Häufige Fragen und Antworten

Wann tritt die DSGVO in Kraft?

Die Datenschutz-Grundverordnung wurde am 27. April 2016 verabschiedet und ist ab 25. Mai 2018 anzuwenden. Sie ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Was regelt die DSGVO?

Die Datenschutz-Grundverordnung ist eine Verordnung der Europäischen Union, welche die Verarbeitung von personenbezogenen Daten durch Unternehmen und öffentliche Stellen vorgibt und vereinheitlichen soll. Zielsetzungen der DSGVO sind

  • ein einheitlicher Rechtsschutz für alle Betroffenen in der EU
  • einheitliche Regeln für die Datenverarbeitung innerhalb der EU
  • Gewährleistung eines starken und einheitlichen Vollzuges
Wo gilt die DSGVO?

DSGVO findet jedenfalls Anwendung auf Verantwortliche und Auftragsverarbeiter, die ihren Sitz in der EU bzw. dem EWR haben.

Weiters gilt die DSGVO auch dann, wenn der Verantwortliche bzw. Auftragsverarbeiter seinen Sitz zwar nicht in der EU bzw. dem EWR hat, jedoch eine Niederlassung (zB eine Tochtergesellschaft) in der EU oder dem EWR hat und die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten dieser Niederlassung erfolgt.

Die DSGVO gilt auch für Verantwortliche und Auftragsverarbeiter ohne Niederlassung in der Union, wenn diese ihre Waren oder Dienstleistungen entgeltlich oder unentgeltlich in der EU bzw dem EWR anbieten.

Auf folgende Bereiche findet die DSGVO keine Anwendung:

  • Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen
  • Tätigkeiten im Rahmen der Gemeinsamen Außen- und Sicherheitspolitik
  • Datenverwendung im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten
  • Tätigkeiten der zuständigen Behörden zur Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit
Wofür gilt die DSGVO?

Die Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

In welchem Verhältnis stehen die DSGVO und das DSG?

Grundsätzlich gilt, dass die DSGVO wie jede EU-Verordnung in den Mitgliedstaaten unmittelbar anwendbar ist und daher nicht durch nationales Recht umgesetzt werden darf.

Die DSGVO enthält jedoch zahlreiche „Öffnungsklauseln“, die den nationalen Gesetzgeber verpflichten und/oder berechtigen, bestimmte Angelegenheiten gesetzlich näher zu regeln, die der DSGVO jedoch nicht widersprechen dürfen.

Das bedeutet, dass alle Regelungen der  DSGVO zu beachten sind und  Vorrang vor den Regelungen des DSG haben.

Was sind personenbezogene Daten?

Dies sind Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder (mit Zusatzwissen) bestimmbaren natürlichen Person (z.B. Name, Adresse, Geburtsdatum,  Staatsangehörigkeit, Beruf, Titel, Personalnummer, Matrikelnummer, Personalausweisnummer, Familienstand, Telefon-, Faxnummer, Einkommen, Beurteilungen, Noten, etc.).

Was sind besondere Kategorien personenbezogener Daten?

Dies sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.

Was bedeutet Verarbeitung?

Datenverarbeitung ist jeder – mit oder ohne Hilfe automatisierter Verfahren – ausgeführter Vorgang im Zusammenhang mit personenbezogenen Daten, d.h.:

  • das Erheben
  • das Erfassen
  • die Organisation
  • das Ordnen
  • die Speicherung
  • die Anpassung oder Veränderung
  • das Auslese
  • das Abfragen
  • die Verwendung
  • die Offenlegung durch Übermittlung
  • Verbreitung oder eine andere Form der Bereitstellung
  • den Abgleich oder die Verknüpfung
  • die Einschränkung
  • das Löschen oder die Vernichtung
Welche Grundsätze sind bei der Verarbeitung personenbezogener Daten zu beachten?

Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist („Speicherbegrenzung“);

e) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet („Integrität und Vertraulichkeit“);

f) sachlich richtig und, wenn dies für den Verarbeitungszweck erforderlich ist, auf dem neuersten Stand sein („Richtigkeit“).

Unter welchen Voraussetzungen ist die Datenverarbeitung erlaubt?

Nach der DSGVO gilt, dass für jede Verarbeitung personenbezogener Daten eine konkrete Rechtsgrundlage erforderlich ist. Demnach ist die Verarbeitung nur rechtmäßig wenn eine der nachstehenden Bedingungen erfüllt ist:

a) die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder für die Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person, erfolgen;

c) die Verarbeitung ist zur Erfüllung einer gesetzlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde

f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

Die Verarbeitung besonderer Kategorien personenbezogener Daten ist grundsätzlich untersagt.

Die DSGVO sieht aber bestimmte Ausnahmen vor. Für besondere Kategorien personenbezogener Daten sieht Art 9 folgende mögliche Rechtsgrundlagen vor:

  • ausdrückliche Einwilligung der betroffenen Person;
  • die Verarbeitung ist erforderlich für die Erfüllung von Pflichten oder die Ausübung von Rechten auf dem Gebiet des Arbeits- und Sozialrechts, wozu auch Rechte und Pflichten gehören, die sich aus Kollektivverträgen oder Betriebsvereinbarungen ergeben;
  • die Verarbeitung ist erforderlich zum Schutz lebenswichtiger Interessen der betroffenen Person oder eines Dritten, wenn die betroffene Person aus körperlichen oder rechtlichen Gründen außerstande ist, ihre Einwilligung zu erteilen;
  • Verarbeitung von Mitgliederdaten durch politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Organisationen (Stiftung, Vereinigung oder sonstige Organisation) ohne Gewinnerzielungsabsicht;
  • die Verarbeitung bezieht sich auf personenbezogene Daten, die von der betroffenen Person offensichtlich öffentlich gemacht wurden;
  • die Verarbeitung ist zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder bei Handlungen der Gerichte im Rahmen ihrer justiziellen Tätigkeit erforderlich;
  • die Verarbeitung ist auf der Grundlage des Unionsrechts oder des nationalen Rechts aus Gründen eines erheblichen öffentlichen Interesses erforderlich;
  • die Verarbeitung ist für Zwecke des Gesundheits- oder Sozialwesens auf der Grundlage des Unionsrechts, des nationalen Rechts oder eines Vertrages mit einem Angehörigen eines Gesundheitsberufs erforderlich;
  • die Verarbeitung ist aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit auf der Grundlage des Unionsrechts oder des nationalen Rechts
  • die Verarbeitung ist für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke, auf Grundlage des Unionsrechts oder des nationalen Rechts erforderlich.