der Erhebung vorgesehenen Zwecken durchaus möglich.[48]
1.4.3 Datenminimierung
Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke notwendige Maß beschränkt werden (Art 5 Abs 1 lit c DSGVO).
Als dem Zweck angemessen gelten personenbezogene Daten nur, wenn diese „bezogen auf den Zweck hinsichtlich Funktion, Inhalt und Umfang sachgerecht sind“.[49] So wird die Verarbeitung besonderer Kategorien personenbezogener Daten (Art 9 DSGVO) für banale Zwecke wohl idR nicht angemessen sein.[50] Die personenbezogenen Daten sind für den Zweck erheblich, wenn diese geeignet sind, die Zweckerreichung zu fördern.[51] Auf das für die Zwecke notwendige Maß beschränkt ist die Verarbeitung personenbezogener Daten, wenn es nicht möglich ist, den Zweck ohne ihre Verarbeitung zu erreichen.[52]
Um im Sinne des Grundsatzes der Datenminimierung zu agieren, sollten Unternehmen auch hinterfragen, ob der Verarbeitungszweck unter Umständen nicht auch dann erreicht werden kann, wenn die personenbezogenen Daten anonymisiert sind. Wird dies bejaht, kann die Verarbeitung nicht-anonymisierter Daten als ein Verstoß gegen diesen Grundsatz zu qualifizieren sein.[53]
1.4.4 Richtigkeit
Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls[54] auf dem neuesten Stand sein. Es sind außerdem alle Maßnahmen zu treffen, damit personenbezogene Daten, die im Hinblick auf die Zwecke ihrer Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden (Art 5 Abs 1 lit d DSGVO). Durch diesen Grundsatz ergeben sich für Verantwortliche folgende Pflichten:
+Bei erstmaliger Erhebung muss mit der üblichen Sorgfalt geprüft werden, ob die Daten richtig sind.
+Werden dem Verantwortlichen zu einem späteren Zeitpunkt Unrichtigkeiten bekannt, so muss dieser die Daten entsprechend korrigieren.
+Ergeben sich Anzeichen, dass personenbezogene Daten unter Umständen unrichtig sind, trifft den Verantwortlichen diesbezüglich eine Nachforschungspflicht.
+Es müssen technische und organisatorische Maßnahmen getroffen werden, durch die die Richtigkeit der personenbezogenen Daten überprüft wird bzw. die personenbezogenen Daten im Fall der Unrichtigkeit berichtigt werden.[55]
1.4.5 Speicherbegrenzung
Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist (Art 5 Abs 1 lit e 1. HS DSGVO).
Der Verantwortliche hat daher zu prüfen, für welchen Zeitraum personenbezogene Daten für die Erreichung des Zwecks erforderlich sind.[56] Dabei hat die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt zu bleiben (ErwGr 39 DSGVO).
Nach diesem Zeitraum kann dem Grundsatz der Speicherbegrenzung durch Löschung oder Aufhebung der personenbezogenen Daten, zB durch Anonymisierung, Rechnung getragen werden.[57] Damit personenbezogene Daten nicht länger als nötig gespeichert werden, sollte der Verantwortliche aber Fristen für die Löschung oder regelmäßige Überprüfungen vorsehen (ErwGr 39 DSGVO).
1.4.6 Integrität und Vertraulichkeit
Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Dies inkludiert den Schutz
+vor unbefugter oder unrechtmäßiger Verarbeitung und
+vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung (Art 5 Abs 1 lit f DSGVO).
Diese Sicherheit hat der Verantwortliche durch die Ergreifung von geeigneten technischen und organisatorischen Maßnahmen zu gewährleisten. Diese werden durch Art 32 DSGVO konkretisiert (Details siehe Kapitel 12).
Der Verantwortliche hat daher u. a. sicherzustellen, dass Unbefugte keinen Zugang zu den personenbezogenen Daten haben und ihnen auch keine Möglichkeit gegeben wird, Geräte, mit denen personenbezogene Daten verarbeitet werden, zu benutzen (ErwGr 39 DSGVO). Eine unbefugte Verarbeitung wird idR durch unbefugte Dritte, die nicht dem Verantwortlichen zuzuordnen sind, vorgenommen.[58] Aber auch die Verarbeitung durch Mitarbeiter des Verantwortlichen kann unter Umständen eine unbefugte Verarbeitung darstellen.[59] Verarbeitet der Verantwortliche personenbezogene Daten ohne ausreichende Rechtsgrundlage (zB wenn kein Rechtfertigungstatbestand des Art 6 Abs 1 DSGVO gegeben ist), ist die Verarbeitung als unrechtmäßig zu qualifizieren.[60]
1.4.7 Rechenschaftspflicht
Der Verantwortliche ist für die Einhaltung der Grundprinzipien (siehe Kapitel 1.4.1 bis Kapitel 1.4.6) verantwortlich und muss dies auch entsprechend nachweisen können (Art 5 Abs 2 DSGVO). Der Verantwortliche ist daher dazu angehalten, eine umfassende Dokumentation über sämtliche Maßnahmen zur Sicherstellung des Datenschutzes zu führen.[61]
1.5 Überblick über das Sanktionen- und Haftungsregime
Die DSGVO stieß nicht zuletzt aufgrund ihres scharfen Sanktionsregimes auf besondere Aufmerksamkeit in der Öffentlichkeit. Die Strafrahmen wurden im Vergleich zur DS-RL massiv ausgeweitet. Der Hauptgrund dafür ist, dass die mangelnde Effektivität der DS-RL unter anderem darauf zurückgeführt wurde, dass die Sanktionen nicht abschreckend genug gewesen sein dürften. Der EU-Gesetzgeber orientierte sich bei der Festlegung der Strafhöhe in der DSGVO daher am europäischen Kartellrecht.[62]
1.5.1 Strafen
Die Verhängung von Geldbußen ist in Art 83 DSGVO geregelt. Demnach können bei Verstößen gegen die datenschutzrechtlichen Bestimmungen Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden, je nachdem, welcher der Beträge höher ist.
In Österreich ist die Verhängung von Verwaltungsstrafen in § 30 DSG verankert. Gegen Behörden und öffentliche Stellen können keine Geldbußen verhängt werden. Die Verwaltungsstrafen fließen dem Bund zu. Nach § 30 Abs 1 DSG kann eine Verwaltungsstrafe direkt gegen eine juristische Person verhängt werden. Der österreichische Gesetzgeber normierte in Anlehnung an § 99d BWG gewissermaßen die vorrangige Bestrafung der juristischen Person vor ihren vertretungsbefugten Organen und den verantwortlichen Beauftragten nach § 9 VStG.[63]
1.5.2 Haftung
In der DSGVO wurde auch eine eigenständige Haftungsbestimmung eingeführt.[64] Jede betroffene Person, der wegen eines Verstoßes gegen die DSGVO ein materieller oder immaterieller Schaden entstanden ist, hat gemäß Art 83 DSGVO Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter. Diese Bestimmung gewährt den betroffenen Personen einen direkten Anspruch gegen den Verantwortlichen bzw. den Auftragsverarbeiter.[65]
Die DSGVO normiert eine solidarische Haftung für alle Beteiligten.[66] Für denjenigen Verantwortlichen oder Auftragsverarbeiter, der den Schaden ersetzt, besteht ein Regressanspruch (siehe Kapitel 2.8).
1.6 Fazit
Das durch die DSGVO neu etablierte EU-Datenschutzregime hat zwar die bisherige
