Rechtliche Belange begegnen den Schülerinnen und Schülern ständig in ihrem Alltag. Dies ist jedoch den wenigsten bewusst. In diesem Schulbuch entwickeln die Lernenden Kompetenzen, die sie befähigen, rechtliche Probleme zu erkennen, zu analysieren und zu lösen.
Rechtliche Belange begegnen den Schülerinnen und Schülern ständig in ihrem Alltag. Dies ist jedoch den wenigsten bewusst. In diesem Schulbuch entwickeln die Lernenden Kompetenzen, die sie befähigen, rechtliche Probleme zu erkennen, zu analysieren und zu lösen.
Die DSGVO versteht unter einem Data Breach eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungs- weise zum unbefugten Zugang zu personenbezogenen Daten führt. Verantwortliche und Auftragsverarbeiter müssen in der Lage sein eine Datenschutzverletzung zu erkennen. Es ist Aufgabe des Verantwortlichen entsprechende Maßnahmen zu setzen, damit es erst gar nicht zu einer Datenschutzverletzung kommt. Diese Maßnahmen sind unter Berücksichtigung des Stands der Technik umzusetzen. Hat man eine Datenschutzverletzung erkannt, ist diese grundsätzlich binnen 72 Stunden an die Aufsichtsbehörde zu melden. Nur in Ausnahmefällen entfällt die Meldepflicht, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Ob ein Data Breach ein Risiko für die Rechte und Freiheiten von Betroffenen mit sich bringt, ist vom Verantwortlichen im Einzelfall im Zuge einer Risikobewertung festzustellen. Welche Faktoren dabei zu berücksichtigen sind, wird auf Basis der WP 250 ausführlich erläutert. Unabhängig von einer Meldepflicht an die Aufsichtsbehörde und einer etwaigen Benachrichtigungspflicht an die betroffenen Personen, hat der Verantwortliche jedenfalls die Datenschutzverletzung zu dokumentieren. Die Faktoren für die Risikobewertung auf Basis der WP250 sowie die empfohlenen Schritte im Verlauf einer Datenschutzverletzung werden in diesem Buch übersichtlich dargestellt.
Die oft fälschlicherweise als einzige Möglichkeit gedachte Einwilligung sowie notwendige Datenverarbeitungen für eine Vertragserfüllung oder einer rechtlichen Verpflichtung sind meist einfach zu belegen, ebenso Verarbeitungen, die erforderlich sind, um lebenswichtige Interessen zu schützen oder erforderliche Aufgaben, die im öffentlichen Interesse liegen und vorwiegend den Behörden obliegen. Schwieriger wird die Auslegung des Begriffs des „berechtigten Interesses“. Die DSGVO definiert diesen Begriff nicht und auch in den Erwägungsgründen findet man nur vage Anhaltspunkte zur Konkretisierung. Die Artikel-29-Datenschutzgruppe hat bereits 2014 eine Stellungnahme zum Begriff des berechtigten Interesses veröffentlicht, die auch für die DSGVO noch Gültigkeit hat und im Anhang abgedruckt ist. In Anlehnung an diese Stellungnahme wurden in diesem Buch die Voraussetzungen sowie die empfohlenen Prüfungsschritte für das Vorliegen eines „berechtigten Interesses“ als Rechtsgrundlage für die Datenverarbeitung zusammengefasst.
Die am 25. Mai 2018 in Kraft getretene EU-Datenschutz-Grundverordnung (DSGVO) zielt auf eine Vereinheitlichung des europäischen Datenschutzrechts ab. Durch 69 Öffnungsklauseln erhalten die Mitgliedstaaten jedoch die Möglichkeit, Datenschutzfragen individuell zu regeln, was die Verordnung als „hinkend“ erscheinen lässt. In Österreich trat gleichzeitig das überarbeitete Datenschutzgesetz (DSG) in Kraft, das das ursprüngliche Datenschutzgesetz 2000 (DSG 2000) an die DSGVO anpasste und grundlegend veränderte. Trotz mehrerer Versuche wurde es nicht geschafft, die Verfassungsbestimmung des § 1 DSG 2000, die das Grundrecht auf Datenschutz für alle normiert, auf natürliche Personen zu beschränken. Die nationalen Datenschutzbestimmungen gelten jedoch, ähnlich wie die DSGVO, nur für natürliche Personen. Der österreichische Gesetzgeber hat daher im § 4 DSG den Anwendungsbereich auf natürliche Personen eingeschränkt. Es bleibt abzuwarten, ob und wann diese Einschränkung des Grundrechts aufgehoben wird. Daher ist es wichtig, sowohl die DSGVO als auch die Bestimmungen des DSG zu kennen. Beide enthalten unbestimmte Rechtsbegriffe und sind oft auslegungsbedürftig, weshalb auf die Erwägungsgründe und Erläuterungen zurückgegriffen werden muss. Dieses Nachschlagewerk bietet die relevanten Erwägungsgründe der DSGVO sowie die entsprechenden Bestimmungen des nationalen DSG mit Erläuterungen.