• Geheimhaltungspflicht personenbezogener Daten.
• Rechtfertigungspflicht - Datenverarbeitung darf nur aufgrund rechtlich sanktionierter Interessen erfolgen, die Einhaltung der DSGVO ist jederzeit nachzuweisen (z.B. auf Verlangen der zust. Behörde).
• Zweckbindung - Die Zwecke müssen von den Rechtsgrundlagen getragen sein und im Vorhinein feststehen.
• Datenminimierung - Daten dürfen nur im notwendigen Ausmaß verarbeitet werden.
• Transparenz - Die Personen deren Daten verarbeitet werden, sind zu informieren.
• Datensicherheit - das Sicherheitsniveau muss zur jeweiligen Datenverarbeitung angemessen sein.
• Privacy by Design - Privacy by default - Technische und organisatorische Maßnahmen zur Umsetzung der Prinzipien sind vorzusehen. Die genauen technischen Leitlinien wurden bis dato noch nicht beschlossen.

Das Prinzip der Datensicherheit birgt Risikopotential. Betroffen von der DSGVO sind nicht nur die technische Ausstattung, sondern auch betriebliche Abläufe. Organhaftungen (Geschäftsführer, Vorstände) für Organisationsverschulden sind möglich. Eine allgemeingültige Definition der Datensicherheit existiert auf europäisch-gesetzlicher Ebene nicht, allerdings gibt es gemeinhin anerkannte Standards.

Personenbezug: Nach der DSGVO sind pseudonymisierte Daten personenbezogene Daten, da die Identifikation der Betrofenen möglich ist. Bis dato war im österr. DSG nur vorgesehen, dass eine rechtlich zulässige Identifikationsmöglichkeit den Personenbezug herstellt. Nunmehr reicht de facto eine mögliche Identifizierbarkeit.

Die neue Regelung ist somit wesentlich strenger und dürfte die Zulässigkeit zahlreicher Datenverarbeitungen im medizinischen Bereich betreffen, in dem extensiv mit der Pseudonymisierung gearbeitet wird bzw. wenn verschlüsselt wird.

Bitte beachten Sie, dass die hier angeführten Informationen Grundlagen betreffen und eine individuelle Beratung nicht ersetzen können, Wichtige Ausnahmen, Bezüge etc. können hier naturgemäß nicht dargestellt werden. Bei Fragen kontaktieren Sie mich.