Datenschutzgrundverordnung (DSGVO) – Betrifft sie auch mich?

17. März 2018   Franz Müller
Insolvenzen & Unternehmenssanierungen - Rechtsanwälte | Mag. Franz Müller & Dr. Georg Retter, M.B.L. - Kirchberg am Wagram - Krems an der Donau

Die Europäische Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Es ist daher höchst an der Zeit, zu prüfen, in wieweit sie für Sie, für Ihr Unternehmen, maßgeblich ist und sodann die gesetzlichen Anforderungen umzusetzen. Beachten Sie, dass bei Verstößen gegen die DSGVO drakonische Strafen drohen.

Am Thema Datenschutz kommt keiner vorbei, auch wenn das bisherige Datenschutzgesetz viele Pflichten bereits kennt. Die DSGVO stellt nunmehr jeden, der in irgendeiner Weise personenbezogene Daten verarbeitet – und sind das praktisch alle, da nicht nur die elektronische Verarbeitung von Daten relevant ist – vor eine Reihe neuer Herausforderungen und Pflichten.

ANWENDUNGSZEITPUNKT?

Die DSGVO trat bereits vor knapp 2 Jahren am 24. Mai 2016 in Kraft. Sie ist ab dem 25. Mai 2018 zwingend für Verantwortliche und Datenverarbeiter anzuwenden.

WER IST VON DER DSGVO BETROFFEN?

Jeder, die in irgendeiner Art und Weise personenbezogene Daten verarbeitet ist von der DSGVO betroffen. Die Größe eines Unternehmens spielt keine Rolle.

GRUNDSÄTZE DER DSGVO

  • Grundsatz der Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz

Jeder hat die ihm beruflich anvertraute personenbezogene Daten in rechtmäßiger und den schutzwürdigen Interessen der Betroffenen entsprechender und transparenter Weise und nach Treu und Glauben zu verarbeiten. Verarbeitungen von personenbezogenen Daten, deren Schutz grundrechtlich verankert ist, sind demnach nur aufgrund einer entsprechenden Rechtsgrundlage zulässig

  • Zweckbindungsgrundsatz

Die dem Datenverarbeiter anvertrauten personenbezogenen Daten sind nur im Rahmen der den Betroffenen bekannten Zweckbestimmung für festgelegte, eindeutige und rechtmäßige Zwecke zu nutzen.

  • Datenminierungsgrundsatz

Die Datennutzung hat dem Verarbeitungszweck zu entsprechen, sie muss maßgeblich sein und darf in Bezug auf die Zwecke, für die sie verarbeitet werden, nicht übermäßig sein. Die Datenverarbeitung soll sich am Ziel der Datenvermeidung und Datensparsamkeit ausrichten.

  • Grundsatz der Datenrichtigkeit

Der Datenverarbeiter hat Sorge zu tragen, dass die bei ihm vorhandenen personenbezogenen Daten sachlich richtig und erforderlichenfalls auf den neuesten Stand sind. Es sind Maßnahmen zu treffen, dass personenbezogen Daten, die im Hinblick auf die Zwecke der Verarbeitung unrichtig sind, unverzüglich gelöscht oder berichtigt werden.

  • Grundsatz der Speicherbegrenzung

Personenbezogene Daten dürfen nicht länger, als es für die Zwecke, für die sie verarbeitet werden, erforderlich ist, in einer Form gespeichert werden, die die Identifizierung der betroffenen Person ermöglicht.

  • Grundsatz der Integrität und Vertraulichkeit

Der Datenverarbeiter hat personenbezogene Daten in einer Weise zu verarbeiten, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich des Schutzes vor unbefugter oder unrechtmäßiger Verarbeitung.

  • Grundsatz der Dokumentationspflicht

Der Datenverarbeiter ist verpflichtet, die Einhaltung der oben genannten Grundsätze nachweisen zu können. Der Grundsatz der Dokumentationspflicht ist in der DSGVO sehr ausgeprägt formuliert. So sind etwa Datenverarbeitungsverzeichnisse zu erstellen und jeder Data-Breach (Datenvorfall) oder jede Ausübung eines Betroffenenrechts zu dokumentieren. Wer einen Datenvorfall, z.B. Hackerangriff, erlitten hat, muss ihn binnen 72 Stunden der Datenschutzbehörde melden.

DVR NUMMER

Mit der DSGVO kommt es zu einem Paragidmenwechsel. Jeder Datenverarbeiter ist verpflichtet selbstständig obige Grundsätze einzuhalten. Die bisher erforderliche Meldung der zu verarbeitenden personenbezogenen Daten an die Datenschutzbehörde entfällt. Die DVR-Nummer wird obsolet.

WER BRAUCHT EINEN DATENSCHUTZBEAUFTRAGTEN?

Der Datenschutzbeauftragte ist nur für Behörden und öffentliche Stellen sowie Unternehmen, deren Kerntätigkeit regelmäßige umfangreiche Überwachung ist oder die als Kerntätigkeit besondere Datenkategorien wie etwa Gesundheitsdaten verarbeiten zwingend.

ENTSPRICHT MEINE SOFTWARE DER DSGVO 

Die DSGVO hat auch erhebliche Auswirkungen auf ihre EDV-Infrastruktur. Prüfen Sie, ob die Grundsätze „Privacy by Design“ und „Privacy by Default“ eingehalten werden.

WIE SETZE ICH DIE DSGVO FÜR MEIN UNTERNEHMEN UM?

Am Beginn steht die Bestandsaufnahme, welche Daten Sie verarbeiten, wer die betroffenen Personen sind und an welche Empfänger diese personenbezogenen Daten bekannt gegeben werden.

Haben Sie eine Website oder senden Sie Newsletter aus? Prüfen Sie, ob die erforderlichen Einwilligungen der Betroffenen vorliegen. Holen Sie bei Fehlen der Einwilligung diese unverzüglich nach!

Gerne unterstützen wir Sie bei der Umsetzung dieses komplexen Themas.