Vorwort des Herausgebers...V Abkürzungsverzeichnis...XV Literaturverzeichnis...XIX AutorInnenverzeichnis...XXIX 1. Historische Betrachtung des Datenschutzrechts(Nikolaus Forgó/
Elisabeth Rieß)...1
I. Einleitung ... 1
II. Datenschutzgesetz 1978 ... 2
A. Anfänge ... 2
B. Grundrecht auf Datenschutz ... 3
C. Schutzbereich ... 4
Weitere Neuerungen des Datenschutzgesetzes 1978 ... 5
D. Volkszählungsurteil ... 6
Auslöser ... 6
Neues Grundrecht ... 7
E. Grundrecht auf Integrität und Vertraulichkeit informationstech- nischer Systeme ... 8
III. Entwicklung in Europa ... 8
Konvention 108 des Europarats ... 8
Datenschutz-Richtlinie ... 9
Grundrecht ... 10
Datenschutzrichtlinie für elektronische Kommunikation und Vorratsdatenspeicherungs-RL ... 11
IV. Datenschutzgesetz 2000 ... 13
V. Aktuell ... 15
DSGVO ... 15
2. Rechtliche Grundlagen des Datenschutzrechts(Victoria Abplanalp/ Doruntina Berisha) ...17
I. Einleitung ... 17
II. Völkerrechtliche Grundlagen ... 17
A. Konvention zum Schutz der Menschenrechte und Grundfreiheiten (EMRK) ... 19
B. Übereinkommen zum Schutz des Menschen bei der automatischen Verarbeitung personenbezogener Daten (SEV Nr 108) ... 20
III. Europarechtliche Grundlagen ... 22
A. Primärrecht ... 23
1. Einleitung ... 23
2. Das europarechtliche Grundrecht auf Datenschutz ... 23
B. Sekundärrecht ... 27
1. Datenschutzgrundverordnung (DSGVO) ... 28
a. Motivation ... 28
b. Regelungsziele ... 29
c. Schutzgegenstand ... 29
Forgó, Grundriss Datenschutzrecht, LexisNexis VII
d. Adressaten datenschutzrechtlicher Pflichten ... 30
e. Sachlicher Anwendungsbereich ... 31
f. Räumlicher Anwendungsbereich ... 32
g. Begriffsbestimmungen ... 32
h. Grundsätze der Verarbeitung personenbezogener Daten ... 37
i. Öffnungsklauseln ... 38
2. Datenschutzrichtlinie für den Bereich Justiz und Inneres (EU) 2016/680 ... 39
a. Einleitung ... 39
b. Regelungsziel ... 39
c. Regelungsgegenstand ... 39
d. Anwendungsbereich ... 40
IV. Nationalrechtlicher Kontext ... 40
A. Verfassungsbestimmungen ... 44
3. Datenschutzrechtliche Rollen und Grundsätze(Victoria Abplanalp/ Felix Zopf)...49
I. Einleitung ... 49
II. Rollen ... 49
A. Der Verantwortliche ... 49
1. Einleitung ... 49
2. Charakteristika ... 50
3. Pflichten und rechtliche Konsequenzen bei pflichtwidrigem Verhalten ... 52
4. Die gemeinsam Verantwortlichen ... 53
B. Der Auftragsverarbeiter ... 55
1. Charakteristika ... 55
a. Weisungsgebundenheit des Auftragsverarbeiters ... 56
b. Grundlage des Auftragsverhältnisses und Pflichten des Auftragsverarbeiters ... 58
C. Die betroffene Person ... 60
III. Grundsätze für die Verarbeitung personenbezogener Daten ... 61
A. Allgemeines ... 61
B. Rechtmäßigkeit der Verarbeitung ... 62
1. Allgemeines ... 62
2. Einwilligung ... 62
3. Sonstige Rechtsgrundlagen ... 66
4. Verhältnis von Einwilligung und den anderen Rechtsgrundlagen ... 69
5. Besondere Kategorien personenbezogener Daten ... 70
C. Verarbeitung nach Treu und Glauben und Transparenz ... 71
D. Zweckbindung ... 72
1. Allgemeines ... 72
2. Zweckänderung ... 73
E. Datenminimierung ... 75
F. Richtigkeit ... 76
G. Speicherbegrenzung ... 77
VIII Forgó, Grundriss Datenschutzrecht, LexisNexis
H. Integrität und Vertraulichkeit ... 78
I. Rechenschaftspflicht ... 79
J. Data protection by design and default ... 79
1. Allgemeines ... 79
2. Data protection by design ... 79
3. Data protection by default ... 80
4. Betroffenenrechte(Adrian Engel/Antoni Napieralski)...83
I. Einleitung ... 83
II. Vor der Verarbeitung ... 83
A. Transparenz ... 83
B. Informationspflicht ... 85
III. Bei der Verarbeitung ... 88
A. Profiling ... 88
B. Auskunft ... 93
C. Widerspruch ... 97
D. Einschränkung der Verarbeitung ... 99
IV. Nach der Verarbeitung ... 101
A. Löschung und Recht auf Vergessenwerden ... 101
B. Datenübertragbarkeit ... 105
V. Beschränkungen ... 108
A. Anforderungen ... 108
B. Beispiele der Beschränkungen ... 110
5. Pflichten des Verantwortlichen und des Auftragsverarbeiters (Antoni Napieralski/ŽigaŠkorjanc)...113
I. Pflichten des Verantwortlichen ... 113
A. Einführung ... 113
B. Allgemeine Pflichten ... 114
1. Verantwortung für die Rechtmäßigkeit der Datenverarbeitung ... 114
2. Risikobewertung ... 114
a. Risiko ... 114
b. Risikobeurteilung ... 116
3. Technische und organisatorische Maßnahmen ... 118
a. Geeignete TOM ... 118
b. Pflicht zur laufenden Überprüfung und Aktualisierung ... 119
4. Nachweispflicht ... 119
C. Verzeichnis von Verarbeitungstätigkeiten (VVT) ... 120
1. Pflicht zum Führen eines VVT ... 120
2. Verarbeitungstätigkeit ... 121
3. Offenlegung gegenüber der DSB ... 122
4. Inhalt und Form ... 122
D. Datenschutz-Folgenabschätzung (DSFA) ... 123
1. Ziel der DSFA ... 123
2. Pflicht zur Durchführung einer DSFA ... 124
3. Zeitpunkt der Durchführung ... 126
Forgó, Grundriss Datenschutzrecht, LexisNexis IX
4. Inhalt und Form einer DSFA ... 127
5. Umgang mit identifizierten Risiken ... 128
II. Pflichten bei der Auftragsverarbeitung ... 128
A. Allgemeines ... 128
B. Auftragsverarbeitung ... 129
C. Pflichten des Verantwortlichen im Zusammenhang mit Auftragsverarbeitung ... 131
D. Pflichten des Auftragsverarbeiters ... 132
1. Pflichten und Verantwortlichkeiten ... 132
a. Allgemeine Pflichten ... 132
b. Besondere Pflichten ... 133
2. Vereinbarung über Auftragsverarbeitung ... 134
E. Einsatz von Subauftragsverarbeitern ... 135
III. Pflichten der gemeinsam für die Verarbeitung Verantwortlichen ... 137
A. Gemeinsam Verantwortliche ... 137
B. Besondere Pflichten der gemeinsam für die Verarbeitung Verantwortlichen ... 138
6. Der Datenschutzbeauftragte(Nikolaus Forgó/Magdalena Wohlgemuth)...141
I. Einleitung ... 141
A. Geschichte und Rechtsvergleich ... 141
1. Österreich ... 141
2. Deutschland ... 142
B. Organ der Selbstkontrolle und Eigenverantwortung ... 143
C. Externer und interner DSBA ... 143
II. Benennung ... 143
A. Behörden und öffentliche Stellen ... 143
B. Unternehmen ... 145
C. Gemeinsame Bestimmungen für den öffentlichen und nichtöffent- lichen Sektor ... 147
1. Gemeinsamer Datenschutzbeauftragter ... 149
D. Benennung und Rolle ... 150
E. Anforderungen und Qualifikationen ... 151
III. Rechtliche Stellung des DSBA ... 152
A. Unabhängige Beratung ... 152
B. Hilfsorgan für Betroffene ... 152
C. Schnittstelle zur Behörde ... 153
D. Stellung im Unternehmen bzw in der Behörde ... 153
IV. Aufgaben und Pflichten ... 155
A. Unterrichtung und Beratung ... 155
B. Überwachung und Kontrolle ... 155
C. Schnittstelle zur Aufsichtsbehörde ... 156
V. Haftung/Sanktionen ... 156
X Forgó, Grundriss Datenschutzrecht, LexisNexis
7. Aufsichtsbehörde(Victoria Abplanalp/Elisabeth Rieß)...157
I. Einleitung ... 157
II. Österreichische Datenschutzbehörde–die Aufsichtsbehörde in Österreich ... 159
A. Definition und rechtliche Grundlagen ... 159
B. Organisationsgestaltung der Datenschutzbehörde ... 162
C. Aufgaben und Befugnisse der Datenschutzbehörde ... 167
1. Aufgaben ... 167
2. Befugnisse ... 169
D. Gerichtliche Überprüfung in Bezug auf Handlungen der Datenschutzbehörde ... 171
III. Exkurs: Datenschutzrat ... 172
IV. Zusammenarbeit auf Unionsebene ... 173
A. Behördliche Zusammenarbeit zwischen den nationalen Aufsichts- behörden ... 174
1. Ausgangssituation ... 174
2. Zuständigkeit ... 174
a. Allgemeine Aufsichtsbehörde ... 174
b. Federführende Aufsichtsbehörde ... 176
aa. Ausnahme ... 177
bb. Selbsteintrittsrecht ... 177
3. Ausgestaltung der Zusammenarbeit ... 179
a. One-Stop-Shop-Verfahren ... 179
b. Gegenseitige Amtshilfe und gemeinsame Maßnahmen ... 181
aa. Gegenseitige Amtshilfe ... 181
bb. Gemeinsame Maßnahmen ... 183
4. Europäischer Datenschutzausschuss ... 184
5. Kohärenz ... 185
a. Stellungnahme des EDSA ... 185
b. Streitbeilegungsverfahren ... 187
c. Dringlichkeitsverfahren ... 187
6. Europäischer Datenschutzbeauftragter ... 188
8. Sanktionen und Rechtsdurchsetzung(ŽigaŠkorjanc/Doruntina Berisha)...191
I. Geldbußen und andere Sanktionen ... 191
A. Geldbußen ... 191
1. Allgemeines ... 191
2. Verhängung von Geldbußen ... 191
a. Einleitung ... 191
b. Geldbußen gegen natürliche Personen ... 192
c. Geldbußen gegen juristische Personen ... 193
3. Überblick über Geldbußetatbestände und Rechtsfolgen ... 194
4. Bemessung der Geldbuße ... 196
a. Grundsätze ... 196
b. Strafzumessungsgründe ... 197
Forgó, Grundriss Datenschutzrecht, LexisNexis XI
c. Adressaten der Geldbuße ... 197
d. Verbunde Verstöße ... 198
e. Problematik hoher Geldbußen ... 199
5. Verfahren ... 199
B. Andere Sanktionen ... 200
1. Allgemeines ... 200
2. Umsetzung in Österreich ... 200
a. Verwaltungsübertretungen ... 200
b. Gerichtliches Strafrecht ... 201
II. Rechtsdurchsetzung durch die betroffenen Personen ... 202
A. Zweigleisigkeit des Rechtsschutzes ... 202
1. Europarechtliche Regelung ... 202
2. Abweichende nationale Rechtslage? ... 203
3. Gefahr möglicher widersprechender Entscheidungen ... 204
B. Verwaltungsrechtsweg ... 205
1. Recht auf Beschwerde bei einer Aufsichtsbehörde ... 205
a. Anwendungsbereich ... 205
b. Beschwerdeinhalt ... 205
c. Verfahren vor der DSB ... 206
d. Entscheidung der DSB ... 209
2. Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen eine Aufsichtsbehörde ... 210
a. Anwendungsbereich ... 210
b. Bescheidbeschwerde ... 211
c. Säumnisbeschwerde ... 212
d. Anderweitige verwaltungsgerichtliche Rechtsbehelfe ... 212
e. Verfahren ... 213
C. Zivilrechtsweg ... 214
1. Allgemeines ... 214
2. Ansprüche der betroffenen Personen ... 215
3. Haftung und Recht auf Schadenersatz ... 216
a. Überblick ... 216
b. Anspruchsberechtigte und -verpflichtete ... 217
c. Vorliegen eines Schadens ... 218
d. Kausalität ... 219
e. Rechtswidrigkeit ... 219
f. Verschulden ... 220
g. Gesamtschuldnerische Haftung ... 221
h. Checkliste ... 221
3. Verfahren ... 222
a. Aktiv- und Passivlegitimation ... 222
b. Zuständigkeit ... 222
c. Verfahren vor den ordentlichen Gerichten ... 223
XII Forgó, Grundriss Datenschutzrecht, LexisNexis
5. Geltendmachung von Datenschutzverstößen durch Dritte ... 224
a. Vertretung betroffener Personen durch Datenschutzeinrich- tungen sowie Verbandsklagen ... 224
b. Geltendmachung von Datenschutzverstößen durch Mitbewerber ... 224
9. Räumliche Anwendbarkeit und Drittstaaten(Antoni Napieralski/ Felix Zopf)...227
I. Territorialer Anwendungsbereich ... 227
A. Allgemeines ... 227
B. Niederlassungsprinzip ... 227
C. Marktortprinzip ... 229
D. Dem Völkerrecht unterliegende Gebiete ... 232
E. Besteht eine Schutzlücke? ... 232
II. Übermittlung in Drittstaaten ... 233
A. Allgemein ... 233
B. Angemessenheitsbeschluss ... 234
C. Geeignete Garantien ... 238
D. Ausnahmen ... 241
III. Kollision extraterritorialer Anwendungsbereich und Drittstaatenregelungen? ... 244
IV. Aufträge von ausländischen Behörden/Gerichten zur Datenübermittlung ... 245
V. Fazit ... 246
10. Informationssicherheit(Magdalena Wohlgemuth/Felix Zopf)...247
I. Grundlagen ... 247
A. Allgemeines ... 247
B. Verletzung des Schutzes personenbezogener Daten ... 248
C. Technische Normen und Standards ... 249
D. Informationssicherheits-Managementsystem (ISMS) ... 250
II. Sicherheit der Verarbeitung ... 250
A. Allgemeines ... 250
B. Angemessenheit des Schutzniveaus ... 251
C. Kriterien für die Auswahl der Maßnahmen ... 252
D. Zu treffende Maßnahmen ... 254
III. Data breach notification ... 256
IV. NIS-Richtlinie ... 259
A. Allgemeines ... 259
B. Verpflichtende Maßnahmen ... 260
C. Meldung von Sicherheitsvorfällen ... 261
V. Zertifizierung und Verhaltensregeln ... 262
Forgó, Grundriss Datenschutzrecht, LexisNexis XIII
11. Sonderbereiche des Datenschutzes(Adrian Engel/Elisabeth Rieß/
Magdalena Wohlgemuth)...265
I. Datenschutz im Gesundheitsbereich ... 265
A. „Gesundheitsdaten“... 265
B. Erlaubte Verarbeitung ... 267
1. Beispiel ELGA ... 267
Zulässigkeit ... 268
Betroffenenrechte ... 269
Spannungsfelder ... 269
C. Übermittlung von Gesundheitsdaten ... 270
D. Verschwiegenheitspflicht ... 270
II. Datenschutz in Wissenschaft und Forschung ... 271
A. Vorgaben der DSGVO ... 272
B. Nationale Umsetzung ... 273
III. Datenschutz im Journalismus ... 276
A. Vorgaben der DSGVO ... 276
B. Nationale Umsetzung ... 278
C. Was dürfen Journalisten? ... 279
IV. ePrivacy ... 281
A. ePrivacy-Richtlinie ... 281
B. ePrivacy-Verordnung ... 283
V. Bildaufnahmen und Videoaufzeichnungen ... 284
A. Sicherheitsmaßnahmen und Kennzeichnung ... 286
VI. Datenschutz im Arbeitsumfeld ... 288
A. Betriebsverfassungsrecht ... 289
B. Videoüberwachung ... 290
12. Prüfungsschemen zur Datenverarbeitung(ŽigaŠkorjanc)...293
I. Prüfungsschema: Zulässigkeit der Verarbeitung durch den Verantwortlichen ... 293
II. Prüfungsschema: Zulässigkeit der Auftragsverarbeitung ... 296
III. Prüfungsschema: Übermittlung der personenbezogenen Daten in Drittländer ... 297
13. Glossar...299
Stichwortverzeichnis...305
XIV Forgó, Grundriss Datenschutzrecht, LexisNexis
