Sieben Fragen und Antworten zur DSGVO

Die Datenschutz-Grundverordnung tritt mit 25. Mai 2018 in Kraft – was das zu bedeuten hat und worauf Schulen achten sollten.

Berichte & Reportagen
Die Datenschutzgrundverordnung gilt ab 25. Mai 2018 in allen EU-Ländern.

Was bedeutet DSGVO?

DSGVO steht für Datenschutz-Grundverordnung. Diese wurde im April 2016 vom Europäischen Parlament beschlossen und tritt am 25. Mai 2018 in der gesamten EU in Kraft. Da es sich bei der DSGVO um eine Verordnung handelt (im Gegensatz zu z.B. einer Richtlinie), muss diese in allen EU-Ländern direkt umgesetzt werden. Eine zusätzliche Regelung auf nationaler Ebene ist jedoch durch mehrere „Öffnungsklauseln“ der DSGVO möglich. In Österreich wurde eine solche mit dem Datenschutzanpassungsgesetz 2018 getroffen.

Wozu wurde die DSGVO beschlossen?

Ein Recht auf Schutz der personenbezogenen Daten war innerhalb der EU schon bisher festgelegt, sowohl in einer EU-Richtlinie aus 1995, als auch in der EU-Grundrechtecharta. Auf Basis dessen wurden dazu jedoch von Land zu Land jeweils unterschiedliche Gesetze beschlossen. Die DSGVO soll in dieser Hinsicht EU-weit stärker vereinheitlichen. Zudem soll der EU-weite Datenschutz mithilfe der DSGVO an die stark durch neue Technologien geprägten Anforderungen des 21. Jahrhunderts angepasst werden. Dementsprechend gilt die DSGVO auch für jene Datenverarbeitungen, die von Verantwortlichen (z.B. Dienstleistern) außerhalb der EU an Personen innerhalb der EU erbracht werden.

Was sind überhaupt personenbezogene Daten?

Personenbezogene Daten sind jegliche Informationen, die sich auf einen Menschen beziehen, wie z.B. Name, Adresse, Foto, E-Mail etc. Zusätzlich definiert die DSGVO „besondere Kategorien personenbezogener Daten“. Dazu zählen unter anderem die ethnische Herkunft, politische Meinungen, Religionszugehörigkeit, Gesundheitsdaten oder auch die sexuelle Orientierung. Zu einer „Datenverarbeitung“ zählt auch bereits das Erheben, Abfragen oder Speichern von Daten – unabhängig davon ob dies mithilfe automatisierter Verfahren (z.B. digital) oder ohne (z.B. handschriftlich) erfolgt.

Wann dürfen personenbezogene Daten verarbeitet werden?

Die Verarbeitung personenbezogener Daten ist gemäß der DSGVO nur dann erlaubt, wenn mindestens eine der folgenden Bedingungen gegeben ist:

  • Einwilligung der betroffenen Person
  • zur Erfüllung eines Vertrags
  • zur Erfüllung einer rechtlichen Verpflichtung (z.B. Bildungsdokumentationsgesetz etc.)
  • um lebenswichtige Interessen (der betroffenen Person) zu schützen
  • für die Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt
  • zur Wahrung berechtigter Interessen anderer, sofern nicht die Interessen oder Grundrechte und –freiheiten der betroffenen Person überwiegen (insbesondere wenn es sich dabei um ein Kind handelt)

Zu berücksichtigen sind außerdem die Grundsätze der Datenminimierung und der Zweckmäßigkeit: Es sollen also nur jene Daten verarbeitet werden, die notwendig sind und auch nur für jene(n) Zweck(e), dem bzw. denen konkret zugestimmt wurde (oder die anderweitig rechtsmäßig sind). Außerdem muss (unter bestimmten Bedingungen) ein Datenverarbeitungsverzeichnis geführt werden, in welchem protokolliert wird, welche Daten zu welchem Zweck verarbeitet werden.

Welche Rechte habe ich in Bezug auf meine eigenen Daten?

Personen, deren Daten verarbeitet werden (hier: „Betroffene“), räumt die DSGVO unterschiedliche Rechte (sog. Betroffenenrechte) ein:

Informationspflicht: Betroffene müssen ausreichend über die Verarbeitung ihrer Daten informiert werden (ein Instrument dazu ist z.B. die Datenschutzerklärung).

Auskunftsrecht: Betroffene dürfen erfragen, welche ihrer Daten verarbeitet werden.

Recht auf Berichtigung: Betroffene haben das Recht auf eine Berichtigung von sie betreffenden personenbezogenen Daten.

Recht auf Löschung („Recht auf Vergessenwerden“): Betroffene haben das Recht zu verlangen, dass sie betreffende personenbezogene Daten unverzüglich gelöscht werden. Trifft eine (oder mehrere) der folgenden Bedingungen zu, muss dem Folge geleistet werden:

  • Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig
  • Betroffene Person widerruft ihre Einwilligung zur Datenverarbeitung (und es fehlt an einer anderweitigen Rechtsgrundlage zur Datenverarbeitung)
  • Widerspruch gegen die Datenverarbeitung wurde wirksam (Widerspruchsrecht)
  • Daten wurden unrechtmäßig verarbeitet
  • Eine rechtliche Verpflichtung verlangt das Löschen der Daten
  • Fehlen einer Einwilligung der Erziehungsberechtigten eines Kindes

Wurden die Daten öffentlich gemacht (z.B. im Internet), so müssen bei der Löschung alle angemessenen Maßnahmen getroffen werden, um verantwortliche Datenempfänger (insbesondere Suchmaschinenbetreiber) darüber zu informieren, dass der Betroffene die Löschung wünscht (= „Recht auf Vergessenwerden“). Das Löschungsrecht kann unter Umständen jedoch durch andere Rechte beschränkt werden (z.B. Meinungsfreiheit, Rechtspflichten, öffentliche Interessen etc.). Die Frist zur Löschung beträgt einen Monat.

Recht auf Einschränkung der Verarbeitung: Daten müssen - ohne sie zu löschen - von der Verarbeitung ausgeschlossen werden, z.B. für die Dauer von Überprüfungen oder auch um Rechtsansprüche zu wahren.

Recht auf Datenübertragbarkeit: Betroffene haben das Recht, ihre eigenen bekannt gegebenen Daten zurück zu erhalten oder einem anderen Daten-Verantwortlichen zu übergeben.

Widerspruchsrecht: Wurden personenbezogene Daten ohne ausdrückliche oder implizite Einwilligung erhoben, so hat der Betroffene jederzeit das Recht, Widerspruch einzulegen (unter Angabe von Gründen). Die Frist zur Entscheidung über einen solchen Widerspruch beträgt einen Monat, eine Verlängerung auf drei Monate ist unter Umständen möglich. Werden die Daten für Direktwerbung verarbeitet, ist ein jederzeitiger Widerspruch ohne Angabe von Gründen möglich.

Ein Tipp für Datenverarbeitungen an Schulen?

Bei Datenverarbeitungen, egal ob z.B. digital oder handschriftlich, sollte ggf. überlegt werden: Gibt es eine gesetzliche Grundlage dafür oder brauche ich eine konkrete (!) Einwilligung? Mögliche gesetzliche Grundlagen können im schulischen Bereich z.B. das Bildungsdokumentationsgesetz oder das Schulunterrichtsgesetz sein. Vorsicht: Eine „Pauschal-Einwilligung“ (ohne konkrete Nennung der jeweiligen Datenverarbeitungs-Zwecke) entspricht nicht der DSGVO!

An wen können sich Wiener Pflichtschulen bei datenschutzrechtlichen Fragen wenden?

Bei etwaigen Fragen rund um das Datenschutzrecht wenden Sie sich bitte an datenschutz(at)ssr-wien.gv.at.