A- A A+
Mai16

EU-Datenschutz-Grundverordnung (DSGVO)

Allgemeines
Am 4. Mai 2016 wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ kundgemacht. Die Datenschutz-Grundverordnung tritt am 25. Mai 2018 in Geltung. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden.
Die Datenschutz-Grundverordnung ist zwar als EU-Verordnung in jedem EU-Mitgliedstaat unmittelbar anwendbar, sie lässt dem nationalen Gesetzgeber jedoch gewisse Spielräume. In Österreich wurde das „Datenschutz-Anpassungsgesetz 2018“, eine Novelle des DSG 2000 (künftig: DSG) beschlossen.

Wen betrifft die Datenschutz-Grundverordnung?
Die Datenschutz-Grundverordnung (DSGVO) ist auf alle Unternehmen innerhalb der EU anwendbar, die personenbezogene Daten verarbeiten, sowie auf Unternehmen aus Drittstaaten, sofern sie Leistungen an EU-Bürger anbieten.

Welche wesentlichen Neuerungen kommen durch die Datenschutz-Grundverordnung auf Unternehmen zu?

Es wird keine Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) mehr geben.

Stattdessen gibt es eine stärkere Verantwortung für Verantwortliche („Auftraggeber“) und Auftragsverarbeiter („Dienstleister“) und weitreichende Neuregelungen der Pflichten bei der Datenverarbeitung:

• Unternehmen müssen gegenüber Aufsichtsbehörden wie der Datenschutzbehörde nachweisen können, dass Sie die DSGVO einhalten.
• Schutz der personenbezogenen Daten wird ausgeweitet
• Strenge Dokumentations- und Nachweispflichten
• Pflicht zur Löschung von bestimmten Daten wie zum Beispiel von Bewerbern, ehemaligen Mitarbeiterinnen und Mitarbeitern sowie Kunden
• Mehr Transparenz gegenüber Aufsichtsbehörden, Kunden und Mitarbeiterinnen und Mitarbeitern
• Meldepflichten: Verletzungen des Schutzes personenbezogener Daten sind sowohl den nationalen Aufsichtsbehörden (ohne unangemessene Verzögerung – möglichst binnen höchstens 72 Stunden nach dem Entdecken; außer die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten) als auch der betroffenen Person (ohne unangemessene Verzögerung, wenn die Wahrscheinlichkeit besteht, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt) zu melden.
• (Verpflichtender) Datenschutzbeauftragter: Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwortliche und Auftragsverarbeiter), wenn
- die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder
- die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.
• Pflicht zur Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen, die (insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben. Wenn der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft und aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, ist eine vorherige Konsultation der Aufsichtsbehörde notwendig.
Informationspflichten und Betroffenenrechte
• Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden
• Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erledigen (diese Frist kann um höchstens weitere 2 Monate verlängert werden)
• Auskunftsrecht (ua auch über geplante Speicherdauer)
• Recht auf Berichtigung
• Recht auf Löschung und auf „Vergessen werden“
• Recht auf Einschränkung der Verarbeitung
• Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht
• Regelungen betreffend automatisierte Generierung von Einzelentscheidungen einschließlich profiling (unter profiling versteht die DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen)
Wie werden Verstöße bestraft?
Die Aufsichtsbehörde darf „Geldbußen“ von bis zu 20 Mio Euro oder im Fall eines Unternehmens von bis zu 4 % seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängen.

Empfehlung:
Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. Falls Sie Fragen bezüglich der neuen DSGVO haben können Sie sich gerne an Ihren IT-Berater wenden!