Anwendungsbereich der DSGVO
Die DSGVO schützt ausschließlich die Daten natürlicher Personen. Die Daten juristischer Personen fallen nicht unter den Anwendungsbereich. Ebenfalls ausgenommen sind Privatpersonen, die personenbezogene Daten speichern. Die DSGVO betrifft grundsätzlich jeden, der personenbezogene Daten erfasst bzw. verarbeitet, egal ob Konzern oder Einzelunternehmen. Inwieweit Sie die DSGVO im Detail trifft, muss individuell geprüft werden.
Personenbezogene Daten
Erfasst sind personenbezogene Daten und damit Informationen, die sich auf identifizierte oder identifizierbare natürliche Person beziehen.
Verarbeitung darf nur unter bestimmten Voraussetzungen erfolgen, etwa wenn eine Einwilligung (freiwillig, individuell, informiert, nachweislich) vorliegt, es für die Erfüllung eines Vertrages oder einer rechtlichen Pflicht nötig ist, usw.
Für die Verarbeitung gelten die Grundsätze (Art 5)
- Rechtmäßigkeit, Verarbeitung nach Treu- und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
- Rechenschaftspflicht
besondere Kategorien personenbezogener Daten
Darüber hinaus gibt es Daten, die umfassenderen Schutz geniessen und sich Besondere Kategorien personenbezogener Daten (Art 9) nennen. Das ist in etwa (wenn auch nicht exakt) das, was man davor als sensible Daten bezeichnet hat. Konkret sind das Daten über
- rassische und ethnische Herkunft
- politische Meinung
- Gewerkschaftszugehörigkeit
- religiöse oder weltanschauliche Überzeugung
- Gesundheit
- sexuelle Orientierung
- genetische Daten
- biometrische Daten zur eindeutigen Identifizierung
Die Verarbeitung dieser Daten ist grundsätzlich untersagt. Es gibt allerdings mehrere Ausnahmeregelungen, bei deren Vorliegen eine Verarbeitung zulässig ist, etwa bei einer ausdrücklichen Einwilligung, die im Detail zu prüfen sind.
Pflichten DSGVO
Die Datenschutzgrundverordnung bringt neue Pflichten mit sich, etwa die Datenschutzfolgenabschätzung (Datensichheitsmaßnahmen, Liste mit Datenkategorien und Löschfristen, Liste von Datenempfängern, Liste von Dienstleistern, Verfügbarkeit aller Daten über einen Betroffenen), das Verzeichnis von Verarbeitungstätigkeiten sowie den Datenschutzbeauftragten.
In gewissen Fällen ist die Benennung eines Datenschutzbeauftragten zwingend vorgesehen. Dieser kann interner Mitarbeiter oder externer Beauftragter sein und muss über die notwendige Fachexpertise verfügen.
Rechte DSGVO
Neben neuen Pflichten für Datenverarbeiter bringt die Datenschutzgrundverordnung auch neue Rechte (Art 15 bis 22), nämlich
- Recht auf Auskunft
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Recht auf Widerspruch
- Automatisierte Einzelentscheidungen und Profiling
Verstoß gegen die DSGVO: Risiko?
Bei bestimmten, besonders schwerwiegenden Verstößen können Geldbußen bis zu 20 Mio Euro oder 4% des weltweit gesamt erzielten Umsatzes des vorangegangen Geschäftsjahres eines Unternehmens verhängt werden. Darüber hinaus droht eine kostspielige Abmahnung oder Klage auf Basis von unlauterem Wettbewerb, UWG (Unterlassung, Beseitigung, Schadenersatz, Urteilsveröffentlichung, Einstweilige Verfügung), die von Konkurrenten oder Verbänden geführt werden kann.
Rechtsbehelfe
Neben neuen Rechten und Pflichten sowie Konsequenzen bringt die Datenschutzgrundverordnung auch neue Rechtsbehelfe (Art 77 ff). So hat die betroffene Person das Recht auf Beschwerde bei der Aufsichtsbehörde, ein Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen Beschlüsse der Aufsichtsbehörde und ein Klagerecht gegen Verantwortliche und Auftragsverarbeiter.
Rechtsanwalt
Rechtsanwalt Dr. Johannes Öhlböck LL.M. berät Sie in Fragen des Datenschutzrechtes.