Am 4. Mai 2016 wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO)“ veröffentlicht. Obwohl die Datenschutz-Grundverordnung als EU-Verordnung in jedem EU-Mitgliedstaat unmittelbar anwendbar ist, enthält sie dennoch zahlreiche Öffnungsklauseln und lässt dem nationalen Gesetzgeber gewisse Spielräume. Zur Durchführung dieser Öffnungsklauseln und Spielräume wurde in Österreich das „Datenschutz-Anpassungsgesetz 2018“, eine Novelle des DSG 2000 (künftig: DSG) beschlossen. [1]

Fragen und Antworten unter https://www.shiatsu-austria.at/index.php/shiatsu-in-oesterreich/datenschutz-richtlinien-2018/datenschutzverordnung-2018-fragen-antworten. Nachfolgend wichtige Begriffsbestimmungen[2]

 

Personenbezogene Daten (Art 4 Z 1)

Die Bestimmungen der DSGVO (EU-Datenschutz-Grundverordnung) gelten für die Verarbeitung von personenbezogenen Daten natürlicher Personen.

Definitionsgemäß sind „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Beispiele sind NameAdresseGeburtsdatumBankdaten etc.

Die Grundsätze des Datenschutzes gelten nicht für „anonyme Informationen“, dh für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, dies gilt auch für statistische oder Forschungszwecke.

Die DSGVO gilt nicht für die personenbezogenen Daten Verstorbener. Die Mitgliedstaaten können jedoch Vorschriften für die Verarbeitung der personenbezogenen Daten Verstorbener vorsehen.

 

Besondere Kategorien personenbezogener Daten („sensible Daten“, Art 9 Abs 1):

Das sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Beispiele sind FingerabdruckIrisscanKrankengeschichte etc.

 

Verarbeitung (Art 4 Z 2)

Unter dem Begriff „Verarbeitung“ versteht die DSGVO jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung. Beispiele sind die Erstellung einer Kundendatei, die Aufnahme der Daten zur Erstellung einer Rechnung, eine Mitarbeiterdatenbank etc.

Damit entspricht der Begriff der „Verarbeitung“ nach DSGVO dem Begriff „Verwenden von Daten“ nach dem geltenden österreichischen DSG 2000.

 

Verantwortlicher (Art 4 Z 7) und Auftragsverarbeiter (Art 4 Z 8)

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so können der Verantwortliche bzw die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden. Damit löst der Begriff „Verantwortlicher“ den Begriff „Auftraggeber“ nach dem geltenden österreichischem DSG 2000 ab.

„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet. Dieser Begriff entspricht daher dem „Dienstleister“ nach dem geltenden DSG 2000.

Beispiele: Der Unternehmer, der Kundendaten (von natürlichen Personen) zur Erstellung einer Rechnung an den Kunden erfasst, ist „Verantwortlicher“. Der externe Buchhalter, der die Rechnungsdaten für die Bilanzerstellung von diesem Unternehmer erhält und verarbeitet, ist „Auftragsverarbeiter“. Weitere Beispiele für den „Auftragsverarbeiter“: Rechenzentrum, Lohnverrechner, Cloud-Anbieter, etc.

 

Einwilligung (Art 4 Z 11)

Als „Einwilligung“ der betroffenen Person gilt jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. 

Diese Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen, etwa auch durch Anklicken eines Kästchens auf einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder andere Erklärungen oder Verhaltensweisen, die im jeweiligen Kontext eindeutig das Einverständnis der betroffenen Person zur Datenverarbeitung signalisieren. Stillschweigen, bereits vorangekreuzte Kästchen oder Untätigkeit können keine Einwilligung darstellen. Wenn die Verarbeitung mehreren Zwecken dient, ist für jeden Zweck der Verarbeitung eine gesonderte Einwilligung nötig.

Eine „ausdrückliche“ Einwilligung ist nur bei der Verarbeitung von sensiblen Daten erforderlich.

 

Kind (Art 8 Abs 1)

Für die Rechtmäßigkeit der Einwilligung eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft legt die DSGVO eine Altersgrenze von 16 Jahren fest.

Die EU-Mitgliedstaaten können aber niedrigere Altersgrenzen vorsehen, allerdings nicht unter das vollendete 13. Lebensjahr. Das österreichische Datenschutzgesetz (DSG) des österreichischen Datenschutz-Anpassungsgesetzes 2018 setzt diese Altersgrenze mit dem vollendeten 14. Lebensjahr fest.

 

Pseudonymisierung (Art 4 Z 5)

„Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

Die Anwendung der Pseudonymisierung auf personenbezogene Daten kann die Risiken für die betroffenen Personen senken und die Verantwortlichen und die Auftragsverarbeiter bei der Einhaltung ihrer Datenschutzpflichten unterstützen. Durch die ausdrückliche Einführung der „Psyeudonymisierung“ in die DSGVO ist jedoch nicht beabsichtigt, andere Datenschutzmaßnahmen auszuschließen. Ein Beispiel ist die Verschlüsselung.

 

Dateisystem (Art 4 Z 6)

Ein „Dateisystem“ ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmen Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geographischen Gesichtspunkten geordnet geführt wird. 

Das Dateisystem kann automatisiert oder manuell geführt werden (technologieneutral). Akten oder Aktensammlungen sowie ihre Deckblätter, die nicht nach bestimmten Kriterien geordnet sind, fallen nicht in den Anwendungsbereich der DSGVO. Damit entspricht dieser Begriff jenem der „Datei“ des österreichischen DSG 2000. Ein Beispiel ist eine Kundendatei (elektronisch oder in Papierform).

 

Gesundheitsdaten (Art 4 Z 15)

Personenbezogene Daten, die sich auf die körperliche oder geistige Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdienstleistungen, beziehen und aus denen Informationen über deren Gesundheitszustand hervorgehen, werden als „Gesundheitsdaten“ definiert.

 

Genetische Daten (Art 4 Z 13)

„Genetische Daten“ sind personenbezogene Daten zu den ererbten oder erworbenen genetischen Eigenschaften einer natürlichen Person, die eindeutige Informationen über die Physiologie oder die Gesundheit dieser natürlichen Person liefern und insbesondere aus der Analyse einer biologischen Probe der betroffenen natürlichen Person gewonnen wurden. 

 

Biometrische Daten (Art 4 Z 14)

„Biometrische Daten“ sind mit speziellen technischen Verfahren gewonnene personenbezogene Daten zu den physischen, physiologischen und verhaltenstypischen Merkmalen einer natürlichen Person, die die eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, wie Gesichtsbilder und daktyloskopische Daten.

Neben – wie bisher – z.B. „Gesundheitsdaten“ zählen nun auch ausdrücklich „genetische Daten“ und „biometrische Daten“ zu den „besonderen Kategorien personenbezogener Daten“ (sensible Daten) und unterliegen damit strengeren Verarbeitungsvoraussetzungen. 

 

Profiling (Art 4 Z 4)

Darunter versteht die DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Das Profiling unterliegt den Vorschriften der DSGVO, wie etwa der Rechtsgrundlage für die Verarbeitung, den Datenschutzgrundsätzen, der Informations- und Auskunftspflicht und besonderen Regeln, wenn damit eine automatische Generierung von Einzelentscheidungen verbunden ist. Ein Beispiel ist die automationsunterstützte Analyse der Kreditwürdigkeit eines Kunden.

 

------------------------------------------------------------------------------------------------------------------------------

[1] Standard- und Musterverordnung 2004, BGBl. II Nr. 312/2004 (StMV): Gesamte Rechtsvorschrift für Standard- und Muster-Verordnung 2004. https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20003495. Datenschutz-Anpassungsgesetz 2018. https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf.  Zugriff 14.01.2018.

[2] Basierend auf der WKO-Seite "EU-Datenschutz-Grundverordnung (DSGVO): Wichtige Begriffsbestimmungen". https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Wichtige-Begriffsbestimmu.html#heading_Personenbezogene_Daten__Art_4_Z_1_. Zugriff 14.01.2018