Schon seit 1980 unterliegt die Verarbeitung personenbezogener Daten in Österreich gesetzlicher
Regelung. Das österreichische Datenschutzgesetzt wurde seitdem mehrfach novelliert und basiert
inhaltlich seit dem Jahr 2000 auf Grundlage der Richtlinie 95/46/EG. Mit Freitag 25.Mai
2018, 00:00 tritt die Datenschutzgrundverordnung (kurz DSGVO) in Kraft, welche grundlegende
Änderungen in der Handhabung des Datenschutzes mit sich bringt.
Durch die Datenschutzgrundverordnung wird klargestellt, dass aufgrund faktischer Gegebenheiten
die Erfordernis einer Novellierung bestehender Regelungen und eines europaweit einheitlichen
Rechtsschutzes im Zusammenhang mit der Verarbeitung personenbezogener Daten bestanden ist. Nicht
zuletzt aufgrund der Erfahrungen Betroffener im Fall „Europe versus Facebook" wurden die Grenzen
des bestehenden Rechtsschutzsystems und somit die Erfordernisse eines wirksamen
grenzüberschreitenden Schutzes aufgezeigt und somit der Stellenwert des Themas Datenschutz auf
europarechtlicher Ebene eindeutig sehr viel Gewicht verliehen.
Die Datenschutzgrundverordnung ist eine EU-Verordnung und somit in den Mitgliedstaaten
unmittelbar anwendbares Recht. Eine Verordnung gilt, ohne dass es eines nationalen
Umsetzungsaktes bedarf. Steht eine Verordnung im Konflikt mit einem nationalen Gesetz, so hat
die Verordnung Vorrang. Dennoch gibt es ein nationales Anpassungsgesetz das
„Datenschutz-DeregulierungsGesetz 2018“, kurz DSG und eine Verordnung die sog. „Whitelist“
DSFA-AV (Verordnung der Datenschutzbehörde über die Ausnahmen von der
Datenschutzfolgenabschätzung). Es wird vom Gesetzgeber auch noch eine Blacklist erlassen werden
(Nach Art 35 Abs. 5 DSGVO muss die Aufsichtsbehörde, eine Liste von Verarbeitungsprozessen zu
veröffentlichen, die eine Pflicht zur Durchführung einer DSFA auslöst. Eine Konsultation der
europäischen Datenschutz-Behörden untereinander zum Inhalt von Blacklists, ist jedoch
notwendig).
Vereinfacht lässt sich als Grundsatz herausstreichen, dass „die Verarbeitung personenbezogener Daten grundsätzlich verboten ist“, soweit DSGVO bzw DSG nicht ausdrücklich Ausnahmen von dieser Regel enthält. Im Zusammenhang mit der Zulässigkeit der Verarbeitung personenbezogener Daten unterscheidet die DSGVO hier in die besonderen Kategorien personenbezogener Daten (vormals „sensiblen Daten“) und alle übrigen personenbezogenen Daten. Die Zulässigkeit der Verarbeitung von personenbezogenen Daten beider Kategorien wird in der DSGVO ausführlich erläutert. Die Anwendung dieser Bestimmungen in der Praxis erfordert jedoch mitunter viel Erfahrung und Kenntnisse der spezifischen Judikatur und Literatur.
Jeder Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen, die seiner
Zuständigkeit unterliegen.
Dieses Verzeichnis enthält sämtliche folgenden Angaben:
a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm
Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen
Datenschutzbeauftragten;
b) die Zwecke der Verarbeitung;
c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener
Daten;
d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden
sind, einschließlich Empfänger in Drittländern oder internationalen Organisationen;
e) Übermittlungen von personenbezogenen Daten an ein Drittland, einschließlich der Angabe des
betreffenden Drittlands, Dokumentierung geeigneter Garantien;
f) Fristen für die Löschung der verschiedenen Datenkategorien;
g) eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Jeder Auftragsverarbeiter (vormals Dienstleister) muss ein Verzeichnis führen […], das Folgendes
enthält: a) den Namen und die Kontaktdaten der Auftragsverarbeiter und jedes Verantwortlichen,
in dessen Auftrag der Auftragsverarbeiter tätig ist und eines etwaigen Datenschutzbeauftragten;
b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden;
c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die
Dokumentierung geeigneter Garantien; d) allgemeine Beschreibung der technischen und
organisatorischen Maßnahmen Das Verzeichnis ist schriftlich zu führen (auch
elektronisch)
Das Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.
Diese Pflichten gelten nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen,
sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten
der betroffenen Personen birgt die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die
Verarbeitung besonderer Datenkategorien bzw. Daten über strafrechtliche Verurteilungen und
Straftaten einschließt. Bezugspunkt ist die jeweilige Datenanwendung. Alle Grundfunktionen des
Unternehmens (z.B. FiBu; Personalakten; Kundendatenbank) erfolgen nicht nur gelegentlich und
müssen daher in einem Verzeichnis geführt werden!
Die Funktion des Datenschutzbeauftragten umfasst sämtliche Tätigkeiten im Zusammenhang mit der
Nutzung personenbezogener Daten und deren angemessenem Schutz. Dazu gehören neben laufender
Überwachung der Einhaltung der gesetzlichen Bestimmungen und innerbetrieblichen Regeln auch die
Verbreitung und Festigung datenschutzrechtlichen Bewusstseins und Wissens. Durch den
Datenschutzbeauftragten gibt es einen zentralen Ansprechpartner und Verantwortlichen für alle
datenschutzrelevanten Themen eines Unternehmens bzw Organisation. Dieser verfügt durch eine
entsprechende Aus- und laufende einschlägige Weiterbildung über das erforderliche Fachwissen. Um
seine Aufgabe wirksam wahrnehmen zu können, muss der Datenschutzbeauftragte in seiner Rolle
unabhängig und weisungsfrei agieren können und mit entsprechenden Kompetenzen ausgestattet sein.
Nur bei Vorliegen dieser Voraussetzungen kann der Datenschutzbeauftragte auch seine
Verantwortung wahrnehmen und seine Rolle wirksam ausfüllen. In größeren Unternehmen und auch
Organisationen hat sich die Installation eines „IT & Datenschutz-Beirates“ (kurz IDB; © O.P.P.)
bewährt. Als Mitglieder des IDB sind Personen in leitender Funktion zu berufen, in deren
Verantwortungsbereich personenbezogene Daten anfallen bzw. verarbeitet werden. In diesem Gremium
werden einschlägige Themen behandelt, diskutiert und einer Entscheidung zugeführt. Der
betriebliche Datenschutzbeauftragte steht diesem Gremium beratend zur Seite und ist für die
Umsetzung bzw. fachliche Begleitung erforderlicher Maßnahmen verantwortlich.
Benennung eines Datenschutzbeauftragten (Artikel 37 DSGVO):
Der Verantwortliche und der Auftragsverarbeiter müssen einen Datenschutzbeauftragten (kurz DSBa)
benennen, wenn
a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird […]
b) die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund
ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische
Überwachung von betroffenen Personen erforderlich machen, oder
c) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von
personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Eine Unternehmensgruppe darf einen gemeinsamen DBSa benennen.
Der DSBa wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des
Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis
besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten
Aufgaben. Der DSBa kann Beschäftigter sein oder seine Aufgaben auf der Grundlage eines
Dienstleistungsvertrags erfüllen. Die Kontaktdaten des DSBa sind der Aufsichtsbehörde
mitzuteilen.
Artikel 38 DSGVO normiert die Stellung des Datenschutzbeauftragten: Der DSBa ist frühzeitig in
alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Dem DSBa sind
die erforderlichen Ressourcen zur Verfügung zu stellen (inkl. Weiterbildung). Der DSBa ist bei
der Erfüllung seiner Aufgaben weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht
abberufen oder benachteiligt werden. Er berichtet unmittelbar an die höchste Managementebene.
Betroffene können den DSBa zur Verarbeitung ihrer Daten befragen und im Zusammenhang mit der
Wahrnehmung ihrer Rechte zu Rate ziehen. Der DSBa ist bei der Erfüllung seiner Aufgaben an die
Wahrung der Geheimhaltung gebunden. Der DSBa kann andere Aufgaben und Pflichten wahrnehmen,
soweit dies nicht zu einem Interessenkonflikt führt.
Artikel 39 DSGVO normiert die Aufgaben des Datenschutzbeauftragter: a) Unterrichtung und
Beratung des Verantwortlichen und der Beschäftigten, hinsichtlich ihrer Pflichten; b)
Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien für den Schutz
personenbezogener Daten (Zuweisung von Zuständigkeiten; Sensibilisierung und Schulung der an den
Verarbeitungsvorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen); c) Beratung
im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung; d)
Zusammenarbeit mit der Aufsichtsbehörde; e) Anlaufstelle für die Aufsichtsbehörde
(einschließlich der vorherigen Konsultation)
Wir informieren Verantwortliche zu rechtlichen und fachlichen Themen des Datenschutzes, auf Basis bestehender gesetzlicher Bestimmungen. Hierbei werden die gesetzlichen Begriffe im praktischen Kontext erläutert, sowie grundsätzliche Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten beantwortet. Rechtsfolgen bei Gesetzesverstößen, insbesondere Haftung der Geschäftsführung bzw. der Fachverantwortlichen Erläuterung bevorstehender gesetzlicher Bestimmungen.
Wir bilden Datenschutzbeauftragte aus und bereiten diese zur CIS-Prüfung vor. Die Prüfung kann sowohl im Rahmen der Ausbildung abgelegt werden, als auch auf Wunsch direkt bei CIS.
» Ausbildung zum betrieblichen Datenschutzbeauftragten