Ihre Rechte als Betroffener
Neue Regelung und Erweiterung
Mit der Datenschutz-Grundverordnung werden die Rechte der Betroffenen neu geregelt und erweitert.
Die Ausübung dieser Rechte ist in Art. 12 DSGVO geregelt. Wenn der Verantwortliche begründete Zweifel an der Identität der natürlichen Person hat, die einen Antrag auf Auskunft, Löschung etc. stellt, so kann er zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind. Im Gegensatz zur Regelung im alten Datenschutzgesetz 2000 muss ein Antragssteller nicht mehr verpflichtend seine Identität nachweisen.
Bei Rechten, die mit Antrag (Begehren) geltend gemacht werden müssen (siehe unten) muss der Verantwortliche innerhalb einer Frist von einem Monat auf den Antrag reagieren und entweder
- Die gewünschte Maßnahme setzen (also z. B. die Auskunft erteilen) oder
- begründen, warum er dem Antrag nicht oder nicht vollständig folgt, oder
- mitteilen, dass er auf Grund der Komplexität und der Anzahl von Anträgen noch zwei weitere Monate für eine Antwort benötigt.
Recht auf Geheimhaltung (§ 1 Abs. 1 DSG)
Jedermann hat Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Das bedeutet, dass Ihre Daten grundsätzlich vertraulich zu behandeln sind und anderen nicht zugänglich gemacht werden dürfen.
Das Grundrecht auf Datenschutz in § 1 Abs. 1 DSG ist auch bei Geltung der DSGVO vorhanden.
Recht auf Information (Art. 13 und 14 DSGVO)
Art. 13 DSGVO und Art. 14 DSGVO regeln die Informationspflicht eines Verantwortlichen bei Erhebung von personenbezogenen Daten bei der betroffenen Person bzw. die Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden.
Sollte Ihnen ein Verantwortlicher entgegen dieser Verpflichtung die Informationen entsprechend Art. 13 DSGVO oder Art. 14 DSGVO nicht oder unzureichend zur Verfügung stellen, so können Sie eine Beschwerde wegen Verletzung des Rechts auf Information bei der Datenschutzbehörde einbringen.
Information der Datenschutzbehörde gemäß Art. 13 und 14 DSGVO
Recht auf Auskunft (Art. 15 DSGVO)
Jedermann hat das Recht zu erfahren, ob ein Verantwortlicher (Behörde, Unternehmen etc.) Daten zu seiner Person verarbeitet. Um dieses Recht auszuüben muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.
Der Verantwortliche muss die Informationen in einem gängigen elektronischen Format bereitstellen, wenn im Auskunftsbegehren nichts anderes angegeben ist
Das Recht auf Auskunft besteht nicht
- gegenüber einem hoheitlich tätigen Verantwortlichen, wenn durch die Erteilung dieser Auskunft die Erfüllung einer dem Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird, oder
- wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet würde.
Recht auf Berichtigung (Art. 16 DSGVO)
Der Betroffene hat das Recht, von dem Verantwortlichen die Berichtigung ihn betreffender unrichtiger personenbezogener Daten zu verlangen. Es ist auch möglich, eine Vervollständigung eines unvollständigen Datensatzes mittels einer ergänzenden Erklärung zu verlangen.
Der Betroffene darf eine Einschränkung der Verarbeitung verlangen, bis die Richtigkeit der Daten festgestellt werden kann (Art. 18 Abs. 1 lit. a DSGVO).
Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.
TippTipp
Bitte verlangen Sie nicht Auskunft und Berichtigung gleichzeitig! Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten korrigieren. Eine nachfolgende Kontrolle der Auskunft durch die Datenschutzbehörde ist dann nur noch schwer möglich.
Recht auf Löschung (Art. 17 DSGVO)
Der Betroffene hat das Recht auf Löschung seiner Daten in einem der folgenden Fälle:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.
- Die Verarbeitung beruht auf einer Einwilligung der betroffenen Person, diese widerruft und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Die betroffene Person legt gemäß Artikel 21 Absatz 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder die betroffene Person legt Widerspruch gegen die Verarbeitung für Zwecke der Direktwerbung ein.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft für Kinder erhoben (Art. 8 Abs. 1 DSGVO).
Es gibt Einschränkungen des Rechts auf Löschung, wie z.B. wenn die Daten zur Verteidigung von Rechtsansprüchen dienen (Art. 17 Abs. 3 DSGVO).
Wenn Sie die Verarbeitung für unrechtmäßig halten, aber die Löschung ablehnen, können Sie eine Einschränkung der Verarbeitung gemäß Art. 18 DSGVO beantragen (Art. 18 Abs. 1 lit. b DSGVO).
Um dieses Recht auszuüben, kann der Betroffene vorab ein diesbezügliches Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.
TippTipp
Bitte verlangen Sie nicht Auskunft und Löschung gleichzeitig! Der Verantwortliche könnte eine unzureichende Auskunft erteilen und dann die Daten löschen. Eine nachfolgende Kontrolle durch die Datenschutzbehörde ist dann nur noch schwer möglich.
Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)
Die Datenschutz-Grundverordnung führt in Art. 18 ein neues Recht auf Einschränkung der Verarbeitung ein. Es dient dazu, den Gebrauch von Daten einzuschränken ohne sie zu löschen. Die Einschränkung der Verarbeitung kann parallel zum Recht auf Richtigstellung und zum Recht auf Widerspruch verlangt werden.
Wenn Sie die Verarbeitung für unrechtmäßig halten, aber die Löschung ablehnen, können Sie eine Einschränkung der Verarbeitung beantragen (Art. 18 Abs. 1 lit. b DSGVO).
Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich mehrere Formulare an. Die Formulare für das Recht auf Berichtigung und auf Widerspruch enthalten bereits eine Option dazu. Weiters gibt es ein Formular nur für das Recht auf Einschränkung der Verarbeitung.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Das Recht auf Datenübertragbarkeit ist ebenfalls neu. Es gewährt das Recht, Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen zur Verarbeitung zu geben. Das Recht auf Datenübertragbarkeit unterscheidet sich vom Recht auf Auskunft dadurch, dass die Betonung auf der Übertragbarkeit liegt.
Dieses Recht besteht nur, wenn die Verarbeitung auf einer Einwilligung oder einem Vertrag beruht und die Verarbeitung mittels automatisierter Verfahren erfolgt. Es kann somit nicht gegenüber einer Behörde geltend gemacht werden.
Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.
Widerspruchsrecht (Art. 21 DSGVO)
Der Betroffene hat das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihn betreffender personenbezogener Daten, die aufgrund von Art. 6 Absatz 1 Buchstaben e oder f DSGVO erfolgt, Widerspruch einzulegen. Die Buchstaben e oder f betreffen die Verarbeitung für eine Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt oder eine Verarbeitung zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten.
Es gibt weiters ein besonderes Recht auf Widerspruch gegen die Verwendung von Daten für Direktwerbung.
Um dieses Recht auszuüben, muss der Betroffene ein Begehren an den Verantwortlichen richten. Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.
Recht, nicht einer ausschließlich automatisierten Entscheidung unterworfen zu sein (Art. 22 DSGVO)
Die betroffene Person hat das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung — einschließlich Profiling — beruhenden Entscheidung unterworfen zu werden, die ihr gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt, außer in bestimmten Fällen (vor einem Vertragsabschluss, auf gesetzlicher Grundlage sowie mit Zustimmung).
Sonstige Rechte
Gemäß Art. 77 DSGVO hat die betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt. Es ist daher auch eine Beschwerde wegen Verstößen gegen andere Bestimmungen der DSGVO möglich.
Die Datenschutzbehörde bietet dazu unverbindlich ein Formular.
Zuständigkeit der Datenschutzbehörde
Gemäß § 24 DSG hat jede betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die DSGVO oder gegen § 1 DSG oder §§ 7-10 DSG verstößt.
Die Datenschutzbehörde ist auch Aufsichtsbehörde nach der Richtlinie (EU) 2016/680 (Datenschutz-Richtlinie für den Bereich Justiz und Inneres). Ihre Kompetenzen ergeben sich aus §§ 31-34 DSG.
Führung von Verwaltungsstrafverfahren
Mit der Datenschutz-Grundverordnung ändert sich auch das System der Strafen und Geldbußen. Die Datenschutzbehörde verhängt gemäß § 22 Abs. 5 DSG Geldbußen gegenüber natürlichen und juristischen Personen.
Gegen Behörden und öffentliche Stellen, wie insbesondere in Formen des öffentlichen Rechts sowie des Privatrechts eingerichtete Stellen, die im gesetzlichen Auftrag handeln, und gegen Körperschaften des öffentlichen Rechts können keine Geldbußen verhängt werden (§ 30 Abs. 5 DSG). Diese Einschränkung hat keine Auswirkung auf andere Sanktionen und Maßnahmen.
Sonstige Aufgaben
Die neue Datenschutz-Grundverordnung bringt weitere Aufgaben für die Datenschutzbehörde:
Akkreditierung von Zertifizierungsstellen
Die DSGVO fördert den Einsatz von Zertifizierungsverfahren, Datenschutzsiegeln und –prüfzeichen (Art. 42 DSGVO). Die dafür erforderlichen Zertifizierungsstellen werden von der Datenschutzbehörde akkreditiert. Die Datenschutzbehörde veröffentlicht die Kriterien für eine Zertifizierungsstelle. Sie ist die einzige Akkreditierungsstelle in Österreich.
Verhaltensregeln
Zu den neuen Instrumenten der DSGVO gehören auch Verhaltensregeln (Art. 40 DSGVO). Auch dabei hat die Datenschutzbehörde Zuständigkeiten. Verbände und andere Vereinigungen, die beabsichtigen, Verhaltensregeln auszuarbeiten oder bestehende Verhaltensregeln zu ändern oder zu erweitern, legen den Entwurf der Datenschutzbehörde zur Genehmigung vor.
Die Überwachung der Einhaltung von Verhaltensregeln kann von einer Stelle durchgeführt werden, die über das geeignete Fachwissen hinsichtlich des Gegenstands der Verhaltensregeln verfügt und die von der Datenschutzbehörde zu diesem Zweck akkreditiert wurde.
Es gibt besondere Regeln zur Schaffung Verhaltensregeln, die mehrere Mitgliedsstaaten betreffen. In diesem Fall wirkt der Europäische Datenschutzausschuss (EDSA) mit.
Verordnungskompetenz
Zu den Aufgaben der Datenschutzbehörde gehört auch die Erlassung von Verordnungen:
Für Datenschutzfolgenabschätzungen soll es Listen von Verarbeitungsvorgängen geben, für die immer eine Datenschutzfolgenabschätzung stattfinden muss, und ebenso Listen von Verarbeitungsvorgängen, für die keine Datenschutzfolgenabschätzung erforderlich ist. Diese Listen werden als Verordnungen erlassen.
Die Datenschutzbehörde hat die Kriterien für die Akkreditierung einer Stelle für die Überwachung der Einhaltung der Verhaltensregeln gemäß Art. 41 DSGVO und einer Zertifizierungsstelle gemäß Art. 43 DSGVO zu formulieren und im Wege einer Verordnung kundzumachen (Art. 57 Abs. 1 lit. p DSGVO).
Konsultation bei Datenschutz-Folgeabschätzungen
Die Datenschutz-Grundverordnung sieht vor, dass der Verantwortliche vor einer Verarbeitung die Aufsichtsbehörde konsultieren muss, wenn aus einer Datenschutz-Folgenabschätzung gemäß Art. 35 DSGVO hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft (Art. 36 DSGVO)
Entgegennahme von Meldungen über Data Breaches
Im Falle einer Verletzung des Schutzes personenbezogener Daten (ein „Data Breach“) meldet der Verantwortliche unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, diese der Datenschutzbehörde, es sei denn, dass die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt.
Beschwerde an die Datenschutzbehörde (DSB)
Auskunftsersuchen, Beschwerden und andere Eingaben
1. Ersuchen um eine Auskunft
Rechtsgrundlagen: Auskunftspflichtgesetz, Art. 57 Abs. 1 lit e DSGVO, § 32 Abs. 1 Z 3 DSG
Kommunikationswege: Briefpost, E-Mail (keine Telefon-Hotline)
Pflicht der DSB zur Rückmeldung: ja (binnen 8 Wochen)
Formulare: nein
Die Datenschutzbehörde erteilt generelle Auskünfte über das Datenschutzrecht und die Möglichkeiten zur Durchsetzung von Betroffenenrechten. Die Fragen müssen in den gesetzlichen Zuständigkeitsbereich der DSB fallen. Die DSB ist zum Beispiel sicher die falsche Adresse bei technischen Problemen im Internet (typisches Beispiel: "Wie kann ich lästige Spam-E-Mails verhindern?").
Zur Erfüllung der Auskunftspflicht ist die DSB nicht verpflichtet, umfangreiche Recherchen durchzuführen, Informationen bei anderen Behörden zu beschaffen oder Rechtsgutachten zu verfassen. Eine Anfrage bei der DSB ersetzt nicht die Beratung durch einen Rechtsanwalt oder eine andere (spezialisierte) Beratungsstelle.
Die DSB darf keine Fragen beantworten, die eine Entscheidung in einem späteren Beschwerdeverfahren vorwegnehmen könnten (typisches Beispiel: "Mein Nachbar hat eine Videokamera auf unser Grundstück gerichtet; darf er das?").
2. Anregung eines Prüfverfahrens
Rechtsgrundlagen: Art. 57 Abs. 1 lit a DSGVO, Art. 58 Abs. 2 DSGVO
Kommunikationswege: Briefpost, E-Mail, Online-Formular
Pflicht der DSB zur Rückmeldung: nein
Oft erhält die DSB "Anzeigen" oder "Meldungen", die Missstände (zum Beispiel die nicht der DSGVO entsprechende Gestaltung einer Website oder eine Vernachlässigung von Datensicherheitsmaßnahmen) aufzeigen möchten. Oft ist die Schreiberin oder der Schreiber auch selbst von einer Datenverarbeitung betroffen und möglicherweise in Rechten (Kapitel III DSGVO) verletzt, möchte aber nur als sogenannter Whistleblower der DSB Informationen liefern und keinesfalls als Beschwerdeführer gegen den Verantwortlichen auftreten, zum Beispiel weil es sich bei letzterem um den eigenen Arbeitergeber handelt.
Begründete Fälle werden zum Anlass für amtswegige Prüfverfahren genommen. Der Verfasser der Meldung hat in diesem Fall allerdings keine Parteistellung im Verfahren und kein Recht auf Informationen über den Ausgang der Sache.
Die DSB kann keine Garantie für die Geheimhaltung der Identität der Melderin oder des Melders vor dem Verantwortlichen während des gesamten Verfahrens (einschließlich des Rechtsmittelverfahrens) abgeben, da dafür eine ausdrückliche Rechtsgrundlage fehlt.
3. Erstattung einer Strafanzeige
Rechtsgrundlagen: Art. 57 Abs. 1 lit a DSGVO, Art. 58 Abs. 2 lit i DSGVO
Kommunikationswege: Briefpost, E-Mail
Pflicht der DSB zur Rückmeldung: nein
Formulare: nein
Für die Verfolgung des gerichtlich strafbaren Vergehens der Datenverarbeitung in Gewinn- oder Schädigungsabsicht (§ 63 DSG) sind die Polizei und die Staatsanwaltschaften zuständig.
Übertretungen der DSGVO und des DSG werden, so es sich um Verwaltungsübertretungen handelt (siehe dazu Art. 83 DSGVO und § 62 DSG), im Rahmen eines Verwaltungsstrafverfahrens geahndet.
Der Verfasser einer solchen Anzeige hat keine Parteistellung im Verfahren und kein Recht auf Informationen über das weitere Vorgehen der DSB. Es gibt auch kein Recht einer betroffenen Person auf Verhängung einer Strafe.
Die DSB kann keine Garantie für die Geheimhaltung der Identität der Anzeigerin oder des Anzeigers vor dem Beschuldigten abgeben, da dafür eine Rechtsgrundlage fehlt.
4. Beschwerde an die Datenschutzbehörde
Rechtsgrundlagen: Art. 77 DSGVO, § 24 DSG, § 32 Abs. 1 Z 4 DSG
Kommunikationswege: Briefpost, E-Mail, Online-Formular
Pflicht der DSB zur Rückmeldung: ja (binnen 3 Monaten Information über Verfahrensstand, binnen 6 Monaten Entscheidung durch Bescheid)
Die Beschwerde, das wichtigste Rechtsschutzinstrument der DSGVO (Art. 77 DSGVO), ist nach ihrer Einordnung im österreichischen Verfahrensrecht ein förmlicher Rechtsschutzantrag. Sie muss daher einige verfahrensgesetzliche Bedingungen erfüllen (§ 24 DSG).
Eine Beschwerde einzubringen bedeutet, dass Sie damit einen Rechtsstreit mit dem bezeichneten Beschwerdegegner beginnen, den die DSB entscheiden muss. Sie müssen den Verantwortlichen oder Auftragsverarbeiter daher so bezeichnen können, dass die DSB ihn identifizieren kann. Beschwerden "gegen Unbekannt" sind nicht zulässig. Das Verfahren ist, anders als vor Gericht, aber grundsätzlich unentgeltlich (keine Gebühren, keine Kostenersatzpflicht).
Die Datenschutzbehörde stellt zur Eingabe einer Datenschutzbeschwerde ein Onlineformular bereit (siehe oben). Dieses unterstützt Sie dabei, eine vollständige und gesetzeskonforme Datenschutzbeschwerde einzubringen. Die Verwendung des Onlineformulars ist nicht verpflichtend. Eingaben an die Datenschutzbehörde können auch weiterhin über andere Kanäle eingebracht werden (zum Beispiel postalisch oder per E-mail).
Bitte beachten Sie dabei, dass es verschiedene Formulare für Beschwerden wegen Verletzung von verschiedenen Rechten gemäß § 1 DSG und Kapitel III DSGVO (allgemeine Datenschutzbeschwerden) und von verschiedenen Rechten gemäß 3. Hauptstück DSG (Datenschutzbeschwerden betreffend Nachrichtendienste, Polizei und Strafjustiz) gibt.
Allgemeine Datenschutzbeschwerden können von Beschwerdeführerinnen und Beschwerdeführern, die in Österreich wohnen oder arbeiten, bei der DSB auch gegen ausländische Beschwerdegegner aus dem privaten Sektor eingebracht werden, wenn diese ihre (Haupt-) Niederlassung in einem anderen Mitgliedstaat der EU (oder des EWR) haben (Art. 77 Abs. 1 DSGVO) und der Verstoß im Ausland begangen wurde. Bitte beachten Sie, dass die Zusammenarbeit mit anderen Aufsichtsbehörden unter Umständen mehrere Wochen Zeit in Anspruch nimmt und die Datenschutzbehörde keinen Einfluss auf die Arbeitsweise der Partnerbehörde hat. Gegebenenfalls erfolgt eine Abtretung an die zuständige ausländische Partnerbehörde (vor allem, wenn die Beschwerde einen Verantwortlichen/Auftragsverarbeiter betrifft, der über keine Niederlassung in Österreich verfügt); diesfalls wird das Verfahren zur Gänze vor der Partnerbehörde geführt.
Bitte beachten Sie zudem, dass der Anspruch auf Behandlung einer Beschwerde erlischt, wenn der Einschreiter sie nicht binnen eines Jahres, nachdem er Kenntnis von dem beschwerenden Ereignis erlangt hat, längstens aber binnen drei Jahren, nachdem das Ereignis behaupteter Maßen stattgefunden hat, einbringt. Verspätete Beschwerden sind von der Datenschutzbehörde zurückzuweisen.
Wir bitten Sie allgemein um Folgendes:
- Machen Sie vollständige Angaben, insbesondere sind keine anonymen Beschwerden möglich.
- Eingaben die per E-Mail erfolgen dürfen die Maximalgröße von 32 MB nicht überschreiten.
- Benutzen Sie für Eingaben die deutsche Sprache. Die DSB muss alle Verfahren in dieser verfassungsmäßigen Amtssprache (Art. 8 B-VG) führen. Englisch ist in Österreich keine zulässige Amtssprache, die englische Übersetzung in einigen Formularen dient nur der Erleichterung der internationalen Zusammenarbeit.
- Vergessen Sie nicht, Kopien notwendiger Dokumente (zum Beispiel den Nachweis eines Antrags auf Auskunft oder Berichtigung etc.) mitzuschicken.
- Wenn die DSB Ihnen einen Mangelbehebungsauftrag zustellt, beantworten Sie diesen fristgerecht, sonst wird das Verfahren aus Formalgründen beendet (die Beschwerde zurückgewiesen).
- Die DSB kann bei exzessiven (daher bei Fällen häufiger Wiederholung) oder offenkundig unbegründeten Eingaben von ihrem Recht Gebrauch machen, die Behandlung der Beschwerde zu verweigern oder dem Beschwerdeführer ausnahmsweise Kosten vorzuschreiben (Art. 57 Abs. 4 DSGVO)