News
Immer aktuell

News­let­ter abonnieren

Klienten-Info — Archiv

Starke Ver­schär­fun­gen durch die Datenschutz-Grundverordnung

Kate­go­rien: Klienten-Info

Dezember 2017 

Am 25. Mai 2018 wird die euro­päi­sche Daten­schutz-Grund­ver­ord­nung Geltung erlangen, welche in Öster­reich durch das Daten­schutz-Anpas­sungs­ge­setz 2018 umge­setzt wurde. Bis dahin gelten noch die Rege­lun­gen des Daten­schutz­ge­set­zes 2000. Die Not­wen­dig­keit für Ände­run­gen ist auch auf den stetig wach­sen­den Bin­nen­markt und damit uni­ons­wei­ten Aus­tausch per­so­nen­be­zo­ge­ner Daten zurück­zu­füh­ren. Schließ­lich soll auch der raschen tech­no­lo­gi­schen Ent­wick­lung (Cloud Com­pu­ting, Big Data, usw.) und den Her­aus­for­de­run­gen durch die Glo­ba­li­sie­rung besser Rechnung getragen werden. Unter­neh­men sind gut beraten, die Maß­nah­men für einen besseren Daten­schutz ent­spre­chend umzu­set­zen — auch weil sehr hohe Strafen drohen. Betrof­fen von den Neu­re­ge­lun­gen sind Unter­neh­men (inner­halb der EU bzw. aus Dritt­staa­ten, sofern sie Leis­tun­gen an EU-Bürger anbieten) bereits dann, wenn sie in irgend­ei­ner Weise per­so­nen­be­zo­ge­ne Daten ver­ar­bei­ten, indem z.B. Kun­den­da­tei­en geführt werden, Rech­nun­gen aus­ge­stellt werden oder Lie­fe­ran­ten­da­ten gespei­chert werden. Immerhin wird es zukünf­tig keine Mel­de­pflicht mehr bei der Daten­schutz­be­hör­de (Daten­ver­ab­ei­tungs­re­gis­ter) geben.

Das Recht auf Daten­schutz ist ein Grund­recht, welches in Öster­reich im Ver­fas­sungs­rang steht. Es ist nicht nur vom Staat, sondern auch unter Privaten ein­zu­hal­ten — wesent­lich ist dabei das Prinzip “Verbot mit Erlaub­nis­vor­be­halt”. Dahinter verbirgt sich die strenge Maxime, dass die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten grund­sätz­lich verboten ist und nur dann vor­ge­nom­men werden darf, wenn es das Gesetz (aus­nahms­wei­se) erlaubt. Nach­fol­gend sind wesent­li­che Aspekte bzw. Neue­run­gen dargestellt.

Daten­schutz durch Tech­nik­ge­stal­tung und daten­schutz­freund­li­che Voreinstellungen

Durch passende tech­ni­sche und orga­ni­sa­to­ri­sche Maß­nah­men und Ver­fah­ren müssen die Rechte der betrof­fe­nen Personen geschützt werden. Daten­schutz­recht­li­che Vor­ein­stel­lun­gen sollen sicher­stel­len, dass nur jene per­so­nen­be­zo­ge­nen Daten ver­ar­bei­tet werden, welche für den jewei­li­gen bestimm­ten Ver­ar­bei­tungs­zweck erfor­der­lich sind. Prak­tisch bedeutet dies, dass per­so­nen­be­zo­ge­ne Daten (von Bewer­bern, ehe­ma­li­gen Mit­ar­bei­tern, Kunden, usw.) strenger geschützt werden müssen und auch gelöscht werden müssen, wenn der Ver­ar­bei­tungs­zweck erfüllt ist. Zugleich muss mehr Trans­pa­renz gegen­über Auf­sichts­be­hör­den, Kunden sowie Mit­ar­bei­tern sicher­ge­stellt werden. Ins­ge­samt betrach­tet müssen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Daten die Grund­sät­ze Recht­mä­ßig­keit, Ver­ar­bei­tung nach Treu und Glauben, Trans­pa­renz (d.h. die Daten­ver­ar­bei­tung muss für die betrof­fe­ne Person nach­voll­zieh­bar sein), Zweck­bin­dung (im Vor­hin­ein fest­ge­leg­ter ein­deu­ti­ger und legi­ti­mer Zweck), Daten­mi­ni­mie­rung, Rich­tig­keit (es sollen nur sachlich richtige Daten ver­ar­bei­tet werden — unrich­ti­ge Daten sind unver­züg­lich zu löschen bzw. zu berich­ti­gen), Spei­cher­be­gren­zung sowie Inte­gri­tät und Ver­trau­lich­keit (die per­so­nen­be­zo­ge­nen Daten müssen vor unbefugter/unrechtmäßiger Ver­ar­bei­tung und auch vor unbe­ab­sich­tig­tem Verlust geschützt werden) erfüllt sein.

Ver­zeich­nis von Verarbeitungstätigkeiten

Das Ver­zeich­nis von Ver­ar­bei­tungs­tä­tig­kei­ten hat ver­gleich­bar den der­zei­ti­gen DVR-Mel­dun­gen neben dem Zweck der Daten­ver­ar­bei­tung weitere Infor­ma­tio­nen zu ent­hal­ten wie z.B. die Beschrei­bung der Kate­go­rien der von der Daten­ver­ar­bei­tung betrof­fe­nen Personen und der ent­spre­chen­den Daten (etwa Rech­nungs- und Adress­da­ten von Kunden und Lie­fe­ran­ten). Ebenso muss das Ver­zeich­nis die Emp­fän­ger­ka­te­go­rien der per­so­nen­be­zo­ge­nen Daten ent­hal­ten (z.B. Sozi­al­ver­si­che­rung, Finanz­amt, Rechts­an­walt, Steu­er­be­ra­ter, usw.) ein­schließ­lich der Emp­fän­ger in Dritt­län­dern oder inter­na­tio­na­len Orga­ni­sa­tio­nen. Das Ver­zeich­nis wird durch die vor­ge­se­he­nen Fristen für die Löschung der ver­schie­de­nen Daten­ka­te­go­rien sowie eine Beschrei­bung der tech­ni­schen und orga­ni­sa­to­ri­schen Daten­si­cher­heits­maß­nah­men ver­voll­stän­digt. Unter­neh­men mit weniger als 250 Mit­ar­bei­tern sind von der Ver­pflich­tung zur Führung solcher Ver­zeich­nis­se nur dann befreit, sofern die Daten­ver­ar­bei­tung kein Risiko für die Rechte und Frei­hei­ten der betrof­fe­nen Personen dar­stellt, die Ver­ar­bei­tung nur gele­gent­lich erfolgt oder die Ver­ar­bei­tung keine sen­si­blen Daten bzw. Daten über straf­recht­li­che Ver­ur­tei­lun­gen beinhaltet.

Meldung von Datenschutzverletzungen

Ver­let­zun­gen des Schutzes per­so­nen­be­zo­ge­ner Daten müssen den natio­na­len Auf­sichts­be­hör­den sowie der betrof­fe­nen Person mög­lichst rasch mit­ge­teilt werden. Aus­nah­men davon gelten, sofern die Ver­let­zung nicht zu einem Risiko für die per­sön­li­chen Rechte und Frei­hei­ten führt.

Daten­schutz­be­auf­trag­ter

Für das Unter­neh­men muss ver­pflich­tend ein Daten­schutz­be­auf­trag­ter bestellt werden, wenn die Kern­tä­tig­keit des Unter­neh­mens in Ver­ar­bei­tungs­vor­gän­gen besteht, welche eine umfang­rei­che, regel­mä­ßi­ge und sys­te­ma­ti­sche Beob­ach­tung von betrof­fe­nen Personen erfor­der­lich macht oder etwa beson­ders sensible Daten über straf­recht­li­che Ver­ur­tei­lun­gen oder Straf­ta­ten ver­ar­bei­tet werden. Bei der Bestel­lung des Daten­schutz­be­auf­trag­ten ist zu bedenken, dass die Person wei­sungs­frei ist, Kün­di­gungs­schutz genießt und unein­ge­schränk­te Ein­sichts­rech­te in die ver­ar­bei­te­ten Daten hat.

Infor­ma­ti­ons­pflich­ten und Betroffenenrechte

Viel­fäl­ti­ge Infor­ma­tio­nen und Betrof­fe­nen­rech­te sind zeitnah zur Ver­fü­gung zu stellen bzw. zu erle­di­gen. Davon umfasst sind etwa Aus­kunfts­rech­te (auch über die geplante Spei­cher­dau­er), das Recht auf Berich­ti­gung, das Recht auf Löschung und auf “Ver­ges­sen­wer­den”, das Recht auf Ein­schrän­kung der Ver­ar­bei­tung, die Mit­tei­lungs­pflicht bei Berich­ti­gung, Löschung oder Ein­schrän­kung an alle Emp­fän­ger, das Recht auf Daten­über­trag­bar­keit sowie das Widerspruchsrecht.

Hohe Geld­stra­fen

Die Ver­bes­se­run­gen beim Daten­schutz bzw. die neuen Bestim­mun­gen sind durch sehr hohe Geld­bu­ßen bei Ver­stö­ßen beglei­tet. So können bei beson­ders schwer­wie­gen­den Ver­stö­ßen, z.B. bei Ver­let­zung der Betrof­fe­nen­rech­te oder auch bei Nicht­be­fol­gung einer Anwei­sung der Auf­sichts­be­hör­de, Geld­bu­ßen bis zu 20 Mio. € bzw. bis zu 4% des weltweit erziel­ten Vor­jah­res­um­sat­zes verhängt werden. Bei weniger schwer­wie­gen­den Ver­stö­ßen (z.B. bei Ver­let­zung der Daten­si­cher­heits­vor­schrif­ten) beträgt die maximale Geldbuße immer noch 10 Mio. € bzw. 2% des weltweit erziel­ten Vor­jah­res­um­sat­zes.

Bild: © Wrangler — Fotolia