Das Datenschutzgesetz (DSGVO) einfach erklärt

Die Prinzipien des Datenschutzgesetzes sind einfach und klar und können daher auch einfach und allgemein verständlich erläutert werden. Lassen Sie sich nicht verwirren von Stimmen, die behaupten, das wäre eine Spezialmaterie, ausschließlich verständlich für Fachleute. Der EU Gesetzgeber hat dieses verbindliche EU Datenschutzgesetz zum Schutz der Privatsphäre der Bürger*innen in Europa erlassen, und daher war es auch beabsichtigt, dass es in seinen Grundprinzipien für alle diese Bürger*innen verständlich bleibt.

Die Charta der Grundrechte der Europäischen Union

Das Datenschutzgesetz ist im Kern ein Recht, das bereits in der Charta der Grundrechte der Europäischen Union formuliert ist.   Dort heißt es:

Die EU Grundrechtecharta hat in Österreich Verfassungsrang

Der Österreichische Verfassungsgerichtshof (VfGh) hat 2012 in einer Grundsatzentscheidung festgestellt, dass die EU Grundrechtecharta wie die Verfassungsnormen des Staates Österreich wirksam sind, d.h. quasi als Teil der Verfassung gelten.   Dies wurde als „Meilenstein in der Entwicklung der Grundrechte-Judikatur” gewertet.

Warum braucht es eine EU Datenschutz-Grundverordnung

Salopp formuliert: Es braucht eine EU Datenschutz-Grundverordnung (EU DSGVO), weil sich viele Akteure, also angefangen von Unternehmen und Konzernen, Verbänden, Organisationen bis hin zu Vereinen aber auch Privatpersonen über dieses Grundrecht auf Schutz personenbezogener Daten hinwegsetzen. Selbst sensible personenbezogene Daten wurden ohne Zustimmung und Einwilligung der Betroffenen zunehmend zur Handelsware, zu wertvollen Assets. Die bisherige EU Richtlinie 95/46/EG erwies sich als wenig wirksame Maßnahme gegen den Missbrauch personenbezogener Daten. Mit der DSGVO gibt es nun eine in allen Mitgliedsländern der Europäischen Union gleicherweise geltende Rechtsvorschrift und die Möglichkeit Verstöße dagegen mit sehr hohen Strafen (bis zu 20 Millionen Euro beziehungsweise 4 Prozent des vorjährigen globalen Umsatzes) wirksam zu ahnden.

Das Datenschutzgesetz in Österreich

In Österreich gibt es seit 1978 ein Datenschutzgesetz, das wiederholt novelliert wurde, bevor es an die Normen der EU Datenschutz Grundverordnung angepasst werden musste. Mit Ausnahme von einigen wenigen, begrenzten nationalen Gestaltungsmöglichkeiten im Rahmen sogenannter „Öffnungsklauseln” ist die EU DSGVO auch in Österreich wie in sämtlichen anderen Mitgliedsstaaten der Europäischen Union verbindlich. Bis dahin wurden mehr oder weniger Verstöße gegen den Datenschutz wie Kavaliersdelikte behandelt, Strafen sehr selten verhängt und wenn, dann in einer Größenordnung, die zu den Vorteilen, die manche aus den Verstößen zogen, in keinem Verhältnis standen. Österreich hat sich gegen die DSGVO gestemmt und ist bei der Umsetzung sehr darauf bedacht, den status quo ante beizubehalten, also die DSGVO und vor allem die Sanktionen möglichst zu entschärfen — für Verantwortliche zum Nachteil Betroffener. (Siehe folgenden Beitrag Obrigkeitsstaat Österreich: Eine Behörde ist eine Behörde ist eine Behörde.

Eine erstaunliche österreichische Facette findet sich im Datenschutzgesetz (DSG). Hier wird der Schutz personenbezogener Daten über natürliche Personen hinaus auch auf juristische Personen erweitert. Das sei, so wird argumentiert, dem Umstand geschuldet, dass sich für eine Abschaffung dieser im Verfassungsrang stehende Sondersituation in Österreich keine entsprechende parlamentarische Mehrheit gefunden hätte. Das ist nicht die einzige Auffälligkeit bezüglich Umsetzung der DSGVO in Österreich. Unter Österreichs Sonderwege im Datenschutz können Sie dazu mehr lesen.

Welche Rechte haben Bürger*innen nach der DSGVO?

Grundsätzlich gilt: Niemand hat das Recht Ihre personenbezogenen Daten zu erheben, zu sammeln, zu speichern, zu verarbeiten oder weiterzugeben. Das Datenschutzgesetz ist ein sogenanntes Verbotsgesetz. Es verbietet die Nutzung von personenbezogenen Daten, es sei denn es gibt dafür eine  ausreichende rechtliche Grundlage wie beispielsweise Ihre Einwilligung, eine gesetzliche Erfordernis oder sogenannte berechtigte Interessen.

•   Recht auf Information (Artikel 13f DSGVO)
•   Das Recht auf Auskunft nach Artikel 15 DSGVO
•   Recht auf Berichtigung (Artikel 16 DSGVO)
•   Recht auf Einschränkung der Verarbeitung (Artikel 18 DSGVO)
•   Recht auf Widerspruch (Artikel 21 DSGVO)
•   Recht auf Löschung (Artikel 17 DSGVO)
•   Recht auf Datenübertragbarkeit (Artikel 20 DSGVO)
•   Recht darauf, keiner automatisierten Entscheidung (bspw. durch Profiling) unterworfen zu werden (Artikel 22 DSGVO)
•   Recht auf Beschwerde       oder Klage vor Gericht    (Artikel 77 DSGVO)
•   Recht auf Geheimhaltung    (§1 Abs. 1 DSG)

Die Betroffenenrechte im Einzelnen

Das Recht auf Auskunft nach Artikel 15 DSGVO

•   Wenn ein Unternehmen, ein Verband u.a. ihre personenbezogenen Daten in irgendeiner Weise nutzt, dann haben Sie das Recht auf Auskunft, auf welcher rechtlichen Grundlage das geschieht, warum sich das Unternehmen, der Verband u.a. über das Verbot hinwegsetzen kann. Dieses Recht wird in Artikel 15 DSGVO festgesetzt und geregelt.
•   Es gibt keine Formvorschrift, wie Sie Ihr Auskunftsverlangen zuzustellen haben, ob per Post, per E-Mail, per Telefon oder mündlich. Es empfiehlt sich jedoch, egal welchen Weg Sie wählen, einen Beleg, d.h. Nachweis dafür aufzubewahren, dass das Auskunftsverlangen zugestellt wurde. (Das ist besonders aufgrund einer jüngsten Entscheidung der österreichischen Datenschutzbehörde in Österreich erforderlich.  )
•  Zeigt sich, dass das Unternehmen, der Verband u.a. für die Nutzung ihrer personenbe­zogenen Daten keine gültige und wirksame Rechtsgrundlage vorweisen können, dann haben diese die Nutzung umgehend zu unterlassen, d.h. die Daten zu löschen, beziehungsweise zu vernichten.
•  Sie haben neben der Auskunft zur Rechtsgrundlage der Verarbeitung noch weitergehende Auskunftsrechte:
  •   zu welchem Zweck diese Daten verarbeitet werden und
  •   Wer die Empfänger der Daten sind, und in welchen Kategorien dort die Daten verarbeitet werden,
  •   ob die Verarbeitung in sogenannten Drittländern oder durch internationale Organisationen erfolgt
  •   und nach Möglichkeit Angaben zur Herkunft der Daten
  •   Für welche Dauer die Verarbeitung, beziehungsweise Speicherung geplant ist (z.B. gesetzliche Vorhalte- oder Archivierungspflichten etc.)

Einhaltung der Auskunftsfrist

Das Unternehmen, der Verband u.a. haben nach Einlangen der Auskunftsanfrage vier Wochen Zeit für eine Beantwortung. Diese Frist kann begründet auf bis zu drei Monate ausgeweitet werden. Für diesen Fall ist es erforderlich, dass das Unternehmen, der Verband u.a. Ihnen die Fristverlängerung schriftlich samt Begründung mitteilt.

Schriftliche Begründung bei Abweisung des Auskunftsverlangens

Für den Fall, dass das Unternehmen, der Verband u.a. die Auskunft verweigern sollte, wäre Ihnen dies unter Angabe der Gründe unverzüglich und schriftlich mitzuteilen.

Im Datenschutzgesetz werden die zulässigen Gründe angeführt (§ 43 Abs. 4 DSG): Sofern die öffentliche oder nationale Sicherheit gefährdet wäre, verfassungsmäßige Einrichtungen der Republik Österreich, zum Schutz militärischer Eigensicherungen oder zum Schutz der Rechte und Freiheiten anderer. Auch dann kann die Auskunft aufgeschoben, eingeschränkt oder unterlassen werden, sofern dadurch die Verhütung, Aufdeckung, Ermittlung oder Verfolgung von Straftaten oder der Strafverfolgung beeinträchtigt werden könnte, besonders wenn behördliche, gerichtliche Untersuchungen, Ermittlungen oder Verfahren betroffen sind.

Beschwerderecht bei nicht fristgerecht erteilter oder unvollständiger Auskunft

Sofern Ihr Auskunftsverlangen unbeantwortet bleibt, Ihnen weder schriftlich mitgeteilt wurde, dass die Frist auf drei Monate ausgedehnt wurde oder Ihr Auskunftsbegehren schriftlich begründet zurückgewiesen wurde, dann haben Sie das Recht gegen das Unternehmen, den Verband u.a. Beschwerde bei der Datenschutzbehörde einzubringen. In Österreich steht Ihnen – im Unterschied zu Deutschland und anderen EU Mitgliedsländern – ausschließlich der Weg einer Beschwerde an die Datenschutzbehörde offen. Eine Klage vor Gericht ist in Österreich nicht möglich.

Die Beschwerde kann formlos eingebracht werden, muss aber begründet sein. Die Voraussetzungen einer formal gültigen Beschwerde für Österreich nach §24 Abs. 2 DSG    finden Sie in folgendem Beitrag: Österreichs Sonderwege im Datenschutz.

In Folge des Datenschutz-Anpassungsgesetzes und des Datenschutz-Deregluierungs-Gesetzes haben Sie für die Rechtsdurchsetzung als Betroffener in Österreich allein die Möglichkeit  einer Beschwerde bei der Datenschutzbehörde. Nachdem es bislang keine Verfassungsanpassung an die Normen der EU DSGVO gab, bleibt in Österreich der direkte Weg zu Gericht verwehrt. Betroffene haben aber die Möglichkeit sich beim Bundesverwaltungsgericht über Bescheide oder Verletzung der Entscheidungspflicht der Datenschutzberhörde zu beschweren, d.h. sie haben ein Recht auf Rechtsbehelf gegen einen rechtsverbindlichen Beschluss der Datenschutzbehörde. Unabhängig davon können Schadensersatzklagen vor Gericht gebracht werden, sofern einem Betroffenen nachweisbar durch Missachtung seiner Betroffenenrechte ein materieller oder immaterieller Schaden entstanden ist.

(Siehe dazu: Österreichs Regierung und die DSGVO, Österreichs Datenschutzgesetz und die EU DSGVO, Österreich und das Datenschutz-Deregulierungs-Gesetz 2018 )

Sofern Sie mehr zu diesem Thema wissen wollen oder Beratung dazu benötigen,
erreichen Sie uns telefonisch unter

0699/15 31 67 76   oder   per E-Mail

 

Der Gesetzestext der DSGVO, EU-Lex