Das Datenschutzrecht regelt den Umgang mit personenbezogenen Daten und schützt Ihre Privatsphäre. Der Schutz personenbezogener Daten ist allerdings kein unbeschränktes Recht. Es muss Im Einzelfall gegen andere Rechte abgewogen werden.
Die Datenschutz-Grundverordnung gilt nicht für Datenverarbeitungen durch natürliche Personen bei rein persönlichen und familiären Tätigkeiten („Haushaltsausnahme“ oder „Household exemption“). Es darf aber kein Bezug zu einer beruflichen und wirtschaftlichen Tätigkeit bestehen.
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Eine Person ist identifiziert, wenn sie durch bestimmte Merkmale unverwechselbar als genau diese Person erkennbar ist. Identifizierbar ist eine Person dann, wenn sie aufgrund der Zuordnung zu einer Kennung (zum Beispiel durch eine Kennnummer, durch Standortdaten oder einer Online-Kennung) und einem entsprechenden Zusatzwissen bestimmt werden kann.
Personenbezogene Daten müssen einen Bezug zu einer bestimmten oder zumindest bestimmbaren Person aufweisen, ansonsten würde es sich eben nicht um personenbezogene Daten handeln.
Die DSGVO spricht nicht von sensiblen Daten, sondern von „besonderen Kategorien personenbezogener Daten“ und meint damit zum Beispiel die Herkunft, die sexuelle Orientierung oder die Religion.
Zu einer Datenverarbeitung zählen zum Beispiel das Erheben, die Speicherung, die Veränderung, die Verwendung oder die Verbreitung von personenbezogenen Daten.
Damit Ihre personenbezogenen Daten weiterverarbeitet werden dürfen, ist eine bestimmte Rechtsgrundlage erforderlich. Dazu zählt zum Beispiel Ihre Einwilligung zur Datenverarbeitung.
Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, eine Behörde, eine Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.
Es gibt gewisse Kriterien, damit eine Einwilligungserklärung wirksam ist: Unter anderem müssen Sie freiwillig eingewilligt haben. Außerdem müssen Sie darüber informiert worden sein, was mit Ihren Daten passiert und wie Sie Ihre Einwilligung wieder rückgängig machen können.
Ihr minderjähriges Kind kann eine wirksame Einwilligungserklärung abgeben, wenn es einsichts- und urteilsfähig ist. Ob und inwieweit Ihr Kind über die notwendige Einsichts- und Urteilsfähigkeit verfügt, muss im Einzelfall beurteilt werden.
Die Weiterverarbeitung von Daten zu einem anderen Zweck, als zu dem sie ursprünglich erhoben wurden, ist nur sehr eingeschränkt zulässig. Dies würde nämlich im Widerspruch mit der sogenannten Zweckbindung stehen.
Werden personenbezogene Daten an EmpfängerInnen übermittelt, die Ihren Sitz in einem anderen Mitgliedstaat des Europäischen Wirtschaftsraums (EWR) haben, gelten dieselben Voraussetzungen wie bei einer Datenübermittlung innerhalb Österreichs. Außerhalb des EWR gelten sehr spezifische Regeln.
Das Auskunftsbegehren können Sie grundsätzlich formlos stellen. Sie müssen auch nicht begründen, wieso Sie eine Auskunft wollen. Die oder der Verantwortliche kann allerdings einen Identitätsnachweis von Ihnen verlangen. Nachdem Ihr Auskunftsersuchen eingelangt ist, darf die oder der Verantwortliche Ihre personenbezogenen Daten nicht mehr löschen.
Als betroffene Person haben Sie das Recht unrichtige personenbezogener Daten wie eine alte Adresse berichtigen zu lassen. Grundsätzlich sind Verantwortliche aber ohnehin verpflichtet, unrichtige personenbezogene Daten zu berichtigen.
Als betroffene Person können Sie verlangen, dass der Verantwortliche Ihre personenbezogenen Daten unverzüglich löscht, sofern keine Rechtsgrundlage für die Speicherung besteht.
Einen Antrag auf Löschung Ihrer personenbezogenen Daten können Sie formlos stellen. Bei elektronischen Datenverarbeitungen sollte die Möglichkeit bestehen, den Löschungsantrag elektronisch zu stellen. Das Löschungsersuchen sollte Angaben zu Ihnen und zum Grund für die Löschung enthalten.
Das Recht auf „Vergessenwerden“ ist dem Recht auf Löschung nicht ganz identisch: Das Recht auf „Vergessenwerden“ bezieht sich nur auf Ergebnisse in Suchmaschinen. Sie haben ein Recht darauf, bestimmte Ergebnisse, die bei der Suche Ihres Namens erscheinen, löschen zu lassen.
Dies kommt immer auf den Einzelfall an und hängt von der Art der verarbeiteten und veröffentlichten Daten sowie dem Informationsinteresse der Allgemeinheit ab.
Das Recht auf Datenübertragbarkeit ermöglicht Ihnen, Ihre personenbezogenen Daten von einem Verantwortlichen zu einem anderen Verantwortlichen oder auch von einer IT-Umgebung zu einer anderen zu übergeben.
Bevor Daten über Sie erhoben werden, müssen Sie beispielsweise über den Zweck der Datenverarbeitung, Ihre Rechte und über die Kontaktdaten des Verantwortlichen informiert werden.
In einer Datenschutzerklärung informieren Verantwortliche die betroffenen Personen darüber, welche Datenverarbeitungen vorgenommen werden. Die betroffenen Personen können beispielsweise BesucherInnen einer Webseite sein. Wichtig dabei ist, dass eine Datenschutzerklärung keine datenschutzrechtliche Einwilligung zu bestimmten Datenverarbeitungen darstellt.
Werden Ihre Rechte verletzt, können Sie sich als betroffene Person direkt an die österreichische Datenschutzbehörde wenden und dort eine Beschwerde einreichen. Die Datenschutzbehörde muss den Gegenstand der Beschwerde untersuchen und Sie spätestens nach drei Monaten über den Stand und das Ergebnis der Ermittlungen informieren. Dieses Beschwerdeverfahren ist kostenlos.
In Österreich können Sie die Beschwerde per Post oder E-Mail einreichen. Auf der Webseite der österreichischen Datenschutzbehörde finden Sie dafür ein Formular, das Sie ausfüllen können.
Die Datenschutzbehörde muss nach dem Einlangen einer Beschwerde die behauptete Datenschutzverletzung untersuchen. Besteht tatsächlich eine Datenschutzverletzung, kann die Datenschutzbehörde Maßnahmen setzen, damit diese Verletzung verhindert wird.
Die Datenschutzbehörde kann neben Maßnahmen, die eine Datenverletzung verhindern, auch Geldbußen einfordern. Die Geldbußen sollten in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.
Ja. Sie können bei der österreichischen Datenschutzbehörde auch eine Beschwerde gegen Verantwortliche oder Auftragsverarbeiter mit Sitz im Ausland erheben.
Die Datenschutzbehörde muss Sie innerhalb von drei Monaten ab Einbringung der Beschwerde über den Stand und das Ergebnis der Ermittlungen informieren. Geschieht dies nicht, können Sie eine Beschwerde an das Bundesverwaltungsgericht erheben.
Ist durch eine Datenschutzverletzung ein materieller oder immaterieller Schaden entstanden, haben Sie Anspruch auf Schadenersatz gegen die Verantwortlichen oder gegen die Auftragsverarbeiter.
Andere Frage?
Sie haben eine andere Frage zum Thema "Datenschutz"? Schreiben Sie uns!
