EU Datenschutz-Grundverordnung 2018: Ein Überblick

EU Datenschutz-Grundverordnung 2018: Ein Überblick

Bereits seit über einem Jahr ist die neue Datenschutzgrundverordnung (DSGVO), die von der EU beschlossen wurden, in aller Munde. Und das völlig zu Recht: Immerhin treten die neuen Bestimmungen in Österreich mit 25.05.2018 in Kraft! Konkret bedeutet das, dass bis zu diesem Zeitpunkt alle internen Datenanwendungen und Geschäftsprozesse an die neue Rechtslage angepasst werden müssen. Aufgrund der Komplexität des Themas und der drohenden Strafen raten wir in jedem Fall dazu, sich beim Rechtsanwalt oder Steuerberater Ihres Vertrauens zu beraten. Der folgende Text soll als grober Überblick über die wichtigsten Punkt der DSGVO dienen.

 

Inwiefern betrifft die neue Regelung mein Unternehmen?

Grundsätzlich betrifft die DSVGO alle Unternehmen, die in irgendeiner Art und Weise mit personenbezogenen Daten arbeiten – selbst, wenn es nur in Form einer Kundendatei für schlichte Rechnungslegung ist.

Da im Zentrum der neuen DSVGO eindeutig die Betroffenenrechte und deren Stärkung stehen, ist jegliche Datenverarbeitung mit personenbezogenen Daten grundsätzlich verboten, außer es gibt eine Rechtfertigung. Dies ist zwar auch schon bisher der Fall, aber nun dürfen diese Daten wirklich nur mehr dieser einen Rechtfertigung entsprechend verwendet werden und nicht mehr für ganze konzernübergreifende Prozesse und Abteilungen. Insofern müssen interne Geschäftsprozesse, Dokumentationsvorgänge und eventuell sogar Verträge rechtzeitig an die neuen Rahmenbedingungen angepasst werden. Als besonders zentral wird sich auch die Ernennung eines Datenschutzbeauftragten sowie das Führen eines Datenanwendungsverzeichnisses erweisen.

 

1. Datenschutzbeauftragter

Ab dem 25. Mai müssen Unternehmen die Bestimmungen der DSGVO nicht nur einhalten, sondern auch dezidiert nachweisen können. Transparenz ist hierbei ein großes Thema. Außerdem sieht die DSGVO für bestimme Betriebe die Ernennung eines Datenschutzbeauftragen vor, der eine Position zwischen Unternehmen und Klienten einnehmen und auf sensible datenschutzrechtliche Themen aufmerksam machen soll. Die Ernennung eines Datenschutzbeauftragten wird dann tragend, wenn der Geschäftszweck des jeweiligen Unternehmens in der Verarbeitung personenbezogener Daten besteht.

 

2. Datenspeicherung und Datenverarbeitung

Mit 25. Mai 2018 muss jedes Unternehmen selbst ein Datenanwendungsverzeichnis führen, inklusive einer Risikoanalyse und ggf. einer Datenschutz-Folgeabschätzung. Zwar ist auch jetzt schon für die Verarbeitung sensibler Daten die Zustimmung des Klienten erforderlich, allerdings nicht für die Verarbeitung nicht-sensibler Daten. Diese können via Zustimmung durch Schweigen erteilt werden, was sich nun ändert. Auch sogenanntes „Profiling“, also die automatisierte Verarbeitung von Personendaten unterliegt in der Zukunft strengeren Regeln. Vor allem müssen ab Mai 2018 Klienten schon beim Erstkontakt klar erkennen können, was mit ihren personenbezogenen Daten passieren wird (zum Beispiel geplante Speicherdauer).

 

3. Recht auf Löschung

Die DSGVO räumt Klienten neben dem Recht auf Berichtigung der personenbezogenen Daten auch das Recht auf Löschung der Daten oder Einschränkung der Verarbeitung ein. Jeder Person, die ihre Identität nachweisen kann, steht dieses Recht zu.

 

Unser Tipp: Checkliste der WKO

Wir legen Ihnen aufgrund der hohen Strafen und der Komplexität des Themas auf jeden Fall aufs Herz einen Experten zu kontaktieren und ggf. Schulungen zu besuchen. Als Grundlage für Vorkehrungen bis Mai 2015 kann diese Checkliste der WKO dienen, die viele weiterführende Infos zu den einzelnen Punkten parat hält.

Fazit

DSGVO betrifft alle Unternehmen, die in irgendeiner Weise mit personenbezogenen Daten arbeiten. Da die neuen Richtlinien mit 25. Mai 2018 in Kraft treten und ab diesem Tag auch strafrechtlich überprüft werden, gilt es sich gut vorzubereiten und spätestens jetzt einen Fahrplan für die kommenden Monate zu erstellen.

 

___
Obwohl aus Gründen der Lesbarkeit im Text die männliche Form gewählt wurde, beziehen sich die Angaben – falls nicht ausdrücklich anders erwähnt – auf Angehörige beider Geschlechter.

Ähnliche Beiträge