Die Datenschutz-Grundverordnung (DSGVO)
Mit 25.05.2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Das bisher geltende Datenschutzgesetz 2000 wird durch das Datenschutzanpassungsgesetz 2018 ersetzt.
Ziel der DSGVO ist die Schaffung einer einheitlichen Rechtsgrundlage für die Datenverarbeitung in allen Mitgliedstaaten der Europäischen Union. Die Verordnung ist unmittelbar in allen Mitgliedstaaten anwendbar. Allerdings erhält sie zahlreiche Klauseln, welche nationale Durchführungsbestimmungen notwendig machen. Es gibt daher in Österreich neben der DSGVO weiterhin ein nationales Datenschutzgesetz.
Die DSGVO trifft Vereine, Behörden und Unternehmen, die personenbezogene Daten verarbeiten; unabhängig von deren Größe. Wesentliche Eckpfeiler der Verordnung sind die Stärkung der Betroffenenrechte, die Präzisierung der Pflichten bei den Verantwortlichen sowie der Fokus auf die Datensicherheit. Medial im Blickfeld steht die Verordnung insbesondere durch die Möglichkeit hoher Geldbußen. Strafen werden im Regelfall jedoch erst bei wiederholtem Verstoß schlagend. Stattdessen wird im Sinne der „Verhältnismäßigkeit“ im Falle einer Datenschutzverletzung vorerst nur eine Verwarnung ausgesprochen.
Die bereits bestehende Pflichten werden durch die DSGVO erweitert und konkretisiert. Neu müssen die Verantwortlichen ihre Daten an Stelle der bisherigen Meldepflicht an die Datenschutzbehörde nunmehr selbst umfassend dokumentieren. Die Verarbeitungsdaten sind in einem Verzeichnis zu führen (Art. 30 DSGVO). Die Datenschutzbehörde ist bei den Datenverarbeitungen vorab nur mehr in seltenen Fällen einzubinden. Vielmehr wird sie nachträglich als Kontroll- und zugleich Straforgan fungieren.
Neu eingeführt wird das Instrument der Datenschutz-Folgeabschätzung (Art. 35 DSGVO). Diese dient der Bewertung von Risiken und deren mögliche Folgen für die persönlichen Rechte und Freiheiten der Betroffen. Notwendig ist dies insbesondere, wenn die Datenverarbeitung durch neue Technologien nicht ausreichend beurteilt werden kann.
Mit dem Datenschutzbeauftragen (Art. 37 DSGVO) wird ein Bindeglied zur Aufsichtsbehörde geschaffen. Er überwacht und berät das Unternehmen, verfügt aber über kein Vetorecht. Verpflichtend ist ein Datenschutzbeauftragter bei einer Betriebsgröße von 250 Mitarbeitern sowie bei Unternehmen, die ein datengetriebenes Geschäft als Kerntätigkeit betreiben.