Fragen und Antworten – Datenschutz
Auf dieser Seite finden Sie einen Überblick zur neuen Datenschutzgrundverordnung (DSGVO).
Welche grundlegenden Neuerungen ergeben sich im Vergleich zur alten Rechtslage?
Neu ist, dass in bestimmten Fällen eine/ein Datenschutzbeauftragte/r bzw. eine/ein Beauftragte/r bestellt werden müssen. Diese bzw. dieser darf grundsätzlich bei ihrer bzw. seiner Tätigkeit in keinem Interessenskonflikt oder nicht in die Gefahr der Selbstkontrolle geraten. Sie bzw. er agiert weisungsgebunden und berichtet unmittelbar der höchsten Managementebene (Art. 37-39 DSVGO).
Verantwortliche und Auftragsverarbeitende haben nun die Pflicht ein Verzeichnis von Verarbeitungstätigkeiten zu führen und dieses auf Anfrage der Aufsichtsbehörde vorzulegen. Bei Inbetriebnahme eines neuen Datenverarbeitungssystems ist eine Datenschutz-Folgenabschätzung durchzuführen. Verletzungen des Schutzes personenbezogener Daten müssen der Aufsichtsbehörde gemeldet (Art. 33 DSVGO) sowie Betroffene von der Verletzung verständigt werden (Art. 34 DSVGO).
Wie sieht der sachliche Anwendungsbereich der DSGVO aus?
Die DSGVO findet Anwendung auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.
Welche Sanktionen sieht die DSGVO grundsätzlich vor?
Die DSGVO sieht Geldbußen vor. Die Geldbußen sind von der Datenschutzbehörde als Verwaltungsstrafen gegen Institutionen oder Einzelpersonen zu verhängen, die jeweils als für eine Datenverarbeitung als „Verantwortlicher“ oder „Auftragsverarbeiter“ agieren.
Achtung: Auch Fahrlässigkeit ist strafbar! („Fahrlässigkeit“ ist definiert als die Außerachtlassung der gehörigen Sorgfalt.)
Die Datenschutzbehörde wird als Aufsichtsbehörde mit allen Befugnissen –einschließlich der Verhängung von Geldbußen – eingerichtet. Die Geldbußen, bei welchen es sich um Verwaltungsstrafen handelt, reichen bis zu 20 Millionen Euro oder, im Falle eines Unternehmens, bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist. In Österreich hat der Gesetzgeber auf Basis der sog. „Öffnungsklausel“ der DSGVO beschlossen, dass Geldbußen nicht gegen Behörden und öffentliche Stellen verhängt werden können.
Ist eine Universität von den Geldbußen ausgenommen?
Gegen eine öffentliche Stelle darf keine Geldbuße verhängt werden. Laut den Erläuterungen zum Datenschutz-Anpassungsgesetz 2018 (S. 22) gelten Universitäten gemäß § 6 des Universitätsgesetzes 2002 als „öffentliche Stellen“ und unterliegen damit nicht der Geldbuße nach DSGVO.
Achtung: Es besteht aber die Möglichkeit, als Universität geklagt zu werden, wenn ein immaterieller (ideeller Schaden) oder materieller Schaden (finanzieller Schaden) im Sinne des § 1295 ABGB durch eine Verletzung von datenschutzrechtlichen Bestimmungen entsteht!
Wann betrifft die DSGVO meine wissenschaftlichen Tätigkeiten an der Universität?
Grundsätzlich müssen Sie die DSGVO beachten, wenn Sie personenbezogene Daten verarbeiten. Die DSGVO ist für Sie grundsätzlich nicht relevant, wenn es um anonymisierte Daten geht (für z.B. Statistik oder wissenschaftliche Studie, die nicht auf konkrete Personen abstellt).
Gibt es Ausnahmen in der DSGVO im Hinblick auf Forschungsprojekte?
Die DSGVO ist sehr wissenschafts- und forscherfreundlich, wie an folgenden Bestimmungen ersichtlich wird:
- es soll „die Verarbeitung personenbezogener Daten zu wissenschaftlichen Forschungszwecken im Sinne der Verordnung weit ausgelegt werden“ (EG 159 DSGVO).
- grundsätzlich müssen personenbezogene Daten für einen eindeutigen und legitimen Zweck erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; doch eine Weiterverarbeitung zu wissenschaftlichen oder historischen Forschungszwecken sowie statistischen Zwecken stellt keine Verletzung des Zweckbindungsgrundsatzes dar (siehe Art. 5 Abs. 1 lit. b DSGVO)
- grundsätzlich dürfen personenbezogene Daten, die die Identifizierung einer betroffenen Person ermöglichen, nur so lange verfügbar sein, wie es für den jeweiligen Zweck, für die die Daten verarbeitet wurden, erforderlich ist; die Verarbeitung zu wissenschaftlichen oder historischen Forschungszwecken sowie statistischen Zwecken stellt keine Verletzung des Grundsatzes der Speicherbegrenzung dar (Art. 5 Abs. 1 lit. e DSGVO)
- die Verarbeitung sensibler Daten ist grundsätzlich untersagt; doch aufgrund unionsrechtlicher oder nationaler Rechtsvorschriften und unter Wahrung angemessener und spezifischer Maßnahmen ist sogar die Verarbeitung aller Arten von sensiblen Daten für Zwecke der wissenschaftlichen oder historischen Forschung sowie für statistische Zwecke zulässig (siehe Art. 9 Abs. 2 lit j DSGVO).
- wenn personenbezogene Daten nicht bei der betroffenen Person erhoben werden, dann hat der Verantwortliche eine Reihe an Informationspflichten zu erfüllen (er hat Folgendes mitzuteilen z.B. Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten, den Zweck der Datenverarbeitung, die Empfänger der Daten etc.); doch aus Gründen der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke kann die Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, beschränkt werden (siehe Art. 14 Abs. 5 lit. b DSGVO).
- der Betroffene hat grundsätzlich das Recht, vom Verantwortlichen zu verlangen, dass seine personenbezogenen Daten unverzüglich gelöscht werden; doch das Löschungsrecht bei der wissenschaftlichen oder historischen Forschung oder für statistische Zwecke kann beschränkt werden (siehe Art 17 Abs. 3 lit. d DSGVO).
Weitere Ausnahmen finden sich auch im neuen FOG und im neuen DSG.
Was sind sensible Daten?
Unter „sensiblen Daten“ versteht man personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person.
Was sind pseudonymisierte Daten?
Von „pseudonymisierten Daten“ laut DSGVO spricht man dann, wenn die Verarbeitung von Daten in einer Weise erfolgt, dass diese ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer individuellen, natürlichen Person zugeordnet werden können. Mit dem entsprechenden Zusatzwissen ist es möglich, die Bezugsperson zu bestimmen. Wenn man auf das erforderliche Zusatzwissen also zugreifen kann, handelt es sich um ein personenbezogenes Datum und das Datenschutzrecht kommt somit zur Anwendung.
Was versteht man unter „personenbezogenen Daten“?
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder zumindest identifizierbare natürliche Person (auch „Betroffener“ genannt) beziehen. Eine Person ist „identifiziert“, wenn die Daten direkt mit der betroffenen Person verbunden sind oder wenn sich ein solcher Bezug unmittelbar herstellen lässt.
Beispiele: „Der Geschäftsführer der Firma Lotus hat am 20.2. Geburtstag“ oder „Frau Müller arbeitet bei Billa“.
Alternativ genügt es, wenn die betroffene Person zumindest „identifizierbar“ ist. Hier ist zwar nicht sofort offensichtlich, auf wen sich die Angaben beziehen, aber mit Hilfe von Zusatzwissen kann die Person ausfindig gemacht werden.
Beispiel: „Der Student mit der Matrikelnummer 9700033 hat keine einzige Prüfung bislang geschafft“. Zumindest für Mitarbeiter der Studienabteilung ist es möglich, anhand der Martrikelnummer diese obige Aussage einem konkreten Menschen zuzuordnen.
Beispiel: Für einen Telekommunikationsanbieter stellt die IP-Adresse, die er an seinen Kunden als Internetnutzer vergibt, ein personenbezogenes Datum dar. Er hat nämlich die Möglichkeit, einen Konnex zwischen IP-Adresse und Nutzernamen herzustellen.
Die wesentliche Frage ist also, ob jemand das Zusatzwissen zur Identifizierung einer Person selbst besitzen muss, oder ob es reicht, wenn ein Dritter dieses Zusatzwissen hat. Der Europäische Gerichtshof stellte dazu Folgendes fest: „Ein Datum gilt als personenbezogen, wenn eine Stelle „über rechtliche Mittel verfügt, die es erlauben, die betreffende Person anhand der Zusatzinformationen bestimmen zu lassen (EuGH, Urteil vom 19.10.2016, Rs. C-582/14, Rn. 49)“. Danach wäre ein personeller Bezug nur dann nicht gegeben, wenn die Identifizierung des Betroffenen praktisch nicht durchführbar oder gesetzlich verboten ist.
Weitere Beispiele für personenbezogene Daten:
- Name und Identifikationsmerkmale (z.B. Geburtsdatum, Namenszusätze, Ausweisnummer)
- Genetische Daten
- Biometrische Daten (z.B. Fingerabdrücke)
- Kontaktdaten (z.B. Postanschrift, E-Mail-Adresse, Telefonnummer)
- Körperliche Merkmale (z.B. Größe, Gewicht, Haarfarbe, genetischer Fingerabdruck, Krankheiten, Drogenkonsum)
- Geistige Zustände (z.B. Wünsche, Einstellungen, Überzeugungen, Geschäftsfähigkeit)
- Verbindungen und Beziehungen (z.B. Verwandtschafts- und Freundschaftsbeziehungen, Arbeitgeber)
- Weitere Daten (z.B. Standortdaten, Nutzungsdaten, Handlungen, Äußerungen, Werturteile, beruflicher Werdegang, Bankverbindungen etc.)
Wie müssen personenbezogene Daten laut DSGVO gespeichert werden?
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Person nur so lange ermöglicht, wie es für den Zweck, für die sie verarbeitet werden, erforderlich ist (Stichwort „Speicherbegrenzung“).
Beispiel: Wenn Sie für eine Stellenausschreibung Bewerbungsunterlagen von verschiedenen Person erhalten, dürfen Sie die Bewerbungsunterlagen nur so lange aufbewahren bzw. speichern, solange der Zweck (= hier: die Besetzung der Stelle) noch nicht erreicht ist. Wenn Sie die Bewerbungsunterlagen länger aufbewahren wollen, benötigen Sie in der Regel eine gültige Einwilligungserklärung des Betroffenen.
Wann spricht man von „anonymen Daten“?
Von „anonymen Daten“ kann man nur dann sprechen, wenn kein Rückschluss auf eine individuelle, natürliche Person möglich ist. Die DSGVO betrifft nicht die Verarbeitung von anonymen Daten, die beispielsweise für statistische oder forschungsrelevante Zwecke erhoben werden. Diese Bereiche sind ausdrücklich von der Verordnung ausgenommen! Die Grundsätze des Datenschutzes sollten daher nicht für anonyme Informationen gelten, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann.
Wer gilt als „Auftragsverarbeiter“ im Sinne der DSGVO?
Natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag der bzw. des Verantwortlichen verarbeiten.
Wer gilt als „Verantwortlicher“ im Sinne der DSGVO?
Natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden. Es kann auch eine gemeinsame Verantwortung vorliegen, wenn man übereinkommt, dass mehrere die Daten verarbeiten. Im Fall einer Verletzung des Datenschutzes sind sie solidarisch haftbar.
Wer haftet im Fall der Fälle?
Verantwortliche und Auftragsverarbeitende haften. Verantwortliche, die an der Verarbeitung beteiligt waren, haften zur Gänze. Auftragsverarbeitende haften dann, wenn sie ihre Pflichten und Anweisungen der bzw. des Verantwortlichen nicht befolgt haben. Es tritt keine Haftung ein, wenn weder Verantwortliche noch Auftraggebende für den Umstand, durch welchen ein Schaden eintrat, verantwortlich sind.
Was muss bei einem Auskunftsbegehren gemacht werden?
Wendet sich eine Betroffene bzw. ein Betroffener direkt an eine Mitarbeiterin bzw. Mitarbeiter mit ihrem bzw. seinem Auskunftsbegehren, muss diese Person auf den Datenschutzkoordinator verweisen. An der Universität Salzburg werden Auskunftsbegehren ausschließlich vom Datenschutzkoordinator abgewickelt. Dieser wird sich schnellst möglichst, spätestens jedoch innerhalb von 2 Wochen, um die Angelegenheit kümmern.
Was muss man bei einem Verlust von personenbezogenen Daten tun?
Wenn personenbezogene Daten verloren gegangen sind, ein sog. Data Breach, liegt generell ein Meldefall bei der Aufsichtsbehörde (Österreichische Datenschutzkommission) über die Datenschutzverletzung vor. Diese Meldung (Data Breach Notification) muss innerhalb von 72 Stunden nach Bekanntwerden von der verantwortlichen Person erfolgen.
Beispiel: Ein nicht passwortgeschützter Laptop oder ein Diensthandy wurde im Zug vergessen. Hier ist davon auszugehen, dass ein Data Breach vorliegt, weil es jeder Person möglich wäre, auf die gespeicherten Daten zuzugreifen.
In diesem Fall gilt es sich umgehend mit der zuständigen Ansprechperson bzw. dem Datenschutzkoordinator der Universität Salzburg in Verbindung zu setzen, um das weitere Vorgehen festzulegen.
Hierfür werden folgende Informationen benötigt:
- Wie viele und welche Personen von der Verletzung betroffen sind.
- Wie viele und welche Art von Datensätzen von der Verletzung betroffen sind.
Was ist ein Verarbeitungsverzeichnis?
Es umfasst eine tabellarische Aufzählung aller datenschutzrelevanten Vorgänge. Es wird u.a. auch Dokumentations- oder Verfahrensverzeichnis genannt.
Beachte: An der Universität Salzburg wird das Verarbeitungsverzeichnis mit Hilfe des Datenschutzkoordinators erstellt. Dieses Verzeichnis ist nicht öffentlich. Veränderungen sind der Datenschutzansprechperson bzw. dem Datenschutzkoordinator zu melden. Es ist ratsam, das Verzeichnis halb-/jährlich zu prüfen.
Beispiel: Studierendendaten einer Projektanmeldung werden ausgelesen, gespeichert und verwendet. In diesem Fall wäre das Projekt, die Betroffenengruppe (Studierende) und alle erfassten Datenkategorien (Name, Adresse, E-Mail-Adresse, Matrikelnummer, Geschlecht) sowie Zweck und Rechtsgrundlage zu melden.
Was regelt die Datenschutzgrundverordnung?
Grundsätzlich regelt die DSGVO die Rechte von Betroffenen. Die wichtigsten Rechte sind:
- Recht auf Information und Auskunft [1]
- Recht auf Löschung oder auf Einschränkung der Datenverarbeitung [2]
- Recht auf Richtigstellung
- Recht auf Datenübertragbarkeit [3]
- Recht auf Widerspruch gegen die Datenverarbeitung
[1] Die Informationspflicht besagt, dass Betroffene darüber zu informieren sind, von wem, auf welcher Rechtsgrundlage und zu welchem Zweck ihre Daten verarbeitet und an wen sie übermittelt werden. Der EuGH misst diesen Informationspflichten großen Wert bei, weil diese die Voraussetzungen dafür schaffen, dass Betroffene ihre Rechte (Auskunft, Richtigstellung, Löschung, Widerspruch) überhaupt ausüben können.
[2] So sieht Art. 18 das Recht auf Einschränkung der Verarbeitung vor, wonach ein Betroffener vom Verantwortlichen die Einschränkung der Verarbeitung verlangen kann, wenn bspw. die Richtigkeit der Daten bestritten wird.
[3] Durch dieses Recht soll es ermöglicht werden, dass die von einem Betroffenen zur Verfügung gestellten personenbezogenen Daten, die bei einem (privaten) Anbieter in einer bestimmten technischen Infrastruktur gespeichert werden, bei einem Anbieterwechsel ohne technische Barrieren für die Betroffenen in eine neue technische Umgebung übertragen werden können.
Was ist ein Datenschutzbeauftragter?
Die DSGVO sieht vor, dass in bestimmten Fällen ein Datenschutzbeauftragter zu bestellen ist. Der Datenschutzbeauftragte darf grundsätzlich bei seiner Tätigkeit in keinen Interessenskonflikt oder nicht in die Gefahr der Selbstkontrolle geraten.
Ob man einen Datenschutzbeauftragten „braucht“, muss man zunächst selber entscheiden. Die DSGVO gilt grundsätzlich unter bestimmten Voraussetzungen auch für Klein- und Einpersonen-Unternehmen. Für die Mehrheit der Unternehmen wird die Bestellung grundsätzlich optional sein. Zwingend aufgrund der DSGVO zu bestellen ist ein Datenschutzbeauftragter nur von Behörden bzw. öffentlichen Stellen (mit Ausnahme von Gerichten, sofern sie nicht im Rahmen der Justizverwaltung handeln) und bei Unternehmen, die schwerpunktmäßig in einem spezifischen Geschäftsbereich tätig sind (siehe dazu Art. 37 DSGVO).
Welche „Rechtfertigungsgründe“ können Sie für eine Datenverarbeitung heranziehen?
Der Grundsatz des Datenschutz lautet per se: „Datenverarbeitung ist grundsätzlich verboten!“. Es gibt aber laut DSGVO Rechtfertigungsgründe, welche die Datenverarbeitung unter bestimmten Umständen ohne Verstoß gegen die DSGVO ermöglichen. Hier die wichtigsten Fälle im Überblick:
- Ich habe eine Einwilligung des Betroffenen zur Datenverarbeitung für einen oder mehrere Zwecke.
- Ich erfülle meine Verpflichtungen aus einem Vertrag, dessen Vertragspartner die betroffene Partei ist.
- Die Datenverarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
- Die Datenverarbeitung ist für die Wahrung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt.
- Die Datenverarbeitung ist erforderlich, um rechtliche Verpflichtungen, denen der Verantwortliche der Datenverarbeitung unterliegt, erfüllen zu können.
- Die Datenverarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen und Grundrechte und Grundfreiheiten der betroffenen Person, überwiegen.
- Die Ausnahmen für wissenschaftliche Zwecke: insbesondere 5. Abs. 1 b und e, Art. 9 Abs. 2 j, Art. 14 Abs. 5 b bzw. Art. 17 Abs. 3 d DSGVO.
Was muss ich bei Einwilligungserklärungen beachten?
Die Einwilligungserklärung muss konkret und verständlich verfasst und mit einer Zweckangabe im Hinblick auf die beabsichtigte Datenerhebung versehen sein. Wenn die Einwilligungserklärung nicht entsprechend dieser Grundsätze gefasst ist, kann die Einwilligung unter Umständen rechtlich unwirksam sein. Bei Wegfall der Einwilligung bedeutet das, dass Sie in diesem Fall eine Datenschutzverletzung begangen haben. Beachten Sie, dass der Betroffene auch jederzeit das Recht hat, die Einwilligung einseitig wieder zu widerrufen.
Stellen Sie sicher, dass die Einwilligung des Betroffenen aktiv bzw. schriftlich erfolgt ist, d.h. keine konkludenten Zustimmungen[1], kein bereits auf der Website angehaktes Kreuz in Kästchen!
Achtung: Es gilt ein sog. Kopplungsverbot, d.h. es gilt ein Verbot der Verknüpfung von Erbringen einer Leistung oder Erfüllen eines Vertrages mit der Erteilung von Einwilligungen zu einer Verarbeitung von personenbezogenen Daten, die für die Erfüllung des Vertrages nicht notwendig sind.
[1] Konkludente Einwilligungen sind solche, wenn sie ohne ausdrückliche Erklärung durch schlüssiges Verhalten abgegeben werden. D.h. die Willenserklärung wird aus den Handlungen des Erklärenden abgeleitet.
Wann findet das Recht auf bzw. die Pflicht zur Löschung in der Regel Anwendung?
Dies sind die häufigsten Gründe:
- Die Daten sind für die Zwecke, für die sie erhoben oder verarbeitet wurden, nicht mehr notwendig (Beachte: auch wenn die Daten Ihre Arbeit erleichtern, sind sie zu löschen!).
- Der Betroffene widerruft seine Einwilligung und es fehlt an einer anderen Rechtsgrundlage bzw. einem Rechtfertigungsgrund.
- Die Daten wurden unrechtmäßig verarbeitet.
Was bedeutet der Grundsatz „Zweckbindung“ laut DSGVO?
Personenbezogene Daten dürfen nur für einen festgelegten, eindeutigen und legitimen Zweck erhoben werden und dürfen nicht in einer mit dem Zweck nicht zu vereinbarenden Weise weiterverarbeitet werden („Zweckbindung“!)
Was bedeutet der Grundsatz „Datenminimierungsgrundsatz“ laut DSGVO?
Personenbezogene Daten dürfen nicht überschießend erhoben werden, d.h. die Datenverarbeitung muss dem Zweck entsprechend sowie auf das für den Zweck der Verarbeitung notwendige Maß beschränkt sein („Datenminimierungsgrundsatz!).
An wen kann ich mich bei Fragen zum Datenschutz wenden?
An der Universität Salzburg gibt es an jedem Fachbereich eine Ansprechperson. Diese wird sich mit dem Datenschutzkoordinator besprechen, dieser wiederum bei Bedarf mit dem externen Datenschutzbeauftragten.