EU-Datenschutz-Grundverordnung (DSGVO): Was Unternehmen wissen sollten

Am 25. Mai 2018 ist die neue EU-Datenschutz-Grundverordnung (DSG-VO) in Kraft getreten. Damit wurde das Datenschutzrecht innerhalb der EU vereinheitlicht. Alle Datenanwendungen müssen bis zu diesem Stichtag an die neue Verordnung angepasst werden, da sonst saftige Geldstrafen drohen.

Bis jetzt galt, dass Unternehmen für meldepflichtige Datenanwendungen eine Meldung an das Datenverarbeitungsregister erstatten mussten und das noch bevor die Anwendung in Betrieb ging. Diese Pflichten entfallen mit der neuen EU-Verordnung. Den Unternehmen wird ab Mai 2018 selbst überlassen, ihre Daten in gesetzeskonformer Weise zu verarbeiten.
„Ein Verstoß gegen die derzeitigen Bestimmungen der Datenschutz-Grundverordnung war bisher ein Kavaliersdelikt und die Höhe der Strafe für manche Unternehmen aus der Portokasse bezahlbar“, erläutert der Grazer Anwalt Klaus Zotter.

Die aktuelle Gesetzeslage und das Strafmaß werden sich jedoch nach der neuen Rechtslage erheblich verschärfen. Betriebe müssen künftig gewährleisten, dass sämtliche durch die Verordnung vorgeschriebenen Kontrollmechanismen und Systeme umgesetzt werden. Zusätzlich muss eine fortlaufende Überwachung der rechtlichen Erfordernisse dokumentiert werden. Die Verantwortlichen und solche, die Aufträge im Auftrag von Unternehmen verarbeiten (Auftragsverarbeiter), wie eine externe Lohnverrechnung, wird künftig die Aufgabe übertragen, die Risiken der Datenverarbeitung korrekt zu bewerten.

Firmen müssen außerdem die Rechte der betroffenen Personen, deren Daten verarbeitet werden, nachweislich schützen. All das ist im Bedarfsfalle der Datenschutzbehörde zu beweisen. Verstöße dagegen werden mit drakonischen Strafen sanktioniert. „Weniger Bürokratie wird so durch mehr Verantwortung und mehr Unsicherheit im Einzelfall ersetzt“, fasst Zotter zusammen.

Die DSG-VO gilt sowohl für automatisierte als auch für nicht automatisierte Verarbeitungen personenbezogener Daten. Ausgenommen ist lediglich die Verarbeitung von Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit.

Die fünf wichtigsten Grundsätze, die bei der Verarbeitung personenbezogener Daten einzuhalten: sind:
1. Daten dürfen erst nach Einwilligung oder im Zuge eines Vertrages verarbeitet werden.
Eine Datenverarbeitung hat nach dem Grundsatz der Rechtmäßigkeit zu erfolgen. Das heißt auf Basis einer Einwilligung, einer Vertragsanbahnung, einer rechtlichen Verpflichtung, dem Schutz lebenswichtiger Interessen, nach den Grundsätzen von Treu und Glauben (das heißt fair) und der Transparenz für die betroffene Person.
2. Jede Verarbeitung bedarf eines im Vorhinein festgelegten und eindeutig zuordenbaren Zwecks.
3. So wenig Daten wie möglich verarbeiten.
Dem liegt der Grundsatz der Datenminimierung zugrunde. Die Daten dürfen somit nur im unbedingt erforderlichen Ausmaß und nach dem Grundsatz der Speicherbegrenzung gespeichert werden. Speicherbegrenzung heißt, dass die Daten nicht länger als für die Zweckerreichung unbedingt nötig gespeichert werden dürfen.
4. Die Daten müssen vertraulich behandelt werden.
Wie schon nach geltender Rechtslage gilt der Grundsatz der Richtigkeit, der Integrität und der Vertraulichkeit. Es dürfen nur sachlich richtige Daten verarbeitet werden. Personenbezogene Daten sind zusätzlich vor unbefugter oder unrechtmäßiger Verarbeitung und/oder vor Verlust und Zerstörung zu schützen.
5. Eine rechtsgültige Einwilligungserklärung des Kunden ist notwendig.
Eine rechtsgültige Einwilligungsklärung setzt voraus, dass die betroffene Person vom Verantwortlichen in leicht verständlicher und leicht zugänglicher Form sowie in einfacher und klarer Sprache über die Datenverarbeitung aufgeklärt wurde. Dazu muss nachweislich auf den Zweck, die Dauer und die Möglichkeit des Widerrufs der Einwilligung hingewiesen werden.

Die Datenschutz-Verordnung sieht auch neue Informationspflichten und Betroffenenrechte bei der Verarbeitung von Daten vor. So beinhaltet die neue Verordnung eine Verpflichtung gegenüber dem Kunden, ihm über die verarbeiteten Daten zur eigenen Person Auskunft zu geben. Zu den neuen Pflichten der Unternehmen zählt auch das Recht des Kunden auf Berichtigung und das Recht auf Löschen der Daten, das sogenannte „Recht auf Vergessenwerden“. Unternehmen, die diese Regeln nicht einhalten, drohen Strafen bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorherigen Geschäftsjahres (der höhere Wert gilt).

Die Verantwortlichen (bzw. Auftragsverarbeiter) müssen außerdem entsprechende technische und organisatorische Maßnahmen treffen, um die Rechte der Betroffenen einzuhalten.

Der Verantwortliche muss sicherstellen, dass standardmäßig auf Onlineportalen durch spezielle Voreinstellung nur jene Daten verarbeitet werden, die für den jeweiligen Zweck notwendig sind (privacy by default). Darüber hinaus obliegt es jedem Verantwortlichen, ein internes Verzeichnis von Verarbeitungstätigkeiten zu führen. Dieses Verzeichnis muss nach Zweck, nach Kategorie der betroffenen Person, der personenbezogenen Daten sowie des Empfängers, der Speicherdauer sowie der Anführung technischer und organisatorischen Maßnahmen zur Datensicherheit eingeteilt sein.

Auch in diesen Fällen ist die Einhaltung und Erfüllung dieser Pflichten nachzuweisen. Verstöße werden mit Strafen bis zu zehn Millionen Euro bzw. zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorherigen Geschäftsjahres (der höhere Wert gilt) bestraft.

In manchen Unternehmen ist ein Datenschutzbeauftragter verpflichtend zu bestellen. Das betrifft jene, die besondere Daten, wie beispielsweise Daten über Gesundheit, religiöse Zugehörigkeit, Gewerkschaftszugehörigkeit oder biometrische Daten verarbeiten – sofern deren Kerntätigkeit zusätzlich darin besteht, Personen umfangreich, regelmäßig und systematisch zu überwachen (sogenanntes Profiling) oder auch wenn Daten über strafrechtliche Verurteilungen und Straftaten verarbeitet werden.

Der Datenschutzbeauftragte kann ein Mitarbeiter des Unternehmens oder ein externer Experte sein. Dieser ist für die Überwachung der Einhaltung der datenschutzrechtlichen Vorschriften und für die Überwachung der Einhaltung der internen Datenschutzstrategien verantwortlich.

Weitere Informationen zu diesem Thema erhalten Sie unter:

Reif und Partner Rechtsanwälte OG
RA Mag. Klaus Zotter
Brückenkopfgasse 1/8, 8020 Graz
www.reifundpartner.at
graz@reifundpartner.at

Andere aktuelle Informationen rund um Ihr Recht finden Sie auf der Homepage der D.A.S. Rechtsschutz AG

Über die D.A.S. Rechtsschutz AG:
Seit 1956 ist die D.A.S. Rechtsschutz AG mit Spezialisierung auf Rechtsschutzlösungen für Privatpersonen und Unternehmen in Österreich tätig. Heuer feiert sie ihr 60-jähriges Jubiläum. Als unabhängiger Rechtsdienstleister bietet sie umfassenden Versicherungsschutz, fachliche Betreuung durch hochqualifizierte juristische Mitarbeiter und ein breites Dienstleistungsangebot inklusive D.A.S. Direkthilfe® und telefonischer D.A.S. Rechtsberatung an. Der Firmensitz des Unternehmens befindet sich in Wien. Die rund 400 Mitarbeiterinnen und Mitarbeiter stehen Kunden in ganz Österreich in regionalen D.A.S. Standorten mit juristischer Kompetenz zur Verfügung. Die D.A.S. Rechtsschutz AG agiert als Muttergesellschaft der D.A.S. Slowakei (seit 2013) sowie der D.A.S. Tschechien (seit 2014). In den vergangenen Jahren hat die D.A.S. Österreich ihre solide Marktposition als führender Rechtsschutzspezialist gefestigt. 2015 erwirtschaftete sie im inländischen Direktgeschäft ein Prämienbestandsvolumen in der Höhe von 66,7 Millionen Euro.

Die D.A.S. ist Europas Rechtsschutz-Marke Nummer 1. Seit 1928 steht sie für Kompetenz und Leistungsstärke im Rechtsschutz. Heute agieren D.A.S. Gesellschaften in beinahe 20 Ländern weltweit. Sie sind die Spezialisten für Rechtsschutz der ERGO Versicherungsgruppe, einer der großen Versicherungsgruppen in Deutschland und Europa.