Channel

Ecosystem

Gastbeitrag

EU-Datenschutzgrundverordnung: Was Firmen, die Daten verarbeiten, ab Mai 2018 beachten müssen

© Pixabay
© Pixabay

Mit 25. Mai 2018 ist die EU-Datenschutzgrundverordnung („DSGVO“) in Österreich direkt anwendbar und schafft EU weit einheitlichen Datenschutzbedingungen. Die Intention des europäischen Gesetzgebers ist es, die Privatsphäre des Einzelnen zu schützen, nachdem insbesondere der technische Fortschritt zu eine wahren Datenexplosion geführt hat und unglaubliche Datenmengen bewusst – aber auch unbewusst – verarbeitet werden.

Jedes Unternehmen bzw. jeder Dienstleister, der für seine Auftraggeber Daten verarbeitet und der personenbezogene Daten erfasst, ist von der DSGVO betroffen und steht vor der großen Herausforderung, die neuen Vorgaben in der Praxis zu erfüllen. Es ist daher höchste Zeit, sich mit diesen zu beschäftigen und herausfinden, welche Konsequenzen die DSGVO für den Geschäftsbetrieb mit sich bringt.

Die wichtigsten Fragen, die zu stellen sind

So sollten die Unternehmen diesbezüglich etwa folgende Fragen beantworten können:

  • Verfügen wir in sämtliche Bereichen, in denen personenbezogene Daten gesammelt und verarbeitet werden, über eine rechtliche Grundlage?
  • Stellen wir sicher, dass wir nur notwendige Daten speichern und sie nicht länger als nötig speichern?
  • Wie stellen wir sicher, dass wir die für einen spezifischen Zweck gespeicherten Daten nicht für andere Zwecke nutzen?
  • Müssen wir eine Datenschutz-Folgeabschätzung durchführen? Falls ja, haben wir die Prozesse dafür implementiert?
  • Haben wir die gespeicherten personenbezogenen Daten ausreichend gegen Missbrauch geschützt?
  • Haben wir einen Prozess, um Personen Auskunft über ihre personengebundenen Daten zu geben?
  • Sind unsere internen Prozesse so gestaltet, dass wir im Fall eines Datenschutzverstoßes die betroffenen Personen und die Aufsichtsbehörde innerhalb von 72 Stunden informieren können?
  • Benötigen wir einen Datenschutzbeauftragten?
  • Wissen wir, wie teuer die Nicht-Einhaltung der DSGVO für uns werden kann?

Neues Schutzniveau

Teile dieser Fragen waren bereits von den bisherigen Bestimmungen des DSG 2000 geregelt, doch mit der DSGVO wird der Umgang mit personenbezogenen Daten auf ein neues Schutzniveau gehoben. Dies reicht von adaptierten Zulässigkeitsvoraussetzungen der Datenverarbeitung, über Änderungen im Bereich der Betroffenenrechte bis hin zu erhöhten Informations- und Meldepflichten. Unternehmen haben somit einen erheblichen Mehraufwand und eine große Verantwortung, um den komplexen Anforderungen der DSGVO gerecht zu werden. Erschwerend kommt hinzu, dass bei Verstößen exorbitant hohe Geldstrafen drohen.

Insbesondere sind folgende Neuerungen zu beachten:

  • Schutz personenbezogener Daten ausgeweitet

Um den Anforderungen der Verordnung an die Verarbeitung personenbezogener Daten zu entsprechen, müssen technische Maßnahmen und Verfahren eingeführt werden (z.B. Pseudonymisierung). Zusätzlich sollen datenschutzfreundliche Voreinstellungen dazu führen, dass nur die tatsächlich notwendigen personenbezogenen Daten verarbeitet werden.

  • Dokumentations- und Nachweispflichten verschärft

Der für die „Verarbeitung der Daten Verantwortliche“ muss ein internes Verfahrensverzeichnis führen, das vor allem die eigenen Kontaktdaten, die Zwecke der Verarbeitung, eine Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen, die Empfängerkategorien und gegebenenfalls Übermittlungen von Daten in Drittländer enthalten soll.

  • Risikobewertungen und Datenschutz-Folgenabschätzung

Ist mit der Datenverarbeitung ein erhöhtes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen verbunden, so muss der Verantwortliche schon vorab die Folgen seiner Datenverarbeitung abschätzen. Unter diesen Prozess fällt beispielsweise die Verarbeitung besonderer Kategorien von Daten (davor: sensible Daten).

  • Meldepflichten werden erweitert

Data breach“ ist ein Vorfall, bei dem einem Unbefugten der Zugriff auf Daten möglich wird (z.B. Hackerangriff). Die Meldung an die Aufsichtsbehörde muss unverzüglich und innerhalb 72 Stunden nach Bekanntwerden der Verletzung erfolgen. Ebenso muss die betroffene Person verständigt werden.

  • Rechte des Betroffenen

Wie auch bisher steht den Betroffenen das Recht auf Auskunft über die sie betreffenden personenbezogenen Datenverarbeitungen zu. Ebenso genießen sie das Recht auf Berichtigung bzw Vervollständigung unrichtiger oder unvollständiger Daten und auch das Recht auf Löschung unrichtiger Daten.

  • Datenschutzbeauftragter: Ja oder Nein?

Besteht die Kerntätigkeit eines Unternehmens in der Verarbeitung personenbezogener Daten (zB Profiling und Scoring für Zwecke der Risikobewertung, Standort-Tracking, Kundenbindungsprogramme), muss ein Datenschutzbeauftragter installiert werden. Dieser muss unabhängig sein, mit ausreichend finanziellen Mittel ausgestaltet werden und über Fachkenntnis und Erfahrung verfügen. Es ist im Unternehmen vorab zu klären, ob der Einsatz eines Datenschutzbeauftragten im Einzelfall auch abweichend von dieser gesetzlichen Verpflichtung sinnvoll ist.

  • Strafen in Millionenhöhe möglich

Für Verstöße drohen Geldstrafen von bis zu 20 Millionen Euro oder von bis zu vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres – wobei immer der höhere Betrag zum Zug kommt.

Erster Schritt: Bestandaufnahme

Um sich noch rechtzeitig auf diese Änderungen vorzubereiten, raten wir, in einem ersten Schritt eine Bestandsaufnahme aller Verarbeitungstätigkeiten zu analysieren, wobei auch so banale Anwendungen wie dieser Newsletter darunter fallen. Darauf aufbauend sind dann für das Unternehmen individuell die organisatorischen Vorkehrungen zu setzen, um den regulatorischen Vorgaben zu entsprechen.

Über den Autor: Mag. Martin Pichler ist Rechtsanwaltsanwärter bei Brandl & Talos Rechtsanwälte und spezialisiert auf Kapitalmarkt- und Datenschutzrecht.

Springe zu:

Be smart and nice ;)

Ganzen Artikel lesen