EU-DSGVO

Keine Hexerei, aber jedes Unternehmen ist betroffen

  • 20 Millionen Euro bzw. 4 % des weltweiten Jahresumsatzes – der mögliche Strafrahmen bei Verstößen gegen die neuen Datenschutzregeln hat es in sich. Update zur EU-DSGVO inkl. der Regelungen des österreichischen Datenschutzanpassungsgesetzes 2018. Die Arbeiterkammer warnt, der österreichische Gemeindebund läuft Sturm. Anlass ist das Inkrafttreten der EU-DSGVO am 25. Mai dieses Jahres. Die Kämmerer warnen vor allem davor, dass viele KMUs noch keine entsprechenden Maßnahmen gesetzt haben. Vor allem, wenn es um die arbeitsrechtlichen Auswirkungen der Verordnung geht: Laut OÖ Arbeiterkammer müssen Betriebe zwingend eine Vereinbarung mit dem Betriebsrat abschließen – etwa bei der Einführung von Kontrollmaßnahmen, die die Menschenwürde berühren (zum Beispiel Videoüberwachung oder GPS-Ortung), oder bei der automationsunterstützten Verarbeitung von personenbezogenen Daten, die über eine gesetzliche Verpflichtung hinausgeht. „Dazu waren die Betriebe zwar auch schon bisher verpflichtet, haben das aber – wegen mangelnder rechtlicher Sanktionen – äußerst lax gehandhabt. Jetzt drohen mit der neuen EU-weiten Datenschutz-Regelung allerdings empfindliche Strafen – bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes“, heißt es in einer Aussendung der AK. Die Gemeindevertreter wiederum bemängelten kürzlich, dass noch nicht klar ist, welche Vorgaben für Gemeindeunternehmen gelten und welche Mindestkriterien die neuen Datenschutzbeauftragten der Gemeinden erfüllen müssen. Der Präsident des Gemeindebundes forderte deshalb von Bund und EU-Kommission diesbezügliche Klarstellungen. Tatsächlich zeigen diese zwei Stellungnahmen, dass nicht ganz zwei Monate vor Inkrafttreten der europäischen Datenschutzverordnung und des entsprechenden österreichischen Datenschutzanpassungsgesetzes zum Teil noch große Verwirrung über die Auswirkungen herrscht.

Keine Hexerei, aber ...

  • Datenschutzexperte Mag. Rudolf Urban von der Klagenfurter Firma LANEXPERT gibt insofern Entwarnung als er meint, dass das Ganze keine Hexerei ist, wenn man weiß, was man zu tun hat: „Wichtig ist, dass man sich bewusst macht, dass die EU-DSGVO und das entsprechende österreichische Datenschutzanpassungsgesetz umfangreiche technische und organisatorische Maßnahmen nach sich ziehen können.“ Und: „Es betrifft alle, die regelmäßig strukturiert Daten verarbeiten. Auch Vereine, die ihre Mitgliederlisten strukturiert führen oder den Schuhhändler, der Kundendaten sammelt, um seine Kunden über aktuelle Angebote zu informieren.“ Kernstück der neuen Datenschutzregeln ist u.a. das Erstellen eines sogenannten Datenverarbeitungsverzeichnisses (Details dazu siehe unten). Urban: „Einerseits muss darin stehen, auf welcher Rechtsgrundlage die Daten gesammelt und verarbeitet werden. Dabei ist zu beachten, dass man eine explizite Einverständniserklärung des Kunden haben sollte oder einen anderen gesetzlichen Rechtsgrund.“ Eine solche Erklärung sollte möglichst schriftlich sein, kann aber auch mündlich erfolgen.

Bildaufnahmen

  • Vor allem in punkto Bildaufnahmen bzw. deren Veröffentlichung etwa im Internet könnte es in Hinkunft zu echten Problemen kommen. Das österreichische Datenschutzanpassungsgesetz jedenfalls sieht in §12 und 13 eine Reihe von expliziten Regeln vor, unter denen eine Bildaufnahme gerechtfertigt bzw. unzulässig ist. So heißt es unter anderem in §12 (4): „Unzulässig ist ... eine Bildaufnahme ohne ausdrückliche Einwilligung der betroffenen Person in deren höchstpersönlichen Lebensbereich.“ Die Praxis mancher Diskotheken, einfach ein Schild aufzuhängen, das darauf hinweist, dass der Besucher mit Betreten des Lokals automatisch sein Einverständnis für Bildaufnahmen bzw. deren Veröffentlichung gibt, scheint vor diesem Hintergrund rechtlich durchaus fragwürdig.

Keine Meldepflicht mehr, aber ...

  • Mit Inkrafttreten der EU-DSGVO entfällt die bisherige Verpflichtung zu DVR-Meldungen an die Datenschutzbehörde. Bisher musste die Verarbeitung von personenbezogenen Daten – soweit nicht eine Ausnahme von der Meldepflicht bestand – vor Aufnahme einer Datenanwendung zum Zweck der Registrierung an das Datenverarbeitungsregister bei der Datenschutzbehörde gemeldet werden. Dies ist nun nicht mehr notwendig. Allerdings: „... es obliegt einem datenschutzrechtlichen Auftraggeber (künftig: „dem für die Verarbeitung Verantwortlichen“), unter gewissen in Artikel 30 DSGVO genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten sowie in bestimmten Fällen sogenannte Datenschutz-Folgeabschätzungen im Sinne des Artikel 35 DSGVO zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.“ Außerdem müssen nach § 55 des österreichischen Datenschutzanpassungsgesetzes „Verletzungen des Schutzes personenbezogener Daten“ der Datenschutzbehörde unverzüglich (möglichst binnen 72 Stunden) gemeldet werden. Auch die betroffenen Personen müssen informiert werden. Übrigens: Das bisherige Datenverarbeitungsregister wird bis zum 31. Dezember 2019 zu Archivzwecken weitergeführt. Die darin vorhandenen elektronischen DVR-Meldungen können mit der Internet-Applikation DVR-ONLINE sowohl als PDF-Dokumente als auch als XML-Dateien exportiert werden.

Stichwort Datenverarbeitungsverzeichnis – das muss drinnen stehen:

    • Name und Kontaktdaten des Verantwortlichen
    • Zweck der Datenverarbeitung (z.B.: Kundeninfo, etc.)
    • Rechtsgrund (warum Daten verarbeitet werden, z.B. Einwilligungserklärung)
    • Welche Personen betroffen sind (z.B.: Kunden, Mitarbeiter, Lieferanten, etc.)
    • Welche Daten erhoben werden (Vorname, Name, Geburtsdatum, etc.)
    • Speicherdauer bzw. Löschfristen
    • Wo die Daten gelagert sind (Inland, Ausland)
    • Für den Fall, dass die Daten weitergereicht werden – an wen die personenbezogenen Daten übermittelt werden
    • Wie die Daten technisch und organisatorisch gesichert werden.

Weiterführende Links