Sind Sie bereits datenschutzfit?

RA Mag. Gerald Mair

Rechtsanwalt in Wien und Gründungspartner der vorrangig auf IP-/IT-Recht und Datenschutz spezialisierten Kanzlei PENDL MAIR. mair@pm-law.at.

Das Thema „Datenschutz neu“ spricht sich langsam herum. Immer mehr Medien berichten von der neuen Datenschutz-Grundverordnung (DSGVO). Interessenverbände rufen dazu auf, das eigene Unternehmen auf die Einhaltung der Datenschutzbestimmungen zu prüfen bzw. die neuen Pflichten umzusetzen. Angesichts der gravierenden Höchststrafen – bis zu 20 Mio. Euro oder 4 % des weltweiten Umsatzes des vergangenen Jahres (je nachdem, was höher ist) – besteht teilweise große Unsicherheit. Es ist daher angeraten, sich frühzeitig vorzubereiten.

 

Die DSGVO trat zwar am 25. Mai 2016 in Kraft, sie sieht aber eine Übergangsphase zur Umsetzung der darin enthaltenen Bestimmungen bis 25. Mai 2018 vor. Dann ist die DSGVO aber unmittelbar anwendbar und bedarf keiner nationalen Umsetzung. Allerdings sieht die DSGVO zahlreiche sogenannte „Öffnungsklauseln“ vor, die (lediglich) gewisse Präzisierungen erlauben. Eine Abschwächung, etwa der Strafen oder Änderungen der Pflichten, ist nicht möglich.

Selbstverantwortung wird nun groß geschrieben. Mit einigen wenigen Ausnahmen hat jeder, der personenbezogene Daten für sich selbst oder für jemand anderen verarbeitet, umfangreiche Pflichten zu erfüllen und zahlreiche Betroffenenrechte zu beachten, um dem Grundrecht auf Schutz perso-nenbezogener Daten gerecht zu werden.

 

Zwei Pflichten werden hier kurz erörtert:

Eine wesentliche Neuerung ist die Erstellung eines „Verarbeitungstätigkeits-Verzeichnisses“, das nahezu jeder Unternehmer haben muss. Es gibt zwar Ausnahmebestimmungen, diese sind aber derart restriktiv, dass bereits Unternehmer, die nicht nur einen (sehr) kleinen Kundenstock aufweisen, diese Pflicht zu erfüllen haben. Ein derartiges Verzeichnis ist für alle relevanten Verarbeitungstätigkeiten zu führen, und hat u.a. den Namen (Kontaktdaten), den Verarbeitungszweck, eine Beschreibung der Kategorien betroffener Personen und Kategorien der personenbezogenen Daten, Kategorien der Empfänger, gegebenenfalls die Übermittlungen in Drittländer und, wenn möglich, Löschungsfristen sowie die Beschreibung der technischen und organisatorischen (Sicherheits-)Maßnahmen zu enthalten. Dieses Verzeichnis dient vor allem zur Nachvollziehbarkeit gegenüber der Behörde bei Kontrollen. Die Erfassung sämtlicher personen­bezogener Datenverarbeitungsvorgänge wird den einen oder anderen Unternehmer vor große Herausforderungen stellen.

 

Praxistipp: Prüfen Sie sämtliche Applikationen im Unternehmen auf die Verarbeitung personenbezogener Daten. Man kann die relevanten Daten systematisch über Abteilungen bzw. nach bestimmten Aufgabengebieten (Marketing, HR, Einkauf, …) im Unternehmen erheben.

Eine weitere Herausforderung für Unternehmen bzw. andere Verantwortliche wird die Erstellung einer DSGVO-konformen Einwilligungserklärung sein. Jede Verarbeitung personenbezogener Daten bedarf nämlich einer rechtlichen Grundlage.

Eine dieser Grundlagen kann die Einwilligung der betroffenen Person darstellen. Dabei sind bestimmte Informationspflichten einzuhalten, widrigenfalls keine gültige Einwilligung vorliegt. Die informierte Einwilligungserklärung hat u.a. den Namen (Kontaktdaten) des Verantwortlichen, die Verarbeitungszwecke und die Rechtsgrundlage, die Empfänger, die Dauer der Verarbeitung und die Betroffenenrechte zu enthalten. Erfolgt die Einwilligung­ schriftlich, was angesichts der Nachweispflicht­ ratsam ist, muss die Formulierung in einer klaren und einfachen Sprache, also verständlich und leicht zugänglich erfolgen. Angesichts der vielen Informationen, die zur Verfügung gestellt werden müssen, kann auch das als große Herausforderung betrachtet werden. Auf den ersten Blick sind die weiteren Aufgaben enorm, die insbesondere auf die Unternehmerschaft zukommen. Der Preis ist hoch. Die Umsetzung der DSGVO in Europa kann allerdings auch eine große Chance darstellen. Wer sehnt sich nicht nach einem effektiven Datenschutz, bei dem der Betroffene wieder die Kontrolle über seine Daten erhält und tatsächlich erfährt, was mit seinen Daten passiert. Faktum ist, dass Daten das Öl des 21. Jahrhunderts sind, mit welchen sorgfältig um­gegangen werden sollte. Ein hohes Datenschutz­niveau in Europa eröffnet neue wirtschaftliche Möglichkeiten.