Inhaltsverzeichnis. Diregger, Handbuch Datenschutzrecht IX

Transkript

1 Vorwort... V Anleitung zum Handbuch... VII Abkürzungsverzeichnis... XXV Literatur- und Quellenverzeichnis... XXXIII Judikaturverzeichnis... XLV 1. Entstehung des Datenschutzes Nationale Datenschutzregelungen Internationale Datenschutzregelungen EU-Datenschutzregelungen Österreichische Datenschutzregelungen Ziele datenschutzrechtlicher Regelungen Datenschutzregelungen der EU Allgemeines Die Datenschutzrichtlinie Allgemeines Gegenstand, Ziele und Schutzsubjekt Anwendungsbereich der DSRL Sachlicher Anwendungsbereich Räumlicher Anwendungsbereich Aufbau der DSRL Datenschutz innerhalb der EU-Institutionen und Organe Die Datenschutzgrundverordnung Allgemeines Die Entwürfe der KOM, des EP und des Rates Der Vorschlag der KOM Vorlage zweier Legislativvorschläge Neuerungen des E-DSGVO KOM Reaktionen auf die Vorschläge Die Standpunkte des EP und des Rates Gegenstand, Ziele und Schutzsubjekte Allgemeines Diregger, Handbuch Datenschutzrecht IX

2 Gegenstand und Ziele der DSGVO Der Anwendungsbereich der DSGVO Der sachliche Anwendungsbereich der DSGVO Allgemeines Automatisierte und nicht automatisierte Verarbeitung personenbezogener Daten Ausnahmen vom sachlichen Anwendungsbereich Keine Anwendung der DSGVO auf die Verarbeitung durch die Union Verhältnis der DSGVO zur E-Commerce-RL Räumlicher Anwendungsbereich Allgemeines Tatbestände Aufbau der DSGVO Die Richtlinie für Datenverarbeitung im Rahmen der JI Allgemeines Der Aufbau der DSRL-JI Die Zielsetzung der DSRL-JI Der Anwendungsbereich der DSRL-JI Wesentliche Unterschiede zur DSGVO Rechtsschutz nach der DSRL-JI Datenschutzregelungen in Österreich Allgemeines Anwendungsbereiche der Datenschutzgesetze Aufbau des DSG Das Datenschutz-Anpassungsgesetz Allgemeines Zielsetzung und Inhalt des Datenschutz- Anpassungsgesetzes Novellierung durch das Datenschutz- Deregulierungs-Gesetz Aufbau des Datenschutzgesetzes Grundrechtliche Verbürgung des Datenschutzes Unionsrecht Die Charta der Grundrechte der Europäischen Union Allgemeines Verpflichtete und Berechtigte Das Grundrecht des Schutzes personenbezogener Daten Allgemeines X Diregger, Handbuch Datenschutzrecht

3 Art 8 GRC Schutzbereich Grundrechtsberechtigte Grundrechtsverpflichtete Geschützte Daten und Verwendungsformen Eingriffe in das Grundrecht Einwilligung Sonstige gesetzlich geregelte legitime Grundlage Auskunfts- und Berichtigungsanspruch Unabhängige Stelle Österreichisches Recht Allgemeines Schutz natürlicher und juristischer Personen Unmittelbare Drittwirkung Grundrecht auf Datenschutz Allgemeines Schutzbereich Recht auf Geheimhaltung Rechte auf Auskunft, Richtigstellung und Löschung Eingriffe in das Grundrecht Verwendung im Interesse des Betroffenen Verwendung im Interesse eines Dritten Öffentlicher und privater Bereich Öffentlicher und privater Bereich nach der DSRL Öffentlicher und privater Bereich nach dem DSG Allgemeines Zuordnung zum öffentlichen und zum privaten Bereich Rechtsschutz im öffentlichen und privaten Bereich Verarbeitungsformen Verarbeitungsformen nach der DSRL Verarbeitungsformen nach dem DSG Automationsunterstützte und nicht automationsunterstützte Verarbeitung Wesentliche Konsequenzen der Unterscheidung Datenanwendung Geschützte Daten Geschützte Daten nach der DSRL Diregger, Handbuch Datenschutzrecht XI

4 7.2. Geschützte Daten nach dem DSG Arten personenbezogener Daten nach der DSRL Arten personenbezogener Daten nach dem DSG Nicht-sensible, sensible und strafrechtlich relevante Daten Nicht-sensible Daten Strafrechtlich relevante Daten Sensible Daten Nur indirekt personenbezogene Daten Datenschutzrechtliche Akteure Allgemeines Das Schutzsubjekt Schutzsubjekte nach der DSRL Schutzsubjekte nach dem DSG Eingreifende Akteure Allgemeines Eingreifende Akteure nach der DSRL Allgemeines Der für die Verarbeitung Verantwortliche Auftragsverarbeiter Dritter Empfänger Eingreifende Akteure nach dem DSG Allgemeines Privater Bereich Öffentlicher Bereich Auftraggeber Entscheidungsgewalt Gegenstand der Entscheidungsgewalt Rechtsvorschriften und Verhaltensregeln Alleiniges oder gemeinsames Treffen von Entscheidungen Informationsverbundsystem Dienstleister Die Entität des Dienstleisters Verwendung personenbezogener Daten Herstellung eines aufgetragenen Werkes Empfänger bzw Dritter Formen der Handhabung personenbezogener Daten Formen der Handhabung nach der DSRL XII Diregger, Handbuch Datenschutzrecht

5 9.2. Formen der Handhabung nach dem DSG Verarbeiten personenbezogener Daten Überlassen personenbezogener Daten Übermitteln personenbezogener Daten Verwenden personenbezogener Daten Räumlicher Anwendungsbereich Der räumliche Anwendungsbereich nach der DSRL Der räumliche Anwendungsbereich nach dem DSG Datenverwendung eines EWR-Auftraggebers in Österreich Datenverwendung eines österreichischen Auftraggebers in einem anderen EWR-Mitgliedstaat Verwendung personenbezogener Daten durch einen Drittstaatsauftraggeber im EWR ohne Niederlassung im EWR Durchleitung personenbezogener Daten durch den EWR Die Zustimmung des Betroffenen Allgemeines Die Einwilligung nach der DSRL Der Begriff Zustimmung nach dem DSG Allgemeines Voraussetzungen für die datenschutzrechtliche Zustimmung Gültige Willenserklärung Zustimmung insbesondere ohne Zwang Zustimmung in Kenntnis der Sachlage Zustimmung im konkreten Fall Die Zustimmung Minderjähriger Grundsätze der Verwendung personenbezogener Daten Allgemeines Grundsätze in Bezug auf die Qualität der Daten nach der DSRL Grundsätze der Datenverwendung nach dem DSG Grundsatz nach Treu und Glauben und der Verwendung auf rechtmäßige Weise Rechtmäßigkeit der Verarbeitung Verwendung nach Treu und Glauben Grundsatz der Zweckbindung Diregger, Handbuch Datenschutzrecht XIII

6 Zweckbindung bei der Ermittlung personenbezogener Daten Zweckbindung bei der Weiterverwendung personenbezogener Daten Grundsatz der Datenminimierung (Wesentlichkeitsgrundsatz) Grundsatz der Richtigkeit und Aktualität Grundsatz der Datenlöschung Verantwortung für die Einhaltung der Grundsätze Zulässigkeit der Verwendung personenbezogener Daten Zulässigkeit der Verarbeitung nach der DSRL Allgemeines Rechtsgrundlagen für nicht-sensible Daten nach Art 7 DSRL Rechtsgrundlagen für strafrechtsbezogene Daten nach Art 8 Abs 5 DSRL Rechtsgrundlagen für sensible Daten nach Art 8 DSRL Zulässigkeit der Verwendung nach dem DSG Allgemeines Gemeinsame Voraussetzungen für die Verarbeitung aller personenbezogenen Daten Zweck und Inhalt der Datenanwendung Gesetzliche Zuständigkeiten/rechtliche Befugnisse des Auftraggebers Auftraggeber des öffentlichen Bereichs Auftraggeber des privaten Bereichs Keine Verletzung der schutzwürdigen Geheimhaltungsinteressen der Betroffenen Schutzwürdige Geheimhaltungsinteressen bei nicht-sensiblen Daten Allgemeines Die Rechtsgrundlagen nach 8 Abs 1 DSG Ausdrückliche gesetzliche Ermächtigung oder Verpflichtung Zustimmung des Betroffenen Lebenswichtige Interessen des Betroffenen Überwiegende berechtigte Interessen des Auftraggebers oder eines Dritten Die Rechtsgrundlagen nach 8 Abs 3 DSG XIV Diregger, Handbuch Datenschutzrecht

7 Verwendung erforderlich zur Erfüllung einer vertraglichen Verpflichtung Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen des Auftraggebers Wahrung lebenswichtiger Interessen eines Dritten Ausübung einer öffentlichen Funktion durch den Betroffenen Verwendung nicht-sensibler Daten im Katastrophenfall Datenverwendung als wesentliche Voraussetzung für eine gesetzlich übertragene Aufgabe Verwendung nicht-sensibler Daten im Rahmen der Amtshilfe Die Rechtsgrundlage des 8 Abs 2 DSG Allgemeines Zulässigerweise veröffentlichte Daten Nur indirekt personenbezogene Daten Schutzwürdige Geheimhaltungsinteressen bei strafrechtsbezogenen Daten Ausdrückliche gesetzliche Ermächtigung oder Verpflichtung Wahrnehmung einer gesetzlich übertragenen Aufgabe Gesetzliche Sorgfaltspflichten oder überwiegenden berechtigten Interessen des Auftraggebers Anzeige zur Verfolgung einer strafbaren Handlung (Unterlassung) Schutzwürdige Geheimhaltungsinteressen bei sensiblen Daten Allgemeines Ausnahmetatbestände nach 9 DSG Offenkundige Selbstveröffentlichung durch den Betroffenen Vorliegen sensibler Daten in nur indirekt personenbezogener Form Vorliegen einer gesetzlichen Ermächtigung oder Verpflichtung Amtshilfe Ausübung einer öffentlichen Funktion Zustimmung des Betroffenen Wahrung lebenswichtiger Interessen des Betroffenen Diregger, Handbuch Datenschutzrecht XV

8 Wahrung lebenswichtiger Interessen eines Dritten Rechtsansprüche des Auftraggebers Besondere Verwendungszwecke sensibler Daten Rechte und Pflichten auf dem Gebiet des Arbeitsoder Dienstrechts Gesundheitsbereich Nicht auf Gewinn gerichtete Vereinigungen Voraussetzungen für die Übermittlung personenbezogener Daten Datenanwendung in Übereinstimmung mit den Vorgaben des 7 Abs 1 DSG Glaubhaftmachung der gesetzlichen Zuständigkeit oder rechtliche Befugnis der Empfängers Nichtverletzung der schutzwürdigen Geheimhaltungsinteressen des Betroffenen Verhältnismäßigkeitsprüfung Voraussetzungen für die Überlassung personenbezogener Daten Allgemeines Voraussetzungen nach der DSRL Vertraulichkeit der Verarbeitung Sicherheit der Verarbeitung Voraussetzungen nach dem DSG Allgemeines Bedingungen für die Wahl eines Dienstleisters Bedingungen für die Verarbeitung personenbezogener Daten durch den Dienstleister Pflichten des Dienstleisters von Gesetzes wegen Meldepflicht Allgemeines Meldepflicht nach der DSRL Meldepflicht Inhalt der Meldung Ausnahmen von der Meldepflicht Beginn der Verarbeitung Meldeverfahren Meldepflicht nach dem DSG Das Datenverarbeitungsregister (DVR) Einsichtsberechtigte Kosten der Einsichtnahme Wege der Einsichtnahme in das Register Meldepflicht des Auftraggebers XVI Diregger, Handbuch Datenschutzrecht

9 Ausnahmen von der Meldepflicht Standardanwendungen Musteranwendungen Die Datenverarbeitungsregisternummer (DVR-Nummer) Zuteilung einer DVR-Nummer Führen und Offenlegen der DVR-Nummer Beginn der Datenverwendung Meldung an das Datenverarbeitungsregister (DVR) Abfrage des Registerauszugs durch Auftraggeber Datenverarbeitungsregister (DVR) ab Wirksamkeit der DSGVO Der Datenschutzbeauftragte nach der DSGVO Allgemeines Die Benennung des DSB Obligatorischer DSB Allgemeines Die Ansätze der Entwürfe Die Regelungen der DSGVO Art 37 Abs lit a DSGVO: Verarbeitung durch Behörde/öffentliche Stelle Art 37 Abs 1 lit b DSGVO: Kerntätigkeit/ Überwachung Art 37 Abs 1 lit c DSGVO: Kerntätigkeit sensible/ strafrechtsbezogene Daten Gemeinsamer DSB einer Unternehmensgruppe Ansätze der Entwürfe Gemeinsamer DSB einer Unternehmensgruppe nach der DSGVO Gemeinsamer DSB einer Behörde oder öffentlichen Stelle Fakultative Benennung eines DSB Ermächtigung zur Einführung weiterer Fälle eines DSB Anforderungen an den DSB Wahlrecht zur Benennung eines internen bzw externen DSB Publizitäts- und Mitteilungspflichten Die Stellung des DSB Pflichten des Verantwortlichen bzw Auftragsverarbeiters gegenüber dem DSB Einbindung des DSB in Datenverarbeitungsfragen Ressourcen, Zugang und Fachwissen des DSB Diregger, Handbuch Datenschutzrecht XVII

10 Unabhängigkeit des DSB Adressat der Berichte des DSB Übertragung anderer Aufgaben und Vermeidung von Interessenkonflikten Rechte der betroffenen Person gegenüber dem DSB Wahrung der Geheimhaltung und Vertraulichkeit durch den DSB Die Aufgaben des DSB Allgemeines Die Aufgaben nach den Entwürfen Die Aufgaben nach der DSGVO Geldbußen und Sanktionen Maßnahmen gegen den Verantwortlichen bzw Auftragsverarbeiter Maßnahmen gegen den DSB Verzeichnis der Verarbeitungstätigkeiten nach der DSVO Allgemeines Ansätze der Entwürfe Verzeichnis der Verarbeitungstätigkeiten nach der DSGVO Verpflichteter Adressatenkreis Inhalt des Verzeichnisses Inhalt des Verzeichnisses des Verantwortlichen Inhalt des Verzeichnisses des Auftragsverarbeiters Ausnahmen von der Führung eines Verzeichnisses Allgemeines Die Ausnahmen nach der DSGVO Die Gegenausnahmen nach der DSGVO Form des Verzeichnisses Beginn der Führung und Aktualität des Verzeichnisses Zurverfügungstellung an die Aufsichtsbehörde Geldbußen und Sanktionen Datenschutz-Folgenabschätzung und vorherige Konsultation nach der DSGVO Allgemeines DSFA Allgemeines Verantwortung für die Durchführung einer DSFA Notwendigkeit einer DSFA aufgrund eines hohen Risikos Gegenstand der DSFA XVIII Diregger, Handbuch Datenschutzrecht

11 Inhalt der DSFA DSFA bei mehreren Verarbeitungsvorgängen Positiv- und Negativliste von Verarbeitungsvorgängen Ausnahmen von der DSFA in Österreich Ausnahmen von der DSFA in Österreich Verordnung der DSB über Ausnahmen von der DSFA (DSFA-AV) Ausnahmen von der Durchführung einer DSFA Überprüfungen bestehender Verarbeitungen Geldbußen und Sanktionen Vorherige Konsultation Allgemeines Vorherige Konsultation der Aufsichtsbehörde durch den Verantwortlichen aufgrund der DSGVO Verpflichtung zur vorherigen Konsultation Zurverfügungstellung von Informationen Durchführung des Verfahrens und Reaktion der Aufsichtsbehörde Vorherige Konsultation des Verantwortlichen aufgrund des mitgliedstaatlichen Rechts Vorherige Konsultation durch die Mitgliedstaaten Geldbußen und Sanktionen Vertraulichkeit der Verarbeitung Vertraulichkeit nach der DSRL Vertraulichkeit nach dem DSG (Datengeheimnis) Datensicherheit Datensicherheit nach der DSRL Datensicherheit nach dem DSG Allgemeines Spezielle Datensicherheitsmaßnahmen Verwendungsbeschränkung von Protokoll- und Dokumentationsdaten Folgen der Verletzung von Datensicherheitsmaßnahmen Information des Betroffenen Allgemeines Informationspflichten nach der DSRL Allgemeines Zur Information Verpflichteter Fälle der Erhebung und Zeitpunkt der Information Diregger, Handbuch Datenschutzrecht XIX

12 Gegenstand der Informationspflicht Informationspflichten nach dem DSG Allgemeines Zur Information Verpflichteter Ermittlung und Zeitpunkt der Information Gegenstand der Informationspflicht Ermittlung personenbezogener Daten beim Betroffenen Keine Ermittlung personenbezogener Daten beim Betroffenen Informationspflicht bei unrechtmäßiger Verwendung von Daten Allgemeines Zur Information Verpflichteter Vorliegen der Informationspflicht Inhalt der Information Zeitpunkt und Form der Information Offenlegungspflicht nicht meldepflichtiger Datenanwendungen Pflicht zur Offenlegung der Identität des Auftraggebers Rechte des Betroffenen Die Rechte der betroffenen Person nach der DSRL Allgemeines Das Recht auf Auskunft Die Rechte auf Berichtigung, Löschung und Sperrung Das Widerspruchsrecht Widerspruchsrecht aufgrund der besonderen Situation Widerspruchsrecht izm der Direktwerbung Die Rechte des Betroffenen nach dem DSG Allgemeines Das Recht auf Auskunft Allgemeines Zur Auskunft Berechtigter Zur Auskunft Verpflichteter Das Auskunftsbegehren Form des Auskunftsbegehrens Nachweis der Identität Vorgehen bei mangelhaftem Nachweis der Identität XX Diregger, Handbuch Datenschutzrecht

13 Häufigkeit und Kosten des Auskunftsbegehrens Mitwirkungspflicht des Auskunftswerbers Die Erteilung der Auskunft Form der Auskunft Inhalt der Auskunft Grenzen der Auskunftspflicht Die Rechte auf Richtigstellung und Löschung Allgemeines Berechtigter und Verpflichteter Gegenstand der Richtigstellung bzw Löschung Maßnahmen der Richtigstellung bzw Löschung Antrag auf Richtigstellung bzw Löschung Antragstellung durch den Betroffenen Entsprechung durch den Auftraggeber Beschwerde des Betroffenen gegen Auftraggeber Beweislast Ausschluss und Beschränkung der Richtigstellung bzw Löschung Löschungsverbot Dokumentationszweck Sperrung Bestreitungsvermerk Richtigstellung bzw Löschung bei Registern und öffentlichen Büchern Löschung und Berichtigung in Geheimhaltungsbereichen Vorgangsweise bei Übermittlung vor Richtigstellung bzw Löschung Das Recht auf Widerspruch Allgemeines Widerspruch nach 28 DSG Verpflichteter und Berechtigter Gegenstand und Rechtsfolge des Rechts auf Widerspruch Formen des Rechts auf Widerspruch Entsprechung durch den Auftraggeber Beschwerde des Betroffenen gegen Auftraggeber Anwendung der Bestimmungen des 27 Abs 5 und 6 DSG Widerspruch nach 151 GewO Rechtsschutz Allgemeines Diregger, Handbuch Datenschutzrecht XXI

14 22.2. Der Rechtsschutz nach der DSRL Rechtsschutz nach dem DSG Allgemeines Kontrollorgane Datenschutzbehörde Allgemeines Kompetenzen der DSBeh Datenschutzrat Überblick über die Zuständigkeiten Verletzung der Rechte des Betroffenen Allgemeines Beschwerderecht Schadenersatzansprüche Ergänzende Ansprüche Rechtsschutz durch die Datenschutzbehörde Allgemeines Beschwerderecht Eingabe an die DSBeh Kompetenzen der Datenschutzbehörde Form und Inhalt der Eingabe Ergebnis des Einschauverfahrens Umgang mit Informationen Instrumente der Durchsetzung Beschwerde an die DSBeh Form und Inhalt der Beschwerde Verfahren und Befugnisse der DSBeh Entscheidung durch die DSBeh Klaglosstellung während des Beschwerdeverfahrens Begleitende Maßnahmen im Beschwerdeverfahren Zivilrechtlicher Rechtsschutz Rechtsschutzinstrumente des Betroffenen Kompetenzen der DSBeh im gerichtlichen Rechtsschutz Schadenersatz Allgemeines Gegenstand des Schadenersatzanspruchs Haftungsverschärfung Beweislastumkehr Zuständigkeit Präklusionsfristen Rechtsschutz bei Anwendung des Rechts der Mitgliedstaaten Anwendung eines anderen Datenschutzrechts XXII Diregger, Handbuch Datenschutzrecht

15 Amtshilfe bei Anwendung von Datenschutzrecht Einbringung von Rechtsmitteln Rechtsmittel im zivilrechtlichen Bereich Rechtsmittel im öffentlich-rechtlichen Bereich Strafrechtliche Bestimmungen Sanktionen nach der DSRL Sanktionen nach dem DSG Allgemeines Strafgerichtliche Sanktionen Allgemeines Datenverwendung in Gewinn- oder Schädigungsabsicht Verfolgung der Tat Täterkreise Tatobjekt Tathandlung Subjektive Tatseite Zuständigkeit, Strafrahmen und Rechtsschutz Verwaltungsstrafrechtliche Sanktionen Allgemeines Die Straftatbestände nach 52 Abs 1 DSG Eindringen in eine Datenanwendung Verletzung des Datengeheimnisses Verharren in rechtswidrigem Zustand Verstoß gegen das Löschungsverbot Verschaffen personenbezogener Daten unter Vortäuschung falscher Tatsachen Die Straftatbestände nach 52 Abs 2 DSG Verletzung der Meldepflicht Rechtswidriger Datentransfer ins Ausland Verstoß gegen Zusagen oder Auflagen Verletzung von Offenlegungs- und Informationspflichten Außerachtlassung von Sicherheitsmaßnahmen bzw der Protokollierungspflicht Verstoß gegen die Löschungspflicht Die Straftatbestände nach 52 Abs 2a DSG Verfall Zuständigkeit, Verfahren und Rechtsschutz Stichwortverzeichnis Diregger, Handbuch Datenschutzrecht XXIII