Publikationen Newsletter Registrieren Anmelden

Die EU-Datenschutz-Grundverordnung

Ab dem 25. Mai 2018 ist die neue Datenschutz-Grundverordnung (DS-GVO) in Geltung, welche die Verarbeitung der personenbezogenen Daten von natürlichen Personen in einem Mitgliedstaat der EU regelt. Damit wird das europäische Datenschutzrecht zwar nicht komplett neu gestaltet, die Regelungen der Datenschutz-Richtlinie werden jedoch modernisiert und an die aktuellen technischen Entwicklungen angepasst. Die DS-GVO ist grundsätzlich in allen Teilen verbindlich und unmittelbar in jedem Mitgliedstaat anzuwenden. Die zahlreichen Spielräume in der Verordnung führen jedoch dazu, dass auch die nationalen Gesetzgeber tätig werden müssen. In Österreich ist daher ab dem 25. Mai 2018 neben der DS-GVO auch die Neufassung des innerstaatlichen Datenschutzgesetzes – das DSG 2018 – zu beachten.

Jeder Unternehmer betroffen

Die DS-GVO enthält die aktualisierten Regelungen zum Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten und zum freien Datenverkehr innerhalb der EU. „Personenbezogene Daten“ im Sinne der Verordnung sind alle Informationen, die sich auf eine identifizierte oder auch bloß eine identifizierbare natürliche Person beziehen. Grundgedanke des europäischen Datenschutzrechts ist folglich nach wie vor, die Privatsphäre von natürlichen Personen zu schützen, ohne den Datenverkehr innerhalb der Union unverhältnismäßig zu beschränken. Ab dem 25. Mai 2018 drohen für Unternehmen jedoch empfindliche Geldstrafen, wenn sie gegen bestimmte Datenschutzbestimmungen verstoßen – die neuen Regelungen der DS-GVO werden also jedenfalls zu berücksichtigen sein.

Wesentliche Änderungen

  • Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen: Zum einen sind technische und organisatorische Maßnahmen zu treffen, um den Anforderungen der DS-GVO zu genügen und die Rechte der betroffenen Person zu schützen. Zum anderen sind Voreinstellungen grundsätzlich so zu wählen, dass nur die personenbezogenen Daten verarbeitet werden, die für den konkreten Zweck unbedingt erforderlich sind.
  • Verzeichnis von Verarbeitungstätigkeiten: Die Meldung bei der Datenschutzbehörde vor der Aufnahme einer Datenanwendung zum Zweck der Registrierung im Datenverarbeitungsregister entfällt. Stattdessen hat der für die Verarbeitung Verantwortliche ein Verarbeitungsverzeichnis zu führen, das er auf Anfrage der Aufsichtsbehörde vorzulegen hat.
  • Benachrichtigungen bei der Verletzung des Schutzes personenbezogener Daten: Der für die Verarbeitung Verantwortliche hat im Falle der Verletzung des Schutzes personenbezogener Daten unverzüglich die Datenschutzbehörde zu informieren, außer die Verletzung führt zu keinem Risiko für die Rechte und Freiheiten natürlicher Personen. Bei einem hohen Risiko ist auch die betroffene Person vom Verantwortlichen in klarer und einfacher Sprache zu benachrichtigen.
  • Datenschutz-Folgenabschätzung: Der Verantwortliche hat – insbesondere bei der Verwendung von neuen Technologien – auch die Folgen seiner vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten abzuschätzen, wenn sie voraussichtlich zu einem hohen Risiko für die Rechte und Freiheiten natürlicher Personen führen.
  • Benennung eines Datenschutzbeauftragten: Unternehmen haben jedenfalls dann einen Datenschutzbeauftragten zu benennen, wenn ihre Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen oder wenn sie besonders sensible Daten umfangreich verarbeiten. Der Datenschutzbeauftragte ist in alle Fragen einzubinden, die mit dem Schutz personenbezogener Daten im Unternehmen zusammenhängen.
  • Verhängung von Geldbußen: Im Sinne der konsequenten Durchsetzung des Datenschutzrechts in der EU drohen künftig hohe Geldstrafen, sollten bestimmte Datenschutzbestimmungen verletzt werden. In der DS-GVO sind Geldbußen von bis zu 20 Mio. Euro oder auch von bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes eines Unternehmens vorgesehen. Für Unternehmer ist es daher entscheidend, sich rechtzeitig auf den Stichtag am 25. Mai 2018 vorzubereiten.
Themen Autor Julia Kogler
Mag. Julia Kogler

Mag. Kogler ist Juristin und im Bereich Liegenschaften/Recht im Bankhaus Spängler tätig.

Diese Website nutzt Cookies. Dies verbessert die Leistung der Website und ist im Sinne des Users. Wenn sie dem Einsatz von Cookies nicht zustimmen, können Sie sie deaktivieren.