suchen

Datenschutz: Strenge "Spielregeln" für alle

Datenschutz

Wer Daten verarbeitet, muss diese sensibel handhaben.

Datenschutz wird seit Jahren gefordert. Da aber keine wirklichen Sanktionen zu befürchten waren, wurde er bisher von vielen Unternehmen nicht übermäßig ernst genommen. Dies wird sich nun ändern müssen: Ende Mai 2018 trat die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Diese ist in jedem EU-Mitgliedsstaat unmittelbar anwendbar und ersetzt die bisherigen nationalen gesetzlichen Bestimmungen. Sie enthält jedoch einige Öffnungsklauseln und lässt dem Nationalgesetzgeber gewisse Spielräume. In Österreich wurde daher als Ergänzung zur DSGVO das Datenschutz-Anpassungsgesetz 2018 beschlossen, in welchem das bisherige Datenschutzgesetz geändert wurde. Von diesen neuen Regelungen sind alle betroffen – auch Kleinstunternehmen!

Um welche Daten geht es?

Die neuen Regeln betreffen alle Daten die ausreichend Informationen enthalten, damit eine Person identifiziert werden kann: Name, Adresse, Telefonnummer, Geburtsdatum, Bankdaten, Sozialversicherungsnummer, IP-Adresse, usw. Neben solchen personenbezogenen Daten definiert das DSGVO sensible Daten, für die ganz besondere Bestimmungen gelten. Sensible Daten sind unter anderem biometrische Daten oder Daten zur Gesundheit, Sexualität oder Ethnie. Grundsätzlich dürfen solche Angaben nur dann verarbeitet werden, wenn eine Einwilligung vorliegt oder dies für die Erfüllung eines Vertrages oder einer rechtlichen Verpflichtung notwendig ist. Etwas vage ist die Formulierung, dass Daten erfasst werden dürfen, um das berechtigte Interesse des Unternehmens zu wahren, wenn nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Person überwiegen.

Ein wesentlicher Grundsatz ist die Zweckbindung. Jede Datenverarbeitung muss einem im Vorhinein festgelegten Zweck dienen. Außerdem muss jederzeit nachgewiesen werden können, dass die Verwendung der Daten gesetzeskonform ist. Dazu muss ein Verzeichnis mit allen Datenanwendungen geführt werden. Website, AGB und der Newsletterversand (Einwilligungserklärung) müssen entsprechend angepasst werden.

Es bestehen Informationspflichten gegenüber Mitarbeitern, Kunden und Geschäftspartnern. Mit Dienstleistern (künftig Auftragsbearbeiter genannt) müssen entsprechende datenschutzkonforme Verträge abgeschlossen werden. Es ist ein Sicherheitskonzept notwendig, wie die Daten geschützt werden. Eventuell ist ein Datenschutzbeauftragter zu bestellen.

Einwilligungserklärungen, Verarbeitungsverzeichnisse, Sicherheitsmaßnahmen, Verträge mit Dienstleistern und anderes müssen genau dokumentiert werden, damit jederzeit klar nachvollziehbar ist, über welche personenbezogenen Daten jemand verfügt.

Verarbeitungsverzeichnis

Jeder, der Daten verarbeitet, muss künftig zu Dokumentationszwecken ein „Verarbeitungsverzeichnis“ anlegen. Darin müssen folgende Angaben enthalten sein:

  • Name und Kontaktdaten des verarbeitenden Unternehmens,
  • Beschreibung der Datenverarbeitung und der mit ihr verfolgte Zweck,
  • Beschreibung der betroffenen Personenkategorien (Kunden, Lieferanten, Mitarbeiter, usw.),
  • welche personenbezogenen Daten benützt werden (Name, Adresse, E-Mail, SV-Nr., usw.),
  • Kategorien von Empfängern (Buchhaltung, Steuerberater, Vertriebspartner, usw.).

Datenschutzbeauftragter

Wenn eine Kerntätigkeit des Unternehmens in der Überwachung von Personen oder in der Verarbeitung sensibler Daten liegt, muss ein Datenschutzbeauftragter verpflichtend bestellt werden. Dies betrifft insbesondere Gesundheitseinrichtungen, Auskunftsbüros, Personalvermittlungen und ähnliche Dienstleister. Ansonsten reicht es, wenn im Unternehmen ein Datenschutzkoordinator bestellt wird.

Hohe Geldstrafen bei Datenschutzverletzungen

Datenschutzverletzungen müssen binnen 72 Stunden gemeldet werden. Die Unternehmen sind zudem verpflichtet, über Anfrage innerhalb festgelegter Fristen Auskunft über gespeicherte Daten zu erteilen, diese richtig zu stellen oder zu löschen. Die Sanktionen können drastisch sein, wobei die Aufsichtsbehörde (Datenschutzkommission) nach den Umständen des Einzelfalles zu entscheiden hat.

Der Bund hat die österreichische Datenschutzbehörde zur nationalen Aufsichtsbehörde bestellt. Diese ist wie die Aufsichtsbehörden der anderen Mitgliedstaaten im europäischen Datenschutzausschuss vertreten. Die österreichische Datenschutzbehörde kann Geldbußen in eklatanter Höhe verhängen sowie Beschränkungen und Verbote von Datenverarbeitungen anordnen. So sind etwa Bußgelder von bis zu 20.000 Euro bei

  • unrechtmäßiger Datenspeicherung
  • unzulässiger Auslandsübermittlung
  • Verletzung des Auskunftsrechtes
  • Verletzung des Löschungsrechtes

vorgesehen.

Wenn ein Unternehmen

  • keinen Datenschutzbeauftragten bestellt und
  • kein Bearbeitungsverzeichnis anlegt,
  • nicht mit der Datenschutzbehörde kooperiert oder
  • Sicherheitslücken bei der Datenverarbeitung aufweist,

kann dies mit Strafen in der Höhe von bis zu 10.000 Euro geahndet werden.

Im Extremfall können sogar Geldbußen von bis zu vier Prozent des erzielten Jahresumsatzes verhängt werden. Nicht übersehen werden darf, dass es bereits bei fahrlässigen Verstößen gegen das Datenschutzgesetz zu Strafen kommen kann. Es ist aber dennoch davon auszugehen, dass es vor allem bei kleineren Unternehmen und speziell in der Einlaufphase vorerst bei Verwarnungen bleiben wird, soweit keine groben oder gar vorsätzlichen Verstöße vorliegen.

Rechtsanwälte
PICCOLRUAZ & MÜLLER

Werdenbergerstraße 38
6700 Bludenz
Vorarlberg, Österreich

Tel. +43 5552 62 286
Fax +43 5552 62 286-18
office@pm-anwaelte.at

Kontakt aufnehmen


CAPTCHA-Bild

* Diese Informationen sind notwendig um Doppelvertretungen/Interessenskollisionen zu vermeiden.