1 Die Datenschutz Grundverordnung: Was regelt sie, ab wann gilt sie?

Transkript

1 1

2 1 Die Datenschutz Grundverordnung: Was regelt sie, ab wann gilt sie? Am wurde im Amtsblatt der Europäischen Union die EU-Datenschutz Grundverordnung (Verordnung [EU] 2016/679 vom 27. April 2016; im Folgenden: "DSGVO") verlautbart. Auch wenn Sie am in Kraft getreten ist, so ist die DSGVO dennoch erst nach Ablauf einer zweijährigen Übergangsfrist (sohin ab ) anwendbar. Mit der DSGVO wird die aus dem Jahr 1995 stammende Datenschutzrichtlinie (Richtlinie 95/46/EG; im Folgenden: "Richtlinie") ersetzt. Die DSGVO soll einen gegenüber der Richtlinie aktualisierten und modernisierten europäischen Datenschutzrahmen gewährleisten und den datenschutzrechtlichen Anforderungen der neuen Technologien (zb Cloud Computing, Social Networks etc) umfänglich Rechnung tragen. Hinzu kam, dass die Richtlinie nicht den erhofften Harmonisierungsgrad innerhalb Europas verwirklichen konnte. So wurde die Richtlinie in den einzelnen Mitgliedsländern teils sehr unterschiedlich umgesetzt. Dem soll die DSGVO vorbeugen, da sie im Unterschied zur Richtlinie als Verordnung unmittelbar in den Mitgliedstaaten anwendbar ist, wodurch Umsetzungsdivergenzen in den Mitgliedstaaten vermieden werden sollen. Eine abschließende Rechtsvereinheitlichung ist jedoch auch mit der DSGVO nicht gelungen, weil sie einige Öffnungsklauseln zugunsten der nationalen Rechte der EU-Mitgliedsstaaten beinhaltet. Das bedeutet, auch unter der DSGVO besteht ein (wenn auch im Vergleich zur Richtlinie kleinerer) Spielraum für die Mitgliedstaaten zur nationalen Umsetzung. Mit der DSGVO wurde nicht nur ein neues Gesetz oder gar nur eine Novellierung des bestehenden Rechts geschaffen. Vielmehr wurde mit der DSGVO eine gesamte Rechtsordnung neu erlassen. Für Unternehmen bedeutet dies, dass sie die zweijährige Übergangsfrist nutzen sollten um sich auf diese neue Rechtsordnung nachhaltig vorzubereiten. Die folgende Zusammenfassung bietet einen Überblick über die wesentlichen Neuerungen der DSGVO. In Ergänzung hierzu bietet die beigefügte Textgegenüberstellung eine anschauliche Gegenüberstellung der Regelungen der DSGVO mit den wesensgleichen Regelungen im bisher geltenden Datenschutzgesetz 2000 (BGBl I 19/165 idgf). 2 Altes in neuem Gewand: Die datenschutzrechtlichen Grundprinzipien Die schon bisher geltenden datenschutzrechtlichen Grundprinzipien (etwa Zweckbindung, Datensparsamkeit, Transparenz) wurden auch in der DSGVO im Wesentlichen beibehalten, teils jedoch weiterentwickelt. Wie bereits die Richtlinie festlegte, gilt auch zukünftig für die Verarbeitung personenbezogener Daten grundsätzlich ein Verbot mit Erlaubnisvorbehalt. Dh die 1

3 Verarbeitung personenbezogener Daten ist nur zulässig, wenn eine in der DSGVO normierte Grundlage hierfür vorliegt (etwa die Einwilligung, Vertragserfüllung, Erfüllung einer rechtlichen Verpflichtung, Wahrung berechtigter Interessen des für die Verarbeitung Verantwortlichen sofern nicht die Interessen des Betroffenen überwiegen, 1 lebenswichtige Interessen, Ausübung öffentlicher Gewalt). Wie schon bisher gilt auch unter der DSGVO ein strikter Zweckbindungsgrundsatz. Dies bedeutet, dass personenbezogene Daten nur für festgelegte, eindeutige und rechtmäßige Zwecke erhoben und nur für diese Zwecke verwendet werden dürfen. Auch die bisherige Rollenverteilung zwischen dem datenschutzrechtlichen Auftraggeber, dem Dienstleister und dem Betroffenen blieb im Wesentlichen unverändert. Jedoch wurden die Begrifflichkeiten vereinheitlicht. So wurde beispielsweise aus dem datenschutzrechtlichen Auftraggeber der "Verantwortliche", aus dem Dienstleister wurde der "Auftragsverarbeiter". Apropos Begrifflichkeiten: Die DSGVO schuf auch neue Begriffe und Rechtsfiguren. Einen neuen gesetzlichen Begriff bildet zb das Profiling (= Profilbildung mittels personenbezogener Daten). Auch genetische und biometrische Daten wurden nun eigens definiert. Wohl dem politischen Entscheidungsfindungsprozess war es geschuldet, dass die DSGVO für die beiden letztgenannten nun eigens definierten Datenkategorien keine speziellen Verarbeitungsregeln vorsieht. Dennoch sind diese neu geschaffenen Definitionen nicht irrelevant. So können sonstige Bezug habende Gesetze auf diese Datendefinitionen verweisen und nicht zuletzt die DSGVO selbst kann im Laufe der Zeit um Spezialbestimmungen zu diesen Datenkategorien erweitert werden. Ein zentrales Prinzip des Datenschutzes ist es, für eine ausreichende Datensicherheit Sorge zu tragen. Die DSGVO verlangt, dass ein der Schwere des Risikos für die persönlichen Rechte und Freiheiten der Betroffenen angemessenes Sicherheitslevel eingehalten wird. Verantwortliche und Auftraggeber haben geeignete technische und organisatorische Maßnah- 1 Als Feinheit ist zu vermerken: Bisher begründeten überwiegende berechtigte Unternehmensinteressen die Grundlage zur Datenverarbeitung. Unter der DSGVO ist die Datenverarbeitung erlaubt, sofern nicht die Interessen der Betroffenen überwiegen. Insofern tritt durch die DSGVO daher eine Umkehr dieses Interesssenabwägungsprozesses ein. Ob es sich hierbei nur um eine dogmatische Feinheit handelt oder ob diese Umkehr zu praktischen Auswirkungen führt bleibt freilich abzuwarten. 2

4 men zu ergreifen. Ähnlich wie die bisherige Rechtslage bleibt auch die DSGVO relativ vage in ihren Aussagen zu den konkret zu ergreifenden Sicherheitsparametern. Der Sektor der Datensicherheit wird daher stark von praktischen Erfahrungswerten geprägt werden. Zu erwarten ist jedenfalls ein vermehrter Einsatz von Pseudonymisierungs- und Anonymisierungsverfahren sowie von Verschlüsselungstechniken. Neu ist, dass Verantwortliche und Auftragsverarbeiter ein Verzeichnis über die von ihnen betriebenen Datenverarbeitungstätigkeiten führen müssen. Ausgenommen hiervon sind Unternehmen mit weniger als 250 Mitarbeitern. Die Ausnahme von der Ausnahme: Auch Unternehmen mit weniger als 250 Mitarbeitern müssen Verarbeitungsverzeichnisse führen, wenn ihre Datenverarbeitungen Risiken für die Freiheiten und Rechte der Betroffenen bergen oder wenn sie strafrechtsrelevante Daten oder sensible (forthin: besonderen Datenkategorien) Daten verarbeiten. 3 Wann greift die DSGVO, wo gilt sie? Die DSGVO gilt für die Verarbeitung personenbezogener Daten in der Europäischen Union mit folgenden Ausnahmen: Sie greift nicht bei Datenverarbeitungen im Rahmen der persönlichen und familiären Tätigkeit ("Haushaltsausnahme"). Ebenso wenig gilt sie für Behörden im Zusammenhang mit der Verfolgung von Straftaten sowie für den Schutz vor und die Abwehr von Gefahren für die öffentliche Sicherheit. Polizei und Staatsanwaltschaft unterliegen daher gesonderten Datenschutzregelungen. Räumlich gilt die DSGVO in der Europäischen Union. Neu ist, dass die DSGVO auch über einen erweiterten Anwendungsbereich verfügt. So ist sie auch auf Verantwortliche im EU-Ausland anwendbar, wenn diese Waren oder Dienstleistungen in der EU anbieten (entgeltlich oder unentgeltlich) oder wenn diese Verantwortlichen das Verhalten von Betroffenen in der Europäischen Union beobachten. Somit erstreckt sich der räumliche Anwendungsbereich auch auf außereuropäische Unternehmen, die auf dem europäischen Markt tätig sind (sogenanntes "Markttorprinzip", geregelt in Art 3 Abs 2 DSGVO). Dieses Markttorprinzip wurde geschaffen, um gleiche Wettbewerbsbedingungen für alle Unternehmen, die Waren oder Dienstleistungen auf dem europäischen Markt anbieten, herbeizuführen. Unternehmen, die unter dieses Markttorprinzip fallen haben gemäß Art 25 DSGVO einen in der EU niedergelassen Vertreter zu benennen, sofern ihre auf das Gebiet der Europäischen Union abzielenden Datenverarbeitungen nicht nur gelegentlich erfolgen. 3

5 4 Der Einzelne im Mittelpunkt: Die Rechte des Betroffenen Die DSGVO ist geprägt von einer Stärkung der Betroffenenrechte. Jeder, der von einer Datenverarbeitung betroffen ist, soll nunmehr über verstärkte Auskunfts- und Kontrollmöglichkeiten verfügen. Demgemäß normiert die DSGVO hohe Anforderungen an eine transparente Information, Kommunikation und an die Modalitäten für die Ausübung der Betroffenenrechte. Dabei hat der Verantwortliche geeignete Maßnahmen zu treffen, um der betroffenen Person alle Informationen in präziser, transparenter, verständlicher, leicht zugänglicher Form und darüber hinaus in einfacher und klarer Sprache zu übermitteln. Diese Übermittlung hat schriftlich zu erfolgen. Im Detail sehen die Artikel 13 und 14 DSGVO einen umfangreichen Katalog an proaktiv an die Betroffenen zu erteilenden Informationen vor. Neben Namen und Kontaktdaten des Verantwortlichen sind die Verarbeitungszwecke und die Rechtsgrundlagen für die Verarbeitung der Daten des Betroffenen zu nennen. Auch müssen allfällige Empfänger dieser Daten und deren Sitz bzw Sitzstaat bekannt gegeben werden. Zusätzlich sind den Betroffenen zum Zeitpunkt der Erhebung der Daten auch die Speicherdauer und die Kriterien der Speicherlänge sowie Hinweise auf die Auskunfts- und Berichtigungsrechte und bei einer etwaigen Einwilligung auch eine Widerrufsbelehrung zu erteilen. All diese Informationen sollen eine faire und transparente Datenverarbeitung gewährleisten. Darüber hinaus müssen weitere Informationen bereitgestellt werden, sofern die Daten nicht direkt bei der betroffenen Person erhoben werden. Werden die erlangten Daten zu anderen Zwecken als jenem der Datenerhebung verarbeitet, so ist eine neuerliche Information über diese (neuen) Zwecke bereitzustellen. Wie auch bisher steht den Betroffenen das Recht auf Auskunft über die sie betreffenden personenbezogenen Datenverarbeitungen zu. Ebenso genießen sie das Recht auf Berichtigung bzw Vervollständigung unrichtiger oder unvollständiger Daten und auch das Recht auf Löschung unrichtiger Daten. So etwa, wenn die Daten, zu deren Zweck sie erhoben wurden, nicht mehr erforderlich sind oder eine etwaige Einwilligung widerrufen wurde. Eine besondere Variante des Löschungsanspruches besteht durch das in der DSGVO neu geschaffene "Recht auf Vergessenwerden" (Right to be forgotten). Dieses erweitert den "allgemeinen" Löschungsanspruch insofern, als im Fall einer vom Verantwortlichen verursachten Veröffentlichung der Daten (zb auf Sozialen Netzwerken) der Betroffene von diesem Verantwortlichen verlangen kann, dass er all jene von der Pflicht zur Datenlöschung informiert, welche nun ebenfalls über die Daten des Betroffenen verfügen. Dies innerhalb der Grenzen des wirtschaftlich und technisch Machbaren. Die Löschpflicht umfasst neben den Daten und Datenkopien auch Links auf die Daten und Kopien. 4

6 Neu ist auch das Recht auf Datenübertragbarkeit (Datenportabilität), welches den Betroffenen unter bestimmten Voraussetzungen einen Anspruch gewährt, dass ihnen eine Kopie ihrer personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügung gestellt wird. Jeder Betroffene kann entscheiden, ob er die Daten selbst erhalten will oder ob der bisherige Verarbeiter der Daten diese unmittelbar an einen neuen Verarbeiter weitergeben muss (als Anwendungsfall ist etwa an einen Bankenwechsel des Kunden oder an einen Wechsel des Energieanbieters zu denken). Es kommt den Betroffenen auch ein allgemeines Widerspruchsrecht gegen eine grundsätzlich rechtmäßige Verarbeitung ihrer personenbezogenen Daten zu. Demzufolge hat der Betroffene ein unbedingtes Widerspruchsrecht bei Datenverarbeitungen im Zusammenhang mit Direktmarketingaktivitäten und insbesondere beim Profiling. Bei anderen Datenverarbeitungsprozessen geht mit dem Widerspruchsrecht eine Interessensabwägung einher. Ist strittig, ob Daten zu löschen sind oder ob deren Verarbeitung widersprochen werden kann, so darf der Betroffene bis zur Klärung dessen die Einschränkung der Verarbeitung seiner Daten verlangen. Bis auf wenige Ausnahmen (etwa zur Rechtsdurchsetzung) dürfen die Daten des Betroffenen nach verlangter Einschränkung nur mit der Einwilligung des Betroffenen verarbeitet werden. Der Betroffene hat seine Rechte mittels gesonderten Antrags beim Verantwortlichen geltend zu machen. Sollte der Verantwortliche diesem Antrag nicht binnen eines Monats entsprechen, steht die Möglichkeit einer Beschwerde an die Aufsichtsbehörde offen. 5 Profiling Die DSGVO schenkt dem "Profiling" besondere Aufmerksamkeit: Dieses wird in Art 4 Abs 4 der DSGVO als eine Datenverarbeitung definiert, die darauf abzielt, persönliche Aspekte einer Person zu bewerten, insbesondere hinsichtlich ihrer Arbeitsleistung, wirtschaftlichen Lage, Gesundheit, Vorlieben, Interessen, Zuverlässigkeit, Verhalten, ihres Aufenthaltsorts oder ihrer Ortswechsel. Mit anderen Worten ist damit die Erstellung persönlicher Profile angesprochen. Derartiges wertet die DSGVO als besonders eingriffsintensiv. Art 14 DSGVO sieht daher eine besondere Informationspflicht im Falle des Profilings vor und legt fest, dass hierbei aussagekräftige Informationen über die involvierte Programmlogik und über die Tragweite des Profilings und die damit angestrebten Auswirkungen zu erteilen sind. Wie zuvor erwähnt, besteht beim Profiling auch ein besonderes Widerspruchsrecht. Hinzu kommen noch besondere Anforderungen an das Profiling im Zusammenhang mit der Datenschutzfolgenabschätzung. 5

7 Auch dadurch sollen die Grundsätze einer fairen und transparenten Datenverarbeitung sichergestellt sowie den Betroffenen ausreichende Informationen über die sie betreffenden Verarbeitungsvorgänge erteilt werden. 6 Internationale Datentransfers In ihrem Kapitel 5 widmet dies DSGVO ein ganzes Kapitel der komplexen Materie des internationalen Datenverkehrs ("Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen"). Hierbei orientiert sich die DSGVO jedoch stark an den bisherigen Regelungen, sie setzt dabei aber zum Teil auch neue Akzente. Grundsätzlich gilt wie bisher, dass die Übermittlung von personenbezogenen Daten in ein Drittland (= ein Land außerhalb der Europäischen Union) oder an eine internationale Organisation nur dann zulässig ist, wenn der Verantwortliche oder der Auftragsverarbeiter die Bedingungen des Kapitel 5 der DSVGO erfüllen und die sonstigen Bestimmungen der DSGVO auch im Empfängerland beachtet werden. Eine Übermittlung ist demnach etwa zulässig, wenn die Europäische Kommission mittels Kommissionsentscheidung einem Drittland, einem Gebiet dieses Drittlands oder mehreren spezifischen Sektoren in diesem Drittland ein angemessenes Datenschutzniveau attestiert. In diesen Fällen bedarf der internationale Datentransfer keiner gesonderten Genehmigung. Falls derartiges nicht besteht, darf ein Verantwortlicher oder ein Auftragsverarbeiter personenbezogene Daten an ein Drittland nur übermitteln, sofern der Verantwortliche geeignete Garantien vorgesehen hat und sofern den von dem Datenverkehr Betroffenen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen. Diese Garantien können einerseits die von der EU-Kommission angenommenen Standardvertragsklauseln oder auch unternehmensinterne Regeln (Binding Corporate Rules) bilden. Neu hinzugekommen sind "anerkannte Verhaltensregeln" bzw durchsetzbare Pflichten und Garantien, die als Grundlage für einen Datentransfer dienen können. Ebenso können Zertifizierungen im Drittstaat als Grundlage für einen Datentransfer dienen (hier wäre etwa an den "Privacy Shield" als mögliche Nachfolgerregelung für die gekippte Safe Harbor-Privilegierung zu denken). Diese Zertifizierungen müssen mit durchsetzbaren Verpflichtungen verknüpft werden. Unverändert zur bisherigen Rechtslage bildet auch die Einwilligung des Betroffenen zu einem Datentransfer in Drittstaaten eine ausreichende Rechtsgrundlage. Der Betroffene muss aber ausdrücklich nach vorheriger Belehrung über die fehlenden Garantien des Drittstaats eingewilligt haben. Zudem könnte er diese Zustimmung jederzeit widerrufen, sodass die Einwilligung, sofern gültig erteilt, nur eine "tönerne" Rechtsgrundlage bildet. Wichtig ist, dass bereits erteilte Genehmigungen von Datentransfers unter der DSGVO ihre Gültigkeit behalten. 6

8 7 Technischer und organisatorischer Datenschutz Die Pflichten für Verantwortliche werden unter der DSGVO verschärft. Beispielsweise gewinnen technische und organisatorische Datenschutzmaßnahmen an Bedeutung. Dazu zählen ua die Regelungen zum Datenschutz durch Technik und Datenschutz durch datenschutzfreundliche Voreinstellungen (Privacy by Design / Privacy by Default). Mit diesen beiden Bestimmungen will die DSGVO dem Prinzip der Datenminimierung Vorschub leisten. Demgemäß ist es in der Verantwortung des Datenverarbeiters gelegen sowohl in technischer Sicht als auch durch Voreinstellungen sicherzustellen, dass tatsächlich nur die für den Verarbeitungszweck erforderlichen Daten verarbeitet werden. Die Implementierung einer umfänglichen Datenbank etwa, von der nur Teile in der tatsächlichen Datenverarbeitung genutzt werden, wäre unter der DSGVO somit kritisch zu sehen. Generell hat der Verantwortliche wie bereits bisher angemessene technische und organisatorische Datensicherheitsmaßnahmen zu treffen. Zur Beurteilung der Angemessenheit dieser Maßnahmen werden der Stand der Technik, die Implementierungskosten sowie die Risiken der Datenverarbeitung und auch deren Eintrittswahrscheinlichkeit sowohl im Zeitpunkt der Festlegung der Mittel, als auch im Zeitpunkt der Verarbeitung personenbezogener Daten mit einbezogen. 8 Was passiert, wenn was passiert? Die Data Breach Notification Duty Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche diese Verletzung der zuständigen Aufsichtsbehörde melden. Diese Meldung hat ohne unangemessene Verzögerung, möglichst binnen 72 Stunden zu erfolgen, nachdem dem Verantwortlichen die Verletzung bekannt wurde. Erfolgt die Meldung erst nach 72 Stunden, so ist dies vom Verantwortlichen entsprechend zu begründen. Eine Ausnahme von der Meldepflicht besteht, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten des Betroffenen führt (weil zb geeignete Verschlüsselungen vorhanden waren, die bei einem Verlust des Datenträgers eine Kenntnisnahme der Daten durch Dritte ausschließt). Der Verantwortliche hat der Aufsichtsbehörde umfängliche Informationen über die eingetretene Verletzung des Datenschutzes zu erteilen, sodass die 72-stündige Frist durchaus knapp bemessen ist. Neben der Meldepflicht an die Aufsichtsbehörde hat der Verantwortliche auch die betroffenen Personen von der Verletzung in Kenntnis zu setzen, wenn eine Wahrscheinlichkeit besteht, dass diese Verletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bewirkt. Auch die Betroffenen sind ohne unangemessene Verzögerung zu informieren. 7

9 9 Bevor die Verarbeitung losgeht: Die Datenschutz-Folgenabschätzung Mit der Datenschutz-Folgenabschätzung schafft die DSGVO ein gänzlich neues Instrument. Birgt eine Datenverarbeitung aufgrund ihrer Art, ihres Umfangs, ihrer Umstände oder ihrer Verarbeitungszwecke ein erhöhtes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen, so muss der Verantwortliche vorab schon eine Abschätzung der Folgen für den Schutz der von dieser Verarbeitung betroffenen Daten durchführen. Die DSGVO erwähnt hierfür beispielhafte Fallgruppen, wie etwa das Profiling oder die Verarbeitung besonderer Kategorien von Daten (bisher: sensible Daten) oder die systematische und weiträumige Überwachung öffentlich zugänglicher Bereiche (Videoüberwachung von öffentlichen Plätzen). Die Datenschutz-Folgenabschätzung bedeutet also, dass der Verantwortliche pro futuro die Folgen seiner Datenverarbeitung einschätzen muss. Sie hat zumindest die systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Verarbeitungszwecke und eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung gegenüber ihren Risiken zu enthalten. Sollte diese (betriebsinterne) Datenschutz-Folgenabschätzung ein hohes Risiko zu Tage bringen, welchem nicht mit der Implementierung geeigneter technischer Maßnahmen begegnet werden kann, so ist der Verantwortliche verpflichtet, die Aufsichtsbehörde zu konsultieren. 10 Der Experte im Unternehmen: Der Datenschutzbeauftragte Die DSGVO sieht die verpflichtende Bestellung eines Datenschutzbeauftragten in drei Fällen vor: (i) (ii) (iii) Wenn die Datenverarbeitung von Behörden oder öffentlichen Stellen durchgeführt wird (mit Ausnahme von Gerichten bei rechtsprechender Tätigkeit); Wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und / oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Beobachtung von Personen erforderlich macht (anders ausgedrückt: kein Profiling ohne Datenschutzbeauftragten); Wenn die Kerntätigkeit des Verantwortlichen oder Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht. 8

10 Von der letzten Fallgruppe sind etwa alle Unternehmen betroffen, welche Gesundheitsdaten verarbeiten. Denn besondere Kategorien personenbezogener Daten sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugung oder die Gewerkschaftszugehörigkeit hervorgehen, aber auch genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Was unter einer "Kerntätigkeit" zu verstehen ist, wird in Erwägungsgrund 97 der DSGVO erklärt: Im privaten Sektor bezieht sich die Kerntätigkeit eines Verantwortlichen auf seine Haupttätigkeiten und nicht auf die Verarbeitung personenbezogener Daten als Nebentätigkeit. Die Mitgliedsstaaten können im nationalen Recht weitere Fälle für die Bestellung von Datenschutzbeauftragten vorschreiben. Ob Österreich von dieser Möglichkeit Gebrauch machen wird, bleibt abzuwarten. Im Übrigen können Verantwortliche und Auftragsverarbeiter auch freiwillig einen Datenschutzbeauftragten bestellen. Der Datenschutzbeauftragte ist weisungsfrei zu stellen und berichtet direkt der Führungsebene. Er darf bei der Erfüllung seiner Aufgaben nicht benachteiligt werden und der Verantwortliche hat sicherzustellen, dass der Datenschutzbeauftragte in alle Fragen, die im Zusammenhang mit dem Schutz personenbezogener Daten auftreten, eingebunden wird. Dem Datenschutzbeauftragten sind außerdem die erforderlichen Ressourcen zur Verfügung zu stellen und zur Geheimhaltung verpflichtet. Zu den Pflichten des Datenschutzbeauftragten gehören unter anderem die Unterrichtung und Beratung des Verantwortlichen sowie der dort Beschäftigten und die betriebsinterne Überwachung und Einhaltung der datenschutzrechtlichen Vorschriften aus der DSGVO. Zusätzlich soll die Zusammenarbeit mit der Aufsichtsbehörde vom Datenschutzbeauftragten wahrgenommen werden. 11 Verhaltensregeln und Zertifizierung Die DSGVO sieht vor, dass Mitgliedsstaaten, Aufsichtsbehörden, der Europäische Datenschutzausschuss (und andere Organe, wie zb Verbände) die Ausarbeitung von Verhaltensregeln forcieren. Diese Verhaltensregeln sollen branchenspezifisch erstellt werden. Auch Interessensvertreter (zb Verbände von Verantwortlichen oder Auftragsverarbeitern) können Verhaltensregeln ausarbeiten. 9

11 Diese Verhaltensregeln sollen auf bestimmte Aspekte fokussieren, wie beispielsweise auf die faire und transparente Datenverarbeitung, auf die Methoden der Datenerhebung, auf Pseudonymisierungsmethoden oder auf Meldungen von Verletzungen des Schutzes personenbezogener Daten. Betreffen die Verhaltensregeln mehrere Mitgliedsstaaten, können sie von der Europäischen Kommission genehmigt werden. Dadurch erlangen diese Verhaltensregeln allgemeine Gültigkeit und können als Nachweis geeigneter Garantien dienen. Der Europäische Datenschutzausschuss wird ein Register über genehmigte Verhaltensregeln führen. Sofern die Verhaltensregeln nur die Tätigkeiten in einem Mitgliedsstaat betreffen, obliegt die Genehmigung der Verhaltensregeln der nationalen Aufsichtsbehörde. Die DSGVO sieht auch die Möglichkeit der Zertifizierung von Verarbeitungsvorgängen vor. Damit soll erreicht werden, dass Verarbeitungsvorgänge nur im Einklang mit der DSGVO aufgesetzt werden. Die Zertifizierung wird durch die Aufsichtsbehörde oder durch dafür eigens eingerichtete, akkreditierte Stellen vorgenommen und anhand der von der zuständigen Aufsichtsbehörde oder dem Europäischen Datenschutzausschuss genehmigten Kriterien erteilt. 12 Rechtsdurchsetzung und Sanktionen die neue Welt der Strafen Der Entstehungsweg der DSGVO war durchwegs vom Gedanken der Strafverschärfung und der Wirksamkeit von Sanktionen geprägt. Demgemäß werden den Datenschutzaufsichtsbehörden künftig umfangreichere Befugnisse zukommen und die Sanktionsmöglichkeiten werden ausgedehnt. Nach der DSGVO sind für bestimmte Rechtsverstöße Bußgelder von bis zu 4% des Jahresumsatzes eines Unternehmens (konzernweit) bzw bis zu EUR 20 Millionen vorgesehen, wobei der jeweils höhere Wert gelten soll. Damit wurde der Sanktionsgehalt bei Datenschutzverstößen bewusst etwa in die Nähe des Kartellrechts gerückt. Daneben bestehen auch gerichtliche Rechtsbehelfe: Die DSGVO sieht vor, dass jeder Person neben dem Gang zur Aufsichtsbehörde auch der Weg an die Gerichte offen steht. Zudem wurde eine Sukzessivkompetenz der Gerichte verankert, wonach dem Betroffenen das Recht auf eine gerichtliche Entscheidung zusteht, wenn sich die Aufsichtsbehörde nicht innerhalb von drei Monaten mit einer vom Betroffenen erhobenen Beschwerde befasst. 10

12 13 Die Aufsichtsbehörden und der One Stop Shop Die DSGVO sieht die Einrichtung (mindestens einer) unabhängigen Aufsichtsbehörde in jedem Mitgliedstaat vor. Ihre zentrale Aufgabe liegt darin, die Einhaltung der DSGVO sicherzustellen. Sie sollen einen zentralen Beitrag zu einer einheitlichen Anwendung der DSGVO in der gesamten Union leisten, damit die Grundrechte und Grundfreiheiten der Betroffenen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten geschützt sind. Die Unabhängigkeit der Behörde kommt unter anderem durch die Verpflichtung zum Ausdruck, dass die Aufsichtsbehörden mit ausreichenden technischen, personellen und finanziellen Ressourcen auszustatten sind. Dem Gedanken der europaweiten Harmonisierung folgend, soll auf europäischer Ebene künftig ein verstärkter Austausch zwischen den Datenschutzaufsichtsbehörden stattfinden. In Fällen grenzüberschreitender Datenverarbeitungen durch ein Unternehmen wird eine "federführende" Aufsichtsbehörde definiert, welche als "One Stop Shop"-Behörde für dieses Unternehmen gesamthaft zuständig ist. In diesen "One-Stop-Shop-Fällen" trägt ein Kohärenzverfahren dafür Sorge, dass die nationalen, von den grenzüberschreitenden Datenverarbeitungen des Unternehmens betroffenen Aufsichtsbehörden der einzelnen Mitgliedstaaten ihre Aufsichtspflichten wahrnehmen können, dass im Rahmen dieses Verfahrens Konsens zwischen der federführenden und diesen mitbetroffenen Aufsichtsbehörden erreicht wird und dass im Rahmen dieses Konsens verbindliche Beschlüsse gefasst werden können. Dieser Mechanismus soll der ordnungsgemäßen und einheitlichen Anwendung der DSGVO dienen, auch wenn das Unternehmen nur noch die federführende Aufsichtsbehörde als Ansprechpartner hat. Ebenso zur Förderung der einheitlichen Rechtsanwendung wird auf europäischer Ebene der Europäische Datenschutzausschuss eingerichtet. Dieser agiert als unabhängige Einrichtung der Union. Er soll die mit der Richtlinie 95/46/EG eingesetzte Arbeitsgruppe für den Schutz der Rechte von Personen bei der Verarbeitung personenbezogener Daten (die sog "Art 29- Datenschutzgruppe") ersetzen. Zu seinen Aufgaben zählt es, gemeinsame Positionen, Stellungnahmen und Richtlinien zu erarbeiten. 11

13 Textgegenüberstellung 12

14 Datenschutz-Grundverordnung vs Datenschutzgesetz 2000 Die nachstehende Textgegenüberstellung vermittelt einen anschaulichen Überblick über die Änderungen der Datenschutz- Grundverordnung (DSGVO). Sie bietet eine praxisrelevante Gegenüberstellung der Bestimmungen der DSGVO mit ihren wesensgleichen, bisher in Geltung stehenden Äquivalenten des Datenschutzgesetzes Die linke, schattierte Spalte enthält die Bestimmungen der DSGVO in fortlaufender Nummerierung. Der DSGVO gegenüber stehen in der rechten Spalte die wesensgleichen Bestimmungen des Datenschutzgesetzes In jenen Fällen, in denen den Neuerungen der DSGVO kein Äquivalent aus dem Datenschutzgesetz 2000 gegenübersteht, findet sich in der Bezug habenden Zeile nur der schattierte Text der DSGVO. Legende: 1 Grau hinterlegte Kapitel Hierbei handelt es sich um Neuerungen der DSGVO, in welchen sich zum Teil bereits aus dem Datenschutzgesetz 2000 bekannte Rechtsprinzipien widerspiegeln (zb Art 7 und 8 DSGVO: Bedingungen zur datenschutzrechtlichen Einwilligung; die in diesen Artikeln formulierten Bedingungen sind neu, das Rechtsinstitut der datenschutzrechtlichen Einwilligung ist aus dem DSG 2000 bekannt). 2 Pink hinterlegte Kapitel Hierbei handelt es sich um Neuerungen der DSGVO, welche bislang im Datenschutzgesetz 2000 dem Grunde nach nicht vorgesehen waren (zb Art 60 ff: Kohärenzverfahren). 3 Hierbei handelt es sich um Änderungen, auf die besonderes Augenmerk gelegt werden sollte. 13

15 Kapitel 1: Allgemeine Bestimmungen Art 1 Gegenstand und Ziele (1) Diese Verordnung enthält Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. (2) Diese Verordnung schützt die Grundrechte und Grundfreiheiten natürlicher Personen und insbesondere deren Recht auf Schutz personenbezogener Daten. (3) Der freie Verkehr personenbezogener Daten in der Union darf aus Gründen des Schutzes natürlicher Personen bei der Verarbeitung personenbezogener Daten weder eingeschränkt noch verboten werden. Art 2 Sachlicher Anwendungsbereich (1) Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. (2) Diese Verordnung findet keine Anwendung auf die Verarbeitung personenbezogener Daten a) im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt, b) durch die Mitgliedstaaten im Rahmen von Tätigkeiten, die in den Anwendungsbereich von Titel V Kapitel 2 EUV fallen, c) durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, d) durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit. (3) Für die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der Union gilt die Verordnung (EG) Nr. 45/2001. Die Verordnung (EG) Nr. 45/2001 und sonstige Rechtsakte der Union, die diese Verarbeitung personenbezogener Daten regeln, werden im Einklang mit Artikel 98 an die Grundsätze und Vorschriften der vorliegenden Verordnung angepasst. (4) Die vorliegende Verordnung lässt die Anwendung der Richtlinie 2000/31/EG und speziell die Vorschriften der Artikel 12 bis 15 dieser Richtlinie zur Verantwortlichkeit der Vermittler unberührt. 14

16 Art 3 Räumlicher Anwendungsbereich (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. (2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist; b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. (3) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der Union niedergelassenen Verantwortlichen an einem Ort, der aufgrund Völkerrechts dem Recht eines Mitgliedstaats unterliegt. Art 4 Begriffsbestimmungen Im Sinne dieser Verordnung bezeichnet der Ausdruck: 1. personenbezogene Daten alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden betroffene Person ) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen 3 Räumlicher Anwendungsbereich (1) Die Bestimmungen dieses Bundesgesetzes sind auf die Verwendung von personenbezogenen Daten im Inland anzuwenden. Darüber hinaus ist dieses Bundesgesetz auf die Verwendung von Daten im Ausland anzuwenden, soweit diese Verwendung in anderen Mitgliedstaaten der Europäischen Union für Zwecke einer in Österreich gelegenen Haupt- oder Zweigniederlassung ( 4 Z 15) eines Auftraggebers ( 4 Z 4) geschieht. (2) Abweichend von Abs. 1 ist das Recht des Sitzstaates des Auftraggebers auf eine Datenverarbeitung im Inland anzuwenden, wenn ein Auftraggeber des privaten Bereichs ( 5 Abs. 3) mit Sitz in einem anderen Mitgliedstaat der Europäischen Union personenbezogene Daten in Österreich zu einem Zweck verwendet, der keiner in Österreich gelegenen Niederlassung dieses Auftraggebers zuzurechnen ist. (3) Weiters ist dieses Bundesgesetz nicht anzuwenden, soweit personenbezogene Daten durch das Inland nur durchgeführt werden. (4) Von den Abs. 1 bis 3 abweichende gesetzliche Regelungen sind nur in Angelegenheiten zulässig, die nicht dem Recht der Europäischen Gemeinschaften unterliegen. 4 Definitionen Im Sinne der folgenden Bestimmungen dieses Bundesgesetzes bedeuten die Begriffe: 1. Daten ( personenbezogene Daten ): Angaben über Betroffene (Z 3), deren Identität bestimmt oder bestimmbar ist; nur indirekt personenbezogen sind Daten für einen Auftraggeber (Z 4), Dienstleister (Z 5) oder Empfänger einer Übermittlung (Z 12) dann, wenn der Personenbezug der Daten derart ist, dass dieser Auftraggeber, Dienstleister oder Übermittlungsempfänger die Iden- 15

17 oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; 2. Verarbeitung jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; 3. Einschränkung der Verarbeitung die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken; 4. Profiling jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen; 5. Pseudonymisierung die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden; 6. Dateisystem jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Getität des Betroffenen mit rechtlich zulässigen Mitteln nicht bestimmen kann; 2. sensible Daten ( besonders schutzwürdige Daten ): Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben; 3. Betroffener : jede vom Auftraggeber (Z 4) verschiedene natürliche oder juristische Person oder Personengemeinschaft, deren Daten verwendet (Z 8) werden; 4. Auftraggeber: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie allein oder gemeinsam mit anderen die Entscheidung getroffen haben, Daten zu verwenden (Z 8), unabhängig davon, ob sie die Daten selbst verwenden (Z 8) oder damit einen Dienstleister (Z 5) beauftragen. Sie gelten auch dann als Auftraggeber, wenn der mit der Herstellung eines Werkes beauftragte Dienstleister (Z 5) die Entscheidung trifft, zu diesem Zweck Daten zu verwenden (Z 8), es sei denn dies wurde ihm ausdrücklich untersagt oder der Beauftragte hat auf Grund von Rechtsvorschriften oder Verhaltensregeln über die Verwendung eigenverantwortlich zu entscheiden; 5. Dienstleister: natürliche oder juristische Personen, Personengemeinschaften oder Organe einer Gebietskörperschaft beziehungsweise die Geschäftsapparate solcher Organe, wenn sie Daten nur zur Herstellung eines ihnen aufgetragenen Werkes verwenden (Z 8); 6. Datei : strukturierte Sammlung von Daten, die nach mindestens einem Suchkriterium zugänglich sind; 7. Datenanwendung : die Summe der in ihrem Ablauf logisch verbundenen Verwendungsschritte (Z 8), die zur Erreichung eines inhaltlich bestimmten Ergebnisses (des Zweckes der Datenanwendung) geordnet sind und zur Gänze oder auch nur teilweise automationsunterstützt, also maschinell und pro- 16

18 sichtspunkten geordnet geführt wird; 7. Verantwortlicher die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; 8. Auftragsverarbeiter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; 9. Empfänger eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger; die Verarbeitung dieser Daten durch die genannten Behörden erfolgt im Einklang mit den geltenden Datenschutzvorschriften gemäß den Zwecken der Verarbeitung; 10. Dritter eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; 11. Einwilligung der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden grammgesteuert, erfolgen (automationsunterstützte Datenanwendung); 8. Verwenden von Daten: jede Art der Handhabung von Daten, also sowohl das Verarbeiten (Z 9) als auch das Übermitteln (Z 12) von Daten; 9. Verarbeiten von Daten: das Ermitteln, Erfassen, Speichern, Aufbewahren, Ordnen, Vergleichen, Verändern, Verknüpfen, Vervielfältigen, Abfragen, Ausgeben, Benützen, Überlassen (Z 11), Sperren, Löschen, Vernichten oder jede andere Art der Handhabung von Daten mit Ausnahme des Übermittelns (Z 12) von Daten; (Anm.: Z 10 aufgehoben durch BGBl. I Nr. 133/2009) 11. Überlassen von Daten: die Weitergabe von Daten zwischen Auftraggeber und Dienstleister im Rahmen des Auftragsverhältnisses (Z 5); 12. Übermitteln von Daten: die Weitergabe von Daten an andere Empfänger als den Betroffenen, den Auftraggeber oder einen Dienstleister, insbesondere auch das Veröffentlichen von Daten; darüber hinaus auch die Verwendung von Daten für ein anderes Aufgabengebiet des Auftraggebers; 13. Informationsverbundsystem : die gemeinsame Verarbeitung von Daten in einer Datenanwendung durch mehrere Auftraggeber und die gemeinsame Benützung der Daten in der Art, dass jeder Auftraggeber auch auf jene Daten im System Zugriff hat, die von den anderen Auftraggebern dem System zur Verfügung gestellt wurden; 14. Zustimmung : die gültige, insbesondere ohne Zwang abgegebene Willenserklärung des Betroffenen, dass er in Kenntnis der Sachlage für den konkreten Fall in die Verwendung seiner Daten einwilligt; 15. Niederlassung : jede durch feste Einrichtungen an einem bestimmten Ort räumlich und funktional abgegrenzte Organisationseinheit mit oder ohne Rechtspersönlichkeit, die am Ort ihrer Einrichtung auch tatsächlich Tätigkeiten ausübt. 17

19 ist; 12. Verletzung des Schutzes personenbezogener Daten eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden; 13. genetische Daten personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betreffenden natürlichen Person gewonnen wurden; 14. biometrische Daten mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen oder verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder oder daktyloskopische Daten; 15. Gesundheitsdaten personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen; 16. Hauptniederlassung a) im Falle eines Verantwortlichen mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union, es sei denn, die Entscheidungen hinsichtlich der Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen in der Union getroffen und diese Niederlassung ist befugt, diese Entscheidungen umsetzen zu lassen; in diesem Fall gilt die Niederlassung, die derartige Entscheidungen trifft, als Hauptniederlassung; 18

20 b) im Falle eines Auftragsverarbeiters mit Niederlassungen in mehr als einem Mitgliedstaat den Ort seiner Hauptverwaltung in der Union oder, sofern der Auftragsverarbeiter keine Hauptverwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in der die Verarbeitungstätigkeiten im Rahmen der Tätigkeiten einer Niederlassung eines Auftragsverarbeiters hauptsächlich stattfinden, soweit der Auftragsverarbeiter spezifischen Pflichten aus dieser Verordnung unterliegt; 17. Vertreter eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter in Bezug auf die ihnen jeweils nach dieser Verordnung obliegenden Pflichten vertritt; 18. Unternehmen eine natürliche und juristische Person, die eine wirtschaftliche Tätigkeit ausübt, unabhängig von ihrer Rechtsform, einschließlich Personengesellschaften oder Vereinigungen, die regelmäßig einer wirtschaftlichen Tätigkeit nachgehen; 19. Unternehmensgruppe eine Gruppe, die aus einem herrschenden Unternehmen und den von diesem abhängigen Unternehmen besteht; 20. verbindliche interne Datenschutzvorschriften Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich ein im Hoheitsgebiet eines Mitgliedstaats niedergelassener Verantwortlicher oder Auftragsverarbeiter verpflichtet im Hinblick auf Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Verantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe oder derselben Gruppe von Unternehmen, die eine gemeinsame Wirtschaftstätigkeit ausüben, in einem oder mehreren Drittländern; 21. Aufsichtsbehörde eine von einem Mitgliedstaat gemäß Artikel 51 eingerichtete unabhängige staatliche Stelle; 19

21 22. betroffene Aufsichtsbehörde eine Aufsichtsbehörde, die von der Verarbeitung personenbezogener Daten betroffen ist, weil a) der Verantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde niedergelassen ist, b) diese Verarbeitung erhebliche Auswirkungen auf betroffene Personen mit Wohnsitz im Mitgliedstaat dieser Aufsichtsbehörde hat oder haben kann oder c) eine Beschwerde bei dieser Aufsichtsbehörde eingereicht wurde; 23. grenzüberschreitende Verarbeitung entweder a) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Niederlassungen eines Verantwortlichen oder eines Auftragsverarbeiters in der Union in mehr als einem Mitgliedstaat erfolgt, wenn der Verantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat niedergelassen ist, oder b) eine Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten einer einzelnen Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, die jedoch erhebliche Auswirkungen auf betroffene Personen in mehr als einem Mitgliedstaat hat oder haben kann; 24. maßgeblicher und begründeter Einspruch einen Einspruch gegen einen Beschlussentwurf im Hinblick darauf, ob ein Verstoß gegen diese Verordnung vorliegt oder ob beabsichtigte Maßnahmen gegen den Verantwortlichen oder den Auftragsverarbeiter im Einklang mit dieser Verordnung steht, wobei aus diesem Einspruch die Tragweite der Risiken klar hervorgeht, die von dem Beschlussentwurf in Bezug auf die Grundrechte und Grundfreiheiten der betroffenen Personen und gegebenenfalls den freien Verkehr personenbezogener Daten in der Union ausgehen; 25. Dienst der Informationsgesellschaft eine Dienstleistung im Sinne des Artikels 1 Nummer 1 Buchstabe b der Richtlinie (EU) 2015/1535 des Europäi- 20

22 schen Parlaments und des Rates (1); 26. internationale Organisation eine völkerrechtliche Organisation und ihre nachgeordneten Stellen oder jede sonstige Einrichtung, die durch eine zwischen zwei oder mehr Ländern geschlossene Übereinkunft oder auf der Grundlage einer solchen Übereinkunft geschaffen wurde. Kapitel 2: Grundsätze Art 5 Grundsätze für die Verarbeitung personenbezogener Daten 6 Grundsätze (1) Personenbezogene Daten müssen a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden ( Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz ); b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt gemäß Artikel 89 Absatz 1 nicht als unvereinbar mit den ursprünglichen Zwecken ( Zweckbindung ); c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein ( Datenminimierung ); d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden ( Richtigkeit ); e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet (1) Daten dürfen nur 1. nach Treu und Glauben und auf rechtmäßige Weise verwendet werden; 2. für festgelegte, eindeutige und rechtmäßige Zwecke ermittelt und nicht in einer mit diesen Zwecken unvereinbaren Weise weiterverwendet werden; die Weiterverwendung für wissenschaftliche oder statistische Zwecke ist nach Maßgabe der 46 und 47 zulässig; 3. soweit sie für den Zweck der Datenanwendung wesentlich sind, verwendet werden und über diesen Zweck nicht hinausgehen; 4. so verwendet werden, dass sie im Hinblick auf den Verwendungszweck im Ergebnis sachlich richtig und, wenn nötig, auf den neuesten Stand gebracht sind; 5. solange in personenbezogener Form aufbewahrt werden, als dies für die Erreichung der Zwecke, für die sie ermittelt wurden, erforderlich ist; eine längere Aufbewahrungsdauer kann sich aus besonderen gesetzlichen, insbesondere archivrechtlichen Vorschriften ergeben. (2) Der Auftraggeber trägt bei jeder seiner Datenanwendungen die Verantwortung für die Einhaltung der in Abs. 1 genannten Grundsätze; dies gilt auch 21