Datenschutz für Unternehmen

1.2 Anwendungsbereich der DSGVO und des DSG
1.2.1 Sachlicher Anwendungsbereich der DSGVO
1.2.1.1Automatisierte und nichtautomatisierte Verarbeitung

Grundsätzlich gilt die DSGVO für die

1.ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie

2.nichtautomatisierte Verarbeitung personenbezogener Daten,

die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art 2 Abs 1 DSGVO).

Die DSGVO bietet keine klaren Anhaltspunkte darüber, was unter „automatisierter Verarbeitung“ zu verstehen ist. Eine solche wird jedoch anzunehmen sein, wenn automatisierte Mittel zur Datenverarbeitung verwendet werden. Unter dem Begriff „automatisierte Verarbeitung“ dürften daher „sämtliche heute gebräuchlichen rechnergestützten Verarbeitungen personenbezogener Daten zu verstehen sein“.[5] Von einer Definition wurde seitens des Gesetzgebers bewusst abgesehen, um auch zukünftige technologische Entwicklungen abzudecken. Der Begriff ist daher sehr weit auszulegen und umfasst zB auch die Videoüberwachung.[6] Werden einzelne Verarbeitungsschritte durch menschlich-manuelle Interaktion durchgeführt, zB wenn bei der Erhebung der Daten die Eingabe manuell durch eine Person erfolgt, liegt eine teilweise automatisierte Verarbeitung personenbezogener Daten vor.[7]

Nichtautomatisierte, d. h. rein manuelle Datenverarbeitungen sind nur dann vom Anwendungsbereich der DSGVO erfasst, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen[8]. Unter einem Dateisystem ist „jede strukturierte Sammlung personenbezogener Daten [zu verstehen], die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geführt wird“ (Art 4 Z 6 DSGVO). Werden daher beispielsweise Akten oder Aktensammlungen sowie deren Deckblätter nicht nach bestimmten Kriterien geordnet, ist der Anwendungsbereich der DSGVO nicht gegeben (ErwGr 15 DSGVO). Als solche Kriterien können u. a. eine Anordnung nach Jahr, Aktenzeichen oder Namen, beispielsweise in alphabetischen Reihenfolgen, in Betracht kommen.[9] Auch mündlich, akustisch oder visuell erlangte Daten sind vom Anwendungsbereich ausgenommen, soweit diese nicht gespeichert werden sollen.[10]

1.2.1.2Ausnahmen

Auch wenn die Voraussetzungen des Art 2 Abs 1 DSGVO gegeben sind, kann die Anwendung der DSGVO in bestimmten Fällen ausgeschlossen sein. Dies gilt bei der Verarbeitung von personenbezogenen Daten

+im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt[11];

+durch die MS im Rahmen von Tätigkeiten im Bereich der Gemeinsamen Außen- und Sicherheitspolitik (Titel V Kapitel 2 EUV);

+durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (zB Führen eines Schriftverkehrs oder von Anschriftenverzeichnissen oder die Nutzung sozialer Netzwerke und Online-Tätigkeiten im Rahmen solcher Tätigkeiten)[12];

+durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder Verfolgung von Straftaten oder der Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (Art 2 Abs 2 DSGVO).

Die DSGVO findet ebenfalls keine Anwendung auf die Verarbeitung personenbezogener Daten durch die Organe, Einrichtungen, Ämter und Agenturen der EU, da diesbezüglich die Verordnung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten durch die Organe und Einrichtungen der Gemeinschaft und zum freien Datenverkehr gilt (VO (EG) Nr. 45/2001), wobei diese an die Grundsätze und Vorschriften der DSGVO angepasst und im Lichte der DSGVO angewandt werden sollte (Art 2 Abs 3; ErwGr 17 DSGVO).

1.2.2 Räumlicher Anwendungsbereich der DSGVO
1.2.2.1Niederlassung in der EU

Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten[13] einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (Art 3 Abs 1 DSGVO). Es spielt dabei keine Rolle, ob personenbezogene Daten von EU- oder Nicht-EU-Bürgern verarbeitet werden (ErwGr 14 DSGVO).[14]

Der Begriff der Niederlassung setzt eine effektive und tatsächliche Ausübung einer Tätigkeit durch eine feste Einrichtung voraus. Dabei ist die Rechtsform einer solchen Einrichtung nicht ausschlaggebend. Es kann sich dabei sowohl um eine rechtlich unselbständige Zweigstelle als auch um eine rechtlich selbständige Tochtergesellschaft handeln und setzt somit zumindest eine gesellschaftsrechtliche Verbundenheit zwischen dem Verantwortlichen bzw. dem Auftragsverarbeiter und der Niederlassung voraus (ErwGr 22 DSGVO).[15] Auch auf die technische Umgebung der Datenverarbeitung, wie zB der physische Standort von Servern oder der Ort der technischen Implementierung von Schnittstellen, ist nicht abzustellen.[16]

Ein nur mit einer Person besetztes Büro wäre somit wohl als Niederlassung in diesem Sinne zu qualifizieren, soweit das Büro aktiv in die Tätigkeiten einbezogen ist, in deren Rahmen personenbezogene Daten verarbeitet werden.[17] Nicht als Niederlassung in diesem Sinne ist dagegen der gemäß Art 27 iVm Art 3 Abs 2 DSGVO zu benennende Vertreter von nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeitern zu qualifizieren.[18]

1.2.2.2Niederlassung außerhalb der EU

Die DSGVO findet aber auch Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen (im Folgenden auch „Betroffene“), die sich in der EU befinden[19], durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht,

+betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen Betroffenen eine Zahlung zu leisten ist[20] (Art 3 Abs 2 lit a DSGVO);

+das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt (Art 3 Abs 2 lit b DSGVO).

Anbieten von Waren oder Dienstleistungen

Damit der Anwendungsbereich der DSGVO gegeben ist, muss das Anbieten der Waren oder Dienstleistungen an Personen, die sich innerhalb der EU befinden, durch den außerhalb der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter offensichtlich beabsichtigt sein. Eine solche offensichtliche Absicht ist zB durch das reine Zugänglichmachen der Webseite eines Verantwortlichen, einer E-Mail-Adresse oder anderer Kontaktdaten oder die Verwendung einer Sprache, die in dem Drittland, in dem der Verantwortliche niedergelassen ist, allgemein gebräuchlich ist, noch nicht gegeben (ErwGr 23 DSGVO). Allein die faktische ­Möglichkeit, auf einer Webseite Waren oder Dienstleistungen zu bestellen, ist nicht ausreichend.[21] Im Gegensatz dazu deuten die Verwendung einer Sprache oder Währung, die in einem oder mehreren MS gebräuchlich ist, in Verbindung mit der Möglichkeit, Waren oder Dienstleistungen in dieser anderen Sprache zu bestellen, oder die Erwähnung von Kunden oder Nutzern, die sich in der EU befinden, darauf hin, dass der Verantwortliche beabsichtigt, den Personen in der EU Waren oder Dienstleistungen anzubieten (ErwGr 23 DSGVO). Grundsätzlich ist jedoch bei der Beantwortung der Frage, ob das Anbieten von Waren oder Dienstleistungen offensichtlich erfolgt, auf eine Gesamtbetrachtung abzustellen. Entsprechend dem Wortlaut „Waren oder Dienstleistungen anzubieten“ ist es außerdem nicht erforderlich, dass tatsächlich ein Vertrag geschlossen wird.[22]

Verhaltensbeobachtung

Ob eine Verarbeitungstätigkeit im Zusammenhang mit der Verhaltensbeobachtung betroffener Personen steht, kann vor allem daran festgemacht werden, ob die Internetaktivitäten eines Betroffenen nachvollzogen werden (einschließlich der möglichen nachfolgenden Verwendung von Techniken zur Datenverarbeitung), um ein Profil von einer natürlichen Person zu erstellen, das insbesondere die Grundlage für die die natürliche Person betreffenden Entscheidungen bildet oder anhand dessen deren persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert oder vorausgesagt werden sollen (ErwGr 24 DSGVO). Von Art 3 Abs 2 lit b DSGVO werden daher vor allem Maßnahmen erfasst, die ihrer Intensität nach als Überwachung qualifiziert werden können und nicht nur als punktuelle Handlung, so etwa Profiling- bzw. Trackingmaßnahmen (zB Cookies, Social Plug-ins).[23] Unerheblich ist, ob der Verantwortliche oder Auftragsverarbeiter primär technische Abläufe auf seiner Webseite nachvollziehen möchte, als Nebeneffekt jedoch auch personenbezogene Daten verarbeitet werden, wodurch die Internetaktivitäten eines Betroffenen ersichtlich werden.[24]

Die mit der Verhaltensbeobachtung in Zusammenhang stehende Datenverarbeitung fällt jedoch nur dann in den Anwendungsbereich der DSGVO, wenn das beobachtete Verhalten in der EU erfolgt. Voraussetzung ist somit, dass sich die Betroffenen während der Beobachtung des Verhaltens physisch innerhalb der EU befinden, was sich zB über die IP-Adresse eines Endgeräts feststellen lässt.[25]

1.2.2.3Anwendbarkeit aufgrund des Völkerrechts

Die DSGVO findet ebenfalls Anwendung auf die Verarbeitung personenbezogener Daten durch einen nicht in der EU niedergelassenen Verantwortlichen an einem Ort, der aufgrund des Völkerrechts dem Recht eines MS unterliegt (Art 3 Abs 3 DSGVO). Die Formulierung des Art 3 Abs 3 DSGVO ist dahingehend etwas irreführend, da es nicht erforderlich ist, dass die Verarbeitung der personenbezogenen Daten am entsprechenden Ort stattfinden muss. Es ist bereits ausreichend, dass der Verantwortliche über eine Niederlassung an diesem Ort verfügt.[26] Dies gilt zB für diplomatische oder konsularische Vertretungen eines MS (ErwGr 25 DSGVO).

1.2.3 Anwendungsbereich des DSG
1.2.3.1Sachlicher Anwendungsbereich

Der sachliche Anwendungsbereich der DSGVO und jener des österreichischen DSG gestalten sich nahezu identisch. So gilt auch das DSG für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten natürlicher Personen sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten natürlicher Personen, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (§ 4 Abs 1 DSG). Im Gegensatz zu Art 2 DSGVO nimmt jedoch § 4 Abs 1 DSG in seinem Wortlaut ausdrücklich Bezug auf die natürliche Person. Auch muss beachtet werden, ob nicht die spezifischeren Bestimmungen des 3. Hauptstücks[27] des DSG vorgehen, wobei diese in der Praxis für Unternehmen weniger relevant sind.

Keinen Bezug nimmt das DSG auf die in Art 2 Abs 2, 3 und 4 DSGVO geregelten Ausnahmetatbestände. Gemäß den Erläuterungen zum Datenschutz-Anpassungsgesetz 2018 soll jedoch das DSG auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten keine Anwendung finden („Haushaltsausnahme“).[28] Durch die ausdrückliche Nennung dieses Ausnahmetatbestandes in den Erläuterungen zum Datenschutz-Anpassungsgesetz 2018 kann im Umkehrschluss davon ausgegangen werden, dass das DSG in den anderen Ausnahmetatbeständen sehr wohl Anwendung findet.[29]

1.2.3.2Räumlicher Anwendungsbereich

Mit Ablauf des 31. Dezember 2019 ist § 3 DSG, welcher den räumlichen Anwendungsbereich des DSG regelte, außer Kraft getreten (§ 70 Abs 14 DSG).

Das Außerkrafttreten des § 3 DSG hinterlässt eine (vermeintliche) Regelungslücke dahingehend, ob und wann das österreichische DSG zur Anwendung kommt. Da der österreichische Gesetzgeber offensichtlich die Regelungen der DSGVO als ausreichend ansieht, lässt sich die Antwort wohl nur aus deren Bestimmungen ableiten. Aus der Sicht der Autoren spricht daher vieles dafür, den Anwendungsbereich des DSG analog zu Art 3 DSGVO zu bestimmen. Dies würde zu folgendem Ergebnis führen:

Der räumliche Anwendungsbereich des DSG wäre gegeben, wenn und soweit die Verarbeitung personenbezogener Daten im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiter in Österreich erfolgt, und zwar ebenfalls unabhängig davon, ob die Verarbeitung in Österreich stattfindet.

Das DSG würde außerdem Anwendung finden auf die Verarbeitung personenbezogener Daten von Betroffenen, die sich in Österreich befinden, durch einen nicht in Österreich niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht,

+betroffenen Personen in Österreich Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen Betroffenen eine Zahlung zu leisten ist;

+das Verhalten Betroffener zu beobachten, soweit ihr Verhalten in Österreich erfolgt.

1.3 Wesentliche Begriffe der DSGVO

Wenn ein Gesetzgeber Begriffsbestimmungen vornimmt, bietet er den Normadressaten eine Orientierung für die Subsumtion ihrer Sachverhalte: Diese Begriffsdefinitionen dienen also der Rechtsharmonisierung, da ähnliche Sachverhalte dieselbe Rechtsfolge nach sich ziehen sollen.[30] In Art 4 DSGVO finden sich die datenschutzrechtlichen Begriffsdefinitionen, wobei im Folgenden lediglich auf die zentralen Begriffe eingegangen wird.

1.3.1 Personenbezogene Daten

Unter personenbezogenen Daten sind nach Art 4 Z 1 DSGVO „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen“, zu verstehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

Juristische Personen sind von dieser Definition nicht erfasst. In ErwGr 14 hält der EU-Gesetzgeber fest, dass die DSGVO nicht für die Verarbeitung personenbezogener Daten juristischer Personen und insbesondere als juristische Person gegründeter Unternehmen, einschließlich Name, Rechtsform oder Kontaktdaten der juristischen Person, gilt. Darüber hinaus ist davon auszugehen, dass neben Verstorbenen auch Nascituri (Ungeborene) nicht vom Begriff der natürlichen Person umfasst sind.[31] Die MS können jedoch auf nationaler Ebene Regelungen für den Umgang mit Daten von Verstorbenen vorsehen.

Von einer eindeutigen Identifizierung spricht man, wenn die Identität der betroffenen Person unmittelbar aus der Information selbst ableitbar ist. Eine Identifizierbarkeit ergibt sich hingegen aus der Kombination mit anderen Informationen.[32] Sofern es sich nur um anonymisierte Daten handelt, gelangt die DSGVO nicht zur Anwendung.

1.3.2 Verarbeitung

Unter Verarbeitung ist gemäß Art 4 Z 2 DSGVO jeder „mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, zu verstehen“. Dabei handelt es sich um einen zentralen Begriff in der DSGVO, der sämtliche datenschutzrechtlich relevante Vorgänge in Bezug auf personenbezogene Daten umfassen soll. Die Aufzählung der Verarbeitungsvorgänge ist demgemäß lediglich demonstrativ.[33]

Die Bestimmung spricht von Vorgängen, die „mit oder ohne Hilfe automatisierter Verfahren“ durchgeführt werden können. Dabei handelt es sich um einen Verweis auf die Technikneutralität der DSGVO.[34] Sofern der sachliche Anwendungsbereich der DSGVO (zB Speicherung im Dateisystem) eröffnet ist, kann die Verarbeitung auch manuell (nicht-automatisiert) erfolgen.

1.3.3 Verantwortlicher und Auftragsverarbeiter

Abgesehen von der betroffenen Person als sogenanntes „Schutzsubjekt“ der DSGVO nehmen die beiden zentralen Rollen der DSGVO der Verantwortliche und der Auftragsverarbeiter ein:

Verantwortlicher im Sinne des Art 4 Z 7 DSGVO ist jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet“. Der Verantwortliche ist derjenige, der dafür Sorge zu tragen hat, dass die Vorgaben der DSGVO eingehalten werden. Er ist somit Hauptadressat der Pflichten aus der DSGVO.[35]

Auftragsverarbeiter ist nach Art 4 Z 8 DSGVO jede „natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Entscheidend ist daher, dass der Auftragsverarbeiter ausschließlich im Auftrag des Verantwortlichen tätig wird. Er ist in der Verarbeitung der personenbezogenen Daten streng weisungsgebunden. Sobald der Auftragsverarbeiter personenbezogene Daten zu eigenen Zwecken verarbeitet bzw. eigenständig über Mittel und Zwecke der Verarbeitung bestimmt, ist er als Verantwortlicher zu qualifizieren.

1.4 Grundprinzipien der DSGVO

Art 5 DSGVO enthält Grundsätze, denen jede Verarbeitung personenbezogener Daten – soweit diese in den Anwendungsbereich der DSGVO fällt – entsprechen muss.[36]

1.4.1 Rechtmäßigkeit der Verarbeitung, Treu und Glauben, Transparenz

Personenbezogene Daten müssen auf

+rechtmäßige Weise,

+nach Treu und Glauben und

+in einer für die betroffene Person nachvollziehbaren Weise

verarbeitet werden.

Art 5 Abs 1 lit a DSGVO enthält somit drei Grundsätze:

1.4.1.1Rechtmäßigkeit

Damit eine Datenverarbeitung vorgenommen werden darf, muss sich diese auf eine Einwilligung der betroffenen Person oder eine andere gesetzliche Erlaubnisgrundlage (Art 6 Abs 1 DSGVO) stützen.[37] Weitere Anforderungen an die Rechtmäßigkeit ergeben sich aus den Regelungen zur Einwilligung (Art 7 und Art 8 DSGVO), zur Verarbeitung besonderer Kategorien von personenbezogenen Daten (Art 9 DSGVO), zur Übermittlung personenbezogener Daten an Drittländer oder internationale Organisationen (Kapitel V der DSGVO) und für besondere Verarbeitungssituationen (Kapitel IX der DSGVO).[38]

1.4.1.2Treu und Glauben

Aus dem Grundsatz der Verarbeitung nach Treu und Glauben ergibt sich das Erfordernis einer fairen Verarbeitung.[39] Dementsprechend besteht die Möglichkeit, dass eine grundsätzlich rechtmäßige Datenverarbeitung als rechtswidrig qualifiziert wird, wenn sie unfair ist, beispielsweise weil sie das Vertrauen der betroffenen Person missbraucht.[40] Gleiches könnte gelten, wenn eine betroffene Person durch die an sich rechtmäßige Verarbeitung ihrer personenbezogenen Daten benachteiligt wird und ein Kräfteungleichgewicht zwischen dem Betroffenen und dem Verantwortlichen besteht.[41] Letzteres wird im B2C-Bereich regelmäßig der Fall sein.

1.4.1.3Transparenz

Eine Datenverarbeitung muss gegenüber der betroffenen Person hinreichend transparent erfolgen. Dem Betroffenen soll es daher möglich sein, zu erkennen, dass und in welchem Umfang die sie betreffenden personenbezogenen Daten verarbeitet werden bzw. werden sollen. Diesbezügliche Informationen und Mitteilungen müssen verständlich und in klarer und einfacher Sprache abgefasst werden[42] und für die betroffene Person außerdem leicht zugänglich sein. Insbesondere betrifft dies die Information über die Identität des Verantwortlichen, die Zwecke der Verarbeitung, die Rechte der betroffenen Person und etwaige Risiken im Zusammenhang mit der Datenverarbeitung (ErwGr 39 DSGVO). Diese Transparenzanforderungen werden durch die Bestimmungen der Art 12 bis Art 15 DSGVO ergänzt.

Die Pflicht, umfassend zu informieren, muss jedoch von Unternehmen nicht zum Anlass genommen werden, über alle nur denkbaren Verarbeitungsschritte und Verwendungssituationen zu informieren. Von überschießenden Informationen ist Abstand zu nehmen, wenn es die Verständlichkeit und Einfachheit der erteilten Informationen negativ beeinflusst. Vielmehr ist es erforderlich, situationsgerecht zu informieren, d. h. es sollen nur jene Informationen bereitgestellt werden, die für die jeweilige Handlungs- und Entscheidungssituation relevant sind.[43]

Der Grundsatz der Transparenz betrifft auch Systeme der Informationstechnik. Ein solches System muss so ausgestaltet sein, dass für die betroffene Person erkennbar ist, was das System tut bzw. tun kann und wie sich das System mit der Zeit verändern kann.[44]