Menu
Menu

Schutz personenbezogener Daten

Art. 8 der Charta der Grundrechte der europäischen Union

(1) Jede Person hat das Recht auf Schutz der sie betreffenden personenbezogenen Daten.

(2) Diese Daten dürfen nur nach Treu und Glauben für festgelegte Zwecke und mit Einwilligung der betroffenen Person oder auf einer sonstigen gesetzlich geregelten legitimen Grundlage verarbeitet werden. Jede Person hat das Recht, Auskunft über die sie betreffenden erhobenen Daten zu erhalten und die Berichtigung der Daten zu erwirken.

(3) Die Einhaltung dieser Vorschriften wird von einer unabhängigen Stelle überwacht.

Begriffsbestimmung –eine Auswahl

Art. 4 Datenschutzgrundverordnung Im Sinne dieser Verordnung bezeichnet der Ausdruck:

1. „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, .... identifiziert werden kann;

2. „Verarbeitung“ jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

6. „Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

7. „Verantwortlicher“ die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; ...

8. „Auftragsverarbeiter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet;

9. „Empfänger“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, ...

10. „Dritter“ eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, außer der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

11.* „Einwilligung“ der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

12. „Verletzung des Schutzes personenbezogener Daten“ eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

20. „verbindliche interne Datenschutzvorschriften“ Maßnahmen zum Schutz personenbezogener Daten, ...

* Ad Einwilligungserklärung
Die DSGVO gibt in Art. 4 Abs. 11 detaillierte Regelungen zu Einwilligungserklärungen der Personen vor, deren personenbezogene Daten verarbeitet werden. Insbesondere wird bei der Einwilligung betont, dass dies eine „unmissverständlich abgegebene Willensbekundung“, bzw. „eine eindeutig bestätigende Handlung“ sein muss. Ein vorab angekreuztes Kästchen beispielsweise ist nicht zulässig. Ein besonderes Augenmerk muss zukünftig auch auf der Formulierung der Einwilligung liegen, da diese „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ (Art. 7 Abs. 2 DSGVO) erfolgen muss. Dies bedeutet zudem, dass auch kritisch geprüft werden muss, ob die bereits vorliegenden Einwilligungserklärungen noch den neuen Anforderungen entsprechen.

Grundsätze für Verarbeitung personenbezogener Daten

Art. 5 der DSGVO beschreibt überschaubar und einfach formuliert die Grundsätze der Verarbeitung personenbezogener Daten, die auch von Vereinen bei jedem Umgang mit persönlichen Daten zu beachten sind:

1) Personenbezogene Daten müssen

a) auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvoll-ziehbaren Weise verarbeitet werden („Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz“);

b) für festgelegte, eindeutige und legitime Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden; ... („Zweckbindung“);

c) dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein („Datenminimierung“);

d) sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind alle angemessenen Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden („Richtigkeit“);

e) in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist; ... („Speicherbegrenzung“);

f) in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen („Integrität und Vertraulichkeit“);

(2) Der Verantwortliche* ist für die Einhaltung des Absatzes verantwortlich und muss dessen Einhaltung nachweisen können („Rechenschaftspflicht“). *siehe Art. 4 Z 7

Technische und organisatorische Maßnahmen (TOM)

Jede/r auch Vereine müssen dafür Sorge tragen und überprüfen, ob die eigenen technischen und organisatorischen Maßnahmen der Datenverarbeitung geeignet sind, Datensicherheit zu gewährleisten. Bei allen Datenverarbeitungsvorgängen muss demnach überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen worden sind (Datensicherung, Verschlüsselung, etc.).

Informationspflichten

Auch Vereine sind verpflichtet die Personen, deren Daten Sie verarbeiten, umfangreich zu informieren. Die Mitgliedschaft in einem Verein ist als Vertragsverhältnis zwischen den Mitgliedern und dem Verein anzusehen, dessen Inhalt im Wesentlichen durch die Statuten vorgegeben wird, welche die Vereinsziele, für welche die Mitgliederdaten genutzt werden können, bestimmen.

Weitere Informationen https://www.dsb.gv.at/datenschutz-grundverordnung

siehe auch: DSGVO - Nachlese zur Informationsveranstaltung

Geltungsbereich der Inhalte

Schulgesetze gelten in der Regel österreichweit. mehr

Pädagogischer Panther 2019

briefkopf kl rgb