der DSGVO sind

  • einheitlicher Rechtsschutz für alle Betroffenen in der EU
  • einheitliche Regeln für die Datenverarbeitung innerhalb der EU
  • Gewährleistung eines starken und einheitlichen Vollzuges

Die datenschutzrechtliche Terminologie ist in bestimmten Bereichen neu. So wird bspw. der bisherige Auftraggeber zum „Verantwortlichen“ und der Dienstleister zum „Auftragsverarbeiter“.

Erläuterungen

Kapitel III regelt jene Datenschutzrechte, die einer betroffenen Person zukommen.

Die Art. 13 und 14 – wie bereits schon Art. 10 und 11 der DSRL – legen die Informationspflichten gegenüber Betroffenen fest. Demnach sind Betroffene darüber zu informieren, von wem, auf welcher Rechtsgrundlage und zu welchem Zweck ihre Daten verarbeitet und an wen sie übermittelt werden. Der EuGH misst diesen Informationspflichten großen Wert bei, weil diese die Voraussetzungen dafür schaffen, dass Betroffene ihre Rechte (Auskunft, Richtigstellung, Löschung, Widerspruch) ausüben können.

Neben den schon bisher bekannten Rechten auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17; ausweitet zum „Recht auf Vergessenwerden“) und Widerspruch (Art. 21)8 werden neue Rechte eingeführt.

So sieht Art. 18 das Recht auf Einschränkung der Verarbeitung vor, wonach ein Betroffener vom Verantwortlichen die Einschränkung der Verarbeitung verlangen kann, wenn bspw. die Richtigkeit der Daten bestritten wird.

Art. 20 räumt einem Betroffenen das Recht auf Datenübertragbarkeit ein. Damit soll sichergestellt werden, dass die von einem Betroffenen zur Verfügung gestellten personenbezogene Daten, die bei einem (privaten) Anbieter in einer bestimmten technischen Umgebung gespeichert werden, bei einem Anbieterwechsel ohne technische Barrieren für die Betroffenen in eine neue technische Umgebung übertragen werden können.

Art. 23 ermächtigt die Union und die Mitgliedstaaten, die in den Art. 12 bis 22 und Art. 34 und 5 normierten Rechte und Pflichten unter bestimmten Voraussetzungen einzuschränken. Nach der Rsp des EuGH unterliegen solche Einschränkungen aber insofern der Kontrolle des EuGH, als auch Einschränkungen, die Mitgliedstaaten vornehmen können, in den Anwendungsbereich des Unionsrechtes fallen.

KAPITEL IV. Verantwortlicher und Auftragsverarbeiter

Erläuterungen

Die DSGVO nimmt stärker als die DSRL und das DSG 2000 Verantwortliche und Auftragsverarbeiter in die Pflicht.

Erläuterungen

Kapitel V regelt die näheren Voraussetzungen für den Datenverkehr mit Empfängern in Drittstaaten oder internationalen Organisationen.

Ein derartiger Datenfluss ist nur unter folgenden Bedingungen zulässig:

  • Vorliegen eines Angemessenheitsbeschlusses der Europäischen Kommission (Art. 45)
  • Vorliegen geeigneter Garantien (Art. 46)
  • Vorliegen verbindlicher unternehmensinterner Vorschriften (Art. 47)

Art. 49 sieht Ausnahmen für bestimmte Fälle vor.

Die Ratio hinter Kapitel V ist, dass die übermittelten Daten beim Empfänger im Drittstaat demselben Schutzregime wie in der EU unterliegen sollen.

Erläuterungen

[1]

Wie derzeit wird es in jedem Mitgliedstaat zumindest eine unabhängige Aufsichtsbehörde geben. Die Aufgaben und Befugnisse werden erheblich erweitert (Art. 57 und 58). Art. 58 normiert drei Arten von Befugnissen: • Untersuchungsbefugnisse (einschließlich des Betretungsrechts bestimmter Räumlichkeiten) • Abhilfebefugnisse (das sind Befugnisse, die es der Aufsichtsbehörde ermöglichen, ein rechtswidriges Verhalten abzustellen, bspw. durch konkrete Anordnungen oder die Verhängung von Geldbußen iHv bis zu 20 Millionen Euro oder 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres) • Genehmigungs- und Beratungsbefugnisse. Gerichte sind von der Aufsicht ausgenommen, sofern sie im Rahmen ihrer justiziellen Tätigkeit handeln. Im Umkehrschluss unterliegen Organe der Gerichtsbarkeit daher der Aufsicht, wenn sie im Rahmen der Justizverwaltung tätig werden. [2]

Fußnoten[Bearbeiten]

  1. Vgl. dazu im Detail Schmidl, Aufgaben und Befugnisse der Aufsichtsbehörden sowie Rechtsschutzmöglichkeiten nach der DSGVO, ÖBA 1/17 S. 27 ff; Flendrovsky, Die Aufsichtsbehörden, in Knyrim (Hrgs.) aaO S. 281 ff.
  2. Vgl. dazu näher Schmidl in Gantschacher/Jelinek/Schmidl/Spanberger, Kommentar zu Datenschutz-Grundverordnung1[2017] Art. 55 Anm. 3; Nguyen in Gola (Hrsg.), Datenschutz-Grundverordnung [2017] Art. 55 Rz. 13.

Erläuterungen

[1]

Da im digitalen Zeitalter grenzüberschreitende Sachverhalte die Norm sind, sieht die DSGVO auch eine verstärkte Zusammenarbeit zwischen den einzelnen Aufsichtsbehörden vor. Liegt ein grenzüberschreitender Sachverhalt vor, soll unter Einbindung aller betroffenen Aufsichtsbehörden eine abgestimmte Entscheidung getroffen werden, die dann dem Verantwortlichen oder Auftragsverarbeiter am Sitz seiner Hauptniederlassung zuzustellen ist.

Dabei fungiert die Aufsichtsbehörde am Sitz der Hauptniederlassung als federführende Aufsichtsbehörde [2], die die Einbindung der (sonst noch) betroffenen Aufsichtsbehörden koordiniert und einen Entscheidungsentwurf vorbereitet und mit den betroffenen Aufsichtsbehörden abstimmt.

Der Empfänger ist, sofern er die Entscheidung nicht bekämpft, verpflichtet, die Entscheidung in all seinen Niederlassungen in der EU umzusetzen.

Kapitel VII sieht auch noch die Verpflichtung zur wechselseitigen Amtshilfe (Art. 61) und die Möglichkeit zur Durchführung gemeinsamer Maßnahmen der Aufsichtsbehörden (Art. 62) vor.

Das Verfahren zur Zusammenarbeit findet keine Anwendung, wenn es sich beim Verantwortlichen/Auftragsverarbeiter um eine Behörde oder einen beliehenen Rechtsträger handelt (Art. 55 Abs. 2).

Eine wesentliche Rolle wird der nach Art. 68 einzurichtende Europäische Datenschutzausschuss spielen, in welchem die Aufsichtsbehörden aller Mitgliedstaaten, der Europäische Datenschutzbeauftragte sowie die Europäische Kommission vertreten sind. Der Ausschuss hat nach Art. 70 vielfältige Aufgaben, darunter die Verabschiedung von Leitlinien zu bestimmten Themen der DSGVO, aber auch die Abgabe von Stellungnahmen sowie die Fällung verbindlicher Beschlüsse (Art. 64 und 65). Er wird dabei von einem Sekretariat unterstützt, das vom Europäischen Datenschutzbeauftragten bereitgestellt wird.

Fußnoten[Bearbeiten]

  1. Siehe dazu im Detail Leissler/Wolfbauer, Der One Stop Shop in der DSGVO, in Knyrim (Hrsg.) aaO S. 291 ff; Schmidl, Kooperation der Aufsichtsbehörden bei grenzüberschreitenden Fällen, in Knyrim (Hrsg.) aaO S. 303 ff.
  2. Vgl. dazu WP 244, Leitlinie der Art. 29-Gruppe vom 13.12.2016 zur Feststellung der federführenden Aufsichtsbehörde, abrufbar in Englisch unter http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083.

Erläuterungen

Art. 77 normiert das Recht auf eine Beschwerde bei einer Aufsichtsbehörde.

Gegen verbindliche Entscheidungen der Aufsichtsbehörde bzw. gegen Untätigkeit der Aufsichtsbehörde steht der Rechtsweg an ein Gericht offen (Art. 78). Zuständig für solche Beschwerden sind die Gerichte jenes Mitgliedstaates, in welchem die Behörde ihren Sitz hat.

Art. 79 normiert das Recht auf einen wirksamen gerichtlichen Behelf gegen Verantwortliche oder Auftragsverarbeiter.

Nach Art. 80 können sich betroffene Personen von spezialisierten Einrichtungen, Organisationen oder Vereinigungen ohne Gewinnerzielungsabsicht vor der Aufsichtsbehörde vertreten und Schadenersatz gerichtlich einklagen lassen. Die Mitgliedstaaten können auch vorsehen, dass diese Einrichtungen auch unabhängig von einer Bevollmächtigung Beschwerde bei der Aufsichtsbehörde einreichen können. Die Geltendmachung von Schadenersatzforderungen ist hingegen ohne Mandat nicht möglich. [1]

Art. 82 normiert die Möglichkeit, für erlittenen materiellen und immateriellen Schaden Schadenersatz vom Verantwortlichen oder Auftragsverarbeiter zu verlangen. Sind an einer Verarbeitung mehrere Verantwortliche oder Auftragsverarbeiter beteiligt, so haftet jeder von ihnen für den Gesamtschaden (Art. 82 Abs. 4).

Art. 83 enthält Gelbußentatbestände sowie jene Gründe, die als erschwerend oder mildernd bei der Strafbemessung zu berücksichtigen sind.

Die Geldbußen, bei welchen es sich um Verwaltungsstrafen handelt [2], reichen bis zu 20 Millionen Euro oder, im Falle eines Unternehmens [3], bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. Es bleibt den Mitgliedstaaten vorbehalten festzulegen, ob Geldbußen auch gegen Behörden und öffentliche Stellen verhängt werden können. [4]

Sieht die Rechtsordnung eines Mitgliedstaates keine Geldbußen vor, kann Art. 83 so angewendet werden, dass die Aufsichtsbehörde einen Strafantrag bei Gericht stellt und die Geldbuße von einem Gericht verhängt wird. [5]

Art. 84 verpflichtet die Mitgliedstaaten, zusätzliche Sanktionen, vor allem gerichtlich strafbare Tatbestände, zu normieren.

Fußnoten[Bearbeiten]

  1. Siehe dazu EG 142. Damit sollen Sammelklagen verhindert werden.
  2. Dies ergibt sich eindeutig aus einem Vergleich der Sprachfassungen; die englische Sprachfassung spricht von „administrative fines“, die französische von „amendes administratives“. Bei Geldbußen handelt es sich folglich um Strafen und nicht um eine andere Sanktion (vgl. dazu zu Geldbußen im Bereich des Vergabewesens etwa das Erkenntnis des VwGH vom 16.12.2015, Zl. Ro 2014/04/0065).
  3. Da dem österreichischen Verwaltungsstrafrecht die Strafbarkeit juristischer Personen fremd ist, müsste innerstaatlich dafür eine Rechtsgrundlage geschaffen werden (vgl. dazu bspw. § 35 FM-GWG).
  4. Für Österreich siehe zur Unzulässigkeit der Verhängung einer Verwaltungsstrafe gegen ein oberstes Organ VfSlg. 19.988/2015.
  5. Flendrovsky argumentiert auf Basis der Rsp des VfGH, dass derart hohe Geldstrafen in Österreich zwingend von einem Gericht zu verhängen wären und nicht von einer Verwaltungsbehörde; vgl. dazu Flendrovsky, Die Aufsichtsbehörden, in Knyrim (Hrgs.) aaO S. 287.

KAPITEL X. Delegierte Rechtsakte und Durchführungsrechtsakte

Erläuterungen

Kapitel IX legt besondere Verarbeitungssituationen (bspw. Freiheit der Meinungsäußerung, Zugang zu amtlichen Dokumenten, Beschäftigungskontext) fest. Die Mitgliedstaaten sind dazu angehalten, durch Rechtsvorschriften diese Verarbeitungssituationen näher zu determinieren, um sie in Einklang mit der DSGVO zu bringen.

Nach Art. 99 trat die Verordnung am zwanzigsten Tag nach ihrer Veröffentlichung im ABl. in Kraft (das war der 25.05.2016) und gilt ab dem 25.05.2018.