Inhalt

Ihre Rechte als Betroffener

Neue Regelung und Erweiterung

Mit der Datenschutz-Grundverordnung werden die Rechte der Betroffenen neu geregelt und erweitert.

Die Ausübung dieser Rechte ist in Art. 12 DSGVO geregelt. Wenn der Verantwortliche begründete Zweifel an der Identität der natürlichen Person hat, die einen Antrag auf Auskunft, Löschung etc. stellt, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Im Gegensatz zur Regelung im alten Datenschutzgesetz 2000 muss ein Antragssteller nicht mehr verpflichtend seine Identität nachweisen.

Bei Rechten, die mit Antrag (Begehren) geltend gemacht werden müssen (siehe unten) muss der Verantwortliche innerhalb einer Frist von einem Monat auf den Antrag reagieren und entweder

  • Die gewünschte Maßnahme setzen (also z. B. die Auskunft erteilen) oder
  • begründen, warum er dem Antrag nicht oder nicht vollständig folgt, oder
  • mitteilen, dass er auf Grund der Komplexität und der Anzahl von Anträgen noch zwei weitere Monate für eine Antwort benötigt.

Recht auf Geheimhaltung (§ 1 Abs. 1 DSG)

Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das bedeutet, dass Ihre Daten grundsätzlich vertraulich zu behandeln sind und anderen nicht zugänglich gemacht werden dürfen.

Das Grundrecht auf Datenschutz in § 1 Abs. 1 DSG ist auch bei Geltung der DSGVO vorhanden.

Recht auf Information (Art. 13 und 14 DSGVO)

Information der Datenschutzbehörde gemäß Art. 13 und 14 DSGVO

Recht auf Auskunft (Art. 15 DSGVO)

Jedermann hat das Recht zu erfahren, ob ein Verantwortlicher (Behörde, Unternehmen etc.) Daten zu seiner Person verarbeitet.  Um dieses Recht auszuüben muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.

Der Verantwortliche muss die Informationen in einem gängigen elektronischen Format bereitstellen, wenn im Auskunftsbegehren nichts anderes angegeben ist

Das Recht auf Auskunft besteht nicht

  • gegenüber einem hoheitlich tätigen Verantwortlichen, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird, oder
  • wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.

Recht auf Berichtigung (Art. 16 DSGVO)

Der Betroffene hat das Recht, von dem Verantwortlichen die Berichtigung ihn betreffender unrichtiger personenbezogener Daten zu verlangen. Es ist auch möglich, eine Vervollständigung eines unvollständigen Datensatzes mittels einer  ergänzenden Erklärung zu verlangen.

Der Betroffene darf eine Einschränkung der Verarbeitung verlangen, bis die Richtigkeit der Daten festgestellt werden kann (Art. 18 Abs. 1 lit. a DSGVO).

Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.

Tipp Bitte verlangen Sie nicht Auskunft und Berichtigung gleichzeitig! Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten korrigieren. Eine nachfolgende Kontrolle der Auskunft durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Recht auf Löschung (Art. 17 DSGVO)

Der Betroffene hat das Recht auf Löschung seiner Daten in einem der folgenden Fälle:

  1. Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
  2. Die Verarbeitung beruht auf einer Einwilligung der betroffenen Person, diese widerruft und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
  3. Die betroffene Person legt gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt Widerspruch gegen die Verarbeitung für Zwecke der Direktwerbung ein.
  4. Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
  5. Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
  6. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft für Kinder erhoben (Art. 8 Abs. 1 DSGVO).

Es gibt Einschränkungen des Rechts auf Löschung, wie z.B. wenn die Daten zur Verteidigung von Rechtsansprüchen dienen (Art. 17 Abs. 3 DSGVO).

Wenn Sie die Verarbeitung für unrechtmäßig halten, aber die Löschung ablehnen, können Sie eine Einschränkung der Verarbeitung gemäß Art. 18 DSGVO beantragen (Art. 18 Abs. 1 lit. b DSGVO).

Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.

Tipp Bitte verlangen Sie nicht Auskunft und Löschung gleichzeitig! Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten löschen. Eine nachfolgende Kontrolle durch die Datenschutzbehörde ist dann nur noch schwer möglich.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Die Datenschutz-Grundverordnung führt in Art. 18 ein neues Recht auf Einschränkung der Verarbeitung ein. Es dient dazu, den Gebrauch von Daten einzuschränken ohne sie zu löschen. Die Einschränkung der Verarbeitung kann parallel zum Recht auf Richtigstellung und zum Recht auf Widerspruch verlangt werden.

Wenn Sie die Verarbeitung für unrechtmäßig halten, aber die Löschung ablehnen, können Sie eine Einschränkung der Verarbeitung beantragen (Art. 18 Abs. 1 lit. b DSGVO).

Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich mehrere Formulare an. Die Formulare für das Recht auf Berichtigung und auf Widerspruch enthalten bereits eine Option dazu. Weiters gibt es ein Formular nur für das Recht auf Einschränkung der Verarbeitung.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Das Recht auf Datenübertragbarkeit ist ebenfalls neu. Es gewährt das Recht, Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zur Verarbeitung zu geben. Das Recht auf Datenübertragbarkeit unterscheidet sich vom Recht auf Auskunft dadurch, dass die Betonung auf der Übertragbarkeit liegt.

Dieses Recht besteht nur, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mittels automatisierter Verfahren erfolgt. Es kann somit nicht gegenüber einer Behörde geltend gemacht werden.

Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.

Widerspruchsrecht (Art. 21 DSGVO)

Der Betroffene hat das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihn betreffender personenbezogener Daten, die aufgrund von Art. 6 Absatz 1 Buchstaben e oder f DSGVO erfolgt, Widerspruch einzulegen. Die Buchstaben e oder f betreffen die Verarbeitung für eine Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.

Es gibt weiters ein besonderes Recht auf Widerspruch gegen die Verwendung von Daten für Direktwerbung.

Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.

Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu sein (Art. 22 DSGVO)

Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, außer in bestimmten Fällen (vor einem Vertragsabschluss, auf gesetzlicher Grundlage sowie mit Zustimmung).

Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.

Sonstige Rechte

Gemäß Art. 77 DSGVO hat die betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Es ist daher auch eine Beschwerde wegen Verstößen gegen andere Bestimmungen der DSGVO möglich.

Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.

Zuständigkeit der Datenschutzbehörde

Gemäß § 24 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 DSG oder §§ 7-13 DSG verstößt. Dies betrifft auch Beschwerde gegen Videoüberwachungen („Bildverarbeitung“) gemäß §§ 12-13 DSG 2000).

Die Datenschutzbehörde ist auch Aufsichtsbehörde nach der Richtlinie (EU) 2016/680 (Datenschutz-Richtlinie für den Bereich Justiz und Inneres). Ihre Kompetenzen ergeben sich aus §§ 31-34 DSG.

Führung von Verwaltungsstrafverfahren

Mit der Datenschutz-Grundverordnung ändert sich auch das System der Strafen und Geldbußen. Die Datenschutzbehörde verhängt gemäß § 22 Abs. 5 DSG Geldbußen gegenüber natürlichen und juristischen Personen.

Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden (§ 30 Abs. 5 DSG). Diese Einschränkung hat keine Auswirkung auf andere Sanktionen und Maßnahmen.

Sonstige Aufgaben

Die neue Datenschutz-Grundverordnung bringt weitere Aufgaben für die Datenschutzbehörde:

Akkreditierung von Zertifizierungsstellen

Die DSGVO fördert den Einsatz von Zertifizierungsverfahren, Datenschutzsiegeln und –prüfzeichen (Art. 42 DSGVO). Die dafür erforderlichen Zertifizierungsstellen werden von der Datenschutzbehörde akkreditiert. Die Datenschutzbehörde veröffentlicht die Kriterien für eine Zertifizierungsstelle. Sie ist die einzige Akkreditierungsstelle in Österreich.

Verhaltensregeln

Zu den neuen Instrumenten der DSGVO gehören auch Verhaltensregeln (Art. 40 DSGVO). Auch dabei hat die Datenschutzbehörde Zuständigkeiten. Verbände und andere Vereinigungen, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Datenschutzbehörde zur Genehmigung vor.

Die Überwachung der Einhaltung von Verhaltensregeln kann von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der Datenschutzbehörde zu diesem Zweck akkreditiert wurde.

Es gibt besondere Regeln zur Schaffung Verhaltensregeln, die mehrere Mitgliedsstaaten betreffen. In diesem Fall wirkt der Europäische Datenschutzausschuss (EDSA) mit.

Verordnungskompetenz

Zu den Aufgaben der Datenschutzbehörde gehört auch die Erlassung von Verordnungen:

Für Datenschutzfolgenabschätzungen soll es Listen von Verarbeitungsvorgängen geben, für die immer eine Datenschutzfolgenabschätzung stattfinden muss, und ebenso Listen von Verarbeitungsvorgängen, für die keine Datenschutzfolgenabschätzung erforderlich ist. Diese Listen werden als Verordnungen erlassen.

Die Datenschutzbehörde hat die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Art. 41 DSGVO und einer Zertifizierungsstelle gemäß Art. 43 DSGVO zu formulieren und im Wege einer Verordnung kundzumachen (Art. 57 Abs. 1 lit. p DSGVO).

Konsultation bei Datenschutz-Folgeabschätzungen

Die Datenschutz-Grundverordnung sieht vor, dass der Verantwortliche vor einer Verarbeitung die Aufsichtsbehörde konsultieren muss, wenn aus einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 DSGVO)

Entgegennahme von Meldungen über Data Breaches

Im Falle einer Verletzung des Schutzes personenbezogener Daten (ein „Data Breach“) meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Datenschutzbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.