Zum Hauptinhalt springen

Die Rollenverteilung im neuen Datenschutzrecht

Von Helmut Liebel

Recht
Helmut Liebel ist Rechtsanwalt und Partner bei Eisenberger & Herzog in Wien.

Die Rechte und Pflichten der an der Datenverarbeitung beteiligten Personen werden geändert.

Hinweis: Der Inhalt dieser Seite wurde vor 7 Jahren in der Wiener Zeitung veröffentlicht. Hier geht's zu unseren neuen Inhalten.

Am 25. Mai 2018 werden mit der Geltung der Datenschutz-Grundverordnung (DSGVO) die Rechte und Pflichten der an der Datenverarbeitung beteiligten Personen geändert. Wer aber sind nun diese "Beteiligten"?

Man stelle sich einen typischen Fall von Datenverarbeitung vor: Ein Unternehmen möchte Daten seiner Kunden oder seiner Mitarbeiter zentral bei einem Cloud-Anbieter speichern. Der Beispielfall offenbart: Es gibt oft drei, zumindest aber zwei "Parteien" bei einer Datenverarbeitung.

Jedenfalls involviert sind die "betroffenen Personen", um deren personenbezogene Daten es geht; im genannten Beispiel die Kunden und die Mitarbeiter. Im derzeit noch geltenden DSG 2000 ist hier die Rede von "Betroffenen", zu denen auch juristische Personen wie GmbHs zählen.

Das bleibt auch weiterhin so, obwohl die DSGVO an sich nur natürliche Personen schützt. Bei Einführung des neuen nationalen Datenschutzgesetzes konnte nämlich keine Verfassungsmehrheit im Nationalrat gefunden werden, weshalb auch das Grundrecht auf Datenschutz unverändert bleibt. Dieses gilt somit weiter für natürliche und juristische Personen.

Ebenfalls immer vorhanden ist der "Verantwortliche"; in unserem Fall das Unternehmen. Verantwortliche entscheiden über die Zwecke und Mittel der Datenverarbeitung. Im DSG 2000 heißen diese noch "Auftraggeber". Wer privat Daten in eine Cloud lädt, wird allein dadurch aber noch nicht zum Verantwortlichen. Für die Ausübung persönlicher oder familiärer Tätigkeiten ist die DSGVO nämlich nicht beachtlich.

Damit nicht zu verwechseln ist der sogenannte "Auftragsverarbeiter"; im Beispielfall der Cloud-Anbieter. Er verarbeitet Daten im Auftrag des Verantwortlichen. Im DSG 2000 wird diese Kategorie "Dienstleister" genannt.

Diese Unterscheidung ist vor allem deshalb von Bedeutung, weil nicht alle Pflichten sowohl Verantwortliche als auch Auftragsverarbeiter gleichermaßen treffen. So betreffen etwa die umfangreichen Informationspflichten nur Verantwortliche. Auch betroffene Personen können ihre Rechte (zum Beispiel auf Auskunft oder Löschung) nur gegenüber dem Verantwortlichen geltend machen. Der Auftragsverarbeiter soll dabei eine den Verantwortlichen "unterstützende" Funktion ausüben.

Die Anwendung der DSGVO durch die Verantwortlichen und die Auftragsverarbeiter wird durch die nationale Aufsichtsbehörde überwacht. In Österreich ist hierfür (weiterhin) die Datenschutzbehörde vorgesehen. Diese kann nun unmittelbar die neuen "drakonischen" Geldbußen verhängen. Nach der DSGVO ist nämlich ein Strafrahmen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Vorjahresumsatzes (je nachdem, welcher Betrag höher ist) vorgesehen.

Angesichts der Neuerungen der DSGVO sollten sich Unternehmen ihrer Position bei der Datenverarbeitung bewusst sein und entsprechende Schritte im Hinblick auf die Einhaltung der DSGVO setzen.