Rechtsanwaltskanzlei Dr. Harald Bösch

Mit 25.05.2018 trat die Datenschutzgrundverordnung (DGSVO) in der gesamten EU als unmittelbar anwendbare Verordnung in Kraft. Die Anpassung der österreichischen Rechtslage an deren Vorschriften erfolgte durch das Datenschutz-Anpassungsgesetz 2018. Für Firmen stellt sich die Frage welche internen Änderungen der Datenverarbeitung notwendig sind und welche Maßnahmen im täglichen Geschäftsverkehr erforderlich werden.

Inhalt und Folgen der DSGVO

Die DSGVO normiert die Modalitäten der Erhebung, Verarbeitung und Löschung personenbezogener Daten durch Unternehmen, sowie deren Weitergabe an Dritte. Neue Regelungen betreffen insbesondere Informationspflichten und Betroffenenrechte, die sehr weit gefasst sind (Recht auf Auskunft, Berichtigung und Löschung der Daten, Anspruch auf Datenübertragbarkeit und Widerspruchsrechte). Die Erfassung, Prüfung und potentielle Meldung datenschutzrelevanter Kunden-, aber auch Mitarbeiterdaten kann grundlegende Änderungen firmeninterner Abläufe und Dokumente (etwa Verträge, AGBs etc.) erforderlich machen.

Im Fall ihrer Nichtbefolgung sieht die Verordnung hohe Strafen bis zu 4 Prozent des weltweiten Jahresumsatzes bzw. bis zu € 20 Mio. vor. Zusätzlich besteht die Möglichkeit der Geltendmachung von Schadenersatzansprüchen Betroffener, inklusive der in Österreich bisher nur rudimentär durch den VKI vorgenommenen Möglichkeit von gebündelten Sammelklagen mehrerer Betroffener.

Personenbezogene Daten

Daten gelten dann als personenbezogen, wenn sie konkret eine natürliche Person direkt oder indirekt identifizieren oder identifizierbar machen (Name, Adresse, Geburtsdatum, Standortdaten, Bankverbindung, etc.). Besondere Kategorien von Daten werden ebenfalls definiert. Beispielsweise gelten jene Daten als „sensible Daten“, die einen höheren Schutz erfahren: Gesundheitsdaten, biometrische Daten, Daten zur ethnischen Herkunft oder politischen Überzeugung.

Datenverarbeitung ist jegliche Form deren Handhabung, wie die Erhebung, Erfassung, Speicherung, Organisation, nbsp]Abfrage, Übermittlung, aber auch deren Löschung. Die Form der Verarbeitung, etwa analog, elektronisch oder automationsunterstützt spielt dabei keine Rolle.

Adressaten und Pflichten

In der DSGVO definiert werden die Pflichten der sogenannten „Verantwortlichen“. Dies sind i.d.R. die jeweilige Geschäftsführung bzw. die Unternehmensinhaber jeglicher unternehmerisch tätigen Einheit im Geschäftsverkehr. Der Adressatenkreis ist somit sehr weit und erfasst Einzelunternehmen gleichermaßen wie Konzerne, aber auch Freiberufler (Ärzte, Anwälte, Architekten, Steuerberater, Ziviltechniker etc.) und wirtschaftlich tätige Versammlungen, wie etwa Vereine und Genossenschaften sind von den neuen Datenschutzvorschriften betroffen.

Während die Modalitäten des Schutzes den Verantwortlichen überlassen sind, sind als Pflichten zu beachten:

• Eine Verarbeitung von Daten ist nur zulässig, wenn eine Einwilligung der betroffenen Person vorliegt, oder die Verarbeitung der Erfüllung eines Vertragsverhältnisses oder einer rechtlichen Verpflichtung dient.

• Die Verarbeitung muss – naturgemäß – rechtmäßig erfolgen, weshalb Daten zweckgebunden sind. Sie dürfen nur für festgelegte, eindeutige und legitime Zwecke erhoben werden. Eine Speicherung ist nur so lange rechtmäßig, als sie für die Zwecke der Datenverarbeitung erforderlich ist.

• Als Informationspflichten legt die Verordnung gegenüber Betroffenen die Auskunft über deren Verarbeitung, Speicherung und den Speicherzeitraum fest. Im Rahmen der Umsetzung haben die betroffenen Personen ein Recht auf Einsicht, Berichtigung, Einschränkung der Verarbeitung oder Widerspruch gegen die Übertragbarkeit, sowie ein Recht auf Löschung.

• Für diese Zwecke müssen geeignete technische und organisatorische Maßnahmen gesetzt werden, die eine rechtmäßige Datenverarbeitung sicherstellen.

• Von den Verantwortlichen ist ein Verzeichnis über die Datenverarbeitungsaktivitäten zu führen, wenn die Verarbeitung nicht nur gelegentlich erfolgt.

• Weiter notwendig ist die Durchführung einer Risikoanalyse zur Evaluierung der Gewährleistung eines ausreichenden Schutzniveaus.

•  Eine Datenschutzfolgeabschätzung ist erforderlich, wenn die durchgeführte Risikoanalyse ergibt, dass die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bedingt. Die Notwendigkeit einer Datenschutzfolgeabschätzung ergibt sich vor allem bei der Verwendung neuer Technologien im Rahmen von EDV-Systemen.

• Meldungen an die Datenschutzbehörde und an die Betroffenen binnen 72 Stunden wird notwendig bei - auch unverschuldeten -  Datenschutzverletzungen (etwa einem Datendiebstahl oder dem Verlust von elektronischen Geräten oder analogen Karteien, auf denen Kundendaten hinterlegt sind).

• Schließlich ist bei größeren Unternehmen, die regelmäßig Kundendaten verarbeiten die Bestellung eines Datenschutzbeauftragten und die regelmäßige Zusammenarbeit mit der Datenschutzbehörde erforderlich.

Im Vergleich zur bisherigen Rechtlage erfolgt eine Verlagerung der Kontrolle von der Behörde auf die betreffenden Unternehmen in Form eine Selbstkontrolle statt einer Vorabprüfung durch die Behörde. Die Verantwortlichen sind der Behörde gegenüber jederzeit zum Nachweis über die Erfüllung sämtlicher Pflichten verantwortlich.