Die Datenschutzgrundverordnung (DSGVO)
Es stimmt nicht, dass die Datenschutzgrundverordnung mit 25. Mai 2018 in Kraft getreten ist, denn das ist sie schon mit 24.5.2016. Lediglich die 2-jährige Übergangsfrist ist nun ausgelaufen. Gesetzliche Bestimmungen zum Datenschutz gibt es übrigens schon seit einigen Jahren, wie z. Bsp. das DSG 2000 oder das Telekommunikationsgesetz (TKG), das u.a. den Versand von Massenmails regelt. Weshalb jetzt aber viele Unternehmen sensibilisiert sind, sind die angedrohten Sanktionen – mit bis zu EUR 20 Mio (oder 4% des weltweiten Jahresumsatzes) keine Bagatelle.
Worum geht es nun eigentlich? Die DSGVO regelt die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Davon grundsätzlich nicht betroffen sind die Daten von juristische Personen (GesmbH, AG,…), Verstorbenen und der gesamte Privatbereich. Unter personenbezogenen Daten versteht man jene, mit denen man eine natürliche Person direkt oder indirekt identifizieren kann. Das sind Daten wie Name, Fotos, Standortdaten, aber auch solche wie z. Bsp. die IP-Adresse.
Verarbeiten darf man personenbezogene Daten nur unter bestimmten Voraussetzungen, nämlich:
- bei Einwilligung der Person
- zur Erfüllung eines Vertrags
- zur Erfüllung einer rechtlichen Verpflichtung
- bei lebenswichtigen Interessen des Betroffenen
- zur Wahrnehmung einer Aufgabe im öffentlichen Interesse
- oder bei berechtigem Interessen des Verantwortlichen
Dabei muss man als Unternehmen für Datensicherheit und die Einhaltung des Datengeheimnisses z. Bsp. durch MitarbeiterInnen oder Auftragsverarbeiter sorgen. Weiters hat man die Datenminimierungspflicht einzuhalten und muss die Daten nach Erfüllung des Vertrages, sofern keine rechtlichen Bestimmungen etwas anderes verlangen, löschen.
Was haben Unternehmen nun für die Umsetzung der Vorschriften zu tun?
Fast alle Unternehmen müssen ein Verarbeitungsverzeichnis erstellen, insbesondere jene, die MitarbeiterInnen haben, weil diese in der Regel sensible Daten verarbeiten. In diesem sind auch die technischen und organisatorischen Maßnahmen (ToMs) für die Datensicherheit zu beschreiben. Außerdem haben Unternehmen gegenüber Personen, deren Daten sie erheben bzw. verarbeiten eine Informationspflicht (Datenschutzerklärung). Eine Meldepflicht gegenüber der Datenschutzbehörde gibt es bei Verletzung des Schutzes personenbezogener Daten (Data Breach)und unter bestimmten Voraussetzungen sogar gegenüber Betroffenen.
Betroffene Personen haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerruf und Widerspruch. Bei Verstößen gegen das Datenschutzrecht können Sie sich außerdem bei der Datenschutzbehörde beschweren.
Wenn Sie Unterstützung bei der Umsetzung der DSGVO, z. Bsp. für die Erstellung Ihres Verarbeitungsverzeichnisses benötigen, können Sie sich gerne an mich wenden. Das Erstgespräch ist selbstverständlich kostenlos.