Datenschutz NEU ab 25. Mai 2018

Allgemeines

ACHTUNG
Dieses "Aktuelle Thema" entspricht den Regelungen zum Zeitpunkt seiner Veröffentlichung und wird nicht laufend aktualisiert.

Ab 25. Mai 2018 gelten umfassende neue Bestimmungen zum Datenschutz. Hintergrund der neuen Datenschutzbestimmungen ist, dass durch eine EU-Verordnung (Datenschutz-Grundverordnung, kurz "DSGVO") ein einheitliches Datenschutzrecht für alle EU-Mitgliedstaaten geschaffen wurde.

Unter anderem stehen ab 25. Mai 2018 Personen, deren Daten verarbeitet werden, teilweise neue bzw. weitergehende Rechte als bisher zu.

Die Bestimmungen der DSGVO betreffen personenbezogene Daten. Das sind z.B. Name, Adresse, Geburtsdatum, E-Mail-Adresse, IP-Adresse, Kontonummer, Kfz-Kennzeichen oder Interessen und Vorlieben einer Person.

Daher müssen Unternehmen bis zum 25. Mai 2018 alle Datenanwendungen an die neue Rechtslage anpassen. Erfolgt keine Anpassung oder wird ab 25. Mai 2018 auf andere Weise gegen die neuen Datenschutzbestimmungen verstoßen, drohen sehr hohe Geldstrafen (Geldbußen von bis zu 20 Millionen Euro oder 4 Prozent des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist).

Rechte von Betroffenen

Im Folgenden werden die wichtigsten Rechte von Personen, deren Daten verarbeitet werden ("betroffene Personen"), dargestellt.

Die Ansprüche richten sich gegen den "Verantwortlichen". Das ist derjenige, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet (z.B. eine natürliche Person, ein Unternehmen, eine Behörde etc.).

Informationsrechte

Personen, deren Daten erhoben werden, müssen vom Verantwortlichen bestimmte Informationen erhalten. Dazu zählt z.B. der Name des Verantwortlichen und seine Kontaktdaten, die Zwecke der Datenverarbeitung, die Information wie lange die Daten gespeichert werden etc.

In der Praxis werden diese Informationen häufig über Datenschutzbestimmungen oder Datenschutzerklärungen (Privacy Policies) erteilt.

Recht auf Auskunft

Jeder Betroffene kann vom Verantwortlichen Auskunft darüber verlangen, ob, und wenn ja, welche ihn betreffende personenbezogene Daten verarbeitet werden. Dies ist jederzeit und ohne Begründung möglich.

Der Verantwortliche muss im Zuge der Auskunftserteilung Kopien der verarbeiteten Daten zur Verfügung stellen (z.B. E-Mails, Auszüge aus Datenbanken etc.). Informieren muss er unter anderem über die Verarbeitungszwecke, die Kategorien der Daten, die verarbeitet werden, die Empfänger der Daten, sowie, wenn möglich, die geplante Speicherdauer.

Die Auskunft kann formlos beantragt werden. Sie ist grundsätzlich kostenlos, sofern die betroffene Person nicht mehr als eine Datenkopie verlangt.

Recht auf Löschung ("Recht auf Vergessenwerden")

Jede betroffene Person hat das Recht, vom Verantwortlichen die unverzügliche Löschung der sie betreffenden Daten zu verlangen. Der Verantwortliche muss die Löschung unverzüglich durchführen, wenn ein Grund dafür vorliegt (z.B. die Daten sind nicht mehr erforderlich oder sie wurden unrechtmäßig verarbeitet).

Ein unbegründetes Recht auf Löschung besteht daher nicht. Die Löschung wird durch einen formlosen Antrag verlangt. Sie ist grundsätzlich kostenlos.

Recht auf Berichtigung

Jede betroffene Person kann vom Verantwortlichen die unverzügliche Berichtigung und/oder die Vervollständigung der sie betreffenden Daten verlangen. Beispiel: Falsche Wohnadresse

Die Berichtigung wird durch einen formlosen Antrag verlangt. Sie ist grundsätzlich kostenlos.

Weitere Rechte

Neben den genannten Rechten von Betroffenen sieht die DSGVO auch ein Recht auf Einschränkung der Datenverarbeitung vor. Die Einschränkung kann mit Begründung verlangt werden (z.B. Widerspruch der betroffenen Person gegen die Verarbeitung). Darüber hinaus kommt Betroffenen ein Recht auf Datenübertragbarkeit (Recht auf Erhalt und – sofern technisch machbar – Übermittlung der Daten an einen anderen Verantwortlichen) sowie ein Widerspruchsrecht (Recht auf Widerspruch gegen die Verarbeitung der Daten) zu.

Frist für den Verantwortlichen

Macht eine betroffene Person von einem der genannten Antragsrechte Gebrauch (Recht auf Auskunft, Löschung, Berichtigung, Einschränkung der Verarbeitung, Datenübertragbarkeit oder Widerspruch), muss der Verantwortliche unverzüglich, in jedem Fall aber innerhalb eines Monats nach Eingang der Anfrage antworten.

Beschwerde bei der Datenschutzbehörde

Im Falle einer behaupteten Rechtsverletzung kann jede betroffene Person innerhalb eines Jahres ab Kenntnis von dem beschwerenden Ereignis eine Beschwerde bei der Österreichischen Datenschutzbehörde einbringen. Das Bundesverwaltungsgericht entscheidet über Beschwerden gegen Bescheide der Datenschutzbehörde. Auch im Falle der Verletzung der Entscheidungspflicht der Datenschutzbehörde (Säumnis) ist das Bundesverwaltungsgericht zuständig.

Weitere Informationen zum Thema "Datenschutz NEU ab 25. Mai 2018" finden sich ebenfalls auf HELP.gv.at.

HINWEIS
Eine Übersicht über bisherige "Themen des Monats" und "Aktuelle Themen" findet sich ebenfalls auf HELP.gv.at.

Zum besseren Verständnis und zur leichteren Lesbarkeit gilt in diesem Text bei allen personenbezogenen Bezeichnungen die gewählte Form für beide Geschlechter.

Stand: 08.05.2018
Hinweis
Abgenommen durch:
HELP-Redaktion