Datenschutz

vorige Präsentation: Barrierefreiheit | zurück zum Buch-Kapitel [esc] | Nächste Präsentation Performance

Seit 1978 gab es in Österreich ein Datenschutz-Gesetz. Seit 2018 wirkt die EU-weite „Datenschutz-Grundverordnung“ („DSGVO“; englisch: „General Data Protection Regulation”, „GDPR“) - eine Verordnung der Europäischen Union], mit der die Regeln zur Verarbeitung „personenbezogener Daten” durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht wurde.

Die folgende Darstellung ist im wesentlichen eine Zusammenfassung des Wikipedia Artikels zur DSGVO

Die Datenschutz-Grundverordnung gilt unmittelbar in allen EU-Mitgliedstaaten ab dem 25. Mai 2018, und muss nicht erst in nationale Gesetze umgesetzt werden.

Die Richtlinie führt zu wesentlichen Erleichterungen: eine einheitliche Regelung für alle Mitgliedsstaaten und „freier Verkehr personenbezogener Daten in der Union“. D.h. ob ich die Daten bei einem Hoster in österreich oder Irland speichere ist egal, für beide gelten die gleichen Regelungen.

Was sind „personenbezogenen Daten“?

Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen;

Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann; …

Die Verarbeitung personenbezogener Daten ist per Default verboten, und nur auf Grund einer Erlaubnis zulässig ist. Diese sind im Artikel 6 aufgeführt:

Grundsätze der Verarbeitung personenbezogener Daten

Die DSGVO führt im Artikel 5 explizit folgende sechs Grundsätze für die Verarbeitung personenbezogener Daten auf:

Geltungsbereich

Ämter, öffentliche Stellen: ja

Die DSGVO unterscheidet nicht zwischen öffentlichen und nicht-öffentlichen Stellen – für alle Verarbeiter von Daten gilt dasselbe Recht.

Firmen: ja, auch ausserhalb der EU

Das europäische Datenschutzrecht gilt auch für außereuropäische Unternehmen, soweit diese ihre Waren oder Dienstleistungen im europäischen Markt anbieten.

Privatpersonen: nein

„(18) Diese Verordnung gilt nicht für die Verarbeitung von personenbezogenen Daten, die von einer natürlichen Person zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten und somit ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen wird. Als persönliche oder familiäre Tätigkeiten könnte auch das Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netze und Online-Tätigkeiten im Rahmen solcher Tätigkeiten gelten.“

Aber Achtung: „Diese Verordnung gilt jedoch für die Verantwortlichen oder Auftragsverarbeiter, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönlichen oder familiären Tätigkeiten bereitstellen“. Für den Betreiber einer eine Blogging-Plattform gilt die DSGVO also, auch wenn die einzelnen UserInnen die Plattform nur privat nutzen.

Anforderungen an eine Einwilligung

Es kann eine „stillschweigende Einwilligungserklärung“ geben - z.B. werde ich bei der Bestellung im Online-Shop um die Zustelladresse gefragt, dann ist klar dass diese Adresse für die Abwicklung des Auftrags gespeichert wird.

Datenminimierung

Es gilt der Grundsatz, dass nur die minimal nötigen personenbezogenen Daten gespeichert werden dürfen.

Transparenz

Der Erwägungsgrund (39) hebt den Grundsatz der Transparenz jeglicher Datenverarbeitung für die betroffenen Personen hervor. Mehrere Artikel verlangen entsprechende Maßnahmen:

Recht auf Vergessenwerden

Das Recht auf Vergessenwerden (das in der Überschrift des Artikel 17 ausdrücklich so genannt wird), umfasst:

Recht auf Datenübertragbarkeit

Artikel 20 verlangt, dass eine betroffene Person die Daten, die sie betreffen und die sie selbst dem Verantwortlichen übergeben hat, in einem „strukturierten, gängigen und maschinenlesbaren Format zu erhalten“, auch und insbesondere für den Zweck, sie anderen zu übermitteln.

Damit wird das Verlassen eines Anbieters und die üÜbersiedelung zu einem anderen erleichtert.

Sanktionen

Die Höhe der Bußgelder ist in bestimmten Fällen auf bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes festgelegt.

Laut einer Umfrage von welt.deunter den Datenschutzbeauftragten der deutschen Bundesländer wurden in Deutschland ersten Jahr 75 Bußgelder mit einer Gesamtsumme von 485.000 Euro verhängt.

Im Jänner 2019 verhängt die französische Datenschutzbehörde eine Rekordstrafe von € 50 Mio gegen Google. Grund war eine Beschwerde von noyb und der französischen NGO „La Quadrature du Net”.

Privacy by Design, Privacy by Default

Im Erwägungsgrund (78) werden die Begriffe „data protection by design“ und „data protection by default“ eingeführt, üblicherweise als „Privacy by Design“ und „Privacy by Default“ bezeichnet. Diese Grundsätze bedeuten, dass die Technik der Datenverarbeitung von vorneherein darauf entworfen („design“) und ausgerichtet ist und die Voreinstellungen („defaults“) so ausgewählt sind, dass den Grundsätzen des Datenschutzes Genüge getan wird.

Österreich

Mit dem Datenschutz-Anpassungsgesetz 2018 hat Österreich das „Datenschutzgesetz“ (DSG) geändert und an die Vorgaben der DSGVO angepasst. Im April 2018 wurde im Nationalrat eine Abänderung der Novelle beschlossen. Demnach solle die Behörde den Strafkatalog der EU-DSGVO „so zur Anwendung bringen, dass die Verhältnismäßigkeit gewahrt wird“

Datenschutz

vorige Präsentation: Barrierefreiheit | zurück zum Buch-Kapitel [esc] | Nächste Präsentation Performance

/

#