Ende Mai tritt die Datenschutz-Grundverordnung in Kraft – in vielen Kleinunternehmen Österreichs müssen entsprechende Schritte aber erst eingeleitet werden. Doch kein Grund zur Panik! Mit unserer Serie zum Datenschutz sind Sie bestens für alle neuen Anforderungen gerüstet.
Teil 1: Frischen Sie Ihr Grundlagenwissen auf mit den 10 wichtigsten Fragen & Antworten zur neuen Verordnung!
1. Wann tritt die Datenschutz-Grundverordnung genau in Kraft?
Die EU-Datenschutz-Grundverordnung kommt nach einer Übergangsfrist am 25. Mai 2018 zur Anwendung.
2. Wie wird geschützt?
In der DSGVO wird sehr großer Wert auf Prinzipien wie Zweckbindung, Datenminimierung und Transparenz gelegt. Neu ist: Die notwendigen Maßnahmen müssen von Unternehmen selbst gesetzt werden. Erst bei einer Datenschutz-Panne tritt die Behörde auf den Plan.
Unterstützung bei den konkreten Maßnahmen (Checklisten, Musterdokumente etc.) finden Sie z.B. auf der Seite der WKO oder in der Formularmappe Datenschutz im Unternehmen.
„Der Grundgedanke (… ) ist, dass jeder, der Daten verarbeitet, sich selbst darum kümmern muss, dass er sie schützt.“ – Felix Hörlsberger, Kanzlei Dorda Brugger Jordis
3. Wie ist der Umgang mit personenbezogenen Daten zukünftig zu handhaben?
Der Umgang mit personenbezogenen Daten ist ohne Erlaubnis der betroffenen Person verboten. Hat Ihr Unternehmen die Erlaubnis, müssen Sie die Person darüber informieren, auf welche Rechtsgrundlage Sie die Datenverarbeitung stützen.
Dazu ist es sinnvoll, Ihre Datenverarbeitung und die dazugehörigen Rechtsgrundlagen zu dokumentieren, um auf Auskunftsansprüche zu reagieren.
4. Was bedeutet Einwilligung?
Die Erteilung der Einwilligung erfordert eine freiwillige, informierte und eindeutige Handlung. Achtung: Stillschweigendes Einverständnis, standardmäßig angekreuzte Kästchen oder Untätigkeit des Betroffenen sind keine Einwilligung!
Auch muss in verschiedenen Datenverarbeitungsvorgängen jeweils gesondert eingewilligt werden. Die Einwilligung muss nachgewiesen werden können und kann jederzeit widerrufen werden.
5. Haben Sie Informations- und Auskunftspflichten dem Betroffenen gegenüber?
Vor jeder Weiterverarbeitung der Daten zu einem anderen Zweck sind Sie verpflichtet, dem Betroffenen erneut Informationen zur Verfügung zu stellen.
Vorlagen für Einwilligungs-Erklärungen finden Sie ebenfalls in der Formularmappe Datenschutz im Unternehmen.
6. Wie werden die Löschpflicht und die Hinweispflicht an Dritte gehandhabt?
Wird die Einwilligung widerrufen bzw. werden die Daten für den vereinbarten Zweck nicht mehr gebraucht, müssen die Daten gelöscht werden. Wurden Daten an Dritte weitergegeben, ist darauf hinzuweisen.
Wenn Ihr Datenbestand nicht mehr up-to-date ist und Sie diesen an Dritte weitergegeben haben, müssen Sie dieses Unternehmen auf diese Unrichtigkeit hinweisen.
7. Kopplungsverbot – was ist das?
Artikel 7 Abs. 4 DSGVO setzt sich mit dem „Koppelungsverbot“ auseinander und zählt wohl zu den am kniffeligsten formulierten Abschnitten der Verordnung. Worum es darin geht, lässt sich an einem Beispiel gut veranschaulichen:
Ein Online-Versandhaus möchte, nachdem ein Kunde sich für einen Kauf auf seiner Website registriert hat, die Kundendaten verwenden, um ihm Briefwerbung zuzusenden. Dazu muss das Versandhaus im Bestellprozess vom Kunden eine Erlaubnis einholen. Diese Erlaubnis muss folgenden Kriterien entsprechen:
a.) Unmissverständlichkeit (lt. Art. 4 Nr. 11 DSGVO)
b.) Freiwilligkeit – was darunter zu verstehen ist, definiert der Erwägungsgrund 43 DSGVO:
“Die Einwilligung gilt nicht als freiwillig erteilt, wenn zu verschiedenen Verarbeitungsvorgängen von personenbezogenen Daten nicht gesondert eine Einwilligung erteilt werden kann, obwohl dies im Einzelfall angebracht ist, oder wenn die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung nicht erforderlich ist.”
Konkret bedeutet das: Koppelt das Versandhaus eine Werbeeinwilligung an einen Kaufvertrag, ist dies nicht zulässig, denn: Eine Werbeeinwilligung ist nicht erforderlich, damit der Kunde seine Ware erhält, bzw. der Händler den Preis kassieren kann.
8. Besteht eine Verpflichtung, einen Datenschutzbeauftragten (DSB) zu bestellen?
Ebenso, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten (z.B. Krankenanstalten) oder von Daten in Strafsachen besteht.
9. Wie schnell sind Datenpannen zu melden, und was kosten Bußen?
Die Frist um schwerwiegende Datenpannen zu melden beträgt maximal 72 Stunden. Zusätzlich muss der Betroffene unverzüglich informiert werden.
Geldbußen bei Missachtung der Datenschutz-Grundverordnung können bis zu 4 Prozent des weltweiten Jahresumsatzes pro Verstoß betragen.
10. Mit welchem Aufwand müssen Sie rechnen?
Je nachdem, wie viele Datenverarbeitungsprozesse und Verträge zu prüfen sind und welche Relevanz geänderte Vorschriften für die Unternehmensprozesse haben, differiert der Aufwand. Die Rechenschaftspflicht führt zu erhöhtem Dokumentationsaufwand, der sich aber bei vernünftiger Planung in Grenzen hält!
Kein Grund zur Sorge:
Wer bei Datenschutz-Fragen Transparenz, Dokumentations- und Rechenschaftswillen zeigt, kann trotz DSGVO zuversichtlich in die Zukunft blicken!
Sie möchten mehr Informationen zum Thema Datenschutz? In Teil 2 erfahren Sie, wie Sie die neue Datenschutz-Grundverordnung zu Ihrem Vorteil nutzen können, in Teil 3 geht es um den rechtskonformen Umgang mit Mitarbeiterdaten.