Datenschutzgrundverordnung

Was ist die Datenschutzgrundverordnung? Was regelt sie?

Die Datenschutzgrundverordnung (DGSVO) ist eine in der gesamten Europäischen Union unmittelbar geltende EU-Verordnung. Die Anpassung der Rechtslage in Österreich an die Anforderungen der DSGVO erfolgt durch das Datenschutz-Anpassungsgesetz 2018. Ziel ist der Schutz personenbezogener Daten im gesamten Unionsgebiet, sowie die Gewährleistung eines freien Datenverkehrs innerhalb des Europäischen Binnenmarktes.

  • Die DSGVO legt fest, wie personenbezogene Daten durch Unternehmen erhoben, verarbeitet, an Dritte weitergegeben und gelöscht werden müssen.
  • Insbesondere Informationspflichten und Betroffenenrechte werden neu geregelt und sehr weit gefasst (Recht auf Auskunft, Berichtigung und Löschung der Daten, Anspruch auf Datenübertragbarkeit, Widerspruchsrechte).

Ab wann ist die DSGVO anzuwenden?

Die DSGVO hat mit 25.05.2018 Geltung. Es empfiehlt sich, sich rechtzeitig mit den Anforderungen auseinander zu setzen und die Umsetzung im Unternehmen zu planen! Die Erfassung, Prüfung und fallweise Meldung von datenschutzrelevanten Verarbeitungen von Kunden- bzw. Mitarbeiterdaten kann ein zeitaufwändiger Prozess sein und auch grundlegende Änderungen in firmeninternen Abläufen (etwa Verträge, AGBs, etc.) erforderlich machen.

Welche Strafen bzw. Folgen drohen?

Die Verordnung sieht im Sinne einer Generalprävention sehr hohe Strafen vor – bis zu 20 Millionen Euro oder bis zu 4 Prozent des weltweiten Jahresumsatzes Ihres Unternehmens.

Zusätzlich hat jeder Betroffene die Möglichkeit vom Unternehmer Schadensersatz zu begehren – die Verordnung sieht auch die Möglichkeit von gebündelten Sammelklagen mehrerer Betroffener vor.

Was sind personenbezogene Daten? Was versteht man unter Verarbeitung von Daten?

Personenbezogene Daten liegen immer dann vor, wenn durch sie eine konkrete natürliche Person direkt oder indirekt identifiziert wird oder identifizierbar ist. Belanglose Informationen gibt es hier so gut wie keine - Name, Adresse, Geburtsdatum, E-Mailadresse, Standortdaten, Bankverbindung und vieles mehr sind alle durch die DSGVO geschützt. Die DSGVO behandelt auch besondere Kategorien von Daten („sensible Daten“ das sind etwa Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft, politischen Überzeugungen, etc.) und stellt hier besondere Anforderungen für die Bearbeitung  auf.

Datenverarbeitung ist jede Handhabung der Daten- also die Erhebung, die Erfassung, die Speicherung, Organisation, Verwendung, Abfrage, Übermittlung, etc. bis hin zum Löschen der Daten. Keine Rolle spielt es, ob die Datenverarbeitung am Papier, oder automationsunterstützt erfolgt.

Ist Ihr Unternehmen betroffen?

Ja – die DSGVO betrifft nahezu alle Unternehmen, vom Einzelunternehmen bis zum Konzern. Auch Freiberufler (Ärzte, Ziviltechniker, Architekten, Steuerberater, etc.) und ihre Praxen und Kanzleien sind betroffen. Auch Vereine sind mit ihrer Tätigkeit von der DSGVO erfasst. Eine Verarbeitung von personenbezogenen Daten erfolgt beinahe überall.

Wer ist zur Umsetzung und Einhaltung der Anforderungen verpflichtet?

Die DSGVO definiert Pflichten des sogenannten „Verantwortlichen“. In der Regel ist das im Unternehmen der Geschäftsführer bzw. auch der Unternehmensinhaber selbst - Datenschutz und IT-Sicherheit sind vor allem aufgrund Haftung  in letzter Konsequenz immer Chefsache.

Die Pflichten im Detail

  • Die Verarbeitung von Daten ist nur zulässig, wenn die jeweilige Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses oder einer rechtlichen Verpflichtung erforderlich ist.
  • Die Verarbeitung darf nur auf rechtmäßige Weise erfolgen. Daten müssen zweckgebunden sein. Sie dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine Speicherung ist nur so lange gestattet, wie sie für die Zwecke der Datenverarbeitung erforderlich ist.
  • Informationspflichten gegenüber Betroffenen (z.B. Auskunft über gespeicherte Daten, Speicherzeitraum) und Umsetzung von Betroffenenrechten (Recht auf Datenberichtigung, Recht auf Löschung, Widerspruchsrecht, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit)
  • Es müssen geeignete technische und organisatorische Maßnahmen gesetzt werden, die eine rechtmäßige Datenverarbeitung sicherstellen.
  • Führung eines Verzeichnisses der Datenverarbeitungstätigkeiten, wenn die Datenverarbeitung nicht nur gelegentlich erfolgt.
  • Durchführung einer Risikoanalyse (Evaluierung der Datenverarbeitungen)
  • Darüber hinaus eine Datenschutzfolgeabschätzung, wenn die durchgeführte Risikoanalyse ergibt, dass die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bedingt. Die Notwendigkeit für eine Datenschutzfolgeabschätzung ergibt sich vor allem bei der Verwendung neuer Technologien (EDV).
  • Meldungen an die Datenschutzbehörde und den/die Betroffenen binnen 72 Stunden bei Datenschutzverletzungen (z.B. Datendiebstahl, Verlust von Laptops, auf denen Kundendaten hinterlegt sind, etc.)
  • Bestellung eines Datenschutzbeauftragten bei Vorliegen von bestimmten Voraussetzungen
  • Zusammenarbeit mit der Datenschutzbehörde

Im Vergleich zur alten Rechtslage wird die Kontrolle von der Behörde auf den Unternehmer verlagert- Selbstkontrolle des Unternehmers statt Vorabprüfung durch die Behörden. Der Verantwortliche muss jederzeit der Behörde gegenüber den Nachweis erbringen können, dass er sämtliche Pflichten erfüllt!