Die Verordnung (EU) 2018/1725 regelt den Schutz personenbezogener Daten bei den Organen, Einrichtungen, Ämtern und Agenturen der Europäischen Union. Als EU-Verordnung gilt sie grundsätzlich unmittelbar und schafft ein eigenes Datenschutzregime für die EU-Verwaltung, das inhaltlich eng an die Datenschutz-Grundverordnung angelehnt ist.
Was regelt Verordnung (EU) 2018/1725?
Die Verordnung (EU) 2018/1725 betrifft den Datenschutz innerhalb der EU-Institutionen und sonstigen Stellen der Union. Sie legt fest, unter welchen Voraussetzungen personenbezogene Daten von Organen, Einrichtungen, Ämtern und Agenturen der Europäischen Union verarbeitet werden dürfen. Dazu gehören insbesondere Regeln über Rechtmäßigkeit, Transparenz, Zweckbindung, Datenminimierung, Speicherbegrenzung und Datensicherheit.
Die Verordnung enthält außerdem Rechte der betroffenen Personen. Dazu zählen etwa das Recht auf Information, Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung und gegebenenfalls Widerspruch. Auch Regeln über die Sicherheit der Verarbeitung, Datenschutz-Folgenabschätzungen, Meldungen von Datenschutzverletzungen sowie die Benennung von Datenschutzbeauftragten innerhalb der EU-Stellen sind vorgesehen.
Ein weiterer Kernbereich betrifft die Kontrolle und Aufsicht. Zuständige unabhängige Aufsichtsbehörde auf EU-Ebene ist der Europäische Datenschutzbeauftragte. Die Verordnung regelt dessen Aufgaben, Befugnisse und Verfahren. Sie enthält zudem Vorschriften über die Zusammenarbeit mit anderen Aufsichtsbehörden und über den Schutz personenbezogener Daten bei der internen und externen Verwaltung der Union.
Anders als eine Richtlinie bedarf eine Verordnung grundsätzlich keiner Umsetzung durch die Mitgliedstaaten, sondern gilt unmittelbar. Das ist auch hier wesentlich: Die Verordnung richtet sich primär an EU-Organe und EU-Einrichtungen selbst, nicht an private Unternehmen oder rein nationale Behörden. Für diese gelten regelmäßig andere Datenschutzvorschriften, insbesondere die Datenschutz-Grundverordnung und in Österreich ergänzend das Datenschutzgesetz.
Warum ist der Rechtsakt wichtig?
Die Verordnung ist wichtig, weil sie ein einheitliches Datenschutzniveau innerhalb der EU-Verwaltung sicherstellen soll. Bürgerinnen und Bürger, Unternehmen, Bedienstete der EU und sonstige betroffene Personen haben häufig mit Organen und Agenturen der Union zu tun. Dabei werden personenbezogene Daten verarbeitet, etwa in Verwaltungsverfahren, Förderverfahren, Ausschreibungen, Personalangelegenheiten, Beschwerdeverfahren oder im Rahmen der digitalen Kommunikation mit EU-Stellen.
Durch die Verordnung wird klargestellt, dass auch die EU-Organe an moderne Datenschutzstandards gebunden sind. Inhaltlich orientiert sich die Verordnung stark an der Datenschutz-Grundverordnung, damit innerhalb Europas möglichst kohärente Datenschutzmaßstäbe gelten. Das stärkt Rechtssicherheit, Transparenz und Vertrauen in die europäische Verwaltung.
Praktisch bedeutsam ist die Verordnung auch deshalb, weil viele Datenverarbeitungen heute grenzüberschreitend und digital erfolgen. Wenn etwa EU-Agenturen mit nationalen Behörden, Forschungseinrichtungen oder Unternehmen zusammenarbeiten, stellt sich regelmäßig die Frage, welche Datenschutzregeln auf welcher Ebene gelten. Die Verordnung schafft dafür einen wichtigen unionsrechtlichen Rahmen.
Bedeutung für Österreich
Für Österreich ist die Verordnung vor allem dort relevant, wo österreichische Personen, Unternehmen, Behörden oder Gerichte mit EU-Organen oder EU-Agenturen in Kontakt treten. Das kann etwa bei Eingaben an die Europäische Kommission, bei Bewerbungen bei EU-Institutionen, bei Vergabeverfahren, bei Förderanträgen, bei Verfahren vor Unionsstellen oder bei Datenübermittlungen im Rahmen der Zusammenarbeit mit EU-Agenturen der Fall sein.
Auch österreichische Bundes- und Landesbehörden können mittelbar betroffen sein, wenn sie mit Einrichtungen der Union personenbezogene Daten austauschen oder gemeinsame Verfahren durchführen. In solchen Konstellationen ist zu unterscheiden, welche Stelle für welche Verarbeitung verantwortlich ist und ob österreichisches Datenschutzrecht, die Datenschutz-Grundverordnung oder eben die Verordnung (EU) 2018/1725 maßgeblich ist.
Eine klassische „österreichische Umsetzung“ ist bei dieser Verordnung grundsätzlich nicht erforderlich, weil EU-Verordnungen unmittelbar gelten. Österreichisches Recht kann aber flankierend Bedeutung haben, etwa für organisatorische Fragen auf nationaler Ebene oder dort, wo nationale Behörden in ihrem eigenen Zuständigkeitsbereich handeln. Für rein österreichische Behörden und private Verantwortliche bleibt insbesondere das Zusammenspiel von Datenschutz-Grundverordnung und österreichischem Datenschutzgesetz maßgeblich.
Für Betroffene in Österreich ist besonders wichtig, dass Beschwerden über Datenverarbeitungen von EU-Organen nicht an die österreichische Datenschutzbehörde, sondern regelmäßig an den Europäischen Datenschutzbeauftragten zu richten sind. Das zeigt, dass der unionsrechtliche Datenschutz zwar inhaltlich ähnlich, institutionell aber eigenständig organisiert ist.
Wer ist davon betroffen?
- Personen in Österreich, deren Daten von Organen, Einrichtungen, Ämtern oder Agenturen der Europäischen Union verarbeitet werden, etwa bei Anträgen, Bewerbungen, Beschwerden oder Förderverfahren.
- Österreichische Behörden und öffentliche Stellen, wenn sie mit EU-Einrichtungen zusammenarbeiten und dabei personenbezogene Daten austauschen oder gemeinsame Verarbeitungen vornehmen.
- Unternehmen, Forschungseinrichtungen, Interessenvertretungen und sonstige Organisationen in Österreich, die mit EU-Stellen kommunizieren, an Vergabeverfahren teilnehmen oder unionsrechtlich beaufsichtigten Verfahren unterliegen.
Praktische Bedeutung
Die praktische Bedeutung zeigt sich überall dort, wo EU-Stellen personenbezogene Daten verarbeiten. Das kann schon bei einfachen Vorgängen beginnen, etwa bei Kontaktformularen, Newsletter-Anmeldungen, Videoüberwachung in Gebäuden der Union oder IT-Sicherheitsmaßnahmen. Noch deutlicher wird die Relevanz in sensiblen Bereichen wie Personalverwaltung, Disziplinarverfahren, Betrugsbekämpfung, Forschung, Migration, Wettbewerb, Finanzmarktaufsicht oder öffentlicher Auftragsvergabe.
Für Betroffene aus Österreich bedeutet das vor allem, dass sie auch gegenüber EU-Institutionen konkrete Datenschutzrechte haben. Wer etwa wissen möchte, welche Daten eine EU-Agentur verarbeitet, kann ein Auskunftsbegehren stellen. Wer unrichtige Daten berichtigen lassen will oder die Rechtmäßigkeit einer Verarbeitung anzweifelt, hat ebenfalls unionsrechtlich geregelte Möglichkeiten. Bei Datenschutzverletzungen bestehen Informations- und Meldepflichten, die dem Schutz der Betroffenen dienen sollen.
Für österreichische Stellen und Unternehmen ist die Verordnung praktisch relevant, wenn Verträge, gemeinsame Projekte oder Datenflüsse mit EU-Organen bestehen. Dann muss sorgfältig geprüft werden, wer datenschutzrechtlich verantwortlich ist, welche Rechtsgrundlage vorliegt und welche Informationspflichten einzuhalten sind. Besonders in Beschaffungs-, Förder- und Forschungsprojekten kann diese Abgrenzung rechtlich bedeutsam sein.
Auch aus Sicht des Rechtsschutzes ist die Verordnung wichtig. Der Europäische Datenschutzbeauftragte kann Untersuchungen durchführen, Anordnungen treffen und Beschwerden behandeln. Damit besteht ein eigenständiger Aufsichtsmechanismus für die EU-Verwaltung. Für Betroffene in Österreich schafft das einen klaren Ansprechpartner auf Unionsebene.
Abgrenzung zu anderen Regelungen
Die Verordnung (EU) 2018/1725 ist nicht mit der Datenschutz-Grundverordnung gleichzusetzen, auch wenn beide Regelwerke eng miteinander verwandt sind. Die Datenschutz-Grundverordnung regelt vor allem die Verarbeitung personenbezogener Daten durch Unternehmen, Vereine und staatliche Stellen der Mitgliedstaaten. Die Verordnung (EU) 2018/1725 gilt hingegen für die Organe, Einrichtungen, Ämter und Agenturen der Europäischen Union selbst.
Für Österreich bedeutet das: Verarbeitet etwa ein österreichisches Ministerium personenbezogene Daten, sind in der Regel die Datenschutz-Grundverordnung und das österreichische Datenschutzgesetz relevant. Verarbeitet hingegen die Europäische Kommission oder eine EU-Agentur dieselben oder andere personenbezogene Daten im eigenen Verantwortungsbereich, ist grundsätzlich die Verordnung (EU) 2018/1725 einschlägig.
Abzugrenzen ist die Verordnung auch von speziellen unionsrechtlichen Datenschutzregimen in einzelnen Bereichen, etwa im Bereich der polizeilichen und justiziellen Zusammenarbeit oder bei bestimmten Einrichtungen mit besonderen Aufgaben. Welche Regeln im Einzelfall gelten, hängt von der betroffenen Stelle, dem Zweck der Verarbeitung und der jeweiligen Rechtsgrundlage ab.
Nicht richtig wäre es, Begriffe oder Strukturen aus dem deutschen Recht unbesehen auf Österreich zu übertragen. Für RechtEasy.at ist daher entscheidend: Im österreichischen Kontext ist von den einschlägigen unionsrechtlichen Regelungen sowie vom österreichischen Datenschutzgesetz zu sprechen, nicht von rein deutschen Besonderheiten. Soweit ähnliche Begriffe in Deutschland verwendet werden, sind sie nicht automatisch Teil des österreichischen Rechts.
