Internationale Rechtsberatung

Sie sind auf der Suche nach einer international tätigen Anwaltskanzlei? SAXINGER steht Ihnen mit internationalen Teams zur Seite und berät sie kompetent, engagiert und mit wertvoller Erfahrung vor Ort. Informieren Sie sich vorab online über verschiedenste Themengebiete des internationalen Wirtschaftsrechts. 


Datenschutz: Die wichtigsten Infos zusammengefasst

Nicht erst seit Inkrafttreten der Datenschutzgrundverordnung neu (DSGVO) im Jahr 2018 ist das Thema Datenschutz in aller Munde. Im folgenden Abschnitt haben wir die wichtigsten Fragen zum Datenschutz für Sie zusammengefasst:


Inhaltsübersicht:


Was versteht man unter Datenschutz?

Datenschutz sieht den Schutz personenbezogener Daten jedes Einzelnen vor und bedeutet, dass jede Person Anspruch auf Geheimhaltung ihrer persönlichen Daten hat, soweit ein schutzwürdiges Interesse daran besteht. Personenbezogene Daten beziehen sich auf eine natürliche Person und beinhalten zB. Alter, Wohnort, Adresse und Geburtsdatum, Fotos, Videos, KFZ-Kennzeichen, aber auch E-Mail-Adressen und IP-Adressen (IP = Internet Protocol, also die Adresse, die beim Surfen im Internet verwendet wird und durch die Rückschlüsse auf den Standort eines Geräts gezogen werden kann). Auch sogenannte "sensible Daten" wie etwa Religionszugehörigkeit, sexuelle Orientierung, ethnische Herkunft und Gesundheitsdaten gehören zu den personenbezogenen Daten und sind besonders schützenswert. 

Auf europäischer Ebene unterliegt der Datenschutz der EU-Datenschutz-Grundverordnung (DSGVO), die in jedem einzelnen Mitgliedsstaat direkt gilt und unmittelbar anwendbar ist. Zusätzlich trifft in Österreich das Datenschutzgesetz (DSG) ergänzende Bestimmungen. Eine Missachtung dieser Rechtsgrundlagen kann mit hohen Bußgeldern bestraft werden. 

Datenschutz: Folgenabschätzung durch Unternehmen

Da es seitens der Behörden keine Vorabkontrollen zur Einhaltung des Datenschutzes in Unternehmen gibt (Kontrollen erfolgen entweder von Amts wegen oder werden erst durchgeführt, sobald eine Beschwerde oder Klage eingereicht wurde), müssen Unternehmen in Eigenregie eine Evaluierung ihrer Datenverarbeitungen durchführen und im Bedarfsfall geeignete Maßnahmen zur Sicherstellung des Datenschutzes, d.h. Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten, setzen. Diese Selbstkontrolle wird „Selbstverantwortung“ bzw „Accountability“ oder „Rechenschaftspflicht“ genannt.

Hinzu kommt gegebenenfalls eine Risikobewertung in Form der sogenannten „Datenschutz-Folgenabschätzung“; die ist insbesondere dann durchzuführen, wenn neue Technologien im Unternehmen eingesetzt werden, die möglicherweise ein datenschutzrechtliches Risiko darstellen könnten (bspw. Zugangskontrollen mit Gesichtserkennung oder per Fingerabdruck etc.). 

Wie unterscheiden sich Datenschutz und Datensicherheit?

Während man unter Datenschutz den Schutz personenbezogener Daten versteht, werden unter Datensicherheit jene Maßnahmen verstanden, die den Missbrauch dieser Daten verhindern sollen (insbesondere technisch-organisatorische Maßnahmen). Diese Maßnahmen beinhalten unter anderem:  

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten
  • die Sicherstellung der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung
  • die rasche Wiederherstellbarkeit der Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall 
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. 

In bestimmten Fällen muss in Unternehmen eine Person als Datenschutzbeauftragte benannt werden, die u.a. die Einhaltung der Maßnahmen zum Datenschutz überwacht und kontrolliert. 

Datenschutz im Internet: Wieso ist das so wichtig?

Dass alle Daten, die Personen von sich im Internet publizieren, oft auch öffentlich zugänglich sind, ist nicht immer jedem bewusst. Diese Daten können häufig missbräuchlich verwendet werden (Konten werden „gehackt“, Identitäten gestohlen, Mobbing betrieben, etc.) und es liegt daher in der Verantwortung jedes Einzelnen, mit den eigenen Daten sorgsam umzugehen. Dass das Internet nicht vergisst, stimmt weitestgehend: Fotos, Videos, oder sonstige Daten, die einmal veröffentlicht wurden, sind schnell kopiert und oft schwer zu entfernen. 

Sicherheitslücken, die immer wieder entstehen, ermöglichen es Hackern, auf Daten Dritter unerlaubt zuzugreifen und Konten (Social-Media-, E-Mail-Konten) zu hacken. Ein weiterer kritischer Punkt sind sogenannte „Fake News“, also Falschinformationen, die im Internet kursieren. Informationen über Personen können aus dem Zusammenhang gerissen und falsch interpretiert werden. 

Was gibt es zum Datenschutz in Europa zu beachten? 

Datenschutz ist auf EU-Ebene geregelt und findet in der Datenschutz-Grundverordnung (DSGVO oder auch GDPR, General Data Protection Regulation), die im Mai 2018 für alle Mitgliedsstaaten in Geltung erlangt hat, seine Rechtsgrundlage. Auch für die Nicht-EU-Länder Island, Liechtenstein und Norwegen (EWR-Staaten) findet diese Anwendung. 

Das besagt die DSGVO:

Die DSGVO ist sehr umfangreich und besteht aus 99 Artikeln in elf Kapiteln. Sie gilt vor allem dann, wenn ein Unternehmen personenbezogene Daten verarbeitet und in der Union ansässig ist, aber auch, wenn das Unternehmen nicht in der Union ansässig ist, aber Waren oder Dienstleistungen Personen in der Union angeboten werden. 

Wichtiges Kernstück der DSGVO ist die Transparenz der Verarbeitung von Daten: Jeder muss vorab darüber aufgeklärt werden, was mit seinen Daten geschieht. Bei einer Online-Shop-Bestellung etwa muss in den Datenschutzbestimmungen darauf hingewiesen werden, wie lange die Daten gespeichert und ob sie an Dritte weitergegeben werden. Weiters muss die Datenverarbeitung rechtmäßig sein, d.h. es muss eine der Bedingungen des Art 6 DSGVO vorliegen, z.B. die Einwilligung. Dabei muss die Möglichkeit gegeben sein, diese Einwilligung jederzeit zurückzunehmen, d.h. zu widerrufen. 

Personenbezogene Daten dürfen darüber hinaus etwa dann verarbeitet werden, wenn sie zur Erfüllung eines Vertrags oder einer rechtlichen Verpflichtung notwendig sind oder sogenannte „berechtigte Interessen“ bestehen, die Daten zu verarbeiten (bspw. Bonitätsprüfung durch eine kreditvergebende Bank), wobei bei letzterem Rechtmäßigkeitsgrund eine dokumentierte Interessenabwägung durchzuführen ist.   

Welche Rechte haben Betroffene? 

Die wohl wichtigsten Betroffenenrechte im Rahmen des Datenschutzes sind das Recht auf Auskunft und das Recht auf Löschung. Darüber hinaus können Betroffene – bei der Verwendung falscher Informationen – die Berichtigung ihrer Informationen beantragen. Im Rahmen des Auskunftsrechts muss jeder, der personenbezogene Daten einer Person verarbeitet, dieser Person Auskunft darüber geben können, woher die Daten stammen und wie lange sie gespeichert werden. Das Recht auf Löschung (auch „Recht auf Vergessenwerden“) gestattet es der Person, dass deren Daten aus den jeweiligen Datenbanken auf Wunsch gelöscht werden.

Besteht Grund zur Annahme, dass Daten ohne geeignete Rechtsgrundlage verarbeitet wurden (und somit Datenmissbrauch vorliegt), kann sich die betreffende Person ggf. an den Datenschutzbeauftragten des Unternehmens wenden oder Beschwerde bei der Datenschutzbehörde einlegen. Ein Datenschutz-Anwalt kann Ihnen dabei helfen, gegen den Missbrauch von personenbezogenen Daten vorzugehen.

Dieser muss beruflich qualifiziert sein und Fachwissen im Bereich Datenschutzrecht und -praxis aufweisen. Er berät innerhalb des Unternehmens bezüglich der Einhaltung der DSGVO und überwacht die Einhaltung der Datenschutzvorgaben. Im Anlassfall kooperiert er mit der zuständigen Behörde, bspw. im Rahmen des Datenvorfalls. 

Wie erfolgt die Datenschutzkontrolle?


Die Kontrolle der Einhaltung des Datenschutzes geschieht durch unabhängige Aufsichtsbehörden in den einzelnen Mitgliedstaaten, die auch länderübergreifend zusammenarbeiten müssen. Diese Behörden haben u.a. auch das Recht, unangekündigte Kontrollen durchzuführen, was meist anlassbezogen, etwa bei Verdacht auf Datenmissbrauch oder aufgrund einer Beschwerde, geschieht. 

Mit welchen Konsequenzen muss man bei Verstößen gegen den Datenschutz rechnen?

Bei Verstoß gegen das Datenschutzgesetz (DSG) oder die Datenschutz-Grundverordnung (DSGVO) kann die betroffene Person  Beschwerde bei der Datenschutzbehörde einlegen. Sofern ihr ein materieller oder immaterieller Schaden entstanden ist, kann sie auch Schadenersatz vom Schädiger fordern.

Es drohen Geldbußen, welche abschreckend wirken und verhältnismäßig sein sollen. Es kommt also insbesondere auf die Schwere und Art des Verstoßes an und ob Fahrlässigkeit oder Vorsatz vorliegt. Außerdem haben sowohl das Ausmaß des erlittenen Schadens als auch die Bereitschaft, mit den Behörden zu kooperieren, Einfluss auf die Höhe der Geldbuße. 

Die konkrete Höhe der Strafe ist also abhängig von einer Vielzahl an Faktoren. Geldbußen von bis zu zwanzig Millionen Euro (bei Unternehmen: bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres) sind möglich

Welche Maßnahmen gibt es, um Datenschutz und Datensicherheit zu gewährleisten?

Maßnahmen zur Gewährleistung des Datenschutzes und der Datensicherheit gibt es sowohl für Privatpersonen als auch für Unternehmen. 

Datenschutzmaßnahmen für Privatpersonen: 

  • Weniger ist mehr: Achten Sie darauf, so wenig personenbezogene Daten wie möglich zu verarbeiten. 
  • Geben Sie Acht vor sogenannten „Phishing-Mails“ und geben Sie keine geheimen Daten (Bank- oder sonstige Zugangsdaten) per E-Mail weiter. 
  • Vorsicht ist beim Öffnen von Anhängen und Spam-Mails geboten.
  • Wechseln Sie Ihre Passwörter regelmäßig und stellen Sie sicher, dass diese nicht leicht zu knacken sind.
  • Schützen Sie Ihren Computer mit Antiviren-Programmen und optimieren Sie die Sicherheitseinstellungen Ihres Web-Browsers.

Datenschutzmaßnahmen für Unternehmen: 

  • Datenminimierung: Es dürfen nur so viele Daten verarbeitet werden, wie unbedingt nötig sind. Daten müssen nach einem gewissen Zeitablauf gelöscht werden. 
  • Es besteht Sorgfaltspflicht im Umgang mit personenbezogenen Daten. 
  • Dokumentationspflicht: Werden Kundendaten gesammelt, muss u.a. auch nachgewiesen werden können, wann und auf welche Art dies geschehen ist. 
  • Pseudonymisierung und Verschlüsselung: Wenn die Zuordnung zu einer Person nicht erforderlich ist, müssen Daten pseudonymisiert und die Lesbarkeit durch Verschlüsselung verhindert werden.
  • Zugangsbeschränkung der Daten: Nur Berechtigte dürfen Zugang zu den Daten erhalten.
  • Datenintegrität: Sieht die Verhinderung möglicher Datenmanipulation vor.
  • Schulungen: Mitarbeiter, die mit personenbezogenen Daten arbeiten, müssen regelmäßig über die Maßnahmen zum Datenschutz geschult werden.

Fazit

Die einheitliche Datenschutz-Grundverordnung (DSGVO) regelt die Verarbeitung von personenbezogenen Daten für alle Mitgliedsstaaten. Dies soll den Missbrauch von Daten verhindern und persönliche Daten schützen. Um diesen Schutz zu gewährleisten, müssen Unternehmen strenge Regeln befolgen und im Anlassfall Auskunft darüber geben, woher die von ihnen verwendeten Daten stammen. Betroffene haben neben dem Recht auf Auskunft bspw. auch ein Recht auf Löschung der Daten. Verstöße gegen die Datenschutzgrundverordnung können saftige Strafen nach sich ziehen und mit bis zu zwanzig Millionen Euro oder mit bis zu vier Prozent des Jahresumsatzes geahndet werden. Im Bedarfsfall sollte ein Datenschutz-Anwalt hinzugezogen werden.   

 

Häufig gestellte Fragen und Antworten (FAQ)

Was ist Datenschutz?

Unter Datenschutz versteht man den Schutz personenbezogener Daten vor missbräuchlicher Verwendung, d.h. ohne geeigneter Rechtsgrundlage. 

Wie ist der Datenschutz in Österreich gesetzlich geregelt?

In allen EU-Mitgliedsstaaten gilt seit 2018 die sogenannte Datenschutz-Grundverordnung (DSGVO), die den Umgang mit personenbezogenen Daten regelt. In Österreich wird das EU-Gesetz vom nationalen Datenschutzgesetz (DSG) begleitet. 

Warum ist Datenschutz wichtig?

Den meisten ist nicht bewusst, wie oft personenbezogene Daten ausgetauscht oder veröffentlicht werden: beim Posten eines Fotos auf Instagram, bei der Teilnahme an einem Gewinnspiel, beim Online-Shopping, bis hin zum Arztbesuch. Diese Daten werden meist gesammelt, um sie in weiterer Folge bspw. zur Vermarktung von Produkten heranzuziehen. Da all diese Daten einen Rückschluss auf eine bestimmte Person zulassen, sind sie besonders schützenswert. 

Rechtliche Beratung zum Datenschutz 

Sie möchten mehr über das Thema Datenschutz wissen? Unser kompetentes Team berät Sie gerne und unterstützt Sie bei all Ihren Fragen. Nehmen Sie noch heute Kontakt auf! 

Kontakt aufnehmen >>

Sie haben ein anderes Anliegen im Bereich IP/IT-Recht? Erfahren Sie mehr über unser umfassendes IP/IT-Rechts-Leistungsportfolio.