Die EU-Datenschutz-Grundverordnung (EU-DSGVO) ist am 14. April 2016 durch das EU-Parlament beschlossen worden. Sie ist am 04.05.2016 im Amtsblatt der Europäischen Union veröffentlicht worden und tritt damit am 25.05.2016 in Kraft.

Anwendbar ist sie damit ab dem 25. Mai 2018.

Die wesentlichen Punkte sind:

• Neuer Fokus auf die Datensicherheit: verpflichtende angemessene Sicherheitsvorkehrungen; Datenmissbräuche und Sicherheitsverletzungen müssen den Aufsichtsbehörden gemeldet werden
• Stärkung der Betroffenenrechte: mehr Transparenz; Verankerung des Rechts auf Vergessenwerden; Einwilligung gilt nur falls freiwillig, aktiv und eindeutig
• Bestellung von Datenschutzbeauftragten im öffentlichen Bereich
• Erhöhter Strafrahmen: Strafen bis zu 20 Millionen Euro beziehungsweise 4 Prozent des Konzernumsatzes sind möglich

Überblick der neuen Regelungen der Datenschutzgrundverordnung

Die DSGVO verpflichtet Unternehmen zur wirksamen Umsetzung von angemessenen technischen und organisatorischen Maßnahmen unter Berücksichtigung folgender Punkte:

• Art und Umfang sowie die Umstände des Zwecks der Verarbeitung
• Stand der Technik und Implementierungskosten
• Eintrittswahrscheinlichkeit und Schwere von Risiken
• Datenschutz Folgeabschätzung – Risikobewertung

Hat die Verarbeitung, insbesondere bei Verwendung neuer Technologien, ein hohes Risiko für persönliche Rechte und Freiheiten zur Folge, ist eine Abschätzung der Folgen zum Schutz personenbezogener Daten vorzunehmen.
Methodische Bewertung von Informationssicherheitsrisiken.

Die Verzeichnispflicht

Unternehmer müssen zukünftig ein Verzeichnis schriftlich oder elektronisch mit folgenden Angaben führen:

• Kontaktdaten des Verantwortlichen bzw. Mitverantwortlichen
• Zwecke der Verarbeitung, Beschreibung der Kategorien Personen und Daten
• Kategorien von Empfängern (auch im Drittland falls gegeben)
• Übermittlungen von Daten an Drittländer oder internationale Organisationen
• vorhergesehene Fristen für Löschung
• technische und organisatorische Maßnahmen (Sicherheit)
• Zweckbindung und Datensparsamkeit

Eine Datenverarbeitung darf nur zu einem festgelegten, eindeutigen und legitimen Zweck erfolgen. Der Zweck muss vor der Datenverarbeitung festgelegt sein. Zudem darf eine Datenverarbeitung nur in dem Umfang stattfinden, in welchem diese notwendig ist, um den erforderlichen Zweck zu erfüllen. Durch diese Regelung bleibt der Grundsatz der Datensparsamkeit erhalten.

Der Anwendungsbereich der DSGVO

Das europäische Datenschutzrecht gilt für alle Unternehmen, die in der EU tätig sind, unabhängig davon, ob sie ihre Niederlassung in der EU haben oder nicht. Auch gilt das Datenschutzrecht unabhängig davon, wo die Verarbeitung der Daten stattfindet, wenn Daten europäischer Bürger betroffen sind.

Rechtmäßigkeit einer Datenverarbeitung in Zusammenhang mit Kindern

Eine Datenverarbeitung ist nur rechtmäßig, wenn der Betroffene in die Verarbeitung eingewilligt hat oder andere Voraussetzungen der DSGVO vorliegen. Kinder unter 14 Jahren müssen die Erlaubnis der Eltern einholen, wenn sie in die Verwendung ihrer Daten bei einem Angebot von Diensten der Informationsgesellschaft einwilligen wollen. Es bleibt den Mitgliedsstaaten jedoch vorbehalten, durch Rechtsvorschrift eine niedrigere Altersgrenze vorzusehen, die allerdings nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. Österreich hat das Mindestalter auf 14 Jahre festgelegt.

Informationspflichten des Datenverarbeiters

Datenverarbeiter sind verpflichtet einfach, knapp und verständlichen sowie kostenlos darüber zu informieren, wer welche Daten woher und zu welchen Zwecken verarbeitet und an wen diese Daten weitergegeben werden. Wenn ein Unternehmer eine Datenverarbeitung auf sein berechtigtes Interesse stützen will, muss er dieses Interesse zudem benennen. Die Informationspflichten umfassen auch Informationen darüber, ob Profiling durchgeführt wird und welche Logik bzw. Methodik angewendet wird.

Benachrichtung bei Datendiebstahl / Datenmissbrauch

Mit der DSGVO soll schneller und ausführlicher informiert werden, wenn Daten gehackt wurden. Darüber hinaus muss der Verarbeiter den Betroffenen über Berichtigungs-, Lösch-, und Widerrufsfristen informieren. Auch ob die Angabe von Daten erforderlich oder freiwillig ist, muss ersichtlich sein.

Betroffenenrechte

Die Rechte des Betroffenen einer Verarbeitung personenbezogener Daten werden gestärkt. Nunmehr besteht ein sogenanntes Auskunftsrecht, ein Berichtigungsrecht, ein Recht auf Löschung, ein Recht auf Einschränkung der Verarbeitung, und ein Recht auf Datenübertragbarkeit. Unternehmen müssen für diese Betroffenenrechte entsprechende betriebliche Vorkehrungen und Prozesse gestalten.

Schadensersatz

Die von der Verarbeitung betroffenen Personen wird durch die DSGVO ein Recht auf Schadensersatz bei materiellen und immateriellen Schäden gewährt. Zudem bleibt es den Mitgliedsstaaten überlassen strafrechtliche Maßnahmen zu beschließen.

Massive Anhebung von Strafen

Die Sanktionen bei Verstößen gegen die DSGVO wurden deutlich erhöht. Liegt ein Verstoß gegen datenschutzrechtliche Grundsätze oder die Rechte des Betroffenen vor, so können Strafen in Höhe von bis zu 20 Mio. EUR oder 4% des Weltjahresumsatzes ausgesprochen werden.

Für Unternehmer sind die Vorgaben der DSGVO ab 25.05.2018 zwingend bei der Verarbeitung von personenbezogenen Daten einzuhalten und die vorgeschriebenen Prozesse und organisatorischen betrieblichen Vorkehrungen zu treffen.

Hilfreiche Links für die Umsetzung der DSGVO:

Unter folgenden Links sind empfehlenswerte Materialien und Erläuterungen zur Datenschutzgrundverordnung zu finden:

Datenschutzgrundverordnung:
http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=uriserv%3AOJ.L_.2016.119.01.0001.01.DEU&toc=OJ%3AL%3A2016%3A119%3ATOC

Datenschutzanpassungsgesetz 2018: http://tinyurl.com/RIS-DSG2018

Leitfaden Datenschutzbehörde:
https://www.dsb.gv.at/documents/22758/116802/DSGVO-2016-Leitfaden.pdf/93d6cb80-8d8e-433d-a492-a827e3ed81a2

Checkliste und Umsetzungsfahrplan der Privacy Officers: https://www.privacyofficers.at/Privacyofficers_Checkliste_Umsetzung_DSGVO_v2.0.pdf

Checkliste der WKO:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html

Themenzusammenfassungen der WKO:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Informationen-zur-EU-Datenschutz-Grundverordnung.html

Musterdokumente der WKO:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Musterdokumente-zur-EU-Datenschutzgrundverordnung.html