von Fotos oder Kontaktdaten der eige-
nen Mitarbeiter auf der Unternehmens-
website) durchaus differenzierter zu
betrachten und einer gesonderten Prü-
fung zuzuführen. Soll eine Verarbei-
tung auf den Rechtfertigungsgrund der
Einwilligung gestützt werden, ist auch
immer das Koppelungsverbot zu beach-
ten. Dieses pönalisiert die Verknüpfung
einer Einwilligung mit der Erfüllung
eines Vertrages, wenn die Einwilligung
für die Erfüllung nicht erforderlich ist.
Hohe Strafandrohung
Im Lichte der hohen Strafdrohung ist
auch auf die Rechte betroffener Per-
sonen hinzuweisen. Neben dem Recht
auf Auskunft (Art. 15), dem Recht
auf Berichtigung (Art. 16), Löschung
bzw. „Vergessenwerden“ (Art. 17),
Einschränkung der Verarbeitung (Art.
18), und Widerspruch (Art. 21) sei
insbesondere auf das neu hinzugekom-
mene Recht auf Datenübertragbarkeit
(Art. 20) hingewiesen:
Gemäß Art. 20 Abs. 1 hat die be-
troffene Person das Recht, die sie betref-
fenden personenbezogenen Daten, die
sie einem Verantwortlichen bereitgestellt
hat, in einem strukturierten, gängigen
und maschinenlesbaren Format zu er-
halten und einem anderen Verantwort-
lichen zu übermitteln, vorausgesetzt,
die Verarbeitung erfolgt mittels auto-
matisierter Verfahren und beruht auf
Einwilligung oder Vertrag. Darüber hi-
naus sieht Abs. 2 vor, dass die betroffene
Person den Verantwortlichen anweisen
kann, diese Daten im Wege der Di-
rektübertragung an einen anderen Ver-
antwortlichen unter der Voraussetzung
der technischen Machbarkeit zu über-
mitteln. In Zeiten moderner FiBu-Soft-
ware und standardisierter Dateiformate
könnte dies in extremo bedeuten, dass
ein Steuerberater bzw. Wirtschaftsprüfer
seine aufwändig gestalteten Rohdaten an
einen anderen Wettbewerber übermit-
teln müsste, wenn sich der Mandant zu
einemWechsel entscheidet.
Betretungsrecht der DSB
Die Österreichische Datenschutzbe
hörde hat bei der Wahrnehmung ihrer
Aufgabe umfangreiche Untersuchungs-
und Abhilfebefugnisse. So kann sie
etwa eine Datenschutzüberprüfung
durchführen oder den Zugang zu al-
len personenbezogenen Daten und
Informationen, aber auch zu den Ge-
schäftsräumen einschließlich aller
Datenverarbeitungsanlagen und -ge-
räte durchsetzen. Ein Unternehmen,
welches gegen (insbesondere) die in
Art. 25 – 39 genannten Pflichten und
Grundsätze verstößt, ist mit bis zu
EUR 10.000.000,– oder 2% des ge-
samten jährlichen weltweiten Umsatzes
im Vorjahr zu bestrafen, je nachdem,
welcher Betrag höher ist. Darunter fal-
len beispielsweise Verstöße gegen die
technische Ausgestaltung der Datensi-
cherheit bzw. gegen die Festlegung da-
tenschutzfreundlicher Voreinstellungen
(Art. 25), die Erstellung des Verzeich-
nisses von Verarbeitungstätigkeiten
(Art. 30), Missachtung von Benach-
richtigungspflichten bei Verletzungen
des Schutzes personenbezogener Daten
(Art. 33, 34), Nichtdurchführung einer
vorgeschriebenen Datenschutz-Folgen-
abschätzung (Art. 35) oder Nichtbe-
stellung eines Datenschutzbeauftragten
trotz Erforderlichkeit (Art. 37).
Bei Verstößen gegen die Grundsät-
ze für die Verarbeitung, einschließlich
Es ist auf die Rechte betroffener Per-
sonen hinzuweisen: Neben dem Recht
auf Auskunft, dem Recht auf Berichtigung,
Löschung bzw. „Vergessenwerden“, Ein-
schränkung der Verarbeitung und Wider-
spruch ist nun auch das Recht auf Datenü-
bertragbarkeit hinzugekommen.
© ANYABERKUT/ISTOCK
schwer
punkt
14
2/2018
