Vorwort des Herausgebers... V Abkürzungsverzeichnis... XV Literaturverzeichnis... XIX AutorInnenverzeichnis... XXIX

Transkript

1 Vorwort des Herausgebers... V Abkürzungsverzeichnis... XV Literaturverzeichnis... XIX AutorInnenverzeichnis... XXIX 1. Historische Betrachtung des Datenschutzrechts (Nikolaus Forgó/ Elisabeth Rieß)... 1 I. Einleitung... 1 II. Datenschutzgesetz A. Anfänge... 2 B. Grundrecht auf Datenschutz... 3 C. Schutzbereich... 4 Weitere Neuerungen des Datenschutzgesetzes D. Volkszählungsurteil... 6 Auslöser... 6 Neues Grundrecht... 7 E. Grundrecht auf Integrität und Vertraulichkeit informationstechnischer Systeme... 8 III. Entwicklung in Europa... 8 Konvention 108 des Europarats... 8 Datenschutz-Richtlinie... 9 Grundrecht Datenschutzrichtlinie für elektronische Kommunikation und Vorratsdatenspeicherungs-RL IV. Datenschutzgesetz V. Aktuell DSGVO Rechtliche Grundlagen des Datenschutzrechts (Victoria Abplanalp/ Doruntina Berisha) I. Einleitung II. Völkerrechtliche Grundlagen A. Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK) B. Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV Nr 108) III. Europarechtliche Grundlagen A. Primärrecht Einleitung Das europarechtliche Grundrecht auf Datenschutz B. Sekundärrecht Datenschutzgrundverordnung (DSGVO) a. Motivation b. Regelungsziele c. Schutzgegenstand VII

2 d. Adressaten datenschutzrechtlicher Pflichten e. Sachlicher Anwendungsbereich f. Räumlicher Anwendungsbereich g. Begriffsbestimmungen h. Grundsätze der Verarbeitung personenbezogener Daten i. Öffnungsklauseln Datenschutzrichtlinie für den Bereich Justiz und Inneres (EU) 2016/ a. Einleitung b. Regelungsziel c. Regelungsgegenstand d. Anwendungsbereich IV. Nationalrechtlicher Kontext A. Verfassungsbestimmungen Datenschutzrechtliche Rollen und Grundsätze (Victoria Abplanalp/ Felix Zopf) I. Einleitung II. Rollen A. Der Verantwortliche Einleitung Charakteristika Pflichten und rechtliche Konsequenzen bei pflichtwidrigem Verhalten Die gemeinsam Verantwortlichen B. Der Auftragsverarbeiter Charakteristika a. Weisungsgebundenheit des Auftragsverarbeiters b. Grundlage des Auftragsverhältnisses und Pflichten des Auftragsverarbeiters C. Die betroffene Person III. Grundsätze für die Verarbeitung personenbezogener Daten A. Allgemeines B. Rechtmäßigkeit der Verarbeitung Allgemeines Einwilligung Sonstige Rechtsgrundlagen Verhältnis von Einwilligung und den anderen Rechtsgrundlagen Besondere Kategorien personenbezogener Daten C. Verarbeitung nach Treu und Glauben und Transparenz D. Zweckbindung Allgemeines Zweckänderung E. Datenminimierung F. Richtigkeit G. Speicherbegrenzung VIII

3 H. Integrität und Vertraulichkeit I. Rechenschaftspflicht J. Data protection by design and default Allgemeines Data protection by design Data protection by default Betroffenenrechte (Adrian Engel/Antoni Napieralski) I. Einleitung II. Vor der Verarbeitung A. Transparenz B. Informationspflicht III. Bei der Verarbeitung A. Profiling B. Auskunft C. Widerspruch D. Einschränkung der Verarbeitung IV. Nach der Verarbeitung A. Löschung und Recht auf Vergessenwerden B. Datenübertragbarkeit V. Beschränkungen A. Anforderungen B. Beispiele der Beschränkungen Pflichten des Verantwortlichen und des Auftragsverarbeiters (Antoni Napieralski/Žiga Škorjanc) I. Pflichten des Verantwortlichen A. Einführung B. Allgemeine Pflichten Verantwortung für die Rechtmäßigkeit der Datenverarbeitung Risikobewertung a. Risiko b. Risikobeurteilung Technische und organisatorische Maßnahmen a. Geeignete TOM b. Pflicht zur laufenden Überprüfung und Aktualisierung Nachweispflicht C. Verzeichnis von Verarbeitungstätigkeiten (VVT) Pflicht zum Führen eines VVT Verarbeitungstätigkeit Offenlegung gegenüber der DSB Inhalt und Form D. Datenschutz-Folgenabschätzung (DSFA) Ziel der DSFA Pflicht zur Durchführung einer DSFA Zeitpunkt der Durchführung IX

4 4. Inhalt und Form einer DSFA Umgang mit identifizierten Risiken II. Pflichten bei der Auftragsverarbeitung A. Allgemeines B. Auftragsverarbeitung C. Pflichten des Verantwortlichen im Zusammenhang mit Auftragsverarbeitung D. Pflichten des Auftragsverarbeiters Pflichten und Verantwortlichkeiten a. Allgemeine Pflichten b. Besondere Pflichten Vereinbarung über Auftragsverarbeitung E. Einsatz von Subauftragsverarbeitern III. Pflichten der gemeinsam für die Verarbeitung Verantwortlichen A. Gemeinsam Verantwortliche B. Besondere Pflichten der gemeinsam für die Verarbeitung Verantwortlichen Der Datenschutzbeauftragte (Nikolaus Forgó/Magdalena Wohlgemuth) I. Einleitung A. Geschichte und Rechtsvergleich Österreich Deutschland B. Organ der Selbstkontrolle und Eigenverantwortung C. Externer und interner DSBA II. Benennung A. Behörden und öffentliche Stellen B. Unternehmen C. Gemeinsame Bestimmungen für den öffentlichen und nichtöffentlichen Sektor Gemeinsamer Datenschutzbeauftragter D. Benennung und Rolle E. Anforderungen und Qualifikationen III. Rechtliche Stellung des DSBA A. Unabhängige Beratung B. Hilfsorgan für Betroffene C. Schnittstelle zur Behörde D. Stellung im Unternehmen bzw in der Behörde IV. Aufgaben und Pflichten A. Unterrichtung und Beratung B. Überwachung und Kontrolle C. Schnittstelle zur Aufsichtsbehörde V. Haftung/Sanktionen X

5 7. Aufsichtsbehörde (Victoria Abplanalp/Elisabeth Rieß) I. Einleitung II. Österreichische Datenschutzbehörde die Aufsichtsbehörde in Österreich A. Definition und rechtliche Grundlagen B. Organisationsgestaltung der Datenschutzbehörde C. Aufgaben und Befugnisse der Datenschutzbehörde Aufgaben Befugnisse D. Gerichtliche Überprüfung in Bezug auf Handlungen der Datenschutzbehörde III. Exkurs: Datenschutzrat IV. Zusammenarbeit auf Unionsebene A. Behördliche Zusammenarbeit zwischen den nationalen Aufsichtsbehörden Ausgangssituation Zuständigkeit a. Allgemeine Aufsichtsbehörde b. Federführende Aufsichtsbehörde aa. Ausnahme bb. Selbsteintrittsrecht Ausgestaltung der Zusammenarbeit a. One-Stop-Shop-Verfahren b. Gegenseitige Amtshilfe und gemeinsame Maßnahmen aa. Gegenseitige Amtshilfe bb. Gemeinsame Maßnahmen Europäischer Datenschutzausschuss Kohärenz a. Stellungnahme des EDSA b. Streitbeilegungsverfahren c. Dringlichkeitsverfahren Europäischer Datenschutzbeauftragter Sanktionen und Rechtsdurchsetzung (Žiga Škorjanc/Doruntina Berisha) I. Geldbußen und andere Sanktionen A. Geldbußen Allgemeines Verhängung von Geldbußen a. Einleitung b. Geldbußen gegen natürliche Personen c. Geldbußen gegen juristische Personen Überblick über Geldbußetatbestände und Rechtsfolgen Bemessung der Geldbuße a. Grundsätze b. Strafzumessungsgründe XI

6 c. Adressaten der Geldbuße d. Verbunde Verstöße e. Problematik hoher Geldbußen Verfahren B. Andere Sanktionen Allgemeines Umsetzung in Österreich a. Verwaltungsübertretungen b. Gerichtliches Strafrecht II. Rechtsdurchsetzung durch die betroffenen Personen A. Zweigleisigkeit des Rechtsschutzes Europarechtliche Regelung Abweichende nationale Rechtslage? Gefahr möglicher widersprechender Entscheidungen B. Verwaltungsrechtsweg Recht auf Beschwerde bei einer Aufsichtsbehörde a. Anwendungsbereich b. Beschwerdeinhalt c. Verfahren vor der DSB d. Entscheidung der DSB Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde a. Anwendungsbereich b. Bescheidbeschwerde c. Säumnisbeschwerde d. Anderweitige verwaltungsgerichtliche Rechtsbehelfe e. Verfahren C. Zivilrechtsweg Allgemeines Ansprüche der betroffenen Personen Haftung und Recht auf Schadenersatz a. Überblick b. Anspruchsberechtigte und -verpflichtete c. Vorliegen eines Schadens d. Kausalität e. Rechtswidrigkeit f. Verschulden g. Gesamtschuldnerische Haftung h. Checkliste Verfahren a. Aktiv- und Passivlegitimation b. Zuständigkeit c. Verfahren vor den ordentlichen Gerichten XII

7 5. Geltendmachung von Datenschutzverstößen durch Dritte a. Vertretung betroffener Personen durch Datenschutzeinrichtungen sowie Verbandsklagen b. Geltendmachung von Datenschutzverstößen durch Mitbewerber Räumliche Anwendbarkeit und Drittstaaten (Antoni Napieralski/ Felix Zopf) I. Territorialer Anwendungsbereich A. Allgemeines B. Niederlassungsprinzip C. Marktortprinzip D. Dem Völkerrecht unterliegende Gebiete E. Besteht eine Schutzlücke? II. Übermittlung in Drittstaaten A. Allgemein B. Angemessenheitsbeschluss C. Geeignete Garantien D. Ausnahmen III. Kollision extraterritorialer Anwendungsbereich und Drittstaatenregelungen? IV. Aufträge von ausländischen Behörden/Gerichten zur Datenübermittlung V. Fazit Informationssicherheit (Magdalena Wohlgemuth/Felix Zopf) I. Grundlagen A. Allgemeines B. Verletzung des Schutzes personenbezogener Daten C. Technische Normen und Standards D. Informationssicherheits-Managementsystem (ISMS) II. Sicherheit der Verarbeitung A. Allgemeines B. Angemessenheit des Schutzniveaus C. Kriterien für die Auswahl der Maßnahmen D. Zu treffende Maßnahmen III. Data breach notification IV. NIS-Richtlinie A. Allgemeines B. Verpflichtende Maßnahmen C. Meldung von Sicherheitsvorfällen V. Zertifizierung und Verhaltensregeln XIII

8 11. Sonderbereiche des Datenschutzes (Adrian Engel/Elisabeth Rieß/ Magdalena Wohlgemuth) I. Datenschutz im Gesundheitsbereich A. Gesundheitsdaten B. Erlaubte Verarbeitung Beispiel ELGA Zulässigkeit Betroffenenrechte Spannungsfelder C. Übermittlung von Gesundheitsdaten D. Verschwiegenheitspflicht II. Datenschutz in Wissenschaft und Forschung A. Vorgaben der DSGVO B. Nationale Umsetzung III. Datenschutz im Journalismus A. Vorgaben der DSGVO B. Nationale Umsetzung C. Was dürfen Journalisten? IV. eprivacy A. eprivacy-richtlinie B. eprivacy-verordnung V. Bildaufnahmen und Videoaufzeichnungen A. Sicherheitsmaßnahmen und Kennzeichnung VI. Datenschutz im Arbeitsumfeld A. Betriebsverfassungsrecht B. Videoüberwachung Prüfungsschemen zur Datenverarbeitung (Žiga Škorjanc) I. Prüfungsschema: Zulässigkeit der Verarbeitung durch den Verantwortlichen II. Prüfungsschema: Zulässigkeit der Auftragsverarbeitung III. Prüfungsschema: Übermittlung der personenbezogenen Daten in Drittländer Glossar Stichwortverzeichnis XIV