Die EU-Datenschutz-Grundverordnung

... und was Sie darüber wissen sollten

Die EU-Datenschutz-Grundverordnung (DSGVO) ist zurzeit in aller Munde. Am 25. Mai 2018 soll sie in Kraft treten und Unternehmen, die sie nicht einhalten mit horrenden Strafzahlungen sanktionieren. Doch von welchen Daten ist hier überhaupt die Rede und was bedeutet die neue Regelung nun für den Unternehmensalltag? Wir haben uns für Sie schlau gemacht und zusammengefasst, was Sie über die DSGVO wissen sollten.

Datenschutz - Ein großes Thema 2018

Datenschutz und IT-Sicherheit sollen künftig nicht mehr dem Zufall überlassen werden. Denn in knapp einem halben Jahr – um genau zu sein am 25. Mai 2018 – tritt die neue EU-Datenschutz-Grundverordnung in Kraft und bringt höhere Sicherheitsstandards mit sich. Im Wesentlichen hat die Verordnung folgende Ziele:

• Höhere Transparenz und Sicherheit im Umgang mit personenbezogenen Daten,
• Stärkere Betroffenheitsrechte,
• Die Gewährleistung eines starken und einheitlichen Vollzugs,
• Sowie höhere Strafen bei Nichteinhaltung der Verordnung.

Kurzum, die Datenschutz-Grundverordnung soll die Regelungen für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlichen. Die DSGVO wird das europäische Datenschutzrecht nicht völlig umwälzen, sie bringt jedoch in der Praxis erhebliche Änderungen mit sich.

Geltungsbereich

Die DSGVO bildet das Rückgrat des allgemeinen Datenschutzes innerhalb der EU. Ab dem 25. Mai 2018 tritt die Verordnung unmittelbar in Kraft und bedarf keinen weiteren innerstaatlichen Umsetzungsakt. Die DSGVO enthält jedoch zahlreiche „Öffnungsklauseln“, wodurch sie den nationalen Gesetzgeber dazu berechtigt, bestimmte Angelegenheiten gesetzlich näher zu regeln. Demzufolge wird es in Österreich neben der DSGVO auch weiterhin ein nationales Datenschutzgesetz geben.

Sachlicher Anwendungsbereich

Zunächst stellt sich jeder Unternehmer die Frage, bin ich von der Datenschutz-Grundverordnung betroffen? Hierfür lohnt sich ein genauer Blick auf den Anwendungsbereich. In Art. 2 Abs 1 DSGVO heißt es:

„Diese Verordnung gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.“

Wesentlich für das richtige Verständnis sind hierbei folgende Begriffe:

Personenbezogene Daten

Bei der besagten DSGVO geht es ausschließlich um personenbezogene Daten. Der Begriff "personenbezogen" ist allerdings sehr weit gefasst und umfasst bspw. Informationen wie Name, Adresse, Telefonnummer, Autokennzeichen oder auch die IP-Adresse einer Person. Es reicht aus, wenn diese Daten einer Person lediglich irgendwie zugeordnet und damit ein Personenbezug hergestellt werden kann.

Automatisierte und nicht automatisierte Verarbeitung

Die DSGVO bezieht sich schließlich auf jede Form der automatisierten und nicht automatisierten Verarbeitung bei Speicherung in einem Dateisystem. Die automatisierte Verarbeitung umfasst bspw. Computer, Smartphones, Kameras, Webcams, Dashcams, Scanner oder Kopierer. Jede Benutzung von Computer, Internet oder Email kann demnach zur Anwendung der Datenschutz-Grundverordnung führen, wenn es sich im Zusammenhang damit um personenbezogenen Daten handelt. Von einer nichtautomatisierten Verarbeitung wird hingegen vor allem bei handschriftlichen Aufzeichnungen gesprochen, wenn diese in Form einer Aktenverwalten „gespeichert“ werden.

Verarbeitung

Auch der Begriff Verarbeitung wird genau definiert. Laut Art. 4 Abs. 2 des DSGVO handelt es sich hierbei um

„(…) jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Rechte der Bürger

Die EU-Datenschutz-Grundverordnung bringt nicht nur Neuerungen für Unternehmen mit sich, sondern auch für den einzelnen Bürger. Mit der DSGVO will der Gesetzgeber die Rechte der Betroffenen grundsätzlich stärken und weitet diese in manchen Bereichen sogar aus – im Vergleich zur aktuellen Rechtslage. Vor allem die neuen Transparenz- und Informationspflichten der Unternehmen führen zu einem wesentlich stärkeren Schutz der Betroffenen. Genaueres zu den neuen Rechten der Bürger finden Sie auch unter www.datenschutzbeauftragter-info.de.

Pflichten für Unternehmen

Was bedeuten diese erweiterten Transparenz- und Informationspflichten nun für Unternehmen und die Berufspraxis? Die DSGVO bringt so einige Veränderungen mit sich und verpflichtet Unternehmen ein Datenschutzmanagement einzuführen. Die dafür relevanten Normen finden sich an vielen unterschiedlichen Stellen der Verordnung wieder, bspw.:

• Art. 5 DSGVO Stellt die Grundsätze für die Verarbeitung personenbezogener Daten dar.
• Art. 30 DSGVO legt dem Verantwortlichen auf, ein Verzeichnis aller Verarbeitungstätigkeiten – im Zusammenhang mit personenbezogenen Daten – zu führen.
• Art. 32 DSGVO regelt, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen umzusetzen haben, um den Nachweis dafür erbringen zu können, dass die Verarbeitung von personenbezogenen Daten gemäß der Datenschutz-Grundverordnung erfolgt.
• Art. 35 DSGVO verpflichtet den Verantwortlichen bei Verarbeitungen, die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringen, vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz der personenbezogenen Daten durchzuführen.

Wir legen unser Hauptaugenmerk auf einen der wichtigsten Punkte - Art. 30, der Pflicht zum Verzeichnis von Verarbeitungstätigkeiten:

Um personenbezogene Daten nach Maßnahmen des Art. 30 DSGVO schützen zu können, muss das verantwortliche Unternehmen zunächst ermitteln, in welchen Fällen personenbezogene Daten erhoben und verarbeitet werden – dazu zählen Datenverarbeitungsprozesse rund um Kunden und Lieferanten als auch Beschäftigte. Als erster Schritt sollte hierzu eine Liste mit allen Systemen und Tools erstellt werden, mit welchen das Unternehmen personenbezogene Daten speichert. Art. 30 DSGVO verpflichtet die jeweiligen Verantwortlichen, ein Verzeichnis von Verarbeitungstätigkeiten zu führen. In solch einem Verzeichnis müssen wesentliche Informationen zu Datenverarbeitungstätigkeiten zusammengefasst werden. Diese umfassen bspw. Angaben zum Zweck der Verarbeitung oder eine Beschreibung der Kategorien der personenbezogenen Daten, der betroffenen Personen und der Empfänger.

Da eine Übersicht über alle Datenverarbeitungsvorgänge sehr ausführlich und unübersichtlich werden kann, lohnt es sich, das Verzeichnis in zahlreiche Einzelverzeichnisse zu gliedern. So sollte für jedes System bzw. jedes Tool (z.B. Zeiterfassung, CRM-System, Bewerbertool, etc.) ein eigenes Verzeichnis der Verarbeitungstätigkeiten erstellt werden. Unser Tipp: Die Checklist der WKO hilft bei den Vorbereitungsarbeiten auf die DSGVO.

Die Datenschutz-Grundverordnung bringt eine Reihe an Neuerungen sowie umfassende Nachweispflichten mit sich. Unternehmen müssen in Zukunft nicht nur sicherstellen, dass sie die Vorgaben der DSGVO erfüllen, sie müssen dies darüber hinaus beweisen können (vgl. Art. 5 Abs. DSGVO). Gelingt es Unternehmen nicht, die Umsetzung der Datenschutzvorkehrungen nachzuweisen, so drohen hohe Bußgelder und Schadenersatzansprüche. Es lohnt sich also, das Thema EU-Datenschutz-Grundverordnung ernst zu nehmen und verantwortungsvoll sowie präzise umzusetzen.

Haben Sie noch Fragen zur DSGVO oder sind Ihnen bestimmte Punkte unklar? Kontaktieren Sie uns – Wir beraten Sie gerne ausführlich in einem persönlichen Gespräch und erarbeiten mit Ihnen gemeinsam einen Maßnahmenplan!