Die Neuerungen beim Datenschutz
Gesetzliche Bestimmungen zum Schutz von personenbezogenen Daten sind in Österreich bereits seit den 1970er Jahren etabliert und wurden laufend angepasst (z.B.: Datenschutzgesetz 2000). Mit 25.5.2018 gibt es neue Spielregeln.
Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist keine völlige Neukonzeption des Datenschutzes, sondern es werden die bewährten Konzepte fortgeführt und weitereinwickelt, die insbesondere die technologischen Veränderungen in einer digitalisierten Welt mit sich bringen.
Die Zielsetzung der DSGVO sind der einheitliche Rechtschutz für alle Betroffenen in der EU, die einheitlichen Regeln für die Datenverarbeitung in der EU und die Gewährleistung eines starken und einheitlichen Vollzuges.
Grundsätzlich besteht Anspruch auf Datenschutz bezüglich personenbezogenen Daten, die auf die betroffene Person rückführbar und nicht allgemein zugänglich sind.
Hier die wesentlichen Neuerungen:
- Unternehmen sind zur Schaffung einer neuen innerbetrieblichen Dokumentationspflicht aufgerufen. In bestimmten Fällen haben Unternehmen die Funktion eines Datenschutzbeauftragten verpflichtend einzurichten. Die Verankerung eines risikobasierten Ansatzes ist zu etablieren; d.h. Das Risiko der Datenverarbeitung für die Rechte und Freiheiten der betroffenen Personen wird als zentrales Bewertungskriterium gesehen.
- Der Schutz natürlicher Personen (Betroffenenrechte) bei der Verarbeitung von personenbezogenen Daten steht im Mittelpunkt. Die Rechte der von einer Datenanwendung betroffenen Person gegenüber dem Verantwortlichen, der die Daten verwenden möchte sind:
- Die Informationspflicht bei der Erhebung von personenbezogenen Daten bei der betroffenen Person
- Auskunftsrecht
- Recht auf Berichtigung
- Recht auf Löschung
- Recht auf Einschränkung der Verarbeitung
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
Damit verbunden ist eine wesentliche Stärkung der Datenschutzaufsicht und der Rechtsdurchsetzung. Deutlich erhöhte Strafrahmen können die Folge sein.
Gibt es keine Einigung zwischen der betroffenen Person und dem Unternehmen, kann sich die Person an die Datenschutzbehörde wenden, die ein Prüfungsverfahren einleitet. Wird ein erlittener Schaden und somit ein Verstoß nachgewiesen, so werden Geldbußen je Einzelfall verhängt, die verhältnismäßig und abschreckend sein sollen. Die Verletzungen der Betroffenenrechte ist mit bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes sanktioniert.