Allgemeines zur DSGVO

Die Datenschutzgrundverordnung (kurz: DSGVO) tritt mit 25. Mai 2018 in Kraft.

Betroffen sind fast alle Unternehmen, Vereine, Krankenanstalten und Körperschaften öffentlichen Rechts wie z.B. Gemeinden.

In einem kleinen FAQ-Bereich (Fragen und Antworten) bieten wir eine Hilfestellung für Kunden und Interessierte, richtet sich aber vor allem an Unternehmer_Innen.

Wir halten ausdrücklich fest, dass wir hier keine rechtsverbindlichen Informationen anbieten.

Einige Fragen und Antworten zur DSGVO

Ich verwende keine elektronische Datenverarbeitung, auch keinen Computer: Ist mein Unternehmen trotzdem betroffen?

Ja, sehr wahrscheinlich. Wenn eine strukturierte Ablage (auch in Papierform) erfolgt, ist man betroffen. Es trifft daher fast alle Unternehmen.

Warum wurde die DSGVO eingeführt?

Die Datenschutzgrundverordnung wurde bereits vor 2 Jahren (27. April 2016) vom Europäischen Parlament und des Europäischen Rates in der Verordnung 2016/679 eingeführt und wird mit 25. Mai 2018 rechtsgültig.

Ergänzend dazu gibt es auch nationale Gesetzgebungen, in Österreich ist die das Datenschutz-Anpassungsgesetz 2018.

Die DSGVO vereinheitlicht EU-weit die Verarbeitung von personenbezogenen Daten sowie die Rechte der Betroffenen und die Pflichten der Verantwortlichen.

Was sind personenbezogene Daten?

Definition: „Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist.“

Beispiele: Email-Adressen, KFZ-Kennzeichen, IP-Adressen, Videobild, ….

Was sind sensible Daten ?

Sensible Daten sind:

  • rassische und ethnische Herkunft (z.B. bei Videoüberwachungen)
  • politische Meinung, Gewerkschaftszugehörigkeit
  • religiöse oder weltanschauliche Überzeugung
  • Gesundheitsdaten, Sexualleben
  • genetische/biometrische Daten zur eindeutigen Identifizierung

Sensible Daten müssen noch stärker geschützt werden.

Gilt die DSGVO nur für Geschäfte innerhalb der EU?

Nein, wenn es auch außerhalb der EU ein Waren- oder Dienstleistungsangebot in die EU gibt, oder das Verhalten von Kunden in der EU von Ländern außerhalb der EU beobachtet wird. (sogenanntes Profiling).

Wichtige Begriffe

der Auftraggeber (z.B. Unternehmer) wird in der DSGVO als Verantwortlicher bezeichnet.

der Dienstleister (z.B. Auftragnehmer des Unternehmers) wird als Auftragsverarbeiter bezeichnet. (z.B. Steuerberater, externe IT-Dienstleister)

Grundsätze der Datenverarbeitung

  • Rechtmäßigkeit, Transparenz
  • Zweckbindung (festgelegt, bei Ermittlung und Weiterleitung)
  • Datenminimierung (angemessen, keine Hobbies …)
  • Richtigkeit
  • Speicherbegrenzung (nur solange es dem Zweck dient)
  • Integrität und Vertraulichkeit

Rechtmäßigkeit der Datenverarbeitung

  • Einwilligung des Betroffenen
  • Erfüllung eines Vertrages (auch vorvertragliche Maßnahmen)
  • Gesetzliche Verpflichtungen
  • Lebenswichtiges Interesse eines Beteiligten
  • Wahrnehmung einer Aufgabe im öffentlichen Interesse
  • Wahrung von berechtigten Interessen des Verantwortlichen oder eines Dritten (z.B. Kontrollmaßnahmen von Mitarbeitern – Interessensabwägung)

Benötige ich ein Verarbeitungsverzeichnis?

Sehr wahrscheinlich: JA!

„… gelten nicht für Unternehmen oder Einrichtungen < 250 Mitarbeiter,

sofern nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen entsteht, die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien (…) erfolgt …“

=> Bei Lohnbuchhaltung (regelmäßig) oder Newsletter sind schon alle betroffen. Ebenso ist immer ein Risiko gegeben. (Datendiebstahl)

Benötige ich einen Datenschutzbeauftragten?

Für Behörden/öffentliche Einrichtungen ist ein Datenschutzbeauftragter verpflichtend,

für Unternehmen nur, wenn sich dessen Kerntätigkeit mit

  • regelmäßiger und systematischer Beobachtung von Personen – und/oder
  • Verarbeitung von sensiblen/strafrechtlich relevanten Daten

beschäftigt.

Was sind Betroffenenrechte?

Betroffene (deren Daten verarbeitet wurden) haben folgende Rechte:

  • Recht auf Information / Transparenz
  • Recht auf Auskunft (Kopie des Datensatzes)
  • Recht auf Richtigstellung
  • Recht auf Löschung/Widerspruch/Vergessenwerden/Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit (Telekom, Energieversorger, Steuerberater …)

empfindliche Strafen

der Strafrahmen für Vergehen gehen die DSGVO beträgt:

bis 20 Mio EUR bzw. 4% vom weltweiten (Konzern)-Jahresumsatz. (je nachdem was höher ist)

Die Strafen sollen „wirksam, abschreckend“ sein, müssen aber verhältnismäßig sein.

Diese werden bei Vergehen durch die Datenschutzbehörde verhängt.

Typische Vergehen sind:

  • unrechtmäßige Datenverwendung
  • Nichteinhaltung der Pflichten des Verantwortlichen
  • unzureichende Erfüllung der Betroffenenrechte

Was muss ich für mein Unternehmen bis zum 25. Mai erledigt haben?

  1. Verarbeitungsverzeichnis
    • Erfassung sämtlicher Datensysteme (EDV und Papier)
    • Erfassung sämtlicher bestehender Verträge mit externen Dienstleistern und Auftragsverarbeiter
    • Risiko-Abschätzung (z.B. was kann passieren, wenn ein Notebook gestohlen wird?)
    • Entwicklung und Umsetzung technischer und organisatorischer Maßnahmen
  2. Verträge mit Dienstleistern, Kooperationspartnern und Auftragsverarbeitern
  3. Datenschutzvereinbarungen mit Mitarbeitern und/oder Betriebsrat
  4. Definition der Prozesse zur Wahrung der Betroffenenrechte
  5. Definition der Prozesses für die Meldung an die Datenschutzbehörde im Fall eines Datenschutzverletzung (z.B. Diebstahl von Daten)
  6. jährliche Schulung für die Mitarbeiter
  7. jährliche Überarbeitung/Review der o.a. Datenschutzmaßnahmen

für einige Unternehmen wird auch ein Datenschutzbeauftragter zu bestellen sein.

Hilfe bei der DSGVO