Die „Verord­nung (EU) 2016/679 des Europäi­schen Parla­ments und des Rates vom 27. April 2016 zum Schutz natür­li­cher Personen bei der Verar­bei­tung perso­nen­be­zo­gener Daten, zum freien Daten­ver­kehr und zur Aufhe­bung der Richt­linie 95/46/EG (Daten­schutz-Grund­ver­ord­nung)“ wurde am 4. Mai 2016 veröf­fent­licht. Nach einer etwas mehr als 2‑jährigen Übergangs­frist tritt die EU Daten­schutz-Grund­ver­ord­nung (DSGVO) am 25. Mai 2018 in Kraft.

Verein­facht gesagt heißt das für alle Unternehmer:innen, dass bis 25. Mai 2018 alle Daten­an­wen­dungen an die neue Rechts­lage angepasst werden müssen. 

Die EU-Daten­schutz-Grund­ver­ord­nung kann in bestimmten Punkten (Öffnungs­klau­seln) durch natio­nales Recht präzi­siert und angepasst werden. In Öster­reich wird die DSGVO durch das “Daten­schutz-Anpas­sungs­ge­setz 2018” ergänzt. Auch dieses muss im Zuge der Umstel­lung auf die DSGVO berück­sich­tigt werden.

Die Daten­schutz-Grund­ver­ord­nung (DSGVO) macht durchaus Sinn, auch wenn Sie für alle Unter­neh­me­rinnen und Unter­nehmer sowie Vereine und sonstige Insti­tu­tionen zusätz­liche Arbeit verur­sacht. Ein wirklich guter Grund für die Verord­nung ist die EU-weite Verein­heit­li­chung der Regeln für die Verar­bei­tung perso­nen­be­zo­gener Daten, die Rechte der Betroffen und die Pflichten der Verant­wort­li­chen (meist Firmen­in­haber / Vereins­ob­leute). Bisher hatte jedes EU-Land seine eigenen Regeln für den Daten­schutz. Es war schwierig, hier den Überblick zu behalten.

• Das Daten­ver­ar­bei­tungs­re­gister wird zum Archiv bis Ende 2019. Danach wird es aufgelassen.
• Größere Verant­wor­tung für “Verant­wort­liche” der Daten­ver­ar­bei­tung (=Auftrag­geber) und Auftragsverarbeiter. 
  • Daten­schutz durch geeig­nete Vorein­stel­lungen (technisch und organisatorisch)
  • Pflicht zur Führung eines “Verzeichnis der Verarbeitungstätigkeiten”
  • “Verlet­zungen des Schutzes” – spricht Daten­klau, Daten­ver­än­de­rung und Daten­lö­schung – sind unver­züg­lich der natio­nalen Aufsichts­be­hörde sowie dem Betroffen zu melden.
  • Pflicht zur Daten­schutz-Folgen­ab­schät­zung bei hohem Risiko für die Rechte natür­li­cher Personen
  • Daten­schutz­be­auf­tragter verpflich­tend unter bestimmten Voraussetzungen
• Neue Informa­tions­pflichten und Rechte der Betroffenen
• Erwei­terte Befug­nisse und Aufgaben der Aufsichtsbehörden
• Hohe Strafen

Beginnen Sie mit der Erstel­lung des Verzeich­nisses der Verar­bei­tungs­tätig­keiten. Und dies so schnell wie möglich. Zum Verzeichnis werde ich am 4. April einen Blog-Artikel veröffentlichen.

Das Verzeichnis der Verar­bei­tungs­tätig­keiten wird auch Verfah­rens­ver­zeichnis, Verar­bei­tungs­ver­zeich­nung und ähnlich benannt. Das Verar­bei­tungs­ver­zeichnis ist die Ausgangs­basis, um sich einen Überblick zu verschaffen. Erst nach Erstel­lung des Verzeich­nisses ist klar, ob weiter­füh­rende Maßnahmen gesetzt werden müssen.

Bei diesen ersten Schritten unter­stützen Sie ausge­bil­dete Exper­tinnen und Experten, zu denen auch ich zähle. Lassen Sie sich beraten, Sie müssen keine Angst vor der DSGVO haben.