Der Transfer personenbezogener Daten über Ländergrenzen hinweg ist Bestandteil der digitalen Welt. Das EU-Datenschutzrecht setzt dem Transfer personenbezogener Daten jedoch Grenzen. Der Europäische Gerichtshof (EuGH) hat das mit der Schrems-Rechtsprechung bereits zweimal – und vor allem mit seiner Entscheidung vom 16.7.2020 – ausdrücklich betont. Der Europäische Datenschutzausschuss (EDSA) hat nun hierauf reagiert – und die EU-Kommission ebenso auf die geänderten Anforderungen durch die Datenschutz-Grundverordnung (DSGVO).

Die HinweisgeberRL der EU ist in Österreich bis zum 17.12.2021 umzusetzen, und bringt für Unternehmen mit mehr als 250 Arbeitnehmern bereits am 17.12.2021 (und für Unternehmen mit 50 bis 249 Arbeitnehmern ab 17.12.2023) umfangreiche Verpflichtungen.

Die DSB hat sich in einer erst kürzlich (DSB-D123.921/0005-DSB/2019, 26.7.2019), nach einem Verfahren vor dem BVwG veröffentlichten Entscheidung, zur Frage der „Auskunft über Datenkategorien“ geäußert. Demnach sind „tatsächliche Eintragungen“ (wie Namen, steuerrelevante Angaben) zu beauskunften, und es reicht nicht „Überschriften“ bekannt zu geben.

Im Hinblick auf die Einführung der DSGVO im Mai 2018 und der von der Datenschutzbehörde angekündigten Absicht, mehr zu beraten als zu strafen, wird nach 1 1/2 Jahren Schonzeit nun langsam abgegangen.