Datenschutzrecht: Ihr Anwalt in Graz & Wien
Mit unserem praxiserprobten Know-How im Bereich Datenschutzrecht beantworten wir Ihre Fragen unabhängig von der Größe und der Komplexität Ihrer Datenverarbeitungen. Durch eine schnelle und zielorientierte Aufklärung über Ihre Pflichten und Rechte schützen wir Sie bestmöglich. Rechtsanwalt Mag. Philip Neubauer ist zusätzlich als Datenschutzbeauftragter zertifiziert.
Insbesondere umfasst unsere Tätigkeit folgende Bereiche:
- Aufklärung über Rechte und Pflichten;
- Ausarbeiten der Maßnahmen und Unterstützung bei der Umsetzung der Bestimmungen des Datenschutzrechtes (Datenschutz-Grundverordnung, Datenschutzgesetz);
- Feststellung von Risiken;
- Erstellung und Überprüfung von datenschutzrechtlichen Dokumenten (Informationsschreiben bzw. Datenschutzerklärung, Einwilligungserklärung, Verträge über die Auftragsverarbeitung bzw. gemeinsame Verantwortlichkeit);
- Schulungen
- schadenersatzrechtliche Beratung;
- Vertretung vor Behörden und Gerichten.
Inhalte, die einen Personenbezug haben, fallen unter die Datenschutz-Grundverordnung (DSGVO) und die Grundprinzipien des Datenschutzes müssen eingehalten werden. Diese sind ua. die Zweckbindung, die Datenminimierung die Integrität und Vertraulichkeit (technisch und organisatorische Maßnahmen – TOMs) und die Rechtmäßigkeit der Verarbeitung (Einwilligung, Bestehendes Vertragsverhältnis oder vorvertraglichen Maßnahmen, Rechtliche Verpflichtung, Lebenswichtige Interessen, Öffentliche Interesse oder in Ausübung öffentlicher Gewalt, Berechtigtes Interesse).
Personenbezogene Daten
Einfach ausgedrückt, sind personenbezogene Daten alle Daten, die sich auf eine Person beziehen oder es ermöglichen eine Person zu identifizieren. Beispielsweise lässt der Name ebenso einen Rückschluss auf eine natürliche Person zu, wie etwa die E-Mail-Adresse.
Es ist weiters unerheblich, ob es sich um IT-unterstützte Daten (elektronische Dokumente) oder analoge Daten (handschriftliche Daten oder Dokumente in Papierform) handelt.
Besondere Kategorien personenbezogener Daten („sensible Daten“)
Personenbezogene Daten besonderer Kategorie („sensible Daten“) sind personenbezogene Daten, die besonders schützenswert sind. Sensible Daten sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Rechte der Betroffenen
Der Verantwortliche ist verpflichtet die Betroffenen noch bei der Erhebung der Daten ua. über die Verarbeitung an sich sowie über die Rechte zu informieren. Die Information ist in einer verständlichen und leicht zugänglichen Form sowie einer möglichst einfachen Sprache zu verfassen. Die Information erfolgt durch ein Informationsschreiben bzw. durch eine Datenschutzerklärung. In diesen Schreiben sind folgende Punkte anzuführen:
Nennung des Verantwortlichen und des Datenschutzbeauftragten, Zweck, Rechtsgrundlage (Rechtmäßigkeit der Verarbeitung), Datenkategorien (z.B Name, Geburtsdatum, etc), Empfänger, Speicherdauer (unter Einhaltung der gesetzlichen Aufbewahrungspflicht), Übermittlung an ein Drittland oder eine internationale Organisation, automatisierte Entscheidungsfindung einschließlich Profiling, Nennung der Rechte der Betroffenen;
Betroffene Personen haben das Recht auf Auskunft über gespeicherte personenbezogenen Daten (Auskunftsbegehren), das Recht auf Berichtigung, das Recht auf die Vervollständigung unvollständiger personenbezogener Daten, das Widerrufsrecht bei Einwilligungen, das Recht auf Beschwerde bei der Aufsichtsbehörde, das Recht auf Unterlassung automatischer Entscheidungen im Einzelfall inkl. Profiling. Bei Vorliegen gewisser Voraussetzungen hat die betroffene Person darüber hinaus das Recht auf Löschung seiner personenbezogenen Daten, auf Einschränkung der Verarbeitung, auf Datenübertragbarkeit und das Recht auf Widerspruch.
Integrität und Vertraulichkeit der Daten
Daten sind vor zufälliger oder unrechtmäßiger Zerstörung (nicht gewollte Datenlöschung), vor Verlust, vor unberechtigtem Zugriff und vor rechtswidriger Verwendung zu schützen. Dies erfolgt zum Beispiel durch Zugriffsbeschränkungen, Pseudonymisierung, Passwortmindestvoraussetzung und Umgang mit Passwörtern, Wahl der richtigen Datenschutzeinstellungen und Verschlüsselungen.
Datenschutzverletzungen
Eine Datenschutzverletzung ist die unrechtmäßige Verarbeitung von Daten va. durch die Offenlegung von Daten an Dritte. Ein Verstoß gegen das Datenschutzrecht betrifft sowohl IT-Systeme als auch z.B. der Verlust oder die Weitergabe von personenbezogenen Daten in Form von physischen Listen an nicht autorisierte Dritte.
Bei bestimmten besonders schwerwiegenden Verstößen sieht die DSGVO Geldbußen von bis zu 20 Millionen EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist, vor.
Bei einem Verstoß kann sowohl eine Beschwerde bei der Aufsichtsbehörde (in Österreich ist das die Datenschutzbehörde mit Sitz in Wien) als auch eine Klage bei Gericht eingebracht werden.
Wir beraten Sie gerne über das weitere Vorgehen bei Datenschutzverstößen:
Datenschutz für Unternehmen
Neben der Information der Betroffenen (Mitarbeiter- und Kundendaten, Daten aus Bewerbung sowie von ehemaligen Mitarbeitern) ergeben sich für Unternehmen je nach Größe und Art der Datenverarbeitungen weitreichende Verpflichtungen. So sind ua. Verarbeitungsverzeichnisse zu führen, Datenschutzfolgeabschätzungen durchzuführen, Schulungen für Mitarbeiter sind abzuhalten, technische und organisatorische Maßnahmen (TOMs) sind festzulegen und datenschutzrechtliche Dokumente sind zu erstellen.
Bei der Datenverarbeitung mit oder durch Dritte ist auch zu beurteilen, wer die Zwecke der Verarbeitung und die Mittel zur Verarbeitung festlegt. Ist der Dritte nur ein verlängerter Arm des Verantwortlichen, dann ist dieser grundsätzlich ein Auftragsverarbeiter. Es besteht aber auch die Möglichkeit der gemeinsamen Verantwortlichkeit oder das zwei getrennte Verantwortlichkeiten gegeben sind.
Weitere Verarbeitungen, die bei Unternehmen regelmäßig vorkommen und auf ihre Konformität hin zu kontrollieren sind:
- Homepage (auch hinsichtlich der Cookies, Websiteanalyse)
- Online-Shop
- Videoüberwachung
- Newsletter
- Veranstaltungen
- Videokonferenzen und -besprechungen (ua. Zoom, MS-Teams)
Wir helfen Ihnen gerne bei der Beurteilung Ihres Datenschutzmanagements im Unternehmen und ob es mit den datenschutzrechtlichen Bestimmungen konform ist.
VIDEO: DSGVO einfach erklärt
Weitere Quellen:
https://www.dsb.gv.at/recht-entscheidungen/gesetze-in-oesterreich.html
https://www.ombudsstelle.at/faq/datenschutzrecht/was-regelt-das-datenschutzrecht/