…

Datenschutzgrundverordnung – To-Do's für Unternehmen

Vor allem wegen ihrer sehr hohen Strafen ist Datenschutzgrundverordnung zurzeit in aller Munde: bis zu 4 % des Konzernumsatzes oder 20 Millionen, je nachdem welcher Betrag höher ist, sind möglich, weiß Rechtsanwältin Dr. Christine Knecht-Kleber LL.M.

In der Tat ist Handlungsbedarf gegeben, denn die verbleibende Zeit von 13 Monaten zur Umsetzung der erforderlichen Maßnahmen ist denkbar kurz.

GRUNDSÄTZLICHES ZUM DATENSCHUTZRECHT

Wann ist das Datenschutzrecht zu beachten?
Sämtliche Informationen, die die Feststellung der Identität einer Person ermöglichen (zB E-Mail-Adresse, Foto, Anschrift, IP-Adresse, Sozialversicherungsnr. usw.) sind personenbezogen und unterliegen dem Datenschutz. Anonyme Daten sind daher ausgenommen.

Jede Datenverarbeitung ist verboten
Sofern keine gesetzliche Grundlage vorliegt, ist jede Datenverarbeitung verboten. Als gesetzliche Grundlage dienen in der Praxis vor allem die Erfüllung einer vertraglichen Pflicht oder die Einwilligung. Wer beispielsweise eine Ware bestellt, muss seine Adresse bekanntgeben, damit diese zugestellt werden kann und wer einen Newsletter an seine Kunden per E-Mail versenden möchte, benötigt seine Zustimmung.

Zweckbestimmung, Datensparsamkeit und Informationspflichten
Neben einer Rechtsgrundlage erfordert jede Datenverarbeitung einen festgelegten, legitimen Zweck. Will man die IP-Adresse und User-IDs protokollieren und speichern, um die Benutzerfreundlichkeit der Website zu optimieren, ist dieser Zweck anzugeben. Ferner sind die erhobenen Daten auf das für die Verarbeitung notwendige Maß zu beschränken. Jede Person hat ein Recht zu erfahren, welche personenbezogenen Daten zu welchem Zweck, von wem, wie lange verarbeitet werden und ob sie an Dritte weitergegeben werden. Dies geschieht durch die Datenschutzerklärung.

DATENSCHUTZGRUNDVERORDNUNG

Ab wann gilt sie und was ist zu tun?
Die Europäische Datenschutzgrundverordnung (DSGVO) gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Sie ersetzt die EU-Datenschutzrichtlinie sowie das österreichische Datenschutzgesetz. Die obigen Grundsätze zur Datenverarbeitung erfahren keine wesentliche Änderung, es kommen aber weitere Pflichten und Unsicherheiten auf die Unternehmen zu. Durch den Wegfall der Meldeplicht bei der Datenschutzbehörde haben die Unternehmen ihre Datenverarbeitungen eigenverantwortlich und datenschutzkonform durchzuführen.

Vorbeugende Maßnahmen: Datenschutz durch Technik und Voreinstellungen
Um Datenschutzverstöße schon im Vorfeld zu verhindern, müssen Unternehmen „technische und organisatorische Maßnahmen“ ergreifen und eine Datenschutzfolgenabschätzung vornehmen. Unter einer technischen Maßnahme ist zB die Verschlüsselung und Pseudonymisierung von Daten gemeint. Ein Beispiel für eine organisatorische Maßnahme ist die Beschränkung des Datenzugriffs auf das Minimum (need-to-know) uvm. Faktoren wie technische Machbarkeit, Kosten und Eintrittswahrscheinlichkeit einer Verletzung sind dabei ebenfalls zu berücksichtigen.

Verarbeitungsverzeichnisse
Unternehmen müssen sich fortan einen Überblick über ihre Datenanwendungen verschaffen, indem sie ermitteln und dokumentieren

  • wo
  • welche Daten
  • von wem
  • auf welcher Rechtsgrundlage
  • zu welchem Zweck
  • wie lange

verarbeitet werden und ob eine Weitergabe an Dritte (zB IT-Dienstleister) erfolgt.

Eine Ausnahme besteht für Unternehmen mit weniger als 250 Mitarbeitern. Allerdings darf ihre Haupttätigkeit nicht in der Verarbeitung von sensiblen Daten bestehen und nicht regelmäßig erfolgen.

© 2017 RA Dr. Christine Knecht-Kleber LL.M.

Bildquelle: www.unsplash.com/matthew-henry