Die Datenschutz-Grundverordnung, kurz DSGVO, ist die Verordnung (EU) 2016/679 der Europäischen Union zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr. Als Verordnung gilt sie in den Mitgliedstaaten grundsätzlich unmittelbar und musste daher nicht erst vollständig in nationales Recht umgesetzt werden. Für Österreich ist sie seit 25. Mai 2018 zentraler Maßstab des Datenschutzrechts.
Was regelt Verordnung (EU) 2016/679?
Die DSGVO vereinheitlicht wesentliche Teile des Datenschutzrechts innerhalb der Europäischen Union. Sie legt fest, unter welchen Voraussetzungen personenbezogene Daten verarbeitet werden dürfen, welche Rechte betroffene Personen haben und welche Pflichten Verantwortliche und Auftragsverarbeiter erfüllen müssen. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, etwa Name, E-Mail-Adresse, Kundennummer, Standortdaten oder Online-Kennungen.
Die Verordnung regelt insbesondere die Grundsätze der Datenverarbeitung, darunter Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung sowie Integrität und Vertraulichkeit. Außerdem enthält sie Regeln zu Rechtsgrundlagen der Verarbeitung, zu Einwilligungen, zu Informationspflichten, zur Datensicherheit, zur Meldung von Datenschutzverletzungen und zur Datenschutz-Folgenabschätzung.
Besonders wichtig sind die durch die DSGVO gestärkten Betroffenenrechte. Dazu zählen das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Auch das Recht, nicht ausschließlich einer automatisierten Entscheidung unterworfen zu werden, ist geregelt.
Die DSGVO ist eine Verordnung und gilt daher grundsätzlich unmittelbar in allen Mitgliedstaaten. Sie enthält aber an mehreren Stellen sogenannte Öffnungsklauseln. Diese erlauben oder verlangen ergänzende nationale Regelungen. In Österreich ist dafür vor allem das Datenschutzgesetz, kurz DSG, bedeutsam.
Warum ist der Rechtsakt wichtig?
Die DSGVO ist einer der wichtigsten unionsrechtlichen Rechtsakte im Bereich des Grundrechtsschutzes und der digitalen Wirtschaft. Sie verbindet den Schutz des Privatlebens und personenbezogener Daten mit dem Ziel, den freien Verkehr personenbezogener Daten innerhalb der EU zu sichern. Damit soll verhindert werden, dass unterschiedliche nationale Datenschutzregeln den Binnenmarkt unnötig erschweren.
Ihre Bedeutung liegt auch darin, dass sie das Datenschutzrecht in Europa auf ein einheitlicheres Fundament gestellt hat. Unternehmen, Behörden, Vereine und andere Organisationen müssen sich an klarere und umfangreichere Regeln halten als zuvor. Gleichzeitig wurde die Stellung der betroffenen Personen gestärkt, weil Informations- und Kontrollrechte deutlich ausgebaut wurden.
Praktisch besonders relevant sind die umfangreichen Dokumentations- und Nachweispflichten. Verantwortliche müssen nicht nur datenschutzkonform handeln, sondern dies im Streitfall auch belegen können. Dieses Prinzip der Rechenschaftspflicht ist ein Kernstück der DSGVO. Hinzu kommen teils empfindliche Geldbußen bei Verstößen, wodurch Datenschutz in Organisationen zu einem Thema der Unternehmensleitung und der Verwaltungsverantwortung geworden ist.
Bedeutung für Österreich
Für Österreich ist die DSGVO seit 25. Mai 2018 unmittelbar anwendbar. Sie bildet gemeinsam mit dem österreichischen Datenschutzgesetz den zentralen Rahmen des Datenschutzrechts. Das nationale Recht durfte und darf die DSGVO nicht verdrängen, sondern nur dort ergänzen, wo unionsrechtlich Spielräume bestehen oder ergänzende Regelungen erforderlich sind.
In Österreich kommt der Datenschutzbehörde als zuständiger Aufsichtsbehörde besondere Bedeutung zu. Sie überwacht die Einhaltung der DSGVO und des Datenschutzgesetzes, entscheidet über Beschwerden betroffener Personen und kann unter den Voraussetzungen der Verordnung Abhilfemaßnahmen setzen. Gegen Entscheidungen der Datenschutzbehörde ist der verwaltungsgerichtliche Rechtsschutz eröffnet; in weiterer Folge können, je nach Verfahrenslage, auch Höchstgerichte befasst werden.
Österreich hat die unionsrechtlichen Spielräume insbesondere im Datenschutzgesetz genutzt. Dort finden sich unter anderem ergänzende Bestimmungen zur Verarbeitung personenbezogener Daten, zu Bildverarbeitungen, zur Datenschutzbehörde und zu verfahrensrechtlichen Fragen. Daneben bleiben auch andere österreichische Materiengesetze relevant, etwa im Arbeitsrecht, Gesundheitsrecht, Telekommunikationsrecht oder im Bereich der öffentlichen Verwaltung, soweit sie datenschutzrechtliche Spezialregelungen enthalten und mit der DSGVO vereinbar sind.
Für österreichische Unternehmen ist die DSGVO auch deshalb zentral, weil sie nicht nur auf rein innerstaatliche Sachverhalte Einfluss hat. Wer Waren oder Dienstleistungen grenzüberschreitend anbietet oder Daten konzernintern verarbeitet, muss die unionsweit harmonisierten Vorgaben beachten. Für Behörden und öffentliche Stellen in Österreich ist sie ebenso maßgeblich, wobei einzelne Besonderheiten des öffentlichen Sektors im nationalen Recht geregelt sein können.
Wer ist davon betroffen?
- Unternehmen jeder Größe in Österreich, vom Einzelunternehmen bis zum international tätigen Konzern, wenn sie personenbezogene Daten verarbeiten.
- Behörden, Gemeinden, öffentliche Einrichtungen, Schulen, Universitäten und sonstige öffentliche Stellen, soweit sie personenbezogene Daten verarbeiten.
- Vereine, Ordinationen, Kanzleien, gemeinnützige Organisationen und Freiberufler, etwa wenn sie Mitglieder-, Patienten-, Klienten- oder Beschäftigtendaten verwalten.
- Auftragsverarbeiter, also Dienstleister, die Daten im Auftrag anderer verarbeiten, etwa IT-Dienstleister, Cloud-Anbieter, Lohnverrechner oder Marketingdienstleister.
- Betroffene Personen selbst, weil ihnen die DSGVO konkrete Rechte gegenüber Verantwortlichen und Auftragsverarbeitern einräumt.
Praktische Bedeutung
Im Alltag zeigt sich die DSGVO in vielen Situationen: bei Datenschutzhinweisen auf Websites, bei Cookie- und Tracking-Fragen, bei Kundenverwaltung, Newsletter-Versand, Personalverwaltung, Videoüberwachung, IT-Sicherheitsmaßnahmen oder der Nutzung externer Softwaredienste. Auch bei der Beantwortung von Auskunftsbegehren und der Löschung von Daten spielt sie eine unmittelbare Rolle.
Österreichische Verantwortliche müssen vor allem prüfen, auf welche Rechtsgrundlage sie eine Datenverarbeitung stützen können. In Betracht kommen etwa Einwilligung, Vertragserfüllung, gesetzliche Verpflichtung, lebenswichtige Interessen, Wahrnehmung einer Aufgabe im öffentlichen Interesse oder berechtigte Interessen. Welche Grundlage einschlägig ist, hängt vom konkreten Sachverhalt ab. Eine Einwilligung ist nicht immer erforderlich; sie ist nur eine von mehreren möglichen Rechtsgrundlagen.
Ebenso wichtig ist die Frage, wie lange Daten gespeichert werden dürfen. Die DSGVO verlangt, dass personenbezogene Daten nicht länger als notwendig aufbewahrt werden. In Österreich sind dabei häufig gesetzliche Aufbewahrungspflichten zu berücksichtigen, etwa aus dem Unternehmens-, Steuer- oder Arbeitsrecht. Datenschutzrechtliche Löschungspflichten müssen daher mit anderen gesetzlichen Verpflichtungen abgestimmt werden.
Ein weiterer Schwerpunkt ist die Datensicherheit. Die DSGVO verpflichtet zu geeigneten technischen und organisatorischen Maßnahmen. Welche Maßnahmen erforderlich sind, richtet sich nach Risiko, Art, Umfang, Umständen und Zwecken der Verarbeitung. Das kann von Zugriffsregelungen und Verschlüsselung bis zu Berechtigungskonzepten, Schulungen und Notfallplänen reichen.
Besondere Aufmerksamkeit erfordern Datenschutzverletzungen, also etwa unbefugte Zugriffe, Fehlversendungen, Datenverluste oder Cyberangriffe. In solchen Fällen kann eine Meldepflicht an die Datenschutzbehörde binnen 72 Stunden bestehen. Wenn ein hohes Risiko für die Rechte und Freiheiten betroffener Personen vorliegt, kann zusätzlich eine Benachrichtigung der Betroffenen notwendig sein.
Für viele österreichische Organisationen ist auch die Bestellung eines Datenschutzbeauftragten relevant. Eine Pflicht dazu besteht allerdings nicht generell, sondern nur unter den Voraussetzungen der DSGVO, etwa bei bestimmten Kerntätigkeiten oder umfangreicher Verarbeitung sensibler Daten. Ob eine Bestellung erforderlich ist, muss im Einzelfall geprüft werden.
Abgrenzung zu anderen Regelungen
Die DSGVO ist das zentrale allgemeine Datenschutzrecht der EU, aber nicht die einzige relevante Regelung. In Österreich wird sie insbesondere durch das Datenschutzgesetz ergänzt. Dieses enthält nationale Ausführungsbestimmungen und Verfahrensregeln, darf aber den unionsrechtlichen Rahmen nicht unterschreiten oder in unzulässiger Weise verändern.
Daneben gibt es Spezialmaterien, die neben der DSGVO anwendbar sein können. Dazu zählen etwa Vorschriften über elektronische Kommunikation, arbeitsrechtliche Bestimmungen, berufsrechtliche Verschwiegenheitspflichten, Regeln im Gesundheitsbereich oder archivrechtliche Vorgaben. Entscheidend ist stets, wie diese Spezialnormen mit der DSGVO zusammenspielen.
Abzugrenzen ist die DSGVO auch von der Richtlinie (EU) 2016/680 zum Datenschutz bei der Verarbeitung personenbezogener Daten durch zuständige Behörden zu Zwecken der Strafverfolgung und Gefahrenabwehr. Anders als eine Verordnung gilt eine Richtlinie grundsätzlich nicht unmittelbar in derselben Weise, sondern bedarf der Umsetzung durch die Mitgliedstaaten. Für den klassischen Bereich privater Unternehmen und allgemeiner Verwaltungsdatenverarbeitung ist jedoch in erster Linie die DSGVO maßgeblich.
Nicht zur DSGVO gehören bloße interne Datenschutzrichtlinien von Unternehmen oder vertragliche Datenschutzklauseln. Diese können gesetzliche Anforderungen konkretisieren, ersetzen aber nicht die Verordnung. Auch Begriffe, die vor allem aus anderem nationalen Recht stammen, sind mit Vorsicht zu verwenden. Maßgeblich ist für Österreich die Terminologie des Unionsrechts und des österreichischen Datenschutzrechts.
