skip to Main Content
DSGVO – Die Neuen Regelungen Sind Mit 25.5.2018 Anwendbar!

DSGVO – die neuen Regelungen sind mit 25.5.2018 anwendbar!

Mit der EU-Datenschutz-Grundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. In diesem Beitrag wollen wir die wesentlichen Inhalte der DSGVO samt den Auswirkungen auf Unternehmen überblicksmäßig darstellen.

Die neuen Bestimmungen gelten ab 25.5.2018

Die Verordnung  (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 trat bereits mit 24. Mai 2016 in Kraft und ist – nach einer Übergangsphase von 2 Jahren – nunmehr ab 25. Mai 2018 zwingend anzuwendendes EU-Recht. Somit ist die Verarbeitung personenbezogener Daten ab diesem Zeitpunkt grundsätzlich verboten, es sei denn es besteht eine entsprechender Rechtsgrund (Einwilligung, Vertrag).

Die DSGVO ist nur dann nicht anwendbar, wenn ausschließlich persönliche oder familiäre Daten verwendet werden, zum Beispiel im Zuge der Ausübung von Hobbys, Urlauben, Familienfeste. Somit ist jegliche Datenverwendung im Zuge einer beruflichen oder gewerbliche Tätigkeit von der DSGVO umfasst. Eine Ausnahme für gemeinnützige Vereine besteht nicht!

DVR versus DSGVO

Mit der DSGVO entfällt die Verpflichtung zur Erstattung einer DVR Meldung an die Datenschutzbehörde und wird durch die Eigenverantwortlichkeit der Datenverarbeitenden ersetzt. Die DSGVO unterscheidet zwischen verschiedenen Kategorien von datenverarbeitenden Personen / Organisationen, allen voran zwischen dem „Verantwortlichen“ und dem „Auftragsverarbeiter“.

Welche Daten sind betroffen?

Jegliche personenbezogene Daten, unabhängig von der Aufbewahrungsform, sind von der DSGVO umfasst. Neben digital erfassten Daten sind auch strukturiert abgelegt Daten beispielsweise in Papierform in einem Ordner umfasst.  Einige Beispiele hierzu sind:

  • Kunden- und Lieferantendatenbanken
    • Namen, Adressen, Telefonnummer, Mailadressen, etc.
    • Bestell- und Vertragsdaten, Bankverbindungen, Abrechnungs- und Zahlungsdaten
  • Daten aus Buchhaltung und Lohnverrechnung
  • Mitgliederverzeichnisse (z.B.: bei Vereinen)
  • Daten der Angestellten und Arbeiter, freier Dienstnehmer und Leiharbeiter
  • IP-Adressen
  • Datensicherungen
  • uvm

Aber auch nebenbei geführte Verzeichnisse sind umfasst, beispielsweise:

  • Adressbücher
  • Geburtsagslisten
  • Ausweiskopien
  • Bewerbungen (!)
  • Aufzeichnungen aus Kunden- und Lieferantengesprächen
  • uvm

Besondere Bestimmungen gelten für schutzwürdige sensible Daten. Hierunter fallen:

  • rassische bzw.. ethnische Herkunft
  • politische Einstellung
  • religiöse Weltanschauung
  • Gewerkschaftszugehörigkeit
  • genetische Daten
  • biometrische Daten
  • Gesundheitsdaten
  • sexuelle Orientierung

Wenn dürfen personenbezogene Daten weiterhin verarbeitet werden?

Personenbezogene Daten dürfen ab dem 25. Mai 2018 nur mehr verarbeitet werden, wenn eine der folgenden Voraussetzungen vorliegt:

  1. Einwilligung der jeweiligen Person
  2. Erfüllung eines Vertrags
  3. Erfüllung einer rechtlichen Verpflichtung
  4. Schutz berechtigter Interessen des Verantwortlichen oder Dritten
  5. Schutz lebenswichtiger Interessen
  6. Wahrnehmung von Aufgaben im öffentlichen Interesse oder in der Ausübung öffentlicher Gewalt

Betroffene Personen müssen demnach eine ausdrückliche Einwilligung zur Verarbeitung ihrer Daten erteilen bzw. muss ein entsprechender Vertrag der Datenverarbeitung zu Grunde liegen. Die Einwilligung muss freiwillig und jederzeit widerrufbar sein. Eine Bindung der Zustimmung an die zu erbringende Leistung ist verboten (Kopplungsverbot)

Beispiel 1: Im Zuge einer Registrierung darf kein vorgesetztes Häckchen für die Anmeldung zu einem Newsletter vorhanden sein. Vielmehr muss eine Person freiwillig die Option „Newsletter abonnieren“ anhacken.

Beispiel 2: Die Möglichkeit eine Aufzeichnung eines Telefonats beu zB einem Kundendienst zu Ausbildungszwecken mittels drücken einer Taste am Telefon zu unterbinden ist unzulässig. Vielmehr muss einer Person die Möglichkeit gegeben werden, die Option „Aufzeichnung eines Telefonats zu Ausbildungs- oder Qualitätssicherungszwecken“ freiwillig auszuüben – und nicht nur zu verhindern.

Auskunftsrechte von EU-Bürgern

Bürgern der EU stehen weitreichende Auskunftsrechte betreffend der Verwendung und Verarbeitung Ihrer Daten zu. Gleichlautend haben datenverarbeitende Personen oder Organisationen weitreichende Informationsverpflichtungen:

  • Auskunftsrecht welche Daten verwendet, verarbeitet oder gespeichert werden / sind
  • Recht auf Berichtigung der Daten
  • Recht auf Löschung der Daten (Recht auf „Vergessen-Werden“)
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragung
  • Wiederspruchsrecht
  • Besondere Regelungen betreffend Profiling

Die Informationspflicht ist mit einer First von 1 Monat ab Anfrage versehen. Unter besonderen Umständen kann die Frist einmalig um weitere 2 Monate erstreckt werden. Somit sind Auskünfte an betroffenen Personen im Falle einer Anfrage innerhalb von maximal 3 Monaten zu erteilen. Die Frist klingt im ersten Anschein recht lange, bedenkt man allerdings, dass man das gesamte digitale Archiv auf allen Servern und Datenträgern sowie sämtliche strukturiert abgelegte Daten in Form von Ordern oder Exccel-Files, etc durchsuchen und entsprechend (in Form einer Kopie) auch Wunsch zur Verfügung stellen muss, kann auch eine Beantwortung innerhalb von 3 Monaten eine Herausforderung werden.

Dokumentationsverpflichtungen / Datenschutzerklärungen / Datenschutzbeauftragter

  • Verzeichnis von Verarbeitungstätigkeiten
    Aufgrund der DSGVO ist keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten und auch die DVR-Nummer gehört der Vergangenheit an. Es muss jederzeit nachgewiesen werden können, dass die Verarbeitung von Daten DSGVO-konform erfolgt. Das Kernstück ist die Erstellung eines Verarbeitungsverzeichnisses in dem sämtliche Daten, deren Herkunft, Inhalt und Verwendung dokumentiert wird. Insbesondere muss das Verzeichnis die folgenden Informationen enthalten:

    • Name und Kontaktdaten des Verantworltichen (allenfalls des Datenschutzbeauftragten)
    • Beschreibung der Datenverarbeitung
    • Beschreibung der betroffenen Personenkategorien
    • Arten den personenbezogenen Daten
    • Kategorien von Empfängern der Daten
    • Übermittlungen ins Drittland (?)
    • Fristen zur Löschung von Daten
    • Beschreibung der technischen und organisatorischen Maßnahmen zu Datensicherheit

Da wohl in fast allen Unternehmen und Organisationen die Verarbeitung personenbezogener Daten in der ein oder anderen Weise erfolgt, wird es für die Erstellung des Verarbeitungsverzeichnissen nur sehr eingeschränkte Ausnahmen geben.

  • Informationspflichten zum Datenschutz
    Die Informationspflicht ist ein Kernelemt der DSGVO. So sind im Rahmen einer Datenschutzerklärung sämtliche Informationen bereit zu stellen die die Art und Weise der Datenverabeitung und Schutzmaßnahmen in einem Unternehmen / Organisation darlegen. In der Regel wird das in Form einer Datenschutzerklärung auf der Webpage des Unternehmens erfolgen.
  • Datenschutzbeauftrater
    Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist für Unternehmen nur in folgenden Fällen vorgesehen, wenn

    • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive).
    • die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten).

Haftungsrisiko und Strafen

Die nunmehrige Anwendbarkeit der DSGVO stellt in vielerlei Hinsicht ein erhöhtes Haftungsrisiko für Verantwortliche und Auftragsverarbeiter dar. Die Strafdrohungen sind drakonisch. Bei bestimmten besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist (z.B. Verletzung der Betroffenenrechte). In sonstigen Fällen beträgt die Strafhöhe bis zu EUR 10 Mio oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, welcher Betrag höher ist (z.B. Verletzung der Datensicherheitsvorschriften).

Geldbußen für Verstöße gegen diese Verordnung sollen in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein.

Bei der Verhängung einer Geldbuße und der Entscheidung über deren Höhe sind mehrere Punkte zu berücksichtigen, wie z.B.

  • Art, Schwere und Dauer des Verstoßes
  • Zahl der von der Verarbeitung betroffenen Personen und das Ausmaß des von ihnen erlittenen Schadens
  • Vorsätzlichkeit oder Fahrlässigkeit des Verstoßes
  • vorgenommene Maßnahmen zur Schadensminderung
  • Grad der Verantwortung des Verantwortlichen und des Auftragsverarbeiters unter Berücksichtigung der getroffenen technischen und organisatorischen Maßnahmen für die Datensicherheit
  • etwaige einschlägige frühere Verstöße des Verantwortlichen oder Auftraggebers
  • Umfang der Zusammenarbeit mit der Aufsichtsbehörde, um dem Verstoß abzuhelfen und seine möglichen nachteiligen Auswirkungen zu mindern
  • Kategorien personenbezogener Daten, die vom Verstoß betroffen sind
  • Umfang und Art der Meldung des Verstoßes an die Aufsichtsbehörde
  • Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsfahren
  • durch den Verstoß erlangte Vorteile oder erlittene Verluste

Wird gegen mehrere Bestimmungen der DSGVO verstoßen, so darf der Gesamtbetrag der Geldbuße nicht den Strafbetrag für den schwerwiegendsten Verstoß übersteigen.

Fazit

Es ist höchste Zeit sich mit der DSGVO und den darin enthaltenen Bestimmungen zu Beschäftigen. Bis Ende Mai 2018 muss ein umfangreicher Maßnahmenkatalog umgesetzt werden. Nicht nur die umfangreichen und teils kostenintensiven Vorbereitungsmaßnahmen, vor allem aber auch die teils drakonischen Strafen machen eine intensive Auseinandersetzung mit der Materie unerlässlich.

Haben Sie weitere Fragen?
Wir stehen Ihnen gerne für weitere Fragen zur Verfügung. Kontaktieren Sie uns unter office@gutmann-consulting.at oder telefonisch unter +43 2623 72357 .

Hilfreiche Links

 

Back To Top
×Close search
Suche

Steuernews Anmeldung

Abonnieren Sie unseren Newsletter um aktuelle News, Termine, Veranstaltungen und die aktuellen Finanzamt-Termine zu erhalten.

Ihre persönlichen Daten werden selbverständilich vertraulich und ausschließlich für diesen Newsletterservice verwendet.