EU-Datenschutz-Grundverordnung

Die am 14. April 2016, vom Europäischen Parlament, beschlossene Datenschutz-Grundverordnung (DSGVO) soll die Regeln und Richtlinien für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlichen. Die Bestimmungen treten ab 25. Mai 2018 in Kraft. Ein lobenswerter Schritt... doch was bedeutet die neue Verordnung konkret für Unternehmen? Wir haben die wichtigsten Punkte, sowie einige hilfreiche Links für Sie zusammengetragen:

Grundsätzlich gilt: Jedes Unternehmen welches in irgendeiner Art und Weise personenbezogene Daten (z.B.: Name, Adresse, Geburtsdatum, Bankdaten etc.) erfasst und verarbeitet ist von der neuen DSGVO betroffen und muss die enthaltenen Richtlinien auch beachten und umsetzen.

Hinweis: Die neue Verordnung gilt nicht für anonyme Informationen, sprich für Daten, welche in einer Weise anonymisiert wurden, so dass die betroffene Person nicht mehr identifiziert werden kann (Stichwort: Marktforschung). Auch personenbezogene Daten von Verstorbenen sind von der Verordnung ausgenommen.

Für die Umsetzung haben betroffene Unternehmen Zeit bis 25. Mai 2018. Ab diesem Zeitpunkt drohen hohe Geldstrafen.

• Unternehmen mit Sitz außerhalb Europas müssen ebenfalls die neue Verordnung befolgen, wenn diese Dienstleistungen in der EU anbieten.

• Das "Recht auf Vergessenwerden" wurde in der Verordnung verankert. Auch das Recht zur Berichtigung, Löschung und zur Einschränkung der personenbezogenen Daten wird den Betroffenen eingeräumt. Welche Voraussetzungen für eine Löschung etc. gegeben sein müssen und wie ein solcher Antrag in Zukunft behandelt werden soll (vor allem im Onlinekontext), hat die Wirtschaftskammer Österreich (WKO) detailliert zusammengefasst. Den Beitrag dazu finden Sie unter www.wko.at.
  
  
• Das Recht auf Auskunft bleibt bestehen, die Frist zur Beantwortung eines Auskunftsbegehrens beträgt jetzt jedoch 1 Monat (zuvor 8 Wochen), kann in Einzelfällen allerdings um weitere 2 Monate verlängert werden.

• Die DVR Meldeverpflichtung entfällt nach der DSGVO. Stattdessen soll eine Risikoabschätzung erfolgen und entsprechende "geeignete Maßnahmen" getroffen werden. Wie eine solche Datenschutz-Folgeabschätzung (DSFA) im Fall der Fälle konkret aussieht bzw. was dabei beachtet werden muss, erfahren Sie in der umfangreichen Checkliste der WKO.
  
  
• Auch das "Recht von Datenübertragbarkeit" ist in der neuen EU-Verordnung festgelegt. Dieses erleichtert bzw. soll die Übertragung von personenbezogenen Daten von einem Anbieter auf einen anderen vereinfachen. Konkret haben Personen in Zukunft das Recht, ihre gespeicherten personenbezogenen Daten von einer verantwortlichen Stelle auf die andere zu übertragen (zum Beispiel die Profildaten eines Dienstes exportieren und bei einem anderen Dienst importieren). Die Antwort auf die Frage in welchem Format die Datensätze geliefert werden müssen, bleibt die neue Verordnung jedoch schuldig: „...in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten“ ( Art. 20 Abs. 1 DSGVO). Das Fehlen eines definitiven Standard für Datensätze und Schnittstellen könnte bei diesem Punkt noch für Probleme sorgen.
  
  
• Laut Datenschutz-Grundverordnung muss ein Unternehmen (nicht alle!!) ab 25. Mai 2018 über einen Datenschutzbeauftragten verfügen. Dieser Punkt ist jedoch nur für öffentliche Stellen verpflichtend bzw. für Unternehmen, deren Kerntätigkeit aus Datenverarbeitung besteht.

Werden die neuen Richtlinien nicht umgesetzt, drohen ab 25. Mai 2018 Strafen von bis zu 20 Millionen Euro bzw. 4% des Konzernumsatzes. Die Höhe der Strafen zeigt... die neuen Datenschutzrichtlinien nicht einzuhalten ist definitiv kein Kavaliersdelikt.

Die oben genannte Aufstellung bzw. Übersicht erfüllt keineswegs den Anspruch der Vollständigkeit, vor allem, da das Thema Datenschutz und im konkreten Fall die Datenschutz-Verordnung mehr als umfangreich ist. Dennoch soll die kurze Zusammenfassung einen kleinen Überblick über die Neuerungen und Veränderungen geben. Zusätzlich haben wir noch einige hilfreiche Links, sowie Checklisten und Begriffsklärungen zusammengetragen, welche Ihnen bei der Umsetzung helfen soll.

• Amtsblatt der EU zur neuen EU-Datenschutzverordnung (EUR-Lex)
• Leitfaden zur Datenschutz-Grundverordnung der Datenschutzbehörde Österreich (dsb)
• Überblick der EU-Datenschutz-Grundverordnung der WKO
• Checkliste zur Umsetzung eines Maßnahmenplanes (WKO)
• Wichtige Begriffsbestimmungen zur DSGVO (WKO)