Im Zentrum der EU Datenschutz Grundverordnung stehen 7 Grundsätzen zur rechtskonformen Speicherung und Verarbeitung personenbezogener Daten. Es kommt darauf an, dass sich Unternehmen und Organisationen diese Prinzipien zu eigen machen.
6 Herausforderungen der DSGVO können für manche Unternehmen durchaus belastend sein, vor allem dann, wenn beispielsweise der Überblick über die Verarbeitung personenbezogener Daten fehlt. Hier kann der Verwaltungsaufwand hoch sein, wenn Betroffene von ihren Rechten nach Artikel 15 bis 21 DSGVO Gebrauch machen. Ganz zu schweigen vom hohen Risiko, das sich daraus für das Unternehmen ergibt.
Zweifelsohne wird die EU Datenschutz Grundverordnung (DSGVO) vor allem die IT und Rechtsabteilungen von Unternehmen beschäftigen und herausfordern. Aber es hieße die DSGVO in ihrer Tragweite völlig zu unterschätzen, blieben die Herausforderungen darauf beschränkt. Marketing und Vertrieb sind ebenso gefordert und in der Pflicht.
Die Prinzipien des Datenschutzgesetzes sind einfach und klar und können daher auch einfach und allgemein verständlich erläutert werden. Lassen Sie sich nicht verwirren von Stimmen, die behaupten, das wäre eine Spezialmaterie, ausschließlich verständlich für Fachleute. Der EU Gesetzgeber hat dieses verbindliche EU Datenschutzgesetz zum Schutz der Privatsphäre der Bürger*innen in Europa erlassen, und daher war es auch beabsichtigt, dass es in seinen Grundprinzipien für alle diese Bürger*innen verständlich bleibt.
Die Datenschutz-Grundverordnung spricht in diesem Zusammenhang von Auskunftsrechten Betroffener, woraus sich Auskunftspflichten des Verantwortlichen (d.h. des Verarbeiters) zwangsläufig ergeben.
In Österreich hört man von Konsumentenschützern, dass die EU DSGVO gegenüber der bisherigen EU Richtlinie 95/46/EG teilweise eine gesetzliche Verschlechterung für die schutzwürdigen Interessen von Privatpersonen bringen wird. Als Beispiel werden die sogenannten „berechtigten Interessen” Verantwortlicher angeführt.
Zu den Rechten betroffener Personen, also jener, deren personenbezogene Daten verarbeitet werden, zählt laut Datenschutz Grundverordnung (DSGVO) ein umfangreiches Informationsrecht. Auf Seiten von Unternehmen und Organisationen bedeutet dies umfangreiche Informationspflichten. Diese sind in Artikel 13 und 14 DSGVO geregelt
„Betroffenenrechte” zählen zu den großen Errungenschaften der DSGVO (EU Datenschutz-Grundverordnung). Damit ist die gesetzliche Festschreibung von Rechten Betroffener gemeint, die diese gegenüber all jenen haben, die ihre personenbezogenen Daten verarbeiten (im Gesetz „Verantwortliche” genannt). Zu wenige Menschen wissen um diese Rechte. Am ehesten noch ist aus der medialen Berichterstattung das Recht auf Auskunft (Artikel 15 DSGVO) bekannt. Leider klären viele Unternehmen, Verbände und Organisationen et cetera (also „Verantwortliche”) Betroffene über diese Rechte nicht oder nur unzureichend auf, obwohl sie dazu verpflichtet wären (siehe Informationspflicht nach DSGVO
nach Artikel 13 und 14 DSGVO).
Eine übersichtliche Zusammenstellung der Betroffenenrechte mit Verweis auf die jeweiligen Gesetzestexte:
Die Betroffenenrechte nehmen in der DSGVO einen zentralen Stellenwert ein. In den Artikeln 12 bis 22 sind diese Rechte festgeschrieben. Unantastbar sind diese Rechte allerdings nicht, denn im anschließenden Artikel 23 wird Mitgliedsstaaten das Recht eingeräumt, diese und darüber hinaus auch Artikel 5 einzuschränken. Daran werden zwar Bedingungen geknüpft, aber wie weit diese auslegbar sind, bleibt zunächst Angelegenheit der Datenschutzbehörden oder Gerichte der Mitgliedsstaaten. Man spricht im Zusammenhang mit Artikel 23 gerne von derMutter der Öffnungsklauseln
.
Ein zentrales Anliegen der DSGVO ist die Sicherstellung von Betroffenenrechten, wie sie in Artikel 12 bis Artikel 22 formuliert wurden. Dessen ungeachtet finden sich ein Artikel 23: Beschränkungen. Dieser Artikel kann durchaus als „Mutter aller Öffnungsklauseln” bezeichnet werden. Konkret räumt dieser Artikel die Einschränkung der Betroffenenrechte durch Mitgliedsstaaten ein. Missbrauch durch Mitgliedsstaaten ist dabei nicht ausgeschlossen.
In Österreich wird fallweise dieser Artikel 23 DSGVO genutzt, um Betroffenenrechte ohne ersichtlichen und argumentierten Grund einzuschränken.
Problematisch zeigt sich das im Zusammenhang mit dem EWR Psychotherapiegesetz, in welchem die Artikel 13, 14, 18 und 21 DSGVO ausgeschlossen
wurden. Im Beitrag Psychotherapie: In Österreich sollen Betroffenenrechte massiv eingeschränkt werden
hatten wir auf die entsprechende Gesetzesänderung hingewiesen.