Inhalt

Recht auf Datenschutz in der EU

Datenschutzrichtlinien und Datenschutz-Grundverordnung der Europäischen Union

Das Recht auf Datenschutz ist verankert im

  • „EU-Primärrecht“ (vergleichbar mit dem nationalen Verfassungsrecht), nämlich im Vertrag über die Arbeitsweise der Europäischen Union (Art. 16 AEUV) und in der Grundrechtecharta der Europäischen Union (Art. 8 EU-GRC), und im
  • „EU-Sekundärrecht“ (vergleichbar mit nationalen Gesetzen), nämlich in den Datenschutzrichtlinien beziehungsweise der Datenschutz-Grundverordnung.

Die Datenschutzrichtlinie ist aktuell die Grundlage des österreichischen Datenschutzgesetzes 2000 und regelt die wesentlichen Aspekte des Datenschutzes, wie beispielsweise die Betroffenenrechte (Recht auf Auskunft, Richtigstellung, Löschung, Widerspruch), die Einrichtung nationaler Datenschutzbehörden oder die Voraussetzungen, unter denen Daten überhaupt verwendet werden dürfen.

Die Datenschutzrichtlinie ist derzeit einem grundlegenden Überarbeitungsprozess unterzogen. Es ist geplant, die Datenschutzrichtlinie, die die Datenschutzsituation der 1990er-Jahre widerspiegelt, durch die "Datenschutz-Grundverordnung" zu ersetzen, die die Gegebenheiten des 21. Jahrhunderts stärker berücksichtigt (wie beispielweise soziale Netzwerke, große Datensammlungen, Internet der Dinge etc.).

Datenschutzrichtlinie

Richtlinie 95/46/EG des europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr ("Datenschutzrichtlinie").

Datenschutz-Richtlinie für den Bereich Justiz und Inneres

Richtlinie (EU) 2016/680 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung sowie zum freien Datenverkehr und zur Aufhebung des Rahmenbeschlusses 2008/977/JI des Rates.

Datenschutz-Grundverordnung

Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG ("Datenschutz-Grundverordnung", DSGVO).

DVR-Meldungen vor Gültigkeit der EU-Datenschutz-Grundverordnung

Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig. Ab diesem Zeitpunkt entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde und es obliegt einem datenschutzrechtlichen Auftraggeber (künftig: "dem für die Verarbeitung Verantwortlichen") unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.

DVR-Meldungen, welche vor Gültigkeit der EU-Datenschutz-Grundverordnung bei der Datenschutzbehörde eingebracht werden, entbinden den für die Verarbeitung Verantwortlichen künftig nicht von der Verpflichtung zum Führen einer Liste seiner Datenanwendungen ("Verzeichnis von Verarbeitungstätigkeiten").

Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist grundsätzlich keine Datenschutz-Folgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens gemäß § 18 Datenschutzgesetz 2000 (DSG 2000) genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist -  das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1. September 2012 - kommt dies hingegen nicht in Betracht.

Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen des Art. 35 (1) DSGVO zutreffen.

Generell wird empfohlen, bereits existierende Datenverarbeitungsvorgänge einer regelmäßigen Evaluierung zu unterziehen, ob sich Voraussetzungen geändert haben. Bejahendenfalls wäre - bei Vorliegen aller Voraussetzungen - eine Datenschutz-Folgenabschätzung durchzuführen. Überdies wird empfohlen, auch zu dokumentieren, aus welchen Gründen keine Datenschutz-Folgenabschätzung durchgeführt wurde.

Weiterführende Informationen

Weitere Informationen über die Aktivitäten der EU auf dem Gebiet des Datenschutzes können auch von der Datenschutz-Website der EU abgerufen werden: