Spätestens am 24. Mai 2018 muss die Datenschutzgrundverordnung der EU, kurz DSGVO, umgesetzt sein. Diese Verordnung regelt den Datenschutz in allen europäischen Staaten neu und betrifft sämtliche Unternehmen. Dieses Regelwerk hat es in sich und jeder Unternehmer muss sich wohl oder übel damit auseinandersetzen. Vieles ist noch unklar, die Basis-Fragen/Antworten dazu finden Sie hier:
Was regelt die DSGVO?
Die DSGVO legt fest, wie personenbezogene Daten erhoben und verarbeitet, an Dritte weitergegeben und gelöscht werden müssen.
Was sind personenbezogene Daten?
Personenbezogene Daten liegen vor, wenn durch diese eine konkrete Person identifiziert wird. Dabei gibt es keine belanglose Informationen, selbst banale Informationen fallen unter diesen Begriff. Beispiele für Daten sind der Name und die Adresse, aber auch die E-Mailadresse. Neben den „normalen“ Daten gibt es noch besondere Kategorien von Daten, wie die rassische und ethnische Herkunft, religiöse oder weltanschauliche Überzeugung, sowie Gesundheitsdaten etc. Diese „besonderen Kategorien von Daten“ müssen besonders behandelt werden und genießen einen besonderen Schutz.
Was bedeutet verarbeiten von Daten?
Verarbeiten ist jede Art der Handhabung der Daten, sei es, dass die Daten erhoben, gespeichert oder auch nur am Bildschirm dargestellt werden. Auch in Papierform geführte Akten sind von der DSGVO erfasst.
Unter welchen Voraussetzungen darf ich Daten verarbeiten?
Die Verarbeitung ist nur zulässig, wenn die jeweilige betroffene Person in die Verarbeitung eingewilligt hat, die Verarbeitung für die Erfüllung eines Vertragsverhältnisses erforderlich ist oder die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist.
Was ist ein Verarbeitungsverzeichnis?
In Zukunft müssen sämtliche Unternehmer als datenschutzrechtliche Verantwortliche ein Verzeichnis über die von Ihnen durchgeführten Verarbeitungstätigkeiten führen. Im Rahmen dieses Verzeichnisses muss dokumentiert werden, woher die Daten stammen, zu welchen Zwecken diese verarbeitet werden und was mit diesen passiert.
Was ist ein Datenschutzbeauftragter?
Ab einer gewissen Unternehmensgröße müssen Betriebe einen Datenschutzbeauftragten haben, der für die Umsetzung und Anwendung der Regelungen verantwortlich ist.
Übertragung von Daten?
Die Person, deren Daten verarbeitet werden, hat ein Recht darauf, diese Daten auch zu erhalten.
Wie lange dürfen Daten gespeichert werden?
Die verarbeiteten Daten müssen kategorisiert werden und je nach Kategorie wird festgelegt, wie lange die Daten gespeichert werden dürfen. Nach Zeitablauf müssen die Daten gelöscht werden.
Was passiert bei Verstößen gegen die DSGVO?
Die Datenschutzbehörde wird in Zukunft Prüfungen durchführen. Verstöße werden bestraft. Die Strafdrohung reicht bis zu EUR 20 Mio., oder 4% des weltweiten Jahresumsatzes.
Fazit ist,
- dass jeder Unternehmer die Geschäftsbeziehung mit seinen Kunden im Lichte der Datenschutzverordnung neu überdenken muss,
- Verträge müssen an die neuen Vorgaben angepasst werden (Interessensverbände werden ihren Mitgliedern Mustervorlagen zur Verfügung stellen),
- Unternehmensintern sind viele Auflagen zu erfüllen und man wird nicht umhin kommen, sich im Detail mit der Datenschutzverordnung zu beschäftigen.
Wien, im Dezember 2017
Mit besten Grüßen
Christine Casapicola