Diese Seite verwendet Cookies. Durch die weitere Nutzung der Website erklären Sie sich damit einverstanden, dass Cookies gesetzt werden. Nähere Informationen zu Cookies finden Sie hier

OK
DeutschEnglishsrpskohrvatskiTürkçeрусский язык
BRAND  Rechtsanwälte GmbH

Datenschutz-DSGVO 2018

Datenschutzverordnung, DSGVO 2018

EU-Datenschutz-Grundverordnung (DSGVO)

Die strukturierte Datensammlung und –auswertung ist ein entscheidender Erfolgsfaktor in allen Branchen. Wer über strukturierte Daten verfügt und diese intelligent einsetzt, kann dadurch gegenüber Mitbewerbern Vorteile erzielen.

Die neue EU-Datenschutz-Grundverordnung (DSGVO) ist am 25. Mai 2018 in Kraft getreten und führt zu einer echten Revolution im Datenschutzrecht. Ziel der DSGVO ist der Schutz natürlicher Personen bei der Verarbeitung von personenbezogenen Daten.

Die DSGVO trifft jedes Unternehmen, das personenbezogene Daten verarbeitet. Dabei spielt die Größe des Unternehmens keine Rolle – die DSGVO gilt für Einzelunternehmer genauso wie für multinationale Konzerne.

Viele Unternehmer haben sich trotz Inkrafttreten der DSGVO bisher nicht oder nur mangelhaft mit dem Datenschutz beschäftigt, sodass ein erheblicher Umsetzungsbedarf besteht. Die erstmalige Umsetzung von erforderlichen Datenschutzmaßnahmen ist zeitintensiv. Medien berichten, dass der Datenschutz in der Praxis nicht so heiß gegessen werden wird. Das ist definitiv unrichtig.

Betroffene haben das Recht, ihre Rechte sowohl in Verwaltungsverfahren vor der Datenschutzbehörde als auch durch Klagen gegen Verantwortliche durchzusetzen. Wer die DSGVO nicht umsetzt, läuft zwangsläufig Gefahr, zivil- und verwaltungsrechtlich zur Haftung herangezogen zu werden. Es formieren sich bereits Klagsvereine, deren Geschäftsmodell darauf basiert, Unternehmen wegen der Unterlassung der DSGVO zu klagen.

Die Verletzung der DSGVO durch Unternehmen erfüllt auch den Tatbestand des Rechtsbruches nach dem UWG. Unterlassungsklagen gegen Rechtsverletzer sind möglich und können teuer kommen.

Durch die DSGVO wurden Strafen drastisch erhöht. Verstöße gegen das DSG 2000 waren mit Strafen bis EUR 10.000 bzw EUR 25.000 der Höhe begrenzt. Nach der DSGVO werden Rechtsverstöße mit Strafen bis zu EUR 20.000.000,-- oder bis zu 4% des weltweit erzielten Jahresumsatzes zu sanktionieren.

Resümee: Unternehmen müssen datenschutzrechtlich fit sein. Dazu gibt es keine Alternative. Die Umsetzung der DSGVO im Unternehmen ist eine Sorgfaltspflicht des Unternehmers bzw Geschäftsführers, der für den Fall der Verletzung uU auch persönlich mit ihrem eigenen Vermögen haftet. Wer einem Unternehmen vermeintlich sparen hilft und die DSGVO nicht umsetzt, zahlt die Rechnung dafür unter Umständen persönlich.

 

Alle anzeigen / Alle verbergen

Antwort auf/zuklappen

Die wichtigsten Grundsätze der DSGVO

Die DSGVO folgt dem Prinzip des Verbots der Datenverarbeitung mit Erlaubnisvorbehalt. Es ist alles verboten, was nicht ausdrücklich erlaubt ist. Das bedeutet, dass die Verarbeitung personenbezogener Daten grundsätzlich nicht rechtmäßig ist, es sei denn die Voraussetzungen eines Erlaubnistatbestandes werden erfüllt.

Als Erlaubnistatbestände für die rechtmäßige Verarbeitung normaler personenbezogener Daten sieht die DSGVO

  • die Einwilligung der betroffenen Person;
  • die Erfüllung vertraglicher  und vorvertraglicher Pflichten;
  • die Erfüllung rechtlicher Pflichten;
  • den Schutz lebenswichtiger Interessen;
  • die Wahrnehmung öffentlicher Interessen und zur Ausübung öffentlicher – staatlicher - Gewalt; und
  • Wahrung berechtigter Interessen;

vor. Unternehmen werden sich zumeist auf einen Tatbestand der sogenannten Erlaubnistrias aus EinwilligungVertragsdatenverarbeitung und überwiegende berechtigte Interessen des Verantwortlichen stützen können.

Die DSGVO unterscheidet zwischen der Rechtmäßigkeit der Verarbeitung

  • normaler personenbezogener Daten;
  • besonderer Kategorien personenbezogener Daten: personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person; und
  • von Daten über strafrechtliche Verurteilungen: personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln der betroffenen Personen. 

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich untersagt. Die DSGVO sieht aber bestimmte Ausnahmen vor. Die Kriterien, die hier erfüllt werden müssen, sind hier erheblich strenger als bei normalen personenbezogenen Daten.

Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht der Mitgliedstaaten zulässig ist.

Verstöße gegen die Grundsätze und die Regeln betreffend die Rechtmäßigkeit der Verarbeitung sind mit Geldbußen bis zu EUR 20 Mio oder im Falle eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres bedroht.

Wir beraten Sie gerne, damit Verstöße vermieden werden, die zu drakonischen Strafen führen.

Antwort auf/zuklappen

Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten

Die DSGVO sieht vor, dass Verantwortliche als auch Auftragsverarbeiter Verzeichnisse über die Verarbeitung personenbezogener Daten zu führen haben. Die Verarbeitungsverzeichnisse lösen die DVR-Meldungen ab.

Die Pflicht zur Verzeichnisführung trifft aber nicht jeden Verantwortlichen bzw Auftragsverarbeiter. Grundsätzlich sind davon nur jene Unternehmen oder Einrichtungen betroffen, die mindestens 250 Mitarbeiter beschäftigen oder wenn die Verarbeitungen ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nicht nur gelegentlich erfolgt oder eine Verarbeitung besonderer Datenkategorien bzw die Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten erfolgt.

Im Ergebnis führt das dazu, dass nur sehr wenige Unternehmen von der Pflicht zur Führung eines Verarbeitungsverzeichnisses ausgenommen sind, da fast jedes Unternehmen Daten seiner Mitarbeiter speichert, die unter die besondere Datenkategorien fallen.

Zwingende (Mindest-)Inhalte des Verfahrensverzeichnisses eines Verantwortlichen sind:

  • Namen und Kontaktdaten des Verantwortlichen;
  • Zwecke der Verarbeitung;
  • Kategorien von betroffenen Personen und personenbezogenen Daten;
  • Kategorien von Empfängern, an die personenbezogenen Daten weitergegeben worden sind oder noch weitergegeben werden;
  • gegebenenfalls Übermittlung von Daten an ein Drittland oder eine internationale Organisation;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen.

Im Gegensatz zum Verzeichnis des Verantwortlichen muss das Verzeichnis des Auftragsverarbeiters nur die Kategorien an Verarbeitungen erfassen, nicht jedoch die einzelnen Verarbeitungstätigkeiten. Die beiden Verfahrensverzeichnisse sind miteinander vergleichbar.

Das Verzeichnis ist schriftlich – auch in elektronischer Form – zu führen. Auf Anfrage der Aufsichtsbehörde sind ihr die Verzeichnisse vorzulegen. Die Aufsichtsbehörde kontrolliert sodann anhand dieser Verzeichnisse die betreffenden Verarbeitungsvorgänge.

Die Verletzung der Verzeichnispflicht ist mit bis zu EUR 10 Mio oder 2% des letztjährigen weltweiten Jahresumsatzes sanktioniert.

Wir beraten Sie gerne über Inhalt und Umfang des Verzeichnisses.

Antwort auf/zuklappen

Führung eines Verzeichnisses der Verarbeitungstätigkeiten

Wen trifft die Pflicht ein solches zu führen?

Nach Art. 30 Abs 1 und Abs 2 DSGVO haben sowohl Verantwortliche als auch Auftragsverarbeiter ein Verzeichnis der Verarbeitungstätigkeiten zu führen, wobei diese Verzeichnisse unterschiedliche Inhalte haben. Ein Verstoß gegen diese Verpflichtung ist gemäß Art. 83 Abs 4 lit a DSGVO mit einer Geldbuße von EUR 10 Mio. bzw. 2% des weltweiten Jahresumsatzes bedroht.

Wir unterstützen Sie bei der Erstellung und der laufenden Führung des Verzeichnisses der Verarbeitungstätigkeiten, damit Sie Risiken und enorme Geldbußen vermeiden. Zudem kommt die Ausübung von aufsichtsbehördlichen Befugnissen nach Art. 58 DSGVO in Betracht.

Nach Art. 30 Abs 5 trifft die Pflicht Unternehmen, die mehr als 250 Mitarbeiter beschäftigen oder, wenn sie weniger als 250 Mitarbeiter beschäftigen, wenn

  • die vorgenommene Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Person birgt; 
  • die Verarbeitung nicht nur gelegentlich erfolgt; 
  • keine besonderen Datenkategorien; oder 
  • keine Daten über strafrechtliche Verurteilungen oder Straftaten verarbeitet werden. 

Wie hat dieses konkret auszusehen?

Der nach Abs 3 geforderten Schriftform wird auch durch eine elektronische Form Rechnung getragen, wobei eine einfache elektronische Form (statt einer qualifizierten elektronischen Form inkl. Signatur) genügt.

Zwingende (Mindest-)Inhalte des Verfahrensverzeichnisses eines Verantwortlichen sind:

  • Name und Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • die Verarbeitungszwecke
  • eine Beschreibung der Personen- und Datenkategorien, die verarbeitet werden. Betroffene Personengruppen können dabei insb. Mitarbeiter, Kunden, Patienten etc sein, 
  • die Empfängerkategorien
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen,
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • sofern es sich um einen Datentransfer in ein Drittland handelt, sind zusätzliche Erläuterungen zu machen, insb. ist das betreffende Drittland konkret zu benennen.

Mit Ausnahme des Datenschutzbeauftragten und der allgemeinen Beschreibung der technischen und organisatorischen Maßnahmen sind sämtliche in das Verfahrensverzeichnis aufzunehmenden Informationen den betroffenen Personen mitzuteilen.

Im Gegensatz zum Verzeichnis des Verantwortlichen muss das Verzeichnis des Auftragsverarbeiters nur die Kategorien an Verarbeitungen erfassen, nicht jedoch die einzelnen Verarbeitungstätigkeiten; ansonsten sind die beiden Verfahrensverzeichnisse miteinander vergleichbar.

Wer hat das Recht, Einsicht zu nehmen?

Auf Anfrage der Aufsichtsbehörde sind ihr die Verzeichnisse vorzulegen. Die Aufsichtsbehörde kontrolliert anhand dieser Verzeichnisse die betreffenden Verarbeitungsvorgänge.

Betroffenen Personen kommt kein Einsichtsrecht zu.

Antwort auf/zuklappen

Datenschutz-Folgenabschätzung

Die DSGVO sieht bei bestimmten Verarbeitungsarten die neue Pflicht zur Abschätzung der möglichen Folgen einer Datenverarbeitung vor (Data Protection Impact Assessment, kurz „DPIA“).

Die Verpflichtung zielt nicht auf die Unternehmensgröße ab (dh es gibt keine Ausnahmen für KMU), sondern auf den Inhalt der Verarbeitung. Betroffen sind demnach Datenverarbeitungen die aufgrund ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Verarbeitungszwecke ein erhöhtes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bergen, insbesondere wenn dabei neue Technologien Verwendung finden.

Im Prinzip stellt die Durchführung einer Datenschutz-Folgenabschätzung eine Verlagerung der in Österreich vorgesehenen und von der Datenschutzbehörde durchgeführten Vorabkontrolle für Datenanwendungen, die sensible Daten enthalten oder strafrechtlich relevante Daten sind oder die Auskunftserteilung über die Kreditwürdigkeit des Betroffenen zum Zweck haben bzw in Form eines Informationsverbundsystems durchgeführt werden, zum Auftraggeber dar.

Die DSGVO selbst enthält eine exemplarische Aufzählung von Fällen, in denen eine Datenschutz-Folgenabschätzung erforderlich sein wird:

  • Systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (einschließlich Profiling), die ihnen gegenüber Rechtswirkung entfaltet oder sie in ähnlich erheblicher Weise beeinträchtigt;
  •  Umfangreiche Bearbeitung besonderer Kategorien von Daten bzw Daten über strafrechtliche Verurteilungen und Straftaten; oder
  • Systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche.

In derartigen Fällen hat der Verantwortliche vor der Verarbeitung eine Datenschutz-Folgenabschätzung durchführen, mit der die spezifische Eintrittswahrscheinlichkeit und die Schwere des hohen Risikos für die Rechte und Freiheiten natürlicher Personen unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung und der Ursachen des Risikos bewertet werden. Diese Folgenabschätzung hat sich insbesondere mit den Maßnahmen, Garantien und Verfahren befassen, durch die dieses Risiko eingedämmt und der Schutz personenbezogener Daten sichergestellt wird. Sofern ein Datenschutzbeauftragter bestellt worden ist, ist dessen Rat einzuholen.

Die DSGVO bestimmt, dass eine Datenschutz-Folgenabschätzung zwingend Folgendes zu enthalten hat:

  • Systematische Beschreibung der geplanten Verarbeitungsvorgänge, Zwecke der Verarbeitung und berechtigten Interessen der Verantwortlichen.
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck.
  • Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen.
  • Die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass diese Verordnung eingehalten wird, wobei den Rechten und berechtigten Interessen der betroffenen Personen und sonstiger Betroffener Rechnung getragen wird.

Die Aufsichtsbehörde spielt im Rahmen der Datenschutz-Folgenabschätzung eine zentrale Rolle, da sie einerseits eine Liste erstellt, in der Verarbeitungsvorgänge bestimmt werden, für die eine Folgenabschätzung zwingend durchgeführt werden muss. Andererseits muss der Verantwortliche die Aufsichtsbehörde konsultieren, wenn die Folgenabschätzung ergibt, dass bei der Datenverarbeitung ein hohes Risiko für die Betroffenen besteht und der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.

Wir unterstützen Sie bei der Erstellung der Datenschutz-Folgenabschätzung, damit Sie auf der sicheren Seite sind und Probleme vermieden werden.

Antwort auf/zuklappen

Datensicherheitskonzept

Das Datensicherheitskonzept muss die Risiken für die personenbezogenen Daten verhältnismäßig berücksichtigen und vor allem Gefahren durch Zerstörung, Verlust, Manipulation oder Offenlegung abwehren.

Das hierfür errichtete IT-Sicherheitskonzept hat diese Fragen nicht nur abstrakt beantworten, sondern müssen konkrete IT-Sicherheitsmaßnahmen und Lösungen aufgeführt werden, die sich auf konkrete Verarbeitungstätigkeiten beziehen.

Wir beraten Sie gerne über Inhalt und Umfang des Datensicherheitskonzeptes.

Antwort auf/zuklappen

Bestellung eines Datenschutzbeauftragten

Bislang waren österreichische Unternehmen frei in der Entscheidung, ob sie einen Datenschutzbeauftragten bestellen oder nicht. Die DSGVO führt die Verpflichtung zur Bestellung eines Datenschutzbeauftragten ein. 

Die Pflicht, einen Datenschutzbeauftragten zu bestellen trifft Unternehmen aber nur in bestimmten Fällen, nämlich wenn

  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen; oder 
  • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien personenbezogener Daten (beispielsweise Gesundheitsdaten) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Abgrenzungsschwierigkeiten kann der Begriff Kerntätigkeit auslösen, weil die DSGVO ihn nicht definiert. Nach den Erwägungsgründen zur DSGVO liegt keine Kerntätigkeit vor, wenn die konkrete Verarbeitung eine Nebentätigkeit des Unternehmens ist, was hinsichtlich des Umsatzes der jeweiligen Tätigkeit abgewogen werden soll.

Die Hauptaufgaben des Datenschutzbeauftragten, der über entsprechendes Fachwissen im Bereich des Datenschutzes verfügen muss, umfassen die Beratung des Verantwortlichen und der Beschäftigten über ihre Pflichten, die Überwachung der Einhaltung der DSGVO, die Beratung bei der Datenschutz-Folgenabschätzung sowie die Zusammenarbeit mit der Aufsichtsbehörde.

Der Datenschutzbeauftragte kann sowohl ein Beschäftigter des Verantwortlichen oder ein externer Dienstleister sein. In beiden Fällen muss der Datenschutzbeauftragte aber in der Lage sein, seine Pflichten und Aufgaben in vollständiger Unabhängigkeit auszuüben.

Der Verantwortliche bzw Auftraggeber hat die Kontaktdaten des DSB zu veröffentlichen. Eine spezielle Form der Veröffentlichung wird nicht vorgesehen. Aus dem Gesetzeszweck und insbesondere der Tatsache, dass betroffene Personen den DSB kontaktieren können müssen, ergibt sich jedoch, dass beispielsweise ein Aushang im Eingangsbereich des Unternehmens in vielen Fällen nicht ausreichend sein wird.

Wir erstellen ein Konzept für die Schulung des Datenschutzbeauftragten und coachen ihn. Ebenso erstellen wir ein Konzept für die Schulung der Mitarbeiter durch den Datenschutzbeauftragten. 

Antwort auf/zuklappen

Prüfung des Auftragsverarbeiter-Verhältnisses

Der Verantwortliche ist nach der DSGVO die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Klassische Auftragsverarbeiter sind etwa Lohnverrechnung, Call-Center, Direktmarketing-Agenturen.

Die DSGVO sieht bestimmte Regeln bei der Heranziehung eines Auftragsverarbeiters vor. So hat ein Verantwortlicher zunächst nur solche Auftragsverarbeiter heranzuziehen, die hinreichende Garantien zur Durchführung technischer und organisatorischer Maßnahmen zum Schutz personenbezogener Daten bieten.

Die Verarbeitung durch den Auftragsverarbeiter darf nur aufgrund eines Vertrages oder eines bindenden Rechtsinstruments erfolgen. Der Vertrag ist schriftlich abzuschließen und in ihm sind grundlegende Festlegungen zu

  • Gegenstand und Dauer der Verarbeitung;
  • Art und Zwecke der Verarbeitung;
  • Art der personenbezogenen Daten; und
  • die Kategorien von betroffenen Personen zu treffen. Zudem ist im Vertrag sicherzustellen, dass der Auftragsverarbeiter Datensicherheitsmaßnahmen ergreift und den Auftragsverarbeiter treffenden Unterstützungspflichten sind ebenfalls vertraglich zu fixieren. Schließlich hat Verantwortliche hat sich Weisungsbefugnis vorzubehalten.

Bisherige Dienstleisterverträge, die nur den Mindestinhalt nach dem DSG 2000 enthalten, entsprechen nicht dem Mindestinhalt nach der DSGVO und müssen daher spätestens am 25. Mai 2018 neu abgeschlossen werden.

Wir erstellen die erforderlichen Verträge zwischen Auftraggeber und Auftragsverarbeiter und beraten Auftragsverarbeiter und Auftraggeber bei der Erstellung der erforderlichen Dokumentation.

Antwort auf/zuklappen

Prüfung internationaler Datenübermittlungen

Um bei der Datenübermittlung in Drittstaaten das hohe Schutzniveau des Unionsrechts zu gewährleisten, sieht die DSGVO verschiedene Instrumente vor:

Zur Vermeidung langwieriger Prüfungen kann die Kommission gemäß Art 45 DSGVO sog Angemessenheitsbeschlüsse erlassen, wonach der Drittstaat ein angemessenes Schutzniveau gewährleistet, sodass die Übermittlung von Daten in ein Drittland ohne weitere Genehmigung möglich ist. Der Angemessenheitsbeschluss ist ein bindender – und somit auch vom EuGH überprüfbarer – Rechtsakt. Drittstaaten, bei denen die Kommission ein angemessenes Schutzniveau festgestellt hat, werden im EU-Amtsblatt sowie auf der Homepage der Kommission veröffentlicht.

Ohne Angemessenheitsbeschluss können die Verantwortlichen und Auftragsverarbeiter geeignete Garantien nutzen (Art 46 DSGVO). Diese Garantien sollen sicherstellen, dass die datenschutzrechtlichen Bestimmungen in angemessener Weise geachtet werden und adäquate Rechtsbehelfe geboten werden, um die daraus erwachsenen Rechte in der EU sowie im Drittstaat durchzusetzen. Zentrales Element der Garantien sind sog Drittbegünstigungsklauseln, die den Betroffenen einklagbare vertragliche Ansprüche gegenüber dem Verletzer einräumen und so effektive Rechtsschutzmöglichkeiten in der EU und in den Drittstaaten gewährleisten. Darüber hinaus können Standardschutzklauseln benutzt werden. Diese werden von der Kommission veröffentlicht und sind so ausgestaltet, dass sie ein angemessenes Schutzniveau sicherstellen.

Um den Anforderungen großer multinationaler Unternehmensgruppen gerecht zu werden, können diese auch weiterhin sog interne Datenschutzvorschriften (BCR, für binding corporate rules) erlassen. BCR sind flexibler als die Standardschutzklauseln und enthalten idR Bestimmungen, die auf die jeweilige Unternehmensgruppe zugeschnitten sind. Ebenso haben sie den Vorteil der Vereinheitlichung der Datenschutzvorschriften innerhalb der Unternehmensgruppe. Die BCR müssen von der jeweils zuständigen nationalen Aufsichtsbehörde vorab genehmigt werden.

Wir erstellen die erforderlichen Verträge und BCR´s und unterstützen bei der Umsetzung.

Antwort auf/zuklappen

IT-Sicherheit

Welcher Standard wird gefordert?

Art 32 Abs 1 DSGVO verpflichtet die Verantwortlichen ein Schutzstandard ihrer Datensicherheitsmaßnahmen sicherzustellen, der hinsichtlich des konkreten Risikos angemessen ist. Dazu zählen bspw die Pseudonymisierung und Verschlüsselung der Daten. Der in Art 32 Abs 1 DSGVO niedergeschriebene Katalog an Maßnahmen stellt einen EU-weiten Mindeststandard für IT-Sicherheit dar. Die Angemessenheit ist ein dynamischer Begriff, der sich durch technische Innovationen und Entwicklung der Geschäftstätigkeit ändern kann, sodass eine regelmäßige Überprüfung des Angemessenheitsstandards erforderlich ist.

Bei unzureichender IT-Sicherheit drohen Schadenersatzansprüche der Betroffenen.

Wir unterstüzten Sie bei der Analyse, welcher Schutzstandard angemessen ist. 

Antwort auf/zuklappen

Verhaltensregeln und Zertifizierungen

Die DSGVO sieht zwei Möglichkeiten vor, mit denen der Verantwortliche und der Auftragsverarbeiter garantieren können, ihren Nachweispflichten nachzukommen.

Genehmigte Verhaltensregeln: Verbände und andere relevante Interessensvertretungen können Verhaltensregeln ausarbeiten, die die DSGVO in verschiedenen Aspekten konkretisieren. Bei der Ausarbeitung der Verhaltensregeln sollen die Bedürfnisse von Kleinstunternehmen sowie von KMUs berücksichtigt werden. Als Aspekte werden ua eine "faire und transparente Verarbeitung", die "Pseudonymisierung personenbezogener Daten", die "Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen" genannt. Genehmigt werden die Verhaltensregeln von der zuständigen Aufsichtsbehörde.

Zertifizierungen: Zertifikate sollen bescheinigen, dass das Datenschutzrecht im jeweiligen Unternehmen eingehalten wird. Trotz Zertifizierung muss ein Unternehmen aber alle (anderen) Bestimmungen der DSGVO einhalten. Ausgegeben werden können die Zertifikate von der Aufsichtsbehörde bzw von akkreditierten Zertifizierungsstellen. Drei kurze Bsp illustrieren den Anwendungsbereich dieser Zertifizierungen:

Bsp 1: Ein Verantwortlicher benutzt sog Eraser, mit denen Daten gelöscht werden. Er will nachweisen, dass er einen geeigneten Eraser einsetzt. Hierzu kann ein bestätigendes Zertifikat genutzt werden.

Bsp 2: Ein Verantwortlicher lagert einen Teil seiner Tätigkeit an einen Auftragsverarbeiter aus. Der Verantwortliche bleibt für die Daten verantwortlich und möchte nachweisen, dass er einen geeigneten Auftragsverarbeiter eingesetzt hat. Dazu kann er ein Zertifikat des Auftragsverarbeiters nutzen.

Bsp 3: Um nach außen zu zeigen, dass man mit den datenschutzrechtlichen Bestimmungen compliant ist, kann per Zertifikat nachgewiesen werden, dass ein effektives und angemessenes Datenschutzmanagement eingeführt wurde. Wir unterstützen Sie bei der Erstellung der genehmigten Verhaltensregeln und im Zertifizierungsverfahren.

Antwort auf/zuklappen

Datenpannen

Die richtige Vorgehensweise bei Datenpannen.

- Welche Stellen sind zu informieren?

- Sind auch Betroffene zu informieren?

Folgendes Szenario: Ein Mitarbeiter vergisst ein Firmen-Notebook mit Kundendaten in der U-Bahn, wobei das Notebook nicht durch ein besonderes Password gesichert ist. Was muss in einem solchen Fall gemacht werden?

Die DSGVO verpflichtet den Verantwortlichen bei Verletzung des Schutzes personenbezogener Daten zu einer Data Breach Notification. Der Verantwortliche hat eine Meldung an die Aufsichtsbehörde zu erstatten und direkt die betroffenen Personen zu informieren.

Die Meldung des Verantwortlichen an die Aufsichtsbehörde hat binnen maximal 72 Stunden zu erfolgen.

Sie darf nur dann unterbleiben, wenn kein Risiko für die Rechte und Freiheiten der Betroffenen vorliegt.

Bereits ein einfaches Risiko löst die Meldepflicht aus; es muss keine schwerwiegende Beeinträchtigung drohen. Bei der Abwägung wird u.a. die Art der personenbezogenen Daten berücksichtigt. Wenn durch geeignete Maßnahmen nach einer Datenpanne (Verschlüsselung, Fernlöschung) sichergestellt werden kann, dass keine Risiken bestehen oder es sich nur um relativ belanglose Daten handelt, kann die Meldung unterbleiben.

In formaler Hinsicht hat die Data Breach Notification an die Aufsichtsbehörde Folgendes zu enthalten:

  • Eine Beschreibung der Art der Verletzung, Kategorien und Zahl der betroffenen Personen und der Datensätze,
  •  Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle; sowie
  • Eine Beschreibung der wahrscheinlichen Folgen und die ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung oder Abmilderung der Verletzung.

Eine Meldung auch an die betroffenen Personen ist dann erforderlich, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes – und nicht bloß einfaches – Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat. Da ein hohes Risiko vorausgesetzt wird, besteht im Hinblick auf diese Meldung ein größerer Argumentationsspielraum für Unternehmen.

Der Betroffene ist ausnahmsweise dann nicht zu informieren, wenn

  • im Vorfeld geeignete IT-Sicherheitsmaßnahmen getroffen (z.B. Verschlüsselung) wurden;
  • nach der Datenpanne geeignete IT-Sicherheitsmaßnahmen getroffen wurden; oder
  • die Benachrichtigung ein unverhältnismäßiger Aufwand wäre (dann aber öffentliche Bekanntmachung).

Kein Risiko für die persönlichen Rechte und Freiheiten des Betroffenen besteht etwa dann, wenn eine geeignete Verschlüsselung vorhanden war, sodass eine Kenntnisnahme durch Dritte ausgeschlossen ist. Der Inhalt der Benachrichtigung entspricht jenem der Mitteilung an die Behörde. Die betroffene Person ist unverzüglich zu benachrichtigen, eine konkrete Frist legt die DSGVO nicht fest. Daher ist von einer angemessenen Frist, die im Einzelfall zu bestimmen ist, auszugehen.

Die Behörde kann aufgrund einer Data Breach Notification und nach einer eigenen Risikoeinschätzung ein Unternehmen auch anweisen, die Meldung an den Betroffenen nachzuholen. Zentral für das gesamte Verfahren ist daher die Meldung an die Behörden.

Neu ist, dass jede Datenschutzverletzung ausnahmslos zu dokumentieren ist. Den Behörden soll damit ermöglicht werden, bei einer Prüfung zu kontrollieren, ob u.a. die Benachrichtigungspflichten eingehalten wurden. Der Aufwand dieser Dokumentation ist nicht zu unterschätzen, da alle zusammenhängenden Fakten, Auswirkungen und ergriffene Maßnahmen zu erfassen sind.

Das Verfahren nach einer Datenpanne lässt sich daher wie folgt zusammenfassen:

  • Technisch-organisatorische Beseitigung der Folgen, Ergreifen von Maßnahmen zum Schutz des Betroffenen;
  • Dokumentation des Vorfalls;
  • Abwägung, ob der Vorfall an die Behörde zu melden ist; sowie
  • Abwägung, ob der Vorfall an den Betroffenen zu melden ist.

Eine Datenpanne stellt Unternehmen jedenfalls vor eine vor allem zeitliche Herausforderung. Es sollte daher ein Maßnahmenkatalog vorbereitet werden, um das Unternehmen auf den Ernstfall vorzubereiten.

Zur Vermeidung einer Haftung muss prophylaktisch ein geeignetes Verfahren festgelegt werden, wie im Fall einer Datenpanne vorzugehen ist.

Wir beraten Sie bei der Erstellung eines derartigen Konzepts und helfen Ihnen im Fall des Falles, die Datendatenpanne bestmöglich zu beseitigen und damit eine Haftung zu vermeiden.

Antwort auf/zuklappen

Datenübermittlungen in Drittländer

Als Neuerung brachte die DSG-VO die Einführung des Marktortprinzips. Dadurch ist die DSGVO auch auf solche Unternehmen anwendbar, die zwar ihre Niederlassung in Drittstaaten haben, jedoch ihre Dienste innerhalb der EU anbieten. Für große Cloud-Unternehmen bedeutet dies, dass sie müssen europäischem Datenschutzrecht entsprechen müssen.

Bei der Übermittlung von personenbezogenen Daten in Drittländer ist primär zu berücksichtigen, ob die Kommission einen Angemessenheitsbeschluss erlassen oder das jeweilige Unternehmen geeignete Garantien vorgesehen hat. Auch BCR können die Compliance mit europäischem Datenschutzrecht begründen. Ebenso können Zertifizierungen von den Unternehmen dazu genutzt werden, zu zeigen, dass sie die Verhaltensregeln der DSG-VO einhalten.

Außerdem soll die sog Cloud-Migration, dh der Wechsel von einem Cloud-Anbieter zu einem anderen ermöglicht werden - zum einen durch das "Recht vergessen zu werden" und zum anderen durch einen Anspruch des Nutzers unter bestimmten Voraussetzungen eine Kopie seiner Daten in marktüblicher und maschenlesbarer Form zu erhalten.

Antwort auf/zuklappen

Zivilrechtliche Anspruchsgrundlagen

Schadenersatzklage für immaterielle und materielle Schäden - Art. 82 DSG-VO / § 18 DSG 2018

Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat nach Art 82 Abs 1 DSG-VO Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. § 18 Abs 1 DSG 2018 weitet diese Haftung auch auf Verletzungen 1. oder 2. Hauptstückes des DSG 2018 aus. Im Einzelnen gelten für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts. Der Schaden muss damit rechtswidrig, kausal und schuldhaft verursacht worden sein. Mehrere Täter haften solidarisch.

Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden nach Art 82 Abs 2 DSG-VO, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat.

Für Klagen auf Schadenersatz ist nach § 18 Abs 2 DSG 2018 in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat. Damit kann der Kläger den Gerichtsstand wählen, wenn Kläger und Beklagte ihren allgemeinen Gerichtsstand in verschiedenen Sprengeln haben.

Der Begriff des Schadens ist unionsautonom im Licht der Rechtsprechung des Gerichtshofs weit und so auszulegen, damit den Zielen dieser Verordnung in vollem Umfang entsprochen wird. Die Erwägungsgründe 75 und 85 enthalten Beispiele für Umstände, die zu (im)materiellen Schäden führen können, bspw wird dort der Identitätsdiebstahl, die Rufschädigung, erhebliche gesellschaftliche Nachteile für die Betroffenen natürliche Person, die rechtswidrige Verarbeitung von personenbezogenen Daten von schutzbedürftigen natürlichen Personen.

Bei Art 82 handelt es sich um eine eigenständige deliktische Haftungsnorm. Konkurrierend zu Art 82 kommt insb. eine Haftung aus Vertragsverletzung, culpa in contrahendo oder auch eine deliktische Haftung aus der Verletzung der Persönlichkeitsrechte oder auch eines Schutzgesetzes in Betracht. Als Verstoß gegen die DS-GVO gilt auch ein Verstoß gegen aufgrund dieser Verordnung erlassene delegierte Rechtsakte und Durchführungsrechtsakte sowie gegen nationale Rechtsvorschriften zur Präzisierung der DS-GVO. Abs 4 ordnet eine Solidarhaftung aller an der Verarbeitung beteiligten Verantwortlichen und/oder Auftragsverarbeiter. Nach Abs 2 haftet aber jeder beteiligte Verantwortliche und/oder Auftragsverarbeiter nur für den von ihm verursachten Schaden, was im Wege des Regresses nach Abs 5 zu berücksichtigen ist oder auch dann berücksichtigt werden kann, wenn mehrere an der Verarbeitung Beteiligte gemeinsam geklagt werden, sofern sichergestellt ist, dass die betroffene Person vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhält.

Nach § 18 Abs 1 DSG 2018 im Entwurf hat jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen das 1. oder 2. Hauptstück ein materieller oder immaterieller Schaden entstanden ist, einen Anspruch auf Schadenersatz gegen den Verantwortlichen oder den Auftragsverarbeiter. Zudem sollen nach § 18 Abs 1 [i]m Einzelnen […] für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts gelten. § 1323 AGBG, auf den § 18 DSG 2018 im Entwurf verweist, normiert, dass immaterieller Schaden (Tilgung der erlittenen Beleidigung) nur bei grobem Verschulden ersetzt wird. Eine solche Differenzierung zwischen leichtem und grobem Verschulden ist jedoch der DS-GVO nicht zu entnehmen.

 

Unterlassungsanspruch gegen Auftragsverarbeiter/Verantwortlichen - Art. 79 DSG-VO

Art. 79 DSG-VO lautet:

Artikel 79

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen Verantwortliche oder Auftragsverarbeiter

(1)   Jede betroffene Person hat unbeschadet eines verfügbaren verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs einschließlich des Rechts auf Beschwerde bei einer Aufsichtsbehörde gemäß Artikel 77 das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn sie der Ansicht ist, dass die ihr aufgrund dieser Verordnung zustehenden Rechte infolge einer nicht im Einklang mit dieser Verordnung stehenden Verarbeitung ihrer personenbezogenen Daten verletzt wurden.

(2)   Für Klagen gegen einen Verantwortlichen oder gegen einen Auftragsverarbeiter sind die Gerichte des Mitgliedstaats zuständig, in dem der Verantwortliche oder der Auftragsverarbeiter eine Niederlassung hat. Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden, in dem die betroffene Person ihren Aufenthaltsort hat, es sei denn, es handelt sich bei dem Verantwortlichen oder dem Auftragsverarbeiter um eine Behörde eines Mitgliedstaats, die in Ausübung ihrer hoheitlichen Befugnisse tätig geworden ist.

Die Formulierung die ihr aufgrund dieser Verordnung zustehenden Rechte […] verletzt wurden in Abs 1 legt nahe, dass der betroffenen Person ein gerichtlicher Rechtsbehelf nur dann zusteht, wenn Betroffenenrechte nach dem Kapitel III der DS-GVO verletzt wurden.

 

Abs 2 ist nicht zu entnehmen, ob der Kläger die betroffene Person sein muss, oder ob auch Verbände nach Art 80 sich auf diesen Gerichtsstand stützen können. Art 80 verweist vorbehaltlos und vollinhaltlich u.a. auf Art 79, was den Schluss nahe legt, dass der Gerichtsstand des Abs 2 auch für solche Verbände gilt. 

 

Nichtigkeitsklage gegen Beschluss der nationalen Aufsichtsbehörde - Art. 78 DSG-VO

Art 78 DS-GVO lautet:

Artikel 78 DSG-VO

Recht auf wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde

(1)   Jede natürliche oder juristische Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss einer Aufsichtsbehörde.

(2)   Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf, wenn die nach den Artikeln 55 und 56 zuständige Aufsichtsbehörde sich nicht mit einer Beschwerde befasst oder die betroffene Person nicht innerhalb von drei Monaten über den Stand oder das Ergebnis der gemäß Artikel 77 erhobenen Beschwerde in Kenntnis gesetzt hat.

(3)   Für Verfahren gegen eine Aufsichtsbehörde sind die Gerichte des Mitgliedstaats zuständig, in dem die Aufsichtsbehörde ihren Sitz hat.

(4)   Kommt es zu einem Verfahren gegen den Beschluss einer Aufsichtsbehörde, dem eine Stellungnahme oder ein Beschluss des Ausschusses im Rahmen des Kohärenzverfahrens vorangegangen ist, so leitet die Aufsichtsbehörde diese Stellungnahme oder diesen Beschluss dem Gericht zu.

Ein Beschluss im Sinne dieser Bestimmung ist nach ErwGr 143 insb. die Ausübung von Untersuchung-, Abhilfe- und Genehmigungsbefugnisse durch die Aufsichtsbehörde oder die Ablehnung oder Abweisung von Beschwerden. Nicht umfasst sind demgegenüber nicht bindende Maßnahmen der Aufsichtsbehörde wie z.B. Stellungnahmen oder Empfehlungen.

 

Liegt einem Beschluss einer nationalen Aufsichtsbehörde ein Beschluss des Ausschusses zugrunde und wird die Gültigkeit dieses Ausschuss-Beschlusses infrage gestellt, so dürfen nationale Gerichte diesen Beschluss nicht für nichtig erklären sondern müssen den Gerichtshof mit der Frage der Gültigkeit befassen. Eine Befassung des Gerichtshofs scheidet jedoch im Fall einer Anfrage einer natürlichen oder juristischen Person aus, wenn diese Gelegenheit hatte, eine Klage auf Nichtigerklärung zu erheben (weil sie unmittelbar und individuell betroffen war) und die dafür vorgesehene Frist von 2 Monaten ungenutzt verstrichen ist. ErwGr 143 stellt weiters klar, dass jede natürliche oder juristische Person zudem das Recht hat, unter den in Art. 263 AEV genannten Voraussetzungen beim Gericht zu eine Klage auf Nichtigerklärung eines Beschlusses des Ausschusses zu erheben, wenn Beschlüsse des Ausschusses einen Verantwortlichen, einen Auftragsverarbeiter oder den Beschwerdeführer unmittelbar und individuell betreffen.

Antwort auf/zuklappen

Strafen

Art. 83 f DSG-VO

Art 83 f DS-GVO lautet:

Artikel 83 DSG-VO

Allgemeine Bedingungen für die Verhängung von Geldbußen

(1) Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem Einzelfall wirksam, verhältnismäßig und abschreckend ist.

(2) Geldbußen werden je nach den Umständen des Einzelfalls zusätzlich zu oder anstelle von Maßnahmen nach Artikel 58 Absatz 2 Buchstaben a bis h und i verhängt. Bei der Entscheidung über die Verhängung einer Geldbuße und über deren Betrag wird in jedem Einzelfall Folgendes gebührend berücksichtigt:

a) Art, Schwere und Dauer des Verstoßes unter Berücksichtigung der Art, des Umfangs oder des Zwecks der betreffenden Verarbeitung sowie der Zahl der von der Verarbeitung betroffenen Personen und des Ausmaßes des von ihnen erlittenen Schadens;

b) Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes;

c) jegliche von dem Verantwortlichen oder dem Auftragsverarbeiter getroffenen Maßnahmen zur Minderung des den betroffenen Personen entstandenen Schadens;

d) Grad der Verantwortung des Verantwortlichen oder des Auftragsverarbeiters unter Berücksichtigung der von ihnen gemäß den Artikeln 25 und 32 getroffenen technischen und organisatorischen Maßnahmen;

e) etwaige einschlägige frühere Verstöße des Verantwortlichen oder des Auftragsverarbeiters;

f) Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern;

g) Kategorien personenbezogener Daten, die von dem Verstoß betroffen sind;

h) Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, insbesondere ob und gegebenenfalls in welchem Umfang der Verantwortliche oder der Auftragsverarbeiter den Verstoß mitgeteilt hat;

i) Einhaltung der nach Artikel 58 Absatz 2 früher gegen den für den betreffenden Verantwortlichen oder Auftragsverarbeiter in Bezug auf denselben Gegenstand angeordneten Maßnahmen, wenn solche Maßnahmen angeordnet wurden;

j) Einhaltung von genehmigten Verhaltensregeln nach Artikel 40 oder genehmigten Zertifizierungsverfahren nach Artikel 42 und

k) jegliche anderen erschwerenden oder mildernden Umstände im jeweiligen Fall, wie unmittelbar oder mittelbar durch den Verstoß erlangte finanzielle Vorteile oder vermiedene Verluste.

(3) Verstößt ein Verantwortlicher oder ein Auftragsverarbeiter bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen vorsätzlich oder fahrlässig gegen mehrere Bestimmungen dieser Verordnung, so übersteigt der Gesamtbetrag der Geldbuße nicht den Betrag für den schwerwiegendsten Verstoß.

(4) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Pflichten der Verantwortlichen und der Auftragsverarbeiter gemäß den Artikeln 8, 11, 25 bis 39, 42 und 43;

b) die Pflichten der Zertifizierungsstelle gemäß den Artikeln 42 und 43;

c) die Pflichten der Überwachungsstelle gemäß Artikel 41 Absatz 4.

(5) Bei Verstößen gegen die folgenden Bestimmungen werden im Einklang mit Absatz 2 Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist:

a) die Grundsätze für die Verarbeitung, einschließlich der Bedingungen für die Einwilligung, gemäß den Artikeln 5, 6, 7 und 9;

b) die Rechte der betroffenen Person gemäß den Artikeln 12 bis 22;

c) die Übermittlung personenbezogener Daten an einen Empfänger in einem Drittland oder an eine internationale Organisation gemäß den Artikeln 44 bis 49;

d) alle Pflichten gemäß den Rechtsvorschriften der Mitgliedstaaten, die im Rahmen des Kapitels IX erlassen wurden;

e) Nichtbefolgung einer Anweisung oder einer vorübergehenden oder endgültigen Beschränkung oder Aussetzung der Datenübermittlung durch die Aufsichtsbehörde gemäß Artikel 58 Absatz 2 oder Nichtgewährung des Zugangs unter Verstoß gegen Artikel 58 Absatz 1.

(6) Bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde gemäß Artikel 58 Absatz 2 werden im Einklang mit Absatz 2 des vorliegenden Artikels Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

(7) Unbeschadet der Abhilfebefugnisse der Aufsichtsbehörden gemäß Artikel 58 Absatz 2 kann jeder Mitgliedstaat Vorschriften dafür festlegen, ob und in welchem Umfang gegen Behörden und öffentliche Stellen, die in dem betreffenden Mitgliedstaat niedergelassen sind, Geldbußen verhängt werden können.

(8) Die Ausübung der eigenen Befugnisse durch eine Aufsichtsbehörde gemäß diesem Artikel muss angemessenen Verfahrensgarantien gemäß dem Unionsrecht und dem Recht der Mitgliedstaaten, einschließlich wirksamer gerichtlicher Rechtsbehelfe und ordnungsgemäßer Verfahren, unterliegen.

(9) Sieht die Rechtsordnung eines Mitgliedstaats keine Geldbußen vor, kann dieser Artikel so angewandt werden, dass die Geldbuße von der zuständigen Aufsichtsbehörde in die Wege geleitet und von den zuständigen nationalen Gerichten verhängt wird, wobei sicherzustellen ist, dass diese Rechtsbehelfe wirksam sind und die gleiche Wirkung wie die von Aufsichtsbehörden verhängten Geldbußen haben. In jeden Fall müssen die verhängten Geldbußen wirksam, verhältnismäßig und abschreckend sein. Die betreffenden Mitgliedstaaten teilen der Kommission bis zum 25. Mai 2018 die Rechtsvorschriften mit, die sie aufgrund dieses Absatzes erlassen, sowie unverzüglich alle späteren Änderungsgesetze oder Änderungen dieser Vorschriften.

Nach Art. 58 Abs 2 lit j kommt die Sanktionsbefugnis nach Art. 83 der Aufsichtsbehörde zu. In ErwGr 148 wird klargestellt, dass die in § 58 Abs 2 lit b vorgesehene Möglichkeit der Aufsichtsbehörde, eine Verwarnung auszusprechen, auch im Falle eines Verstoßes iSd § 83 gilt, und sogar anstelle einer Geldbuße eine Verwarnung ausgesprochen werden kann, sofern es sich um einen geringfügigeren Verstoß handelt oder falls eine voraussichtlich zu verhängen Geldbuße eine unverhältnismäßige Belastung eine natürliche Person bewirken würde. Nach ErwGr 150 soll nicht ausgeschlossen werden, dass selbst wenn bereits eine Geldbuße verhängt oder eine Verwarnung ausgesprochen worden ist, eine Aufsichtsbehörde ihre anderen Befugnisse ausüben oder andere Sanktionen nach Maßgabe der DS-GVO verhängen kann.

Bei der Verhängung einer Geldbuße (und auch dem Ausspruch einer Verwarnung) soll insbesondere der Art, Schwere und Dauer des Verstoßes, dem vorsätzlichen Charakter des Verstoßes, Maßnahmen zur Minderung des entstandenen Schadens, den Grad der Verantwortlichkeit oder jeglichem früheren Verstoß, der Art und Weise, wie der Verstoß der Aufsichtsbehörde bekannt wurde, der Einhaltung der gegen den Verantwortlichen oder Auftragsverarbeiter angeordneten Maßnahmen, der Einhaltung von Verhaltensregeln und jedem anderen erschwerenden oder mildernden Umstand Rechnung getragen werden. Bei der Aufzählung nach Abs 2 lit a bis j handelt es sich nach Abs 2 lit k ausdrücklich um eine demonstrative Aufzählung.

Abs 3 normiert die Geltung des Absorptionsprinzips, sofern mehrere Verstöße bei gleichen oder miteinander verbundenen Verarbeitungsvorgängen von einem Verantwortlichen/Auftragsverarbeiter begangen werden. Zudem wird argumentiert, dass zwischen den Verstößen eine gewisse zeitliche Nähe bestehen muss, damit das Absorptionsprinzip Wirkung entfalten kann. Sofern es sich nicht um gleiche oder miteinander verbundene bzw. in zeitlicher Nähe befindliche Verarbeitungsvorgänge handelt wird daher – mangels ausdrücklich gegenteiliger Regelung – das Kumulationsprinzip zur Anwendung zu kommen haben, sodass die Geldbußen für jeden einzelnen Verstoß zu addieren sind.

Normadressaten nach Abs 4 sind grundsätzlich Auftragsverarbeiter und Verantwortliche, im Fall des Abs 4 lit b jedoch die Zertifizierungsstelle und nach Abs 4 lit c die Überwachungsstelle; bei Abs 5 werden die Pflichten nicht auf bestimmte Personen beschränkt. Zu beachten ist dabei insbesondere, dass selbst zum Verantwortlichen wird, wer über die Zwecke und Mittel der Verarbeitung bestimmt, also bspw. weisungswidrig personenbezogene Daten für sich selbst verarbeitet. Im Fall des Abs 6 ist Normadressat jedenfalls der jeweilige Weisungsempfänger – zumeist also der Verantwortliche, Auftragsverarbeiter oder die Zertifizierungsstelle. In Ausnahmefällen ist auch eine Weisung an Dritte denkbar.

Sofern eine Geldbuße einem Unternehmen auferlegt werden soll, so soll nach ErwGr 150 der Begriff des Unternehmens im Sinne der Art. 101 und 102 AEUV verstanden werden – also der kartellrechtliche Unternehmensbegriff.

In Abs 7 ist eine Öffnungsklausel vorgesehen, wonach die Mitgliedstaaten durch nationales Recht vorsehen können, ob und in welchem Umfang gegen Behörden und öffentliche Stellen Geldbußen verhängt werden können.

 

§ 19 DSG 2018 - Allgemeine Bedingungen für die Verhängung von Geldbußen

§ DSG 2018 lautet:

Allgemeine Bedingungen für die Verhängung von Geldbußen

(1) Die Datenschutzbehörde kann Geldbußen gegen eine juristische Personen verhängen, wenn Verstöße gegen Bestimmungen der DSGVO und des 1. oder 2. Hauptstücks durch Personen begangen wurden, die entweder allein oder als Teil eines Organs der juristischen Person gehandelt haben und eine Führungsposition innerhalb der juristischen Person aufgrund

1. der Befugnis zur Vertretung der juristischen Person, 

2. der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

3. einer Kontrollbefugnis innerhalb der juristischen Person 

innehaben.

(2) Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO und des 1. oder 2. Hauptstücks auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolledurch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

(3) Die Datenschutzbehörde hat von der Bestrafung eines Verantwortlichen gemäß § 9 des Verwaltungsstrafgesetzes 1991 – VStG, BGBl. Nr. 52/1991, abzusehen, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen die juristische Person verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen.

(4) Die gemäß § 11 Abs. 5 verhängten Geldbußen fließen dem Bund zu und sind nach den Bestimmungen über die Eintreibung von gerichtlichen Geldstrafen einzubringen. Rechtskräftige Bescheide der Datenschutzbehörde sind Exekutionstitel. Die Bewilligung und der Vollzug der Exekution ist auf Grund des Exekutionstitels der Datenschutzbehörde bei dem Bezirksgericht, in dessen Sprengel der Verpflichtete seinen allgemeinen Gerichtsstand in Streitsachen hat (§§ 66, 75 der Jurisdiktionsnorm – JN, RGBl. Nr. 111/1895), oder bei dem in den §§ 18 und 19 der Exekutionsordnung – EO, RGBl. Nr. 79/1896, bezeichneten Exekutionsgericht zu beantragen.

(5) Gegen Behörden und öffentliche Stellen können keine Geldbußen verhängt werden.

 

Mit § 19 Abs 5 DSG 2018 wird festgehalten, dass nach dem nationalen Recht keine Geldbußen gegen Behörden und öffentliche Stellen verhängt werden können, was damit begründet wird, dass Österreich von dieser Ausnahmemöglichkeit Gebrauch macht. 

 

Sonstige Sanktionen - Art 84 DSG-VO / § 69 DSG 2018

§ 69. DSG 2018 lautet:

Verwaltungsstrafbestimmung

(1) Sofern die Tat nicht einen Tatbestand nach Art. 83 DSGVO verwirklicht oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist, begeht eine Verwaltungsübertretung, die mit Geldstrafe bis zu 50 000 Euro zu ahnden ist, wer

1. sich vorsätzlich widerrechtlichen Zugang zu einer Datenverarbeitung verschafft oder einen erkennbar widerrechtlichen Zugang vorsätzlich aufrechterhält,

2. Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 6) übermittelt, insbesondere Daten, die ihm gemäß §§ 25 oder 26 anvertraut wurden, vorsätzlich für andere unzulässige Zwecke verarbeitet,

3. sich unter Vortäuschung falscher Tatsachen vorsätzlich personenbezogene Daten gemäß § 28 verschafft,

4. eine Bildverarbeitung entgegen den Bestimmungen des 6. Abschnittes des 2. Hauptstücks betreibt oder 

5. die Einschau gemäß § 11 Abs. 2 verweigert.

 

(2) Der Versuch ist strafbar.

(3) Gegen juristische Personen können bei Verwaltungsübertretung nach Abs. 1 und 2 Geldbußen nach Maßgabe des § 19 verhängt werden.

(4) Die Strafe des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten kann ausgesprochen werden (§§ 10, 17 und 18 VStG), wenn diese Gegenstände mit einer Verwaltungsübertretung nach Abs. 1 in Zusammenhang stehen.

(5) Die Datenschutzbehörde ist zuständig für Entscheidungen nach Abs. 1 bis 4.

 

Es handelt sich dabei um eine obligatorische Öffnungsklausel.

Nach den Erwägungsgründen sollen Mitgliedstaaten insb. (i) strafrechtliche Sanktionen bei Verstößen gegen die DS-GVO und (ii) Verstöße gegen auf der Grundlage und in den Grenzen dieser Verordnung erlassene nationale Vorschriften fest.

Obwohl in den Erläuterungen zum Ministerialentwurf ein dezidierte Hinweis auf Art. 84 DSGVO fehlt, dient § 69 DSG 2018 der Umsetzung der Verpflichtung nach Art. 84: § 69 soll nicht zur Anwendung kommen, sofern die Tat einen Tatbestand nach Art. 83 DSGVO verwirklicht oder nach anderen Verwaltungsstrafbestimmungen mit strengerer Strafe bedroht ist. Nach dieser Bestimmung im Entwurf soll eine Verwaltungsübertretung, die mit Geldstrafe bis zu EUR 50.000 durch die Datenschutzbehörde zu ahnden ist, darstellen, wer

  • sich vorsätzlich widerrechtlich Zugang zur Datenverarbeitung verschafft oder erkennbar widerrechtlichen Zugang vorsätzlich aufrecht erhält;
  • Daten vorsätzlich in Verletzung des Datengeheimnisses (§ 6) übermittelt insbesondere Daten, die ihm gemäß §§ 25 oder 26 anvertraut wurden, vorsätzlich für andere unzulässige Zwecke verarbeitet,
  • sich unter Vortäuschung falscher Tatsachen vorsätzlich personenbezogener Daten gemäß § 28 verschafft
  • eine Bildverarbeitung entgegen den Bestimmungen des 6. Abschnitts des 2. Hauptstücks betriebt oder die Einschau gemäß § 11 Abs 2 verweigert.
  • Bereits der Versuch ist strafbar.
  • Zudem wird ausdrücklich die Möglichkeit des Verfalls von Datenträgern und Programmen sowie Bildübertragungs- und Bildaufzeichnungsgeräten normiert. 

 

§ 70 DSG 2018 lautet:

Datenverarbeitung in Gewinn- oder Schädigungsabsicht

Wer mit dem Vorsatz, sich oder einen Dritten dadurch unrechtmäßig zu bereichern, oder mit der Absicht, einen anderen dadurch in seinem von § 1 Abs. 1 gewährleisteten Anspruch zu schädigen, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind oder die er sich widerrechtlich verschafft hat, selbst benützt, einem anderen zugänglich macht oder veröffentlicht, obwohl der Betroffene an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat, ist, wenn die Tat nicht nach einer anderen Bestimmung mit strengerer Strafe bedroht ist, vom Gericht mit Freiheitsstrafe bis zu einem Jahr oder mit Geldstrafe bis zu 720 Tagessätzen zu bestrafen.

Mit § 70 DSG 2018 wird zudem ein gerichtlicher Straftatbestand geschaffen (bzw. als Fortschreibung des § 51 DSG 2000 aufrechterhalten).

Antwort auf/zuklappen

Vermeidung von Haftungsrisiken

  • Datenschutz ist Sache der Geschäftsleitung. Die Geschäftsleitung haftet persönlich für die Einhaltung der DSGVO. Wir bieten individuelle Schulungen für Vorstände, Geschäftsführer und leitende Angestellte, Verantwortliche für Datenschutzrecht abgestimmt auf die Bedürfnisse des Unternehmens.
  • Fehlende oder mangelhafte Organisation und Schulung der Mitarbeiter im Datenschutz führt zur Haftung. Wir bieten Awareness-Schulungen für Mitarbeiter, die individuell abgestimmt sind auf die Bedürfnisse des Unternehmens.
  • Die Datenschutzbehörde ist verpflichtet, Einhaltung des Datenschutzrechts intensiv zu überwachen und Verstöße zu sanktionieren. Die Datenschutzbehörde wird in Zukunft stärker als bisher kontrollieren, bis hin zu unangekündigten Besuchen bei Verantwortlichen (Terminologie Einschau – in Wahrheit wohl eine Art Hausdurchsuchung). Wir unterstützen und vertreten Unternehmen in Verfahren vor der Datenschutzbehörde und im weiteren Instanzenzug – bis hin zum EuGH.
  • Die Rechte von betroffenen Personen werden mit der DSGVO stark erweitert. Betroffenen Personen sind - stärker als bisher - proaktiv zu informieren. Ein Betroffenenrechte-Management wird daher unerlässlich. Wir bieten Unterstützung bei der Umsetzung eines solchen Betroffenenrechte-Managements und helfen Ihnen im Fall des Falles, damit ein datenschutzrechtliches Problem nicht zum existentiellen Problem eines Unternehmens wird.
  • Wir vertreten Geschädigte bei der Durchsetzung ihrer Rechte.
  • Alles neu macht der Mai (2018) nicht nur in der Terminologie des Datenschutzrechtes – wir unterstützen Sie, dabei Sie im Mai 2018 nicht kalt überrascht zu werden und in eine Haftung geraten. Wir planen für Sie und setzen für Sie die erforderlichen Schritte, damit Sie im Mai 2018 DSGVO-fit sind und Haftungen vermeiden. 
Antwort auf/zuklappen

-

Praxisseminar Datenschutz - Umsetzung der DSGVO im Unternehmen

Wir bieten Seminare zu praxisrelevanten datenschutzrechtlichen Themen an. Unsere Partner sind gefragte Vortragende bei Datenschutzveranstaltungen. Sie können bei uns an Inhouseseminaren teilnehmen. Wir organisieren und veranstalten Workshops für Unternehmen und schulen Entscheidungsträger und die Mitarbeiter praxisnah. Wir haben umfangreiche Erfahrungen bei der datenschutzrechtlichen Beratung von Unternehmen und öffentlichen Körperschaften.

  • Was bedeutet die EU-Datenschutzreform für KMU im Alltag?
  • Wie setzen Sie die DSGVO möglichst zeit- und ressourceneffizient um?
  • Wie sind Nachweis-, Melde- und Dokumentationspflichten umzusetzen?
  • Wie sind Verarbeitungsverzeichnisse korrekt zu erstellen?
  • Fallbeispiele für den Umgang mit den Rechten von Kunden und MitarbeiterInnen
  • Was ist bei Verträgen mit externen Dienstleistern zu beachten?
  • Website, Social-Media, Newsletter - die Fallstricke der Online-Kommunikation
  • Wie entgehen Sie Haftungen und Strafen?
  • Wie gehen Sie vor, wenn Sie dennoch von einer Behörde, einem Konkurrenten oder einem Betroffenen in Anspruch genommen werden?

Wenn Sie an einer Teilnahme interessiert sind, melden Sie sich über den unten stehenden Link um weitere Informationen zu erhalten. 

Anmelden für weitere Informationen

 

 

 

© 2018

BRAND Rechtsanwälte GmbH • Tel.:+43 1 725 77 • office(at)b-law.at