Sie sind auf Seite 1von 7

KV ÖFFENTLICHES RECHT

FÜR WIRTSCHAFTSINFORMATIK
Gudrun Trauner 140.130

Fragen zum Datenschutz (nach Jahnel/Pallwein-Prettner/Marzi, Datenschutzrecht2, 2018):

1. Wo ist das Grundrecht auf Datenschutz jeweils verankert bzw mitenthalten ?


§ 1 DSG; Art 8 EMRK.

2. Kennt auch das Unionsrecht ein Grundrecht auf Datenschutz ?


Art 7 GRC (Achtung des Privat- und Familienlebens) und Art 8 (Schutz personenbezogener Daten) GRC.

3. Was verstehen wir unter „Drittwirkung“ der Grundrechte ?


Geltung eines Grundrechts auch gegenüber (privaten) Dritten.

4. Welche Datenverarbeitungen fallen in den (sachlichen) Anwendungsbereich der DSGVO ?


Art 2 DSGVO.
1. (ganz oder teilweise) automatisierte Verarbeitungen personenbezogener Daten (Computer und
Datenverarbeitungsanlagen jeder Größe und Art; aufzeichnende Videoüberwachung),
2. Nichtautomatisierte (manuelle) Verarbeitungen personenbezogener Daten, wenn die Daten in einem
Dateisystem gespeichert sind oder werden sollen.
3. kein Ausschließungsgrund (Abs 2)
4. keine anderen vorrangigen Regelungen (zB E-Commerce-Richtlinie) existieren.

5. Welche Rolle spielt das „Dateisystem“ für den (sachlichen) Anwendungsbereich der DSGVO ?
Nichtautomatisierte (manuelle) Verarbeitungen personenbezogener Daten unterliegen nur dann dem
Anwendungsbereich der DGSVO, wenn die Daten in einem Dateisystem gespeichert sind oder werden
sollen, wobei unter „Dateisystem“ eine „strukturierte Sammlung personenbezogener Daten, die nach
bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder
nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird“ verstanden wird (Art 4
Z 6 DGSVO). Eine solch „strukturierte Sammlung" sind etwa alphabetisch nach Namen sortierte
Karteikarten oder Listen; nicht aber Post-it-Nachrichten.

6. Welche Datenverarbeitungen sind vom (sachlichen) Anwendungsbereich der DSGVO ausgenommen ?


Art 2 DSGVO.
 Nichtautomatisierte (manuelle) Verarbeitung personenbezogener Daten, die in keinem Dateisystem
gespeichert sind oder gespeichert werden sollen.
Weiters ausgenommen ist die Verarbeitung personenbezogener Daten, die
 im Rahmen einer Tätigkeit, die nicht in den Anwendungsbereich des Unionsrechts fällt,
 durch die Mitgliedstaaten im Rahmen von Tätigkeiten der gemeinsamen Außen- und Sicherheits-
politik,
 durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten,
 durch die zuständigen Behörden zum Zwecke der Verhütung, Ermittlung, Aufdeckung oder
Verfolgung von Straftaten oder der Strafvollstreckung.

KV Öffentliches Recht WIN Klausurfragen zum Datenschutz Lösung/Seite 1


7. Was versteht die DSGVO unter einer Datenverarbeitung „zur Ausübung ausschließlich persönlicher oder
familiärer Tätigkeiten“ ? Nennen Sie zwei Beispiele !
Art 2 Abs 2 lit c DSGVO.
Datenverarbeitung für rein persönliche oder familiäre Tätigkeiten sind vom Anwendungsbereich der
DSGVO ausgenommen (Haushaltsausnahme), sofern kein Bezug zu einer beruflichen oder
wirtschaftlichen Tätigkeit besteht. Bsp: Am PC, Smartphone gespeicherte Kontaktdaten von Freunden
oder Familienmitgliedern; rein private Nutzung von WhatsApp oder Skype.

8. Erläutern Sie das Sitz[Niederlassungs]prinzip des räumlichen Anwendungsbereichs der DSGVO !


Art 3 Abs 1 DSGVO.
Anwendung der DSGVO, wenn der Verantwortliche oder der Auftragsverarbeiter zwar seinen Sitz in
einem Drittstaat, aber eine Niederlassung in der EU hat.

9. Erläutern Sie das Marktortprinzip des räumlichen Anwendungsbereichs der DSGVO !


Art 3 Abs 2 DSGVO.
Anwendung der DSGVO, wenn Verantwortliche bzw Auftragsverarbeiter zwar weder Sitz (noch
Niederlassung) in der EU haben, aber die betroffenen Personen in der EU sind

10. Wer ist der „Verantwortliche“ nach der DSGVO ?


Art 4 Z 7 DSGVO: natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle,
die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von
personenbezogenen Daten entscheidet.

11. Wer ist der „Auftragsverarbeiter“ nach der DSGVO ?


Art 4 Z 8 DSGVO: eine natürliche oder juristische Person, Behörde, Einrichtung oder andere
Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

12. Wer ist die „betroffene Person“ nach der DSGVO ?


Art 4 Z 1 DSGVO: jede natürliche Person, auf die sich die personenbezogenen Daten beziehen.

13. Wer ist Verantwortlicher/Auftragsverarbeiter/betroffene Person im Fall einer Datenverarbeitung durch


Cloud Computing ?
Verantwortlicher: Cloud-User; Auftragsverarbeiter: Cloud-Provider; betroffene Personen:
LieferantInnen, KundInnen, MitarbeiterInnen des Cloud-Users

14. Was unterscheidet „anonyme Daten“ von „pseudonymisierten“ Daten ?


Anonyme Daten: Daten können keiner natürlichen Person mehr zugeordnet werden;
daher keine „personenbezogenen“ Daten und nicht im Anwendungsbereich der DSGVO.
Pseudonymmisierte Daten: fallen in Anwendungsbereich der DSGVO, weil Personenbezogenheit wieder
herstellbar ist, Re-Identifizierung ist möglich.

15. Was sind „personenbezogene Daten“ ?


Art 4 Z 1 DSGVO: alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche
Person (im Folgenden „betroffene Person“) beziehen;
als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere
mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu
einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der
physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen
Identität dieser natürlichen Person sind, identifiziert werden kann.

KV Öffentliches Recht WIN Klausurfragen zum Datenschutz Lösung/Seite 2


16. Für welche besonderen personenbezogenen Daten (sensible Daten) sieht die DSGVO gesonderte
Regelungen vor ? Nennen Sie auch die betreffenden (zwei) Bestimmungen !
Art 9 Abs 1 DSGVO: besondere Kategorien personenbezogener Daten betreffend rassische und
ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerk-
schaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer
natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung
Art 10 DSGVO: personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten.

17. Nennen Sie (acht) Grundsätze für die Verarbeitung personenbezogener Daten nach der DSGVO !
Art 5 DSGVO.
 Rechtmäßigkeit
 Treu und Glauben
 Transparenz
 Zweckbindung
 Datenminimierung
 Richtigkeit
 Speicherbegrenzung
 Integrität und Vertraulichkeit
 Rechenschaftspflicht

18. Erläutern Sie (kurz!) den für die Verarbeitung personenbezogener Daten geltenden Grundsatz der
„Richtigkeit“ !
Art 5 Abs 1 lit d (Art 18 Abs 1 lit a) DSGVO.
Nach dem Grundsatz der Richtigkeit sollen nur sachlich richtige Daten verarbeitet werden; unrichtige
Daten sind unverzüglich zu löschen bzw zu berichtigen.

19. Erläutern Sie (kurz!) den für die Verarbeitung personenbezogener Daten geltenden Grundsatz der
„Speicherbegrenzung“ !
Art 5 Abs 1 lit e DSGVO.
Nach dem Grundsatz der Speicherbegrenzung dürfen personenbezogene Daten nicht länger als für die
Zweckerreichung nötig gespeichert werden.

20. Erläutern Sie (kurz!) den für die Verarbeitung personenbezogener Daten geltenden Grundsatz der
„Integrität und Vertraulichkeit“ !
Art 5 Abs 1 lit f DSGVO.
Nach dem Grundsatz der Integrität und Vertraulichkeit dürfen personenbezogene Daten nur in einer
Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten
gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung und vor
unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (durch
geeignete technische und organisatorische Maßnahmen).

21. Erläutern Sie (kurz!) den für die Verarbeitung personenbezogener Daten geltenden Grundsatz der
„Rechenschaftspflicht“ !
Art 5 Abs 2 DSGVO.
Der Grundsatz der Rechenschaftsplicht bedeutet die Verantwortung und eine Nachweispflicht für den
Verantwortlichen, dass die Grundsätze der Datenverarbeitung (nach Art 5 Abs 1 DSGVO) tatsächlich
eingehalten wurden.

KV Öffentliches Recht WIN Klausurfragen zum Datenschutz Lösung/Seite 3


22. Erläutern Sie (kurz!) den für die Verarbeitung personenbezogener Daten geltenden Grundsatz der
„Rechtmäßigkeit“ !
Art 5 Abs 1 lit a, Art 6 DSGVO.
Nach dem Grundsatz der Rechtmäßigkeit muss jede Verarbeitung personenbezogener Daten auf einer
Rechtsgrundlage beruhen und zusätzlich eine der folgenden Bedingungen erfüllen:
 Einwilligung der betroffenen Person zur Verarbeitung der sie betreffenden personenbezogenen
Daten (für einen oder mehrere bestimmte Zwecke);
 Notwendigkeit zur Vertragsanbahnung, Vertragserfüllung
 Erfüllung rechtlicher Verpflichtung
 Schutz lebenswichtiger Interessen
 Öffentliche Interessen
 Berechtigte Interessen (Interessenabwägung)

23. Erläutern Sie (kurz!) den für die Verarbeitung personenbezogener Daten geltenden Grundsatz der
„Transparenz“ !
Art 5 Abs 1 lit a DSGVO.
Nach dem Grundsatz der Transparenz muss jede Verarbeitung personenbezogener Daten für die
betroffene Person nachvollziehbar sein.

24. Erläutern Sie (kurz!) den für die Verarbeitung personenbezogener Daten geltenden Grundsatz der
„Zweckbindung“ !
Art 5 Abs 1 lit b DSGVO.
Nach dem Grundsatz der Zweckbindung bedarf jede Verarbeitung personenbezogener Daten eines im
Vorhinein festgelegten, eindeutigen und legitimen Zwecks; (Weiter)Verwendung der Daten zu anderen
Zwecken ist – mit Einschränkungen – möglich.

25. Erläutern Sie (kurz!) den für die Verarbeitung personenbezogener Daten geltenden Grundsatz der
„Datenminimierung“ !
Art 5 Abs 1 lit c DSGVO.
Nach dem Grundsatz der Datenminimierung ist jede Verarbeitung personenbezogener Daten – anhängig
vom jeweiligen Verarbeitungszweck – auf das unbedingt erforderliche Maß zu beschränken.

KV Öffentliches Recht WIN Klausurfragen zum Datenschutz Lösung/Seite 4


26. Eine Verarbeitung personenbezogener Daten ist nach der DSGVO nur dann zulässig (rechtmäßig), wenn
sie ausdrücklich erlaubt ist. Nennen Sie (fünf !) solche Erlaubnistatbestände, die als Grundlage einer
rechtmäßigen Verarbeitung personenbezogener (nichtsensibler) Daten in Betracht kommen und
erläutern Sie diese (kurz !) !
Art 6 DSGVO:
1. Einwilligung
betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden
personenbezogenen Daten gegeben
2. Vertragsanbahnung, Vertragserfüllung
Verarbeitung ist notwendig zur Erfüllung eines Vertrags, dessen Vertragspartei die betroffene
Person ist, oder für vorvertragliche Maßnahmen
3. Erfüllung rechtlicher Verpflichtung
Verantwortlicher muss Verarbeitung vornehmen, um seine rechtlichen Verpflichtungen erfüllen zu
können (zB Meldung beim Sozialversicherungsträger durch Arbeitgeber, der dazu die
Sozialversicherungsnummer des Arbeitnehmers erheben muss)
4. Schutz lebenswichtiger Interessen
Verarbeitung notwendig, um lebenswichtige Interessen der betroffenen Person (oder einer anderen
natürlichen Person) zu schützen
5. Öffentliche Interessen
Verarbeitungen für die Wahrnehmung von Aufgaben im öffentlichen Interesse bzw in Ausübung
öffentlicher Gewalt
6. Berechtigte Interessen (Interessenabwägung)
Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines
Dritten erforderlich.
Erlaubnistatbestand greift, wenn nicht die (zu berücksichtigenden) berechtigten Interessen der
betroffenen Personen schwerer wiegen (überwiegen).

27. Ist eine Verarbeitung personenbezogener Daten mit „Einwilligung“ der betroffenen Person nach der
DSGVO auch dann zulässig (rechtmäßig), wenn es sich um die Verarbeitung besonderer Kategorien
personenbezogener Daten (sensibler Daten) handelt ?
Ja, Art 9 Abs 2 lit a DSGVO. Ausdrückliche Einwilligung notwendig; eine konkludente Einwilligung reicht
nicht.

28. Eine Verarbeitung personenbezogener Daten mit Einwilligung der betroffenen Person ist nach der
DSGVO jedenfalls zulässig (rechtmäßig). Unter welchen Voraussetzungen ist eine solche „Einwilligung“
wirksam ?
Art 6 Abs 1 lit a iVm Art 4 Z 11 DSGVO.
jede freiwillig (echte Wahl, tatsächliche Entscheidungsfreiheit existiert)
für den bestimmten Fall (keine pauschalen Einwilligungen, nur für konkreten Verarbeitungsfall),
in informierter Weise (betroffene Person weiß, wer der Verantwortliche ist und kennt den konkreten
Zweck der Verarbeitung) und
unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen
eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der
Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist (schriftliche
Erklärung, auch elektronisch (Anklicken eines Kästchens), mündlich; nicht: Stillschweigen, bereits
vorangekreuzte Kästchen).

KV Öffentliches Recht WIN Klausurfragen zum Datenschutz Lösung/Seite 5


29. Ab welchem Alter dürfen Kinder nach dem Datenschutzgesetz (DSG) bei einem Angebot von Diensten
der Informationsgesellschaft (zB einer Social Media Plattform) selbst in die Verarbeitung ihrer
personenbezogenen Daten einwilligen ?
Art 4 Abs 4 DSG: ab dem vollendeten 14. Lebensjahr [nach der DSGVO ab dem 16. Lebensjahr]

30. Welche (sieben !) Rechte räumt die DSGVO der betroffenen Person ein ?
Recht auf Transparenz (Art 12 DSGVO)
Recht auf Information (Art 13, 14 DSGVO)
Recht auf Auskunft (Art 15 DSGVO)
Recht auf Berichtigung (Art 16 DSGVO)
Recht auf Löschung – Recht auf Vergessenwerden (Art 17 DSGVO)
Recht auf Einschränkung der Verarbeitung (Art 18 DSGVO)
Recht auf Datenübertragbarkeit (Art 20 DSGVO)
Widerspruchsrecht (Art 21 DSGVO)

31. Was ist das Recht auf Vergessenwerden ?


Art 17 DSGVO.
Recht auf Vergessenwerden ist das Recht der betroffenen Person auf Löschung der sie
betreffenden personenbezogenen Daten (bei Vorliegen bestimmter Gründe).

32. Aus welchen Gründen kann die betroffene Person eine Löschung ihrer personenbezogenen Daten
durchsetzen ? Nennen Sie (drei) solche Löschungsgründe !
Art 17 Abs 1 DSGVO.
Betroffene Person kann eine Löschung der sie betreffenden personenbezogenen Daten durchsetzen,
wenn einer der (Löschung)Gründe nach Art 17 Abs 1 vorliegt und die Datenverarbeitung nicht nach
Abs 3 erforderlich ist. Solche (Löschungs)Gründe sind:
 Zweck der Datenverarbeitung ist entfallen (lit a).
 Widerruf der Einwilligung, wenn andere Rechtsgrundlage für die Verarbeitung fehlt (lit b).
 Widerspruch der betroffenen Person gegen die Datenverarbeitung gemäß Art 21 Abs 1 DSGVO und
Fehlen vorrangiger berechtigter Gründe für eine Verarbeitung vor; Widerspruch der betroffenen
Person gegen die Datenverarbeitung gemäß Art 21 Abs 2 DSGVO (lit c).
 Unrechtmäßige Verarbeitung der personenbezogenen Daten (lit d).
 Unionsrecht oder Recht des Mitgliedstaats, dem der Verantwortliche unterliegt, verlangt die Löschung
der personenbezogenen Daten zur Erfüllung einer rechtlichen Verpflichtung (lit e).
 Datenerhebung erfolgte in Bezug auf angebotene Dienste der Informationsgesellschaft an ein Kind
gemäß Art 8 Abs 1 DSGVO.

KV Öffentliches Recht WIN Klausurfragen zum Datenschutz Lösung/Seite 6


33. Unter welchen Voraussetzungen hat die betroffene Person ein Recht auf Einschränkung der
Verarbeitung ihrer personenbezogenen Daten ? Nennen Sie (zwei) solche Einschränkungsgründe !
Art 18 DSGVO.
Betroffene Person kann eine Einschränkung der Verarbeitung der sie betreffenden personen-
bezogenen Daten verlangen, wenn einer der folgenden Gründe nach Art 18 Abs 1 vorliegt:
 für die Dauer der Überprüfung der Richtigkeit der personenbezogenen Daten, wenn die
betroffene Person die Richtigkeit der personenbezogenen Daten bestritten hat (lit a);
 unrechtmäßige Verarbeitung: betroffene Person kann statt der Löschung die Einschränkung der
Nutzung der personenbezogenen Daten verlangen (lit b);
 Verantwortlicher benötigt die personenbezogenen Daten für die Zwecke der Verarbeitung nicht
länger, die betroffene Person benötigt sie jedoch zur Geltendmachung, Ausübung oder Verteidigung
von Rechtsansprüchen (lit c).
oder
 Widerspruch der betroffenen Person gegen die Verarbeitung gemäß Art 21 Abs 1: bis feststeht, ob
die berechtigten Gründe des Verantwortlichen gegenüber denen der betroffenen Person überwiegen
(lit d).

34. Unter welchen Voraussetzungen hat die betroffene Person ein Widerspruchsrecht betreffend die
Verarbeitung ihrer personenbezogenen Daten ?
Art 21 Abs 1 und Abs 2 DSGVO.
a. Zulässig ist ein Widerspruch nur bei einer Datenverarbeitung auf Grundlage des
Rechtmäßigkeitsgrundes nach Art 6 Abs 1 lit e DSGVO (Datenverarbeitung im öffentlichen Interesse)
und aufgrund des Rechtmäßigkeitsgrundes nach Art 6 Abs 1 lit f DSGVO (berechtigte Interessen mit
Interessenabwägung).
Das Widerspruchsrecht setzt keine unrechtmäßige Datenverarbeitung voraus, sondern richtet sich
gegen die Fortsetzung einer (rechtmäßigen) Datenverarbeitung. Die betroffene Person hat besondere
persönliche Gründe vorzubringen („Gründe, die sich aus ihrer besonderen Situation ergeben“), etwa ein
besonderes Geheimhaltungsinteresse.
b. Widerspruchsrecht gegen eine Datenverarbeitung zur Direktwerbung und zum Profiling wirkt
absolut, bedarf also keinerlei Begründung (Art 21 Abs 2 DSGVO).
c. Aus erfolgreichem Widerspruch resultiert ein Recht auf Löschung (Art 17 Abs 1 lit c DSGVO).

35. Nennen Sie drei Beispiele für eine nach dem Datenschutzgesetz (DSG) zulässige Videoaufnahme !
§ 12 Abs 3 DSG: [Z 1]. Überwachung von Einfamilienhäusern
[Z 2]. Überwachung in öffentlichen Verkehrsmitteln oder in Trafiken
[Z 3]. Freizeitkameras

36. Nennen Sie drei Beispiele für eine nach dem Datenschutzgesetz (DSG) unzulässige Videoaufnahme !
§ 12 Abs 4 DSG: [Z 1]. Videoüberwachung von Hygieneräumen, Sakralräumen, medizinischen
Einrichtungen
[Z 2]. Videoüberwachung der ArbeitnehmerInnen
[Z 3]. Abgleich von Bilddaten ohne ausdrückliche Einwilligung (zB Zutrittskontrolle durch
Abgleich biometrischer Bilddaten).

KV Öffentliches Recht WIN Klausurfragen zum Datenschutz Lösung/Seite 7