DSGVO 2018: Panikmache oder ernstzunehmende EU-Richtlinie? (Teil 1/3)
Eines vorweg: Die DSGVO ist sehr wohl ernst zu nehmen, jedoch bestimmt kein Grund, dass Ihnen vor Schreck die Haare zu Berge stehen.
Bei den Unternehmern/Innen sind sie längst angekommen. Man kann sich den fünf Buchstaben kaum noch verwehren, da sie von (sozialen) Wirtschafts-Medien im Moment enorm forciert werden. Genau, die Rede ist von D-S-G-V-O.
Für all jene, die die Buchstabenanordnung noch nie bzw. nur am Rande wahrgenommen haben: Die Datenschutz-Grundverordnung (“DSGVO”) tritt am 25. Mai 2018 in der gesamten EU in Kraft und ändert das europäische sowie das österreichische Datenschutzrecht grundlegend!
Aus heutiger Sicht (18.03.2018) sind es noch genau 50 Arbeitstage bis zur Inkrafttretung der neuen EU-Datenschutzgrundverordnung. Diese regelt künftig den Umgang mit personenbezogenen Daten.
Status Quo
Aktuell gibt zum Thema DSGVO ein großes Angebot an Informationsbroschüren, Online-Aufklärungstexten, Webinare, Videos, Schulungen bis hin zu eigenen Webseiten. Da ich regelmäßig mit UnternehmerInnen in Kontakt bin, habe ich bemerkt, dass die Informationsflut diese regelrecht überfordert. Die Texte/Informationen sind zu abstrakt, umfassend- und oftmals auch in schwer verständlicher „Juristen-Sprache“ formuliert, da sie Gesetztestexte wiedergeben.
In dieser überschaubaren und 3teiligen Blog-Reihe möchte ich sowohl die Neuerungen & Geltungsbereiche (Teil 1/3), die Maßnahmen zur Vorbereitung (Teil 2/3) aber auch die möglichen Folgen/Sanktionen bei Nichteinhaltung (Teil 3/3) für Sie auf den Punkt bringen.
Dann legen wir mal los….
Bin ich als UnternehmerIn betroffen?
Die Antwort ist recht simpel: Ja. Unabhängig davon, ob Sie Ihren Kunden eine Dienstleistung, oder ein Produkt anbieten, sind Sie gezwungen mit personenbezogenen Daten zu „hantieren“. Daher haben auch Sie die DSGVO zu beachten bzw. in Ihrem Unternehmen umzusetzen.
Was sind eigentlich personenbezogene Daten?
Personenbezogene Daten (in weiterer Folge als pb-Daten bezeichnet) sind jene Daten, die direkt oder indirekt einen Rückschluss auf eine konkrete Person ermöglichen.
Beispiele für die Haltung/Verarbeitung pb-Daten:
-)Erstellung einer Kundendatei,
-)Aufnahme der Daten zur Erstellung einer Rechnung,
-)Führen einer Mitarbeiterdatenbank uvm.
An diesem Punkt angekommen haben wir nun festgestellt, dass auch Sie in irgendeiner Form pb-Daten verarbeiten. Vermutlich kommt Ihnen nun auch die Frage in den Sinn, wie Sie im speziellen mit Ihren pb-Daten ab dem 25.5.2018 umgehen sollen. Konkrete Maßnahmen für die Umsetzung und Einhaltung der DSGVO in Ihrem Unternehmen werden wir uns (wie bereits einleitend erwähnt) im Detail erst im nächsten Blogbeitrag widmen.
Zunächst möchte ich Sie aber noch ganz allgemein über die Änderungen und Neuerungen der DSGVO informieren – Über diese sollten Sie in jedem Fall bescheid wissen:
Wesentliche Neuerungen durch die DSGVO
Entfall-DVR Meldungen
Wer personenbezogene Daten verarbeitet, muss aktuell noch – soweit nicht eine Ausnahme von der Meldepflicht besteht vor Aufnahme einer Datenanwendung – eine Meldung zum Zweck der Registrierung an das Datenverarbeitungsregister bei der Datenschutzbehörde erstatten.
Mit Wirksamkeit der DSGVO besteht nun keine Meldepflicht mehr bei der österreichischen Datenschutzbehörde.
Tipp: Um einem Auftraggeber die Möglichkeit zu bieten, seine vorhandenen DVR-Meldungen zu sichern, ist es ab sofort möglich, in der Internet-Applikation DVR-ONLINE elektronisch verfügbare Meldungsinhalte sowohl als PDF-Dokumente als auch als XML-Dateien zu exportieren.
Größere Verantwortung für Verantwortliche und Auftragsverarbeiter
Als Verantwortliche Personen bzw. Auftragsverarbeiter sind wir UnternehmerInnen gemeint, die Daten von Betroffenen (Kunden) verarbeiten. Hat Ihr Unternehmen weniger als 250 Mitarbeiter, sind Sie unter anderem ausnahmslos verpflichtet ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ zu führen. Der Inhalt ist ähnlich den derzeitigen DVR-Meldungen.
Hinweis:Die Pflicht zur Führung dieses Verzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern – nur – dann nicht, wenn die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt und keine Verarbeitung besonderer Datenkategorien bzw keine Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten umfasst.
Benennung eines Datenschutzbeauftragten
Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwortliche und Auftragsverarbeiter), wenn
-)die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder
-)die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.
Informationspflichten und Betroffenenrechte
Als Verantwortlicher bzw. Auftragsverarbeiter haben Sie nun Betroffenen oder Behörden gegenüber umfassend über die Verarbeitung pb-Daten Auskunft zu geben. Möchte also beispielsweise ein Kunde von Ihnen wissen, wie, zu welchem Zweck bzw. wie lange seine/ihre Daten in Ihrem Unternehmen gespeichert sind, so haben Sie dieser Aufforderung Folge zu leisten.
Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erledigen (diese Frist kann um höchstens weitere 2 Monate verlängert werden).
Einwilligung in Datenverarbeitung erst ab 16
Kinder und Jugendliche nutzen das Internet viel und gerne. Bislang war das in den meisten Ländern kein Problem, seine Einwilligung in die Verarbeitung der personenbezogenen Daten konnte man bei Vorliegen der erforderlichen Einsichtsfähigkeit bereits mit 13 Jahren.
Das soll sich nun ändern: Nach DSGVO steigt das Mindestalter für die Abgabe einer rechtswirksamen Einwilligung in die Verarbeitung personenbezogener Daten auf 16. Damit wird den Teenagern die Anmeldung bei Internetdiensten wie Facebook und Instagram künftig deutlich erschwert. Kritiker gehen davon aus, dass sich die Jugendlichen dann ohne Zustimmung der Eltern – und damit rechtswidrig – anmelden.
Dieser erste Beitrag beinhaltet die aus meiner Sicht wichtigen Informationen und Neuerungen zur DSGVO, erhebt jedoch aufgrund der Konzentration auf die Kernthemen keinen Anspruch auf Vollständigkeit.
Abschließend möchte ich Ihnen noch einen gelungenden Fachvortrag (Youtube-Video) ans Herz legen: Hier
Sie haben soezielle Fragen zur DSGVO und möchten sich bzw. Ihr Unternehmen auf den 25.5. vorbereiten – Gerne beantworte ich Ihre Anfrage: dsgvo@zihr-partner.at.
