Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung in der gesamten Europäischen Union in Kraft. Sie ist eine unmittelbar anwendbare Verordnung, es gibt also keine Ausnahmen in einzelnen EU-Mitgliedsstaaten. Für Verstöße sind Geldbußen von bis zu 20 Millionen Euro vorgesehen. Grund genug, die DSGVO nicht auf die leichte Schulter zu nehmen.
Beachte: Ich bin kein Jurist! Ich habe hier lediglich die – meiner Meinung nach – wichtigsten Punkte herausgearbeitet, ohne Anspruch auf Vollständigkeit.
Wen betrifft die Datenschutz-Grundverordnung?
Die DSGVO betrifft Unternehmen, Neue Selbständige, Vereine, Verbände (als Verantwortliche bezeichnet), sofern sie personenbezogene Daten verarbeiten – unabhängig von deren Größe. Erfasst man also Daten von Kundinnen/Kunden, Geschäftspartnerinnen/Geschäftspartnern, Mitgliedern, oder Personen, die nur einen Newsletter empfangen (als Betroffene bezeichnet), sollte man sich mit der DSGVO auseinandersetzen.
Was steht in der Datenschutz-Grundverordnung?
Vieles! Der wichtigste Punkt: Grundsätzlich ist jede Verarbeitung von Daten verboten – außer, man schließt einen Vertrag darüber ab. In einem solchen wird die grundsätzliche Zustimmung abgefragt, und Betroffene müssen darüber informiert werden, was Verantwortliche mit den erfassten Daten machen. Verantwortliche sind gegenüber Betroffenen und gegenüber Behörden über die Datenverarbeitung auskunftspflichtig. Und Verantwortliche sind für die Sicherung der Daten verantwortlich.
Welche Schritte müssen gesetzt werden?
Der wichtigste Schritt ist die Erstellung eines Verzeichnisses nach Artikel 30 der DSGVO. In diesem Verzeichnis ist eine Person als Verantwortliche zu definieren. Weiters sind dort alle Prozesse der Datenverarbeitung niedergeschrieben: Welche Daten werden erfasst, zu welchem Zweck, wie lange werden diese gespeichert, wo werden diese gespeichert und wer hat Zugriff auf welche Daten? Wenn dieses Verzeichnis nicht vorhanden oder fehlerhaft ist, könnte das weitreichende Konsequenzen haben. Die Wirtschaftskammer stellt Muster zum Download bereit.
Was kann ab dem 25. Mai 2018 passieren?
Betroffene können Auskunft über die erfassten Daten verlangen. Prinzipiell ist jedes Mail, jeder Datenbankeintrag, jeder Besuch, jedes SMS, jede WhatsApp-Nachricht oder sonstige Kommunikation vorzulegen. Betroffene können auch die Löschung ihrer Daten beantragen – dem ist im Rahmen der gesetzlichen Vorgaben Folge zu leisten (aus buchhalterischen Gründen müssen gewisse Daten beispielsweise sieben Jahre gespeichert werden). Sobald man Kenntnis einer Datenschutzverletzung (Datenleck oder Ähnliches) erlangt, muss man diese binnen 72 Stunden melden.
Wer braucht einen Datenschutzbeauftragten?
Datenschutzbeauftragte müssen bestellt werden, sofern die Kerntätigkeit der Unternehmen in Verarbeitungsvorgängen besteht, die eine regelmäßige, systematische Überwachung von Betroffenen erforderlich machen (Krankenhäuser, Banken, Versicherungen, Sicherheitsunternehmen). Und, wenn die Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten oder Daten über strafrechtliche Verurteilungen liegt (Internet-Service-Provider, Telefondienstanbieter).
Wie bereitet man sich vor?
Die Datenschutz-Grundverordnung ist ein sehr individuelles Thema. Gerne können wir die DSGVO im Detail besprechen!