Zum Inhalt springen

Information Datenschutzgrundsatzverordnung 

Seit 25.05.2018 gilt die Datenschutzgrundverordnung (DSGVO) und schafft einen neuen Rechtsrahmen im Bereich des Datenschutzes. Die Gemeinde Wies hat diese bereits umgesetzt und wird nun bis Ende des Jahres eine Vertiefung stattfinden.  

Die DSGVO hat sich das ambitionierte Ziel gesetzt, die Rechte der Bürger zu stärken und ihnen die Kontrolle über ihre persönlichen Daten zurückzugeben. Hier zur Ihrer ersten Selbstkontrolle unsere Standardfragen:

  • Können Sie nachweisen, ob Sie zu dem einen oder anderen Newsletter überhaupt Ihre Zustimmung erteilt haben?

  • Haben Sie jemals die Datenschutzerklärung zu einem Online-Shop bis zum Ende durchgelesen?

  • Können Sie erklären, was Cookies sind? –Schließlich stimmen Sie diesen täglich zu, bevor Sie Ihre Tageszeitung überhaupt zu lesen beginnen (können)?

  • Haben Sie sich schon einmal gefragt, ob Ihr Arbeitgeber protokolliert, welche Internetseiten Sie (in der Pause natürlich) am Arbeitsplatz aufrufen?

  • Haben Sie einen Überblick über Ihre tatsächlichen Datenspeicherorte? (zu Hause, innerhalb der EU, in einem Drittland wie Indien oder Südafrika?)

  • Haben Sie sich schon einmal aktiv gefragt, ob Ihr Kind in zwanzig Jahren mit Kinderfotos "auf Facebook" überhaupt sein will? Wollen Sie Ihr Kind nicht zu einem späteren Zeitpunkt selbst entscheiden lassen, welche Daten es von sich aus freiwillig preisgeben möchte?

Behörden, Unternehmen und Organisationen trifft im Ergebnis nun künftig jedenfalls eine erhöhte Selbstverantwortung bei der Verarbeitung von personenbezogenen Daten. Es gelten erweiterte Dokumentationspflichten sowie strengere Vorgaben für Datensicherheit.

Einer der Kernpunkte der Reform sind zudem die strengen Sanktionen, die dem Datenschutz mehr Beachtung schenken sollen.

Für wen gilt die DSGVO?

Die DSGVO gilt für die Verarbeitung personenbezogener Daten natürlicher Personen, das heißt jegliche Information, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Bei der Frage, ob es sich um eine identifizierbare Person handelt, ist nicht nur auf das Wissen und die rechtlichen und tatsächlichen Möglichkeiten des jeweiligen Verantwortlichen abzustellen, der die Daten konkret verarbeitet. Für den Personenbezug genügt bereits die Identifikationsmöglichkeit durch einen Dritten.

Eine IP-Adresse eines Nutzers ist daher für einen Websitebetreiber auch dann personenbezogen, wenn nur der Internet Access Provider den Nutzer anhand der IP-Adresse identifizieren kann.  Explizit ausgenommen von der DSGVO ist die Verarbeitung personenbezogener Daten durch natürliche Personen zu ausschließlich persönlichen oder familiären Zwecken.  Für rein private Aktivitäten in sozialen Medien gilt die DSGVO daher nicht. Das heißt, dass man also zumindest keine Betroffenenrechte nach der DSGVO beantworten muss, wenn Sie in Ihrem Smartphone die privaten Kontaktdaten Ihrer Freundin speichern.  

Wo gilt die DSGVO?

Die DSGVO gilt in jedem Fall für Verantwortliche und Auftragsverarbeiter, die ihren Sitz innerhalb der EU haben sowie für die Verarbeitung im Rahmen der Tätigkeiten einer (selbständigen oder unselbständigen) Niederlassung in der EU

Datenschutzrechtliche Grundsätze

Bei jeder Verarbeitung personenbezogener Daten müssen die allgemeinen datenschutzrechtlichen Grundsätze eingehalten werden. Diese sind ua: Grundsatz der Rechtmäßigkeit, Grundsatz der Transparenz. Eine zentrale Rolle im Datenschutzrecht spielt der Zweckbindungsgrundsatz. Daten dürfen nur für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und weiterverwendet werden.   

Rechtmäßigkeit der Verarbeitung

Eine Verarbeitung "normaler" (z.B. Vorname, Nachname, Adresse, Geburtsdatum), nicht sensibler Daten (z.B. Gesundheitsdaten) ist nur rechtmäßig, wenn die betroffene Person ihre Einwilligung erteilt hat, die Daten zur Erfüllung eines Vertrags mit der betroffenen Person verarbeitet werden, eine gesetzliche Verpflichtung besteht, die Verarbeitung dem Schutz lebenswichtiger Interessen oder der Erfüllung öffentlicher Aufgaben dient, oder der Verantwortliche ein berechtigtes Interesse an der Verarbeitung hat, soweit die Interessen der betroffenen Person nicht überwiegen. Sensible Daten dürfen nur unter noch strengeren Voraussetzungen verarbeitet werden.

Bei der Einholung einer Einwilligung muss auf das jederzeitige Widerrufsrecht hingewiesen werden. Bestehende Einwilligungen, die nicht den Anforderungen der DSGVO entsprechen, sind nicht verbindlich und müssen daher gegebenenfalls neu eingeholt werden. 

Rechte der betroffenen Person

1.     Modalitäten für die Ausübung der Betroffenenrechte

Eine weitere Konsequenz der DSGVO ist, dass Sie nun auf Ihre Betroffenenrechte (zB auf der Website) hingewiesen werden http://www.st-stefan-stainz.gv.at/index.php?id=929

Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das geltende Datenschutzrecht (z.B. DSGVO, Datenschutz-Anpassungsgesetz 2018, Datenschutzgesetz 2000) verstößt, oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, wenden Sie sich gerne an unsere Gemeinde. Diesbezügliche Anliegen, immer mit der Angabe „Datenschutz“ im Betreff.

Richten Sie bitte ausschließlich per E-Mail an datenschutz@st-stefan-stainz.gv.at oder postalisch an die folgende Adresse: Gemeinde St. Stefan ob Stainz, 8511 St. Stefan 19. 

2. Aktive Informationspflichten

Bei jeder Erhebung von personenbezogenen Daten (zB. Anmelde- und Registrierformulare, Fragebögen, Anträge etc.) sind die aktiven Informationspflichten zu beachten. Die DSGVO sieht eine Reihe von Pflichtangaben bei der Erhebung von Daten bei den betroffenen Personen vor.

Dies gilt insb. für diverse Web- und Papierformulare, die von den betroffenen Personen auszufüllen sind (auch wenn die Erhebung der Daten gesetzlich vorgesehen ist oder wenn die Daten zur Vertragserfüllung benötigt werden).   

3. Auskunftsrecht

Nach Art 15 hat eine betroffene Person wie bisher das Recht auf Auskunft, ob und in welchem Ausmaß sie betreffende personenbezogene Daten von dem Verantwortlichen verarbeitet werden. Die betroffene Person hat auch das Recht auf Erhalt einer Kopie ihrer Daten, wobei die Rechte und Freiheiten anderer Personen hierdurch nicht beeinträchtigt werden dürfen.  

4. Recht auf Berichtigung und Löschung

Die betroffene Person hat das Recht, unrichtige Daten richtigzustellen oder Daten löschen zu lassen.  

5. Ausnahmen von der Löschungspflicht

bestehen ua zugunsten des Rechts auf Meinungs- und Informationsfreiheit, zugunsten im öffentlichen Interesse liegender Archivzwecke und wissenschaftlicher Forschungszwecke, bei gesetzlichen Aufbewahrungspflichten sowie zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

6. Recht auf Einschränkung

Das Recht auf Einschränkung (Art 18) ist als Begleitanspruch zu dem Recht auf Löschung, Berichtigung und Widerspruch zu sehen. Per definitionem handelt es um die "Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken".

7. Recht auf Datenübertragbarkeit

Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen mitgeteilt hat, in einem "strukturierten, gängigen und maschinenlesbaren Format" zu erhalten oder an einen anderen Verantwortlichen übertragen zu lassen.  

8. Widerspruchsrecht

Das Widerspruchsrecht ermöglicht der betroffenen Person, gegen rechtmäßige Verarbeitungen personenbezogener Daten vorzugehen.   

9. Automatisierte Entscheidungen im Einzelfall und Profiling

Art 22 schützt den Betroffenen vor einer ausschließlich auf einer automatisierten Verarbeitung (einschl. Profiling) beruhenden Entscheidung, die gegenüber der betroffenen Person rechtliche Wirkung entfaltet oder diese in ähnlicher Weise erheblich beeinträchtigt. Dadurch sollen Entscheidungen verhindert werden, die ohne menschliches Zutun getätigt werden.   

10. Folgen eines Verstoßes gegen Betroffenenrechte

Verstöße gegen Betroffenenrechte können mit empfindlich hohen Geldbußen von bis zu 20 Mio. Euro oder im Fall eines Unternehmens von bis zu 4 % des weltweit erzielten Jahresbruttoumsatzes sanktioniert werden. Die Bemessung der Geldbuße richtet sich nach den Umständen des Einzelfalls, insb. nach Art, Schwere und Dauer des Verstoßes, Schadenshöhe, Verschuldensgrad etc. Darüber hinaus hat jede betroffene Person das Recht auf Beschwerde bei der Aufsichtsbehörde und auf einen wirksamen gerichtlichen Rechtsbehelf.

 

Ein Auszug aus dem Schreiben von:

RA Dr. Gerit Katrin Jantschgi
zertifizierte Datenschutzbeauftragte der Gemeinde St. Stefan ob Stainz
Kontakt E-Mail: datenschutz@gjantschgi.at