Viele Mythen gibt es um die EU-Datenschutz-Grundverordnung (DSGVO). Von „das betrifft mich nicht“ bis hin zu „es wird schon nichts geschehen“ höre ich alles mögliche. Tatsache ist jedoch, dass – wie bereits im Beitrag „Die DSGVO betrifft auch Sie!“ – die Ausnahmen gleich Null sind und so gut wie jedes Unternehmen aber auch Vereine von den Neuerungen betroffen sind. Das heißt im Klartext, dass bis 25. Mai 2018 alle Datenanwendungen (auch die von Vereinen) an die neue Gesetzeslage angepasst sein müssen. Um den doch sehr hohen Strafen zu entgehen, haben alle Unternehmen Handlungsbedarf. Was heißt das konkret? Was muss ich für meine Firma / meinen Verein tun, um gesetzeskonform zu sein?

… welche personenbezogenen Daten Sie verarbeiten.

Wenn die Datenschutzbehörde (DSB) bei Ihnen anklopft, müssen Sie als Unternehmer:in nachweisen, dass Sie die Gesetze zum Datenschutz einhalten. Das Mittel dazu ist die Dokumentation – im ersten Schritt das Verzeichnis der Verarbeitungstätigkeiten.

Alle vorhandenen Datenverarbeitungen – nicht jedoch einzelne Datensätze – werden im Verarbeitungsverzeichnis aufgelistet. D.h., es bietet einen Überblick über die Datenverarbeitungen in einem Unternehmen. Dadurch ist dieses Verzeichnis ein einmaliger Aufwand und nur bei Änderungen im Unternehmen anzupassen. Eine regelmäßige Überprüfung (mindestens 1x jährlich) sollte aber eingeplant werden.

Die Pflicht zur Führung des Verzeichnisses gilt für so gut wie alle Unternehmer:innen, aber auch für Vereine. Wenn Sie Auftragsverarbeiter beschäftigen – und das tun so gut wie alle von uns – müssen auch diese ein Verzeichnis über die für Sie durchgeführten Verarbeitungen führen.

Details zur Dokumentationspflicht habe ich im Beitrag „Dokumentation der Datenverarbeitung“ beschrieben.

Kommen Sie Ihrer Dokumentationspflicht nicht nach, beträgt die Strafe 2% des (internationalen) letztjährigen Jahresumsatzes oder maximal 10 Millionen Euro.

… was Sie mit personenbezogenen Daten machen.

Mit der DSGVO treten auch erweiterte Informationspflichten in Kraft. Diese dienen der Transparenz und dem Schutz der betroffenen Person. Sie erleichtern den Betroffenen von Datenverarbeitungen die Wahrnehmung ihrer Rechte.

Grob zusammengefasst müssen Sie neben Name und Adresse der/des Verantwortlichen und der/des Datenschutzbeauftragten (und eventuellen Vertreters/Vertreterin in der EU) auch Informationen zur Datenverarbeitung geben. Sie müssen unter anderem Zweck und Rechtsgrundlage der Verarbeitung, Empfänger sowie Löschfristen angeben. Bei Weitergabe der Daten in ein Drittland oder an eine internationale Organisation müssen der Angemessenheitsbeschluss der Kommission oder geeignete Garantien angeführt werden. Weiters informieren Sie über die Betroffenenrechte.

Der Inhalt der Informationen ist in den Art. 13 und 14 der DSGVO festgehalten. Die äußere Form ist unerheblich, die Information muss aber schriftlich erfolgen. Mehr zum Thema finden Sie im Beitrag „Erweiterte Informationspflichten“.

4% des (internationalen) letztjährigen Jahresumsatzes oder maximal 20 Millionen Euro sind bei einem Verstoß gegen die Informationspflicht als Strafe fällig.

… jede Verarbeitungstätigkeit auf ihre Rechtmäßigkeit und die Einhaltung der Grundsätze zur Verarbeitung.

Rechtmäßigkeit

Ohne Rechtmäßigkeit darf keine Datenverarbeitung stattfinden. Folgende Rechtsgrundlagen gibt es:

• Ausdrückliche und unmissverständliche Einwilligung
• Vertragserfüllung
• Rechtliche Verpflichtung
• Lebenswichtige Interessen
• Wahrnehmung einer Aufgabe im öffentlichen Interesse
• Berechtigte Interessen des Verantwortlichen oder eines Dritten

Details zur Rechtmäßigkeit habe ich im Beitrag „Rechtmäßigkeit der Verarbeitung“ beschrieben.

Grundsätze

Folgende Grundsätze sind bei der Verarbeitung von personenbezogenen Daten einzuhalten:

• Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz
• Zweckbindung
• Datenminimierung
• Richtigkeit, Integrität und Vertraulichkeit
• Speicherbegrenzung

Nähere Ausführungen zu den Grundsätzen finden Sie im Beitrag „Grundsätze der Datenverarbeitung“.

… die Rechte der von Datenverarbeitungen betroffenen natürlichen Personen.

Diese Betroffenenrechte sind sehr umfangreich und beinhalten folgendes:

• Recht auf
  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Widerspruchsrecht gegen die Verarbeitung
  • Recht auf Datenübertragbarkeit (Übertragung auf z.B. einen anderen Anbieter)
• Möglichkeit des Widerrufs der Einwilligung
• Beschwerderecht bei einer Aufsichtsbehörde inklusive deren Adresse

Auch zu den Rechten der Betroffenen finden Sie in meinem Blog in den nächsten Tagen einen ausführlichen Artikel. Schauen Sie wieder vorbei, es wird sicher spannend.

… über Ihre Pflichten, aber auch Ihre Rechte.

Dafür gibt es mehrere Möglichkeiten:

• Beschäftigen Sie sich mit den sehr umfangreichen Informationen der Wirtschaftskammer zur DSGVO.
• Besuchen Sie einen für Ihre Branche maßgeschneiderten Vortrag zum Thema. Auch hier ist meistens die Wirtschaftskammer oder die für Sie zuständige Kammer (Wirtschaftstreuhänder, Rechtsanwälte, …) der richtige Ansprechpartner.
• Besuchen Sie ein Seminar, in dem Sie in der Erarbeitung der notwendigen Dokumente unterstützt werden. Solche Seminare bieten verschiedene Anbieter an, meistens sind Sie auch hier bei Ihrer Kammer gut aufgehoben.
• Wenden Sie sich an einen DSGVO-Spezialisten. Diese können Sie im Firmen A-Z der Wirtschaftskammer einfach finden. Unter diesem Link finden Sie die österreichischen Beraterinnen und Berater, die Sie zum Thema DSGVO beraten. Sie können die Suchergebnisse dann individuell auf Ihr Bundesland einschränken.
• Kontaktieren Sie mich, ich helfe Ihnen gerne weiter. Nutzen Sie das Kontaktformular, dort haben Sie auch die Möglichkeit einer direkten Terminbuchung.

Nutzen Sie die Chance, bereiten Sie sich vor. Und lassen Sie sich dabei unterstützen, Sie ersparen sich dadurch Zeit und wahrscheinlich auch Frust.