Die neu überarbeitete DSGVO tritt am 25. Mai 2018 in Kraft.
Diese Verordnung enthält, wie schon die Vorgängerversion, Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten sowie den Schutz deren Grundrechte und Grundfreiheiten.
Sie betrifft unter anderem auch alle Unternehmen, die personenbezogene Daten verarbeiten. Sie betrifft ALLE Unternehmen in Österreich, d.h. auch ARGE, Vereine, Ärzte, KMU, EPU, Schulen, etc..
Personenbezogene Daten ist alles war nur in irgendeiner Art und Weise einen Bezug zu einer natürlichen Person herstellen kann, also z.B. Name (auf Rechnungen, in Datenbanken, …), Adresse, Telefonnummer, Abbilder, Stimme.
Verarbeitung bedeutet: Jede Handhabe mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Haftung: Das Unternehmen selbst haftet. Ist das Unternehmen eine juristische Person (GmbH, AG, etc.) haftet dieses in erster Linie. Der Verantwortliche Beauftragte (§ 9 VStG, Geschäftsführer oder bestellte Person) haftet nur ausnahmsweise.
Sind neue Einwilligungen erforderlich? Wenn die bestehenden Einwilligungen den Vorgaben der DSGVO bereits entsprechen, müssen keine neuen Einwilligungen eingeholt werden. Hier ist insbesondere auf die Belehrung über die jederzeitige Widerrufsmöglichkeit der Einwilligung zu achten. Prüfen Sie sorgfältig, ob Sie überhaupt eine Einwilligung benötigen, oder Ihre Datenverarbeitung auf eine andere Rechtsgrundlage stützen können.
Einen Datenschutzbeauftragten benötigen Unternehmen in den seltenen Fällen, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen) oder die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten (z.B. Krankenanstalten) oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.
Ablaufplanung für die Umsetzung in Ihrem Unternehmen
1. Bestandsanalyse
An einer Dateninventur führt daher kein Weg für Ihr Unternehmen vorbei. Sie müssen wissen, welche Daten warum, wo, für welche Zwecke, wie lange verarbeitet werden, wer Zugriff hat und ob, beziehungsweise an wen diese weitergegeben werden. Insbesondere Ihre externen Systeme wie Website und Ihr Newslettersystem müssen mit überprüft werden.
2. Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis ist eine der zentralen Neuerungen der DSGVO und ersetzt die derzeitigen DVR Meldungen. Es muss unter anderem Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kategorien der Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten. Musterverzeichnisse bietet z.B. die WKO an (www.wko.at/dsgvo-infokit).
3. Folgenabschätzung
Falls ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung von Daten besteht, muss ihr Unternehmen eine Datenschutz-Folgenabschätzung machen. Darin müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschrieben sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewertet werden. Weiters müssen Sie festhalten, was gegen diese Risiken unternommen werden kann (Datensicherheitsmaßnahmen).
4. Auftragsverarbeiter-Vertrag
Diesen benötigen Sie, wenn externe Dienstleister (z.B. ihr Steuerberater, ihr gewerblicher Buchhalter, ihr IT-Dienstleister, ihr Lohnverrechner, etc.) beauftragt werden. Prüfen Sie ob, ein entsprechender Vertrag vorliegt, wenn nicht sollten Sie unbedingt einen abschließen.
5. Meldepflicht
Im Falle von Datenschutzverletzungen, wie etwa dem Verlust eines Datenträgers oder Hackerangriff, muss ihr Unternehmen diesen der Datenschutzbehörde melden. Und zwar unverzüglich, spätestens jedoch innerhalb von 72 Stunden ab Erkennen des Vorfalls. Eine Ausnahme besteht, wenn der „Data Breach“ keine Risiken für die betroffenen Personen mit sich bringt. Ist das Risiko hoch, müssen die Betroffenen direkt informiert werden.
6. Informationspflichten bei Verletzungen der DSGVO
Von einer Datenverarbeitung betroffene Personen müssen informiert werden: Was, wer, zu welchem Zweck, wie lang, wohin. Auch Betroffenenrechte, wie etwa auf Auskunft oder Löschung müssen unverzüglich, spätestens innerhalb eines Monats erfüllt werden.
Die sieben Prinzipen der DSGVO:
1. Das Prinzip der Speicherbegrenzung besagt, dass Daten nur solange gespeichert werden, wie für die Verarbeitung erforderlich. Dann müssen sie gelöscht werden.
2. Das Prinzip der Datenminimierung besagt, dass nur so viele Daten verarbeitet werden, wie erforderlich.
3. Das Prinzip der Zweckbindung unterstreicht, dass Daten nur für die übereingekommenen Zwecke und nicht darüber hinaus, verarbeitet, verwendet und gespeichert werden.
4. Das Prinzip der Richtigkeit besagt, dass Daten in bestem Wissen und Gewissen richtig und aktuell gehalten werden sollen.
5. Das Prinzip Integrität und Vertraulichkeit besagt, dass die Sicherheit und der Schutz von verarbeiteten Daten maximal gewährleistet wird.
6. Das Prinzip der Rechenschaft besagt, dass der Verantwortliche die Erfüllung des Datenschutzes nachweisen können muss.
7. Das Prinzip von Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz besagt, dass die Daten nur rechtmäßig nachvollziehbare und transparente Weise verarbeitet werden sollten.
Wichtige Begriffe:
a. Sensible Daten
Das sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung zur eindeutigen Identifizierung einer natürlichen Person hervorgehen. Beispiele sind: Iris-Scan, Krankengeschichte, Allergien, Religionsbekenntnis, Fingerprint-Sensoren.
b. DSVGO B2B oder nur B2C
Die DSVGO gilt für B2B (Business to Business) und B2C (Business to Consumer), es gibt keinen Unterschied. Nur Daten über eine GmbH oder AG gelten nicht als personenbezogen.
c. Für welche Aufzeichnungen gilt die DSGVO
Sofern diese Aufzeichnungen in einem Dateisystem aufbewahrt werden, fällt auch der Papierakt darunter. Ein Dateisystem ist jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien wie dem Alphabet geordnet ist.
d. Löschung personenbezogener Daten
Wenn ein Löschungsanspruch besteht, sind die Daten faktisch zu löschen. Eine Einschränkung reicht nicht aus.
e. Kunde will Löschung, aber Rechtliche Vorgaben sprechen dagegen
Bei der Geltendmachung des Löschungsrechtes gibt es einige spezielle Ablehnungsgründe. Der Anspruch darf daher abgelehnt werden, wenn die Verarbeitung erforderlich ist, z.B. zur Erfüllung einer rechtlichen Verpflichtung, welche die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, notwendig macht. Dies muss der betroffenen Person jedoch auch begründet mitgeteilt werden.
f. Einwilligung
Eine „schlichte“ Einwilligung kann mündlich, schriftlich (elektronisch) oder sogar schlüssig (Kopfnicken, sonstige bestätigende Handlung) abgegeben werden. Aus Beweisgründen empfiehlt sich natürlich eine schriftliche. Wenn sensible Daten verarbeitet werden, muss eine ausdrückliche Einwilligung eingeholt werden.
g. Mitarbeiter Belehrung
Am besten so, dass diese über die Basics im Datenschutz und ihren Tätigkeitsbereich Bescheid wissen. Am wichtigsten ist, dass Mitarbeiter ein Bewusstsein für den Datenschutz bekommen und erkennen, wenn etwas datenschutzrelevant wird. Sie sollen wissen, wohin sie sich bei Fragen wenden können.