Informationen zur Datenschutz-Grundverordnung und die Auswirkungen kompakt auf einen Blick

Mit 25. Mai 2018 tritt die europäische Datenschutz-Grundverordnung, kurz DSGVO, in Kraft. Diese wurde in Österreich durch das Datenschutz-Anpassungsgesetz 2018 umgesetzt. Für Unternehmen ergeben sich durch die DSGVO umfassende Veränderungen. Unternehmen sind daher gut beraten, die Maßnahmen für einen erhöhten Datenschutz entsprechend umzusetzen. Vor allem weil bei Missachtung sehr hohe Strafen drohen.

Betroffen von den geplanten Verschärfungen durch die DSGVO sind Unternehmen innerhalb der EU bzw. aus Drittstaaten, sofern sie Leistungen an EU-Bürger anbieten. Dabei genügt es schon, wenn sie in irgendeiner Weise personenbezogene Daten verarbeiten. Dies können z.B. die Führung von Kundendateien, Ausstellung von Rechnungen oder die Speicherung von Lieferantendaten sein.

Durch die Adaptierung der Datenschutz-Grundverordnung gibt es jedoch zukünftig keine Meldepflicht mehr bei der Datenschutzbehörde (Datenverabeitungsregister).

Wesentliche Aspekte und Neuerungen durch die geplante Datenschutz-Grundverordnung

Die Auswirkungen kompakt auf einen Blick:

Es muss durch geeignete technische und organisatorische Maßnahmen und Verfahren sichergestellt werden, dass die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen gewährleisten, dass nur die jenigen personenbezogenen Daten verarbeitet werden, welche auch für den jeweiligen in Frage kommenden Verarbeitungszweck von Nöten sind.

Für die Praxis kommt es dadurch zu weitreichenden Veränderungen. Personenbezogene Daten unterliegen einem höheren Schutz und müssen aus diesen Gründen auch gelöscht werden müssen, wenn der jeweilige Verarbeitungszweck erfüllt ist.

Im Großen und Ganzen müssen bei der Verarbeitung von personenbezogener Daten einige wesentliche Grundsätze beachtet werden. Grundsatz der Rechtmäßigkeit und der Verarbeitung nach Treu und Glauben. Darüber hinaus der Grundsatz der Transparenz (d.h. die Datenverarbeitung muss für die betroffene Person nachvollziehbar sein). Eine Zweckbindung (im Vorhinein festgelegter eindeutiger und legitimer Zweck) muss vorliegen. Weiters die Datenminimierung, die Richtigkeit (nur sachlich richtige Daten), Speicherbegrenzung sowie Integrität und Vertraulichkeit.

Wie sollte das Verzeichnis von Verarbeitungstätigkeiten ausgestaltet sein

Das Verzeichnis von Verarbeitungstätigkeiten hat neben der Erläuterung des Zwecks der Datenverarbeitung weitergehende Informationen zu beinhalten. Dazu zählen z.B. die Beschreibung der Kategorien der von der Datenverarbeitung betroffenen Personen und der entsprechenden Daten (etwa Rechnungs- und Adressdaten von Kunden und Lieferanten).

Ebenso muss das Verzeichnis die Empfängerkategorien der personenbezogenen Daten enthalten (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater, usw.). Einschließlich der Empfänger in Drittländern oder internationalen Organisationen. Darüber hinaus enthält das Verzeichnis die  vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien. Des Weiteren eine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen.

Unternehmen mit weniger als 250 Mitarbeitern sind von der Verpflichtung zur Führung solcher Verzeichnisse unter Umständen befreit. Nur sofern die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt und die Verarbeitung nur gelegentlich erfolgt. Außerdem darf die Verarbeitung keine sensiblen Daten bzw. Daten über strafrechtliche Verurteilungen beinhalten.

Wie ist bei Datenschutzverletzungen vorzugehen und an wen soll die Meldung gerichtet werden

Sollten Verletzungen im Zusammenhang mit Schutz von personenbezogenen Daten auftreten, müssen diese unverzüglich den nationalen Aufsichtsbehörden  übermittelt werden. Des Weiteren müssen die betroffenen Personen persönlich benachrichtigt werden. Die einzige Ausnahme in diesem Fall besteht darin, wenn die Verletzung nicht zu einem Risiko für die persönlichen Rechte und Freiheiten führt.

Wann muss ein Datenschutzbeauftragter bestimmt werden und wie muss diese Position ausgestaltet sein

Besteht die Kerntätigkeit des Unternehmens in der Verarbeitung von Vorgängen, muss verpflichtend ein Datenschutzbeauftragter bestellt werden. Dies ist dann der Fall, wenn eine umfassende, auf Dauer ausgelegte und systematische Beobachtung von betroffenen Personen erforderlich ist. Außerdem wenn zum Beispiel sensible Daten über strafrechtliche Verurteilungen oder Straftaten verarbeitet werden. Treffen diese Merkmale auf Ihr Unternehmen zu, dann müssen Sie zwingend einen Datenschutzbeauftragten bestimmen. Diese Person muss weisungsfrei sein, einen Kündigungsschutz genießen und uneingeschränkte Einsichtsrechte in die verarbeiteten Daten haben

Welche Informationspflichten und Betroffenenrechte sind zu beachten

Umfassende Informationen und Betroffenenrechte sind unverzüglich zur Verfügung zu stellen bzw. zu erledigen. Zu diesen Informationen und Betroffenenrechten zählen z.B. Auskunftsrechte (auch über die geplante Speicherdauer) oder das Recht auf Berichtigung. Weiters das Recht auf Löschung und auf „Vergessenwerden“, das Recht auf Einschränkung der Verarbeitung. Darüber hinaus die Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger. Zuletzt auch das Recht auf Datenübertragbarkeit sowie das Widerspruchsrecht.

Bei Missachtung drohen hohe Geldstrafen

Bei besonders schwerwiegenden Verstößen können Geldbußen verhängt werden. Dies ist z.B. bei Verletzung der Betroffenenrechte oder auch bei Nichtbefolgung einer Anweisung der Aufsichtsbehörde der Fall. Diese Geldbußen betragen bis zu 20 Mio. € bzw. bis zu 4% des weltweit erzielten Vorjahresumsatzes. Bei weniger schwerwiegenden Verstößen (z.B. bei Verletzung der Datensicherheitsvorschriften) beträgt die maximale Geldbuße immer noch 10 Mio. € bzw. 2% des weltweit erzielten Vorjahresumsatzes