Die Datenschutz-Grundverordnung (DSGVO) ordnet einerseits bestimmte Pflichten des Verantwortlichen (und zum Teil auch des Auftragsverarbeiters) an und gewährt andererseits betroffenen Personen bestimmte Rechte.
Allgemeines zu den Betroffenenrechten
Die DSGVO und das (österreichische) Datenschutzgesetz (DSG) räumen betroffenen Personen bestimmte Rechte ein. Durch die Ausübung dieser Rechte werden betroffene Personen in die Lage versetzt, die Richtigkeit der sie betreffenden Daten sowie die Rechtmäßigkeit der Datenverarbeitung zu überprüfen oder gegebenenfalls durch eine Aufsichtsbehörde überprüfen zu lassen. Die Betroffenenrechte gewährleisten und stärken somit die Kontrolle und die Autonomie betroffener Personen in Bezug auf die Verarbeitung ihrer personenbezogenen Daten.
© Parlamentarisches Datenschutzkomitee/Claudia GabauerIn der DSGVO werden in Kapitel III die Rechte der betroffenen Person und die Pflichten des Verantwortlichen im Zusammenhang mit der Wahrnehmung von Betroffenenrechten geregelt:
- Transparente Information, Kommunikation und Modalitäten für die Ausübung der Rechte der betroffenen Person (Art. 12 DSGVO)
- Informationspflicht bei Erhebung personenbezogener Daten bei der betroffenen Person (Art. 13 DSGVO)
- Informationspflicht, wenn personenbezogene Daten nicht bei der betroffenen Person erhoben wurden (Art. 14 DSGVO)
- Auskunftsrecht (Art. 15 DSGVO)
- Recht auf Berichtigung (Art. 16 DSGVO)
- Recht auf Löschung (Art. 17 DSGVO)
- Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
- Mitteilungspflicht im Zusammenhang mit der Berichtigung und Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung (Art. 19 DSGVO)
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
- Widerspruchsrecht (Art. 21 DSGVO)
- Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden (Art. 22 DSGVO)
Nähere Informationen zu den Betroffenenrechten finden Sie ua. in den Leitlinien des Europäischen Datenschutzausschusses zu den Betroffenenrechten.
Beschränkung von Betroffenenrechten im Bereich der Gesetzgebung
Im nationalen Recht werden bestimmte Betroffenenrechte im Zusammenhang mit Datenverarbeitungen im Bereich der Gesetzgebung beschränkt:
- Verarbeitung personenbezogener Daten im Bereich des Nationalrates und des Bundesrates: §§ 3b und 3c des Informationsordnungsgesetzes (InfOG)
- Verarbeitung personenbezogener Daten durch den Rechnungshof: § 3a Abs. 4 bis 11 des Rechnungshofgesetzes 1948 (RHG)
- Verarbeitung personenbezogener Daten durch die Volksanwaltschaft: § 5 Abs. 4 bis 12 des Volksanwaltschaftsgesetzes 1982 (VolksanwG)
Die Beschränkungen der Betroffenenrechte sollen jeweils nur insoweit zur Anwendung gelangen, als die Beschränkung jeweils zur Erfüllung der gesetzlichen Aufgaben geeignet und erforderlich ist.
Auch in den Landesgesetzen werden im Zusammenhang mit Datenverarbeitungen im Bereich der Gesetzgebung Betroffenenrechte beschränkt:
Burgenland
§ 28b Abs. 1 bis 8 und § 28c des Gesetzes über die Geschäftsordnung des Burgenländischen Landtages
§ 14a Abs. 3 bis 5 des Burgenländischen Landes-Rechnungshof-Gesetzes (Bgld. LRHG)
Kärnten
§ 81j Abs. 1 der Geschäftsordnung des Kärntner Landtages (K-LTGO)
Niederösterreich
§ 73 Abs. 1 bis 9 der Geschäftsordnung (LGO 2001)
Oberösterreich
§ 16b der Oö. Landtagsgeschäftsordnung 2009 (Oö. LGO 2009)
§ 7a Abs. 3 bis 11 des Oö. Landesrechnungshofgesetzes 2013 (Oö. LRHG 2013)
Salzburg
§ 89c des Landtags-Geschäftsordnungsgesetzes (GO-LT)
§ 10a Abs. 3 bis 11 des Salzburger Landesrechnungshofgesetzes 1993
Steiermark
§ 80d der Geschäftsordnung des Landtages Steiermark 2005 (GeoLT 2005)
Art. 49a Abs. 4 bis 11 des Landes-Verfassungsgesetzes 2010 (L-VG)
Tirol
§§ 81 und 82 des Gesetzes über die Geschäftsordnung des Tiroler Landtages 2015
§ 6a Abs. 3 und 5 des Tiroler Landesrechnungshofgesetzes
§ 11 Abs. 5 und 6 des Gesetzes über den Tiroler Landesvolksanwalt
Vorarlberg
§ 3c Abs. 1 bis 10 des Gesetzes über landesspezifische Regelungen zum Datenschutz (L-DSG)
Wien
§§ 130d und 130e der Wiener Stadtverfassung (WStV)
Allgemeines zu den Pflichten des Verantwortlichen
Als datenschutzrechtlicher Verantwortlicher ist jene natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle anzusehen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel einer Datenverarbeitung entscheidet. Die Festlegung des Verantwortlichen kann unter bestimmten Voraussetzungen auch gesetzlich erfolgen (Art. 4 Z 7 DSGVO).
Der Verantwortliche ist für die Einhaltung der datenschutzrechtlichen Anforderungen verantwortlich und muss die Einhaltung auch nachweisen können (sogenannte „Rechenschaftspflicht“, Art. 5 Abs. 2 DSGVO).
© Parlamentsdirektion/Pia WiesböckDie DSGVO sieht insbesondere folgende Pflichten des Verantwortlichen vor:
- Einhaltung der Grundsätze für die Verarbeitung personenbezogener Daten (Art. 5 Abs. 1 DSGVO):
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (Art. 5 Abs. 1 lit. a DSGVO)
- Zweckbindung (Art. 5 Abs. 1 lit. b DSGVO)
- Datenminimierung (Art. 5 Abs. 1 lit. c DSGVO)
- Richtigkeit (Art. 5 Abs. 1 lit. d DSGVO)
- Speicherbegrenzung (Art. 5 Abs. 1 lit. e DSGVO)
- Integrität und Vertraulichkeit (Art. 5 Abs. 1 lit. f DSGVO)
- Gewährleistung der Rechtmäßigkeit der Datenverarbeitung (Art. 6 bis 10 DSGVO)
- Wahrnehmung der Betroffenenrechte (Kapitel III DSGVO) unter Einhaltung der dafür vorgesehenen Modalitäten (Art. 12 DSGVO), wie beispielsweise
- Information der betroffenen Person bei Erhebung personenbezogener Daten (Art. 13 und 14 DSGVO)
- Erteilung von Auskünften auf Antrag der betroffenen Person (Art. 15 DSGVO)
- Berichtigung und Löschung von personenbezogenen Daten (Art. 16 und 17 DSGVO)
- Umsetzung von geeigneten technischen und organisatorischen Maßnahmen („TOMs“), um ein dem Risiko angemessenes Schutzniveau zu gewährleisten (Art. 24, 32 DSGVO)
- Datenschutz durch Technikgestaltung („Privacy by Design“) und durch datenschutzfreundliche Voreinstellungen („Privacy by Default“) (Art. 25 DSGVO)
- Einhaltung von bestimmten materiellen und formellen Vorgaben bei der Inanspruchnahme von Auftragsverarbeitern (Art. 28 DSGVO)
- Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO)
- Zusammenarbeit mit der Aufsichtsbehörde (Art. 31 DSGVO)
- Meldung von Verletzungen des Schutzes personenbezogener Daten („Data Breach“) an die Aufsichtsbehörde und Benachrichtigung von betroffenen Personen (Art. 33 und 34 DSGVO)
- Durchführung von Datenschutz-Folgenabschätzungen (Art. 35 DSGVO)
- Benennung eines Datenschutzbeauftragten (Art. 37 DSGVO)
Nähere Informationen zu den Pflichten des Verantwortlichen finden Sie ua. in den Leitlinien des Europäischen Datenschutzausschusses.