Datenschutz für Unternehmen. Ricarda Kreindl,
Читать онлайн.| Название | Datenschutz für Unternehmen |
|---|---|
| Автор произведения | Ricarda Kreindl, |
| Жанр | Юриспруденция, право |
| Серия | |
| Издательство | Юриспруденция, право |
| Год выпуска | 0 |
| isbn | 9783854023791 |
Keinen Bezug nimmt das DSG auf die in Art 2 Abs 2, 3 und 4 DSGVO geregelten Ausnahmetatbestände. Gemäß den Erläuterungen zum Datenschutz-Anpassungsgesetz 2018 soll jedoch das DSG auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten keine Anwendung finden („Haushaltsausnahme“).[28] Durch die ausdrückliche Nennung dieses Ausnahmetatbestandes in den Erläuterungen zum Datenschutz-Anpassungsgesetz 2018 kann im Umkehrschluss davon ausgegangen werden, dass das DSG in den anderen Ausnahmetatbeständen sehr wohl Anwendung findet.[29]
1.2.3.2Räumlicher Anwendungsbereich
Mit Ablauf des 31. Dezember 2019 ist § 3 DSG, welcher den räumlichen Anwendungsbereich des DSG regelte, außer Kraft getreten (§ 70 Abs 14 DSG).
Das Außerkrafttreten des § 3 DSG hinterlässt eine (vermeintliche) Regelungslücke dahingehend, ob und wann das österreichische DSG zur Anwendung kommt. Da der österreichische Gesetzgeber offensichtlich die Regelungen der DSGVO als ausreichend ansieht, lässt sich die Antwort wohl nur aus deren Bestimmungen ableiten. Aus der Sicht der Autoren spricht daher vieles dafür, den Anwendungsbereich des DSG analog zu Art 3 DSGVO zu bestimmen. Dies würde zu folgendem Ergebnis führen:
Der räumliche Anwendungsbereich des DSG wäre gegeben, wenn und soweit die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiter in Österreich erfolgt, und zwar ebenfalls unabhängig davon, ob die Verarbeitung in Österreich stattfindet.
Das DSG würde außerdem Anwendung finden auf die Verarbeitung personenbezogener Daten von Betroffenen, die sich in Österreich befinden, durch einen nicht in Österreich niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht,
+betroffenen Personen in Österreich Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen Betroffenen eine Zahlung zu leisten ist;
+das Verhalten Betroffener zu beobachten, soweit ihr Verhalten in Österreich erfolgt.
1.3 Wesentliche Begriffe der DSGVO
Wenn ein Gesetzgeber Begriffsbestimmungen vornimmt, bietet er den Normadressaten eine Orientierung für die Subsumtion ihrer Sachverhalte: Diese Begriffsdefinitionen dienen also der Rechtsharmonisierung, da ähnliche Sachverhalte dieselbe Rechtsfolge nach sich ziehen sollen.[30] In Art 4 DSGVO finden sich die datenschutzrechtlichen Begriffsdefinitionen, wobei im Folgenden lediglich auf die zentralen Begriffe eingegangen wird.
1.3.1 Personenbezogene Daten
Unter personenbezogenen Daten sind nach Art 4 Z 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“, zu verstehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.
Juristische Personen sind von dieser Definition nicht erfasst. In ErwGr 14 hält der EU-Gesetzgeber fest, dass die DSGVO nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Darüber hinaus ist davon auszugehen, dass neben Verstorbenen auch Nascituri (Ungeborene) nicht vom Begriff der natürlichen Person umfasst sind.[31] Die MS können jedoch auf nationaler Ebene Regelungen für den Umgang mit Daten von Verstorbenen vorsehen.
Von einer eindeutigen Identifizierung spricht man, wenn die Identität der betroffenen Person unmittelbar aus der Information selbst ableitbar ist. Eine Identifizierbarkeit ergibt sich hingegen aus der Kombination mit anderen Informationen.[32] Sofern es sich nur um anonymisierte Daten handelt, gelangt die DSGVO nicht zur Anwendung.
1.3.2 Verarbeitung
Unter Verarbeitung ist gemäß Art 4 Z 2 DSGVO jeder „mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, zu verstehen“. Dabei handelt es sich um einen zentralen Begriff in der DSGVO, der sämtliche datenschutzrechtlich relevante Vorgänge in Bezug auf personenbezogene Daten umfassen soll. Die Aufzählung der Verarbeitungsvorgänge ist demgemäß lediglich demonstrativ.[33]
Die Bestimmung spricht von Vorgängen, die „mit oder ohne Hilfe automatisierter Verfahren“ durchgeführt werden können. Dabei handelt es sich um einen Verweis auf die Technikneutralität der DSGVO.[34] Sofern der sachliche Anwendungsbereich der DSGVO (zB Speicherung im Dateisystem) eröffnet ist, kann die Verarbeitung auch manuell (nicht-automatisiert) erfolgen.
1.3.3 Verantwortlicher und Auftragsverarbeiter
Abgesehen von der betroffenen Person als sogenanntes „Schutzsubjekt“ der DSGVO nehmen die beiden zentralen Rollen der DSGVO der Verantwortliche und der Auftragsverarbeiter ein:
Verantwortlicher im Sinne des Art 4 Z 7 DSGVO ist jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Der Verantwortliche ist derjenige, der dafür Sorge zu tragen hat, dass die Vorgaben der DSGVO eingehalten werden. Er ist somit Hauptadressat der Pflichten aus der DSGVO.[35]
Auftragsverarbeiter ist nach Art 4 Z 8 DSGVO jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Entscheidend ist daher, dass der Auftragsverarbeiter ausschließlich im Auftrag des Verantwortlichen tätig wird. Er ist in der Verarbeitung der personenbezogenen Daten streng weisungsgebunden. Sobald der Auftragsverarbeiter personenbezogene Daten zu eigenen Zwecken verarbeitet bzw. eigenständig über Mittel und Zwecke der Verarbeitung bestimmt, ist er als Verantwortlicher zu qualifizieren.
1.4 Grundprinzipien der DSGVO
Art 5 DSGVO enthält Grundsätze, denen jede Verarbeitung personenbezogener Daten – soweit diese in den Anwendungsbereich der DSGVO fällt – entsprechen muss.[36]
1.4.1 Rechtmäßigkeit der Verarbeitung, Treu und Glauben, Transparenz
Personenbezogene Daten müssen auf
+rechtmäßige Weise,
+nach Treu und Glauben und
+in einer für die betroffene Person nachvollziehbaren Weise
verarbeitet werden.
Art 5 Abs 1 lit a DSGVO enthält somit drei Grundsätze:
1.4.1.1Rechtmäßigkeit
Damit eine Datenverarbeitung vorgenommen werden darf, muss sich diese auf eine Einwilligung der betroffenen Person oder eine andere gesetzliche Erlaubnisgrundlage (Art 6 Abs 1 DSGVO) stützen.[37] Weitere Anforderungen an die Rechtmäßigkeit ergeben sich aus den Regelungen zur