Schlagwort: EU-DSGVO

Rechte der Betroffenen (Teil 4): Recht auf Vergessenwerden

am von Alix Frank Rechtsanwälte GmbHin Allgemein, Datenschutz, DSGVO, EU-DSGVO

Von Franz J Heidinger / Laurin Maran: Mario ist eitel. Als sein Haus in El Escorial nahe Madrid gepfändet wurde, war es für ihn schlimmer, davon in der Zeitung zu lesen, als die Pfändung an sich. „Schwamm drüber“, dachte er sich dann aber, „ich werde meine Schulden tilgen und an den Zeitungsartikel mit den Pfändungen wird sich in zwei Wochen niemand mehr erinnern“. Mario sollte recht behalten. Er bezahlte und der unangenehme Zeitungsartikel geriet schnell in Vergessenheit. Mario erinnert sich nicht gerne an diese schwere Zeit.

 Einige Jahre später in einem Redaktionsgebäude in Barcelona: In der Chefetage beschließt man, dass es Zeit ist, mit der Zeit zu gehen. Und wer mit der Zeit geht, muss Online gehen. Dafür werden alle Zeitungen der letzten Jahre eingescannt und auf der Homepage veröffentlicht.

Zur etwa selben Zeit im kalifornischen Ort Mountain View. Die beiden Google-Gründer Larry Page und Sergey Brin werden Sponsor von GeoEye-1, einem Satelliten, der hochauflösende Bilder für Google Maps liefern soll. Als GeoEye-1 am 6. September 2008 mit einer Delta-II-Rakete auf die Reise geschickt wird, sind Page und Brin vor Ort. Stolz blicken sie der Rakete nach. „Jetzt also auch der Weltraum“, denken sie wohl.

Drei Geschichten, die auf den ersten Blick nichts miteinander zu tun haben und doch zu einer Gerichtsentscheidung führten, die das europäische Datenschutzrecht nachhaltig geprägt hat:

Der längst vergessene Zeitungsartikel landete im Internet und wurde jedem angezeigt, der Mario bei Google gesucht hat. Mario passte das gar nicht. Er fühlte sich dadurch in seinen Persönlichkeitsrechten verletzt und wollte Google per Gericht verbieten lassen, dieses konkrete Suchergebnis mit der alten Geschichte anzuzeigen.

Der Fall landete schließlich vor dem Europäischen Gerichtshof und der stellte im Mai 2014 völlig überraschend fest, dass es im Internet ein Recht auf Vergessenwerden gibt. Das bedeutet, dass Suchmaschinen unerwünschte Suchergebnisse löschen müssen, wenn diese Persönlichkeitsrechte der Betroffenen verletzen. Der Inhalt verschwindet dadurch zwar nicht aus dem Internet, ist aber sehr viel schwerer zu finden.

Mit der Datenschutzgrundverordnung wurde dieses Recht in weiterentwickelter Form gesetzlich verankert. Nach Art. 17 DSGVO kann man von dem für die Datenverarbeitung Verantwortlichen verlangen, dass personenbezogene Daten unverzüglich gelöscht werden, wenn einer der in Absatz 1 genannten Voraussetzungen erfüllt ist. Dies ist beispielsweise der Fall, wenn die Einwilligung der Datenverarbeitung widerrufen wurde, die Daten unrechtmäßig verarbeitet wurden oder für den Zweck, für die sie ursprünglich erhoben wurden, nicht mehr notwendig sind.

Hat der Verantwortliche die Daten bereits veröffentlicht, müssen sie das jeweilige Löschungsgesuch an andere Stellen weiterleiten und darüber informieren, dass eine betroffene Person die Löschung aller Links zu diesen Daten oder von Kopien verlangt hat.

Hat ein Kind (Personen unter 16 Jahre) in die Datenverarbeitung eingewilligt, muss der Verantwortliche die Daten unverzüglich löschen, wenn das Kind oder dessen Eltern das verlangen. Dieser Löschungsanspruch kann nicht abgewehrt werden und steht selbstverständlich auch dann noch zu, wenn das Kind bereits volljährig ist. Diese auf Facebook, YouTube und Co. zugeschnittene Regelung wird wohl viele junge Menschen davor bewahren, von Jugendsünden eingeholt zu werden, die sie auch nach vielen Jahren noch um einen Job bringen könnten.

Wenn es auch Ihnen wie Mario geht und Sie unliebsame Inhalte nicht mehr im Internet sehen wollen, müssen Sie sich glücklicherweise nicht mehr bis zum EuGH durchkämpfen. Die Experten der Alix Frank Rechtsanwälte GmbH unterstützen Sie gerne bei der Durchsetzung Ihrer Rechte.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht

TEIL 2: Recht auf Auskunft

TEIL 3: Berichtigung

Rechte der Betroffenen (Teil 3): Berichtigung

am von Alix Frank Rechtsanwälte GmbHin Allgemein, EU-DSGVO

Von Franz J Heidinger / Laurin Maran -Im letzten Blog-Beitrag wurde das Recht auf Auskunft vorgestellt. Die von einer Datenverarbeitung betroffene Person sollte nach einem Auskunftsbegehren darüber Bescheid wissen, über welche Daten das jeweilige Unternehmen verfügt. Sollte sich herausstellen, dass gewissen Daten falsch gespeichert wurden, haben Betroffene gemäß Art. 16 EU-DSGVO das Recht, von dem für die Verarbeitung Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.

Mit dieser Norm soll sich der in Art. 5 Abs 1 lit d EU-DSGVO verankerter Grundsatz der Richtigkeit von personenbezogenen Daten auch von Betroffenen durchsetzen lassen. Denn grundsätzlich müssen Daten stets sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Wenn ein Unternehmen schon Daten speichert und verarbeitet, dann sollen diese Daten den Betroffenen und seine Lebensumstände auch richtig wiederspiegeln.

Ein Unternehmen hat diesem Wunsch innerhalb eines Monats nachzukommen und den Betroffenen über die Änderungen zu informieren. Wenn es die Komplexität des Antrages oder die Anzahl der Anträge erforderlich macht, kann diese Frist um 2 Monate verlängert werden.

Neben der Berichtigung kann eine betroffene Person auch die Vervollständigung unvollständiger, personenbezogener Daten verlangen.

Der Antrag kann völlig formfrei gestellt werden, ein Identitätsnachweis ist nur in Zweifelsfällen notwendig. Wie beim Auskunftsrecht kann der Verantwortliche nur bei exzessiven Anträgen oder im Fall von Wiederholungen ein angemessenes Entgelt verlangen.

Hier finden Sie die weiteren Teile unserer Reihe „Rechte der Betroffenen“:

TEIL 1: Informationsrecht

TEIL 2: Recht auf Auskunft

Zulässigkeit der Datenverarbeitung (Teil 2): Berechtigtes Interesse des Verantwortlichen

am von Alix Frank Rechtsanwälte GmbHin EU-DSGVO

Von Franz J. Heidinger / Laurin Maran – Nachdem im letzten Beitrag die rechtmäßige Verarbeitung personenbezogener Daten aufgrund der Einwilligung der betroffenen Personen behandelt wurde, widmet sich dieser Artikel dem nächsten Erlaubnistatbestand: Art 6 Abs 1 lit f normiert, dass die Verarbeitung rechtmäßig ist, wenn sie zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist. Allerdings nur dann, wenn durch die Verarbeitung personenbezogener Daten nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen. Es sind folglich die Interessen des Verantwortlichen gegen die Interessen der betroffenen Person abzuwägen. Je nachdem wessen Interessen überwiegen, ist die Verarbeitung rechtmäßig oder nicht. Die Interessen des Verantwortlichen müssen allerdings nochmal deutlich schwerer wiegen, wenn auf der anderen Seite der Waage die Interessen eines Kindes in der Waagschale liegen.

In anderen Worten ausgedrückt bedeutet das, dass ein Unternehmer personenbezogene Daten verarbeiten darf, wenn

  1. er ein berechtigtes Interesse an der Verarbeitung von personenbezogenen Daten hat, UND
  2.  die Person, von der die Daten stammen, kein Geheimhaltungsinteresse im Bezug auf diese Daten hat, das gegenüber dem Interesse des Unternehmers überwiegt.

Genauere Ausführungen, wie diese Interessenabwägung vorzunehmen ist, sind in augeErwägungsgrund 47 zu finden. So sind zum Beispiel die vernünftigen Erwartungen der betroffenen Person, die auf ihrer Beziehung zu dem Verantwortlichen beruhen, zu berücksichtigen. Ein berechtigtes Interesse auf Seite des Verantwortlichen könnte beispielsweise vorliegen, wenn zwischen einem Unternehmer als die für die Verarbeitung verantwortliche Person und einer betroffenen Person eine Beziehung besteht, zum Beispiel wenn die betroffene Person Kunde des Unternehmens oder bei diesem angestellt ist. Weiters kann die Verarbeitung personenbezogener Daten zum Zweck der Direktwerbung als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.

Selbstverständlich kann es bei der Abwägung nicht auf die Sicht des Unternehmens ankommen. Dies würde seine eigenen Interessen wohl regelmäßig wichtiger einschätzen als die der Betroffenen. Vielmehr wird es Aufgabe der Gerichte und Behörden sein, in vielen Einzelfallentscheidungen die Linie zwischen rechtsmäßiger und rechtswidriger Verarbeitung zu ziehen. Momentan herrscht diesbezüglich noch eine ziemliche Rechtsunsicherheit und es ist noch nicht absehbar, für welche Situationen dieser Erlaubnistatbestand herangezogen werden kann.

Wie eine solche Einzelfallentscheidung in Zukunft aussehen könnte, wurde erst kürzlich vom Gerichtshof der Europäischen Union in der Rechtssache C-131/12 Google Spain vs. AEPD demonstriert: Hier wurde das wirtschaftliche Interesse von Google gegen das Interesse einer Person, nicht in der Ergebnisliste der Suchmaschine aufzuscheinen, abgewogen. Die Richter in Luxemburg stellten fest, dass eine Verarbeitung personenbezogener Daten, die von einem Suchmaschinenbetreiber vorgenommen wird, es jedem Internetnutzer ermöglicht, bei Durchführung einer Suche anhand des Namens einer natürlichen Person mit der Ergebnisliste einen strukturierten Überblick über die zu ihr im Internet verfügbaren Informationen zu erhalten. Somit kann ein detailliertes Profil einer Person erstellt werden. Dieser Eingriff in die Rechte der betroffenen Person wiege so schwer, dass er nicht allein mit dem wirtschaftlichen Interesse des Suchmaschinenbetreibers an der Verarbeitung gerechtfertigt werden kann.

Ausgangspunkt war das Missfallen eines Spaniers am Umstand, dass man bei der Suche seines Namens auf einen alten Zeitungsartikel stieß, der ihn mit einer Insolvenz in Verbindung brachte. Der EuGH sah in der Indexierung und Zurverfügungstellung von Links zu bestimmten Homepages durch Google als Verantwortlichen eine eigenständige Verarbeitung personenbezogener Daten, für die Google einen Erlaubnistatbestand braucht. Dieser Erlaubnistatbestand war die oben beschriebene Interessensabwägung. Laut EuGH überwiegten in diesem Fall aber die Interessen des Spaniers, der Erlaubnistatbestand fiel somit weg und die Verarbeitung war rechtswidrig.

Seitdem kann bei Google ein Antrag auf Löschung gestellt werden. Das Unternehmen prüft dann intern, ob die Interessen des Antragsstellers größer sind als die wirtschaftlichen Interessen von Google und die Interesse der Internetnutzer an genau diesen Informationen und löscht gegebenenfalls konkrete Links aus der Ergebnisliste. Entscheidet der Suchmaschinenbetreiber nicht im Sinne des Antragstellers, bleibt diesem der Weg zu Gericht.

Diese Entscheidung ist, wie immer im Falle einer Interessensabwägung, nur eine Einzelfallentscheidung und kann für andere lediglich eine grober Kompass sein, der zeigt, in welche Richtung die Reise geht. Unternehmen, die aufgrund dieses Erlaubnistatbestandes personenbezogene Daten verarbeiten, ist daher zu empfehlen, zukünftige Entscheidungen genau zu studieren und ihre eigene Datenverarbeitung gegebenenfalls anzupassen. Sollte es diesbezüglich Neuerungen oder Konkretisierungen geben, wird sie DER DATENSCHUTZBLOG selbstverständlich darüber informieren.

Zulässigkeit der Datenverarbeitung (Teil 1): Die Einwilligung der betroffenen Person

am von Alix Frank Rechtsanwälte GmbHin Allgemein, EU-DSGVO

Von Franz J. Heidinger / Laurin Maran – Die entscheidende Frage im datenschutzrechtlichen Kontext ist die nach der Zulässigkeit der Verarbeitung personenbezogener Daten. Die EU-DSGVO bringt diesbezüglich keine überraschende Neuerung im Vergleich zur aktuellen Rechtslage, ein paar zusätzliche Bestimmungen gibt es allerdings schon.

Das europäische Datenschutzregime basiert auf dem Grundsatz „Verbot mit Erlaubnisvorbehalt“. Das bedeutet, dass die Verarbeitung personenbezogener Daten nur dann rechtmäßig ist, wenn mindestens eine der in Art. 6 Abs 1 EU-DSGVO aufgezählten Bedingungen erfüllt ist. Die Bedingungen sind die Folgenden:

  1. Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehreren bestimmte Zwecke gegeben.
  2. Die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  3. Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt.
  4. Die Verarbeitung ist erforderlich, um lebenswichtige Interessen einer natürlichen Person zu schützen.
  5. Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  6. Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte der betroffenen Person überwiegen, insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt.

20160919_141430.jpg

Die Einwilligung

Die Verarbeitung ist also grundsätzlich verboten, es sei denn, die betroffene Person willigt in die Verwendung ihrer personenbezogenen Daten ein. Dieser Erlaubnisgrund ist wohl die meist gebrauchte Rechtsgrundlage für die Datenverarbeitung. Der Begriff der Einwilligung wird in der EU-DSGVO in Art. 4 wie folgt definiert:

Die Einwilligung der betroffenen Person ist jede freiwillige für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden Personenbezogenen Daten einverstanden ist.

Diese Erklärung kann etwa durch das Anklicken eines Kästchens beim Besuch einer Internetseite oder durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft geschehen. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sind keine gültigen Einwilligungen. Die betroffene Person muss also in Kenntnis darüber, zu welchen Zwecken seine Daten verarbeitet werden, selbst und freiwillig aktiv werden.

Gemäß Art 7 Abs 1 EU-DSGVO muss der für die Verarbeitung Verantwortliche nachweisen können, dass die  betroffene Person in die Verarbeitung ihrer Daten eingewilligt hat. Unternehmen haben somit eine Protokollierungspflicht und müssen Einwilligungen bei Bedarf dokumentieren können.

Der Begriff Einwilligung in „informierter Weise“ wird in Art 7 Abs 2 weiter konkretisiert. Erfolgt diese nämlich durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um die Einwilligung in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen, und zwar so, dass es von anderen Sachverhalten eindeutig zu unterscheiden ist. Die betroffene Person muss also klar erkennen können, in was sie einwilligt, und zwar ohne davor ein datenschutzrechtliches Studium absolvieren zu müssen.

„Freiwillig“ ist eine Einwilligung nur dann, wenn sie sich nur auf Daten bezieht, die der Verarbeiter für die konkrete Vertragserfüllung benötigt. Lässt sich der Verarbeiter jedoch mit derselben Einwilligung auch die Verarbeitung von Daten erlauben, die für die Vertragserfüllung nicht benötigt werden, spricht das gegen die Freiwilligkeit. Somit gibt es ab 2018 ein sogenanntes Kopplungsverbot.

Beispiel für ein Kopplungsverbot:

Eine Bildbearbeitungs-App fürs Smartphone nimmt sich in seinen Datenschutzbestimmungen das Recht heraus, auf das Telefonbuch des Nutzers, auf die Nutzungsdauer des Handys und auf seine Standortdaten zuzugreifen. Dies sind eindeutig Daten, die nicht zur Bearbeitung von Fotos benötigt werden. Möchte der Nutzer die App jedoch nutzen, muss er den Zugriff vollumfänglich erlauben. Diese Datenschutzbestimmungen widersprechen den Kopplungsverbot und wären gemäß der EU-DSGVO rechtswidrig.

Einwilligung bei Kindern

Artikel 8 behandelt die Bedingungen für die Einwilligung von Kindern im Bezug auf Dienste der Informationsgesellschaft: Eine Person unter 16 Jahren ist nicht fähig, eine gültige Einwilligung zur Verarbeitung von personenbezogenen Daten zu geben. Für Kinder unter 16 Jahren muss die Einwilligung also von den Eltern gegeben werden. Von dieser Altersgrenze kann zwar jeder Mitgliedsstaat mit eigenen Regelungen abweichen, allerdings müssen Kinder mindestens das 13. Lebensjahr vollendet haben.

Wie die für die Datenverarbeitung verantwortlichen Personen diese Regelungen umsetzen sollen, wird im Gesetz nicht beschrieben und wird wohl mit erheblichen Problemen verbunden sein. Mit einem „mit Anklicken des Kästchen bestätige ich, dass ich über 16 Jahre alt bin“ wird es wohl nicht getan sein.

Ein weiteres Problem werden die unterschiedlichen Regelungen bezüglich der Altersgrenze in Europa aufwerfen. Gerade bei der Datenverarbeitung im Internet, das sich bekanntlich nicht an Ländergrenzen hält, werden die verschiedenen Altersgrenzen zur Einwilligungsfähigkeit erhebliche Schwierigkeiten bringen. Man stelle sich vor, die Altersgrenze in Österreich bleibt bei 16 Jahren, in Deutschland wird sie auf 15 Jahre gesenkt und der ungarische Gesetzgeber ist der Meinung, schon mit 13 Jahren könne man eine Einwilligung geben. Ein Betreiber einer Handy-App, dessen Datenverarbeitung auf der Einwilligung beruht, müsste nun für jeden Mitgliedsstaat individuelle Schutzmechanismen entwickeln. Mit einer Harmonisierung des europäischen Datenschutzrechts hat das nicht mehr viel zu tun.

Handlungsbedarf für Unternehmen

Unternehmen sollten jetzt ihre Datenschutzbestimmungen und Zustimmungserklärungen dahingehend überprüfen, ob sie den Regelungen der EU-DSGVO entsprechen. Sollte dies nicht der Fall sein, müssen sie bis zum 25. Mai 2018 überarbeitet und angepasst werden.

Falls nicht schon vorhanden muss eine Infrastruktur geschaffen werden, um abgegebene Einwilligungen individuell nachweisen zu können.

Sollten unter den Kunden auch Personen unter 16 Jahren sein, werden gegebene Einwilligungen ab 2018 wohl unwirksam sein und müssten dann neu eingeholt werden.

In Anbetracht der Strafdrohungen in Höhe von bis zu 20 Millionen Euro für Verstöße gegen die EU-DSGVO sollte unter Umständen die Beiziehung professioneller Unterstützung in Betracht gezogen werden.

Anwendungsbereich der EU- DSGVO

am von Alix Frank Rechtsanwälte GmbHin Allgemein, EU-DSGVO

Von Franz J. Heidinger / Laurin Maran – Der Anwendungsbereich beantwortet stets die Frage, für welche Sachverhalte bestimmte Gesetze anzuwenden sind. Man unterscheidet zwischen dem sachlichen und dem räumlichen Anwendungsbereich. Während der sachliche Anwendungsbereich klärt, ob ein Gesetz überhaupt thematisch für eine bestimmte Situation anzuwenden ist, klärt der räumliche Anwendungsbereich, wo, also in welchem Land, sich diese bestimmte Situation abgespielt haben muss, damit das Gesetz gilt.20160919_141500

Der sachliche Anwendungsbereich

Gemäß Artikel 2 Abs 1 EU-DSGVO gilt die Datenschutzgrundverordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nun stellt sich natürlich die Frage, was der Verfasser der EU-DSGVO unter den Begriffen „personenbezogene Daten“ und  „Verarbeitung“ versteht.

Die Definitionen finden sich nur zwei Artikel später: Gemäß Artikel 4 Z 1 EU-DSGVO versteht man unter personenbezogenen Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“

Somit findet die EU-DSGVO immer dann Anwendung, wenn personenbezogene Daten von natürlichen Personen verarbeitet werden. Die Grundrechte und insbesondere das Recht auf Schutz personenbezogener Daten aller Menschen, ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsort, sollen gewahrt bleiben.

Durch das aktuelle österreichische Datenschutzgesetz (DSG 2000) sind auch die Daten juristischer Personen, also von Vereinen, Stiftungen, Aktiengesellschaften, GmbHs etc.,  geschützt. Sobald die EU-DSGVO das DSG 2000 abgelöst haben wird, wird dieser Schutz jedoch wegfallen. Verarbeitet man also zukünftig unternehmensbezogene Daten, wie beispielsweise Kontaktdaten oder die Rechtsform eines Unternehmens, wird die EU-DSGVO auf diese Verarbeitung nicht anwendbar sein. Die hinter der juristischen Personen stehenden Menschen sind jedoch weiterhin geschützt, handelt es sich bei diesen schließlich um natürliche Personen.

Unter Verarbeitung versteht die EU-DSGVO „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Wie man sieht wird jede denkmögliche Auseinandersetzung mit personenbezogenen Daten erfasst. Somit muss sich jedes Unternehmen, jeder Einzelunternehmer und jeder Onlineshopbetreiber, auch wenn er nur am Rande seiner beruflichen Tätigkeit mit personenbezogenen Daten in Kontakt kommt, mit den Bestimmungen der EU-DSGVO auseinandersetzen.

Es gibt jedoch ein paar Ausnahmen: Die Verordnung findet unter anderem keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, solange sie ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen werden. Die Nutzung sozialer Netze und Online-Tätigkeiten von Privaten fällt somit nicht in den Anwendungsbereich der EU-DSGVO. Die Verordnung gilt jedoch dennoch für die Verantwortlichen, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönliche oder familiäre Tätigkeiten bereitstellen.

Beispiel:

Verschickt jemand Fotos einer anderen Person über Whatsapp, fällt dieser Vorgang nicht unter das neue Regelwerk. Das Unternehmen „WhatsApp Inc.“ allerdings, welches das Foto verarbeitet, muss sich an die datenschutzrechtlichen Bestimmungen halten. Ebenso ist es mit der Veröffentlichung von Fotos anderer Personen auf Facebook. Aber auch wenn dies vielleicht datenschutzrechtlich nicht relevant sein mag, werden dennoch Persönlichkeitsrechte der betroffenen Person verletzt.

Räumlicher Anwendungsbereich

  • Die EU-DSGVO wird angewendet, wenn personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Europäischen Union verarbeitet werden und zwar unabhängig davon, ob die Verarbeitung in der Union stattfindet. Eine Niederlassung ist laut EuGH eine auf eine gewisse Dauer angelegte Außenstelle eines Stammhauses, die über hinreichende materielle und personelle Ausstattung verfügt, um Geschäfte zu betreiben.
  • Weiters findet die Verordnung Anwendung, wenn personenbezogene Daten von Personen, die sich in der Europäischen Union befinden, verarbeitet werden, der für die Verarbeitung Verantwortliche aber nicht in der Europäischen Union niedergelassen ist. Allerdings nur, wenn die Verarbeitung im Zusammenhang damit steht, Personen in der EU Waren oder Dienstleistungen anzubieten oder das Verhalten von Personen in der EU zu beobachten.

Somit müssen sich unter Umständen bald auch nicht-europäische Unternehmen ohne Niederlassung in der EU an das europäische Datenschutzrecht halten.

Beispiel:

Ein texanischer Hutmacher verkauft seine Westernhüte über einen Onlineshop im Internet. Selbstverständlich ist dieser Onlineshop über das Internet auch aus Österreich nutzbar. Für eine Bestellung müssen sich Käufer mit Name, Anschrift und E-Mailadresse registrieren –  zweifelsohne personenbezogene Daten. Die Frage der Anwendbarkeit der EU-DSGVO hängt nun davon ab, ob der Hutmacher offensichtlich vor hat, seine Hüte auch in der EU zu verkaufen. Dies wird anhand des Einzelfalls entschieden. Ist es beispielweise möglich, die Sprache des Onlineshops auf Deutsch umzustellen, werden die Preise auch in Euro angezeigt und stellt er Informationen über die Einfuhrbestimmungen in die EU zu Verfügung, spricht dies für eine Anwendung der EU-DSGVO. Ist der einzige Zusammenhang zwischen dem Onlineshop und der EU jedoch nur ein Cowboyhut mit einer EU-Flagge, sind die Daten eines österreichischen Käufers nur durch texanisches Datenschutzrecht geschützt.

 

Das Verhalten von Personen wird beobachtet, wenn ihre Internetaktivitäten nachvollzogen werden können und durch diese Aktivitäten anschließend von der Person ein Profil erstellt wird, anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert und vorausgesagt werden.

Beispiel

Ein Österreicher nutzt auf seinem Smartphone eine kostenlose App. Diese App speichert und analysiert seine Standortdaten, die Marke seines Handys, die Häufigkeit der Nutzung etc. Anhand dieser Daten schließt der Betreiber auf die soziale Herkunft, die Bildung und das Einkommen des Nutzers und bietet dementsprechende Werbung an.

Ergebnis

Für die Anwendung europäischen Datenschutzrechts kommt es bald nicht mehr nur auf den Ort der Niederlassung an, sondern auch auf den Ort, wo sich der Betroffene aufhält (Marktortprinzip). Ist dieser Ort innerhalb der Europäischen Union, wird die EU-DSGVO angewendet, selbst wenn die Person australischer Staatsbürger ist. Hält sich das datenverarbeitende Unternehmen nicht an die Regeln, drohen europaweit einheitliche Strafen.