Datenschutzrecht
Seit dem 25. Mai 2018 bildet die Datenschutzgrundverordnung (DSGVO) die Grundlage des neuen Datenschutzregimes in der Europäischen Union.
Die DSGVO ist als EU-Verordnung - im Gegensatz zur vorher in Geltung stehenden Datenschutzrichtlinie - unmittelbar anwendbar. Das bedeutet, Unionsbürger können sich direkt auf die Bestimmungen der DSGVO berufen. Das österrischische Datenschutzgesetz (DSG) ergänzt die Vorgaben der DSGVO auf nationaler Ebene.
Anwendungsbereich der DSGVO
Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten (Ordner, Papierakten), die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ausgenommen ist beispielsweise die Datenverarbeitung zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (sogenannte "Haushaltsausnahme").
Personenbezogene Daten
Als personenbezogene Daten definiert die DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Sobald Daten einen Personenbezug aufweisen, gelten sie demnach als personenbezogene Daten. Geschützt werden nicht nur Daten einer bereits identifizierten Person (z.B. Frau Berger oder Herr Maier) sondern auch jene einer indentifizierbaren Person (z.B. Kundennummer 1234, die innerhalb des Unternehmens erst durch Zuordnung zu einem Namen eine Identifizierung der Person erlaubt).
"Sensible" Daten
Neben den sogenannten "einfachen" Daten existieren auch besondere Kategorien personenbezogener Daten, die einem strengeren Schutz unterliegen. Sensible Daten sind all jene personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Verantwortlicher und betroffene Person
Der Verantwortliche ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Die betroffene Person hingegen ist die identifizierte oder identifizierbare Person, deren Daten verarbeitet werden.
Verarbeitung personenbezogene Daten
Als Verarbeitung definiert die DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Der Verarbeitungsbegriff ist so weit gefasst, dass prinzipiell nahezu alles, was mit Daten gemacht werden kann, darunter fällt.
Rechtmäßigkeit der Verarbeitung
Nach der DSGVO ist grundsätzlich jede Verarbeitung personenbezogener Daten verboten, es sei denn, der Verantwortliche kann einen Erlaubnistatbestand vorweisen. Gem Art 6 DSGVO kann eine Datenverarbeitung aus folgenden Gründen zulässig sein:
- Einwilligung der betroffenen Person,
- Vertragserfüllung,
- Erfüllung einer rechtlichen Verpflichtung,
- Schutz lebenswichtiger Interessen der betroffenen Person oder einer anderen natürlichen Person,
- Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, oder
- überwiegende berechtigten Interessen des Verantwortlichen oder eines Dritten.
Sollen sensible Daten verarbeitet werden, sind zusätzlich die Anforderungen des Art 9 DSGVO zu beachten.
Rechte der betroffenen Person
Der von einer Datenverarbeitung betroffenen Person stehen nach der DSGVO eine Reihe von Rechten zu, denen der Verantwortliche entsprechen muss:
- Recht auf Information (Art 13 und 14 DSGVO),
- Recht auf Auskunft (Art 15 DSGVO),
- Recht auf Berichtigung, Löschung und Einschränkung (Art 16-18 DSGVO),
- Recht auf Datenübertragbarkeit (Art 20 DSGVO),
- Widerspruchsrecht (Art 21 DSGVO).
- Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu sein (Art 22 DSGVO).
Pflichten des Verantwortlichen
Benennung eines Datenschutzbeauftragten
Liegen die Voraussetzungen des Art 37 DSGVO vor, so hat der Verantwortliche einen Datenschutzbeauftragten zu benennen. Niedergelassene Ärzte müssen immer dann einen Datenschutzbeauftragten benennen, wenn ihre Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Art 9 DSGVO besteht. Dem Datenschutzbeauftragten obliegt die Unterrichtung und Beratung des Verantwortlichen sowie der im Unternehmen Beschäftigten, die Überwachung der Einhaltung der geltenden Datenschutzvorschriften sowie die Zusammenarbeit mit der Aufsichtsbehörde (Datenschutzbehörde).
Verzeichnis von Verarbeitungstätigkeiten
Das durch die DSGVO neu eingeführte Verzeichnis von Verarbeitungstätigkeiten löst das Datenverarbeitungsregister (DVR) ab. Statt der bisherigen Meldepflicht besteht für jeden Verantwortlichen nunmehr die Pflicht zur Führung eines Verarbeitungsverzeichnisses, das einen Überblick über sämtliche Verarbeitungstätigkeiten liefern soll.
Durchführung einer Datenschutz-Folgenabschätzung
Bei der Datenschutz-Folgenabschätzung (DSFA) handelt es sich um ein „spezielles Instrument zur Beschreibung, Bewertung und Eindämmung von Risiken für die Rechte und Freiheiten natürlicher Personen bei der Verarbeitung personenbezogener Daten“ (vgl Datenschutzkonferenz). In einem kontinuierlichen Prozess hat der Verantwortliche sowohl eine Risikoabschätzung durchzuführen, als auch Gegenmaßnahmen zu ermitteln, die der Risikoeindämmung und der Sicherstellung des Schutzes personenbezogener Daten dienen. Die DSFA hat gem Art 35 Abs 7 DSGVO zumindest „eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung (lit a) zu enthalten, eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck (lit b), eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen (lit c) sowie die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis für die Einhaltung der DSGVO erbracht wird (lit d).
Datensicherheit
Den Verantwortlichen trifft gem § 5 Abs 1 lit f iVm Art 24 und Art 32 DSGVO die Pflicht, umfassende Maßnahmen zur Gewährleistung eines dem Risiko der Datenverarbeitung angemessenen Schutzniveaus zu treffen. Die Auswahl der Maßnahmen hat gem Art 32 DSGVO „unter Berücksichtigung des Stands der Technik, der Umstände und Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen“ zu erfolgen. Das Konzept der Datensicherheit iSd Art 32 DGSVO wird durch Art 25 DSGVO (datenschutzfreundliche Technikgestaltung) ergänzt, der darauf abzielt, technische und organisatorische Maßnahmen bereits im Vorfeld in die Technik zu implementieren.
Data Breach Meldung
Unter einem Data Breach, einer "Verletzung des Schutzes personenbezogener Daten" ist eine Verletzung der Sicherheit zu verstehen, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden. Tritt eine Datenschutzverletztung auf, hat der Verantwortliche unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der Datenpanne eine Meldung an die DSB zu erstatten. Eine Überschreitung der 72 Stunden-Frist bedarf einer Begründung.
Zieht der Data Breach zudem ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen nach sich, so reicht eine Meldung an die DSB für sich allein nicht aus. In solchen Fällen sind zusätzlich auch alle von der Datenschutzverletzung betroffenen Personen zu verständigen.