Newsletter:

Neue Datenschutzverpflichtungen für Unternehmen ab 25.5.2018

12 Dezember 2017

Mit der vom Europäischen Parlament beschlossenen Datenschutz-Grundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. Zur Durchführung der DSGVO wurde in Österreich das Datenschutz-Anpassungsgesetz 2018 beschlossen.

Die neuen Bestimmungen treten mit 25.5.2018 in Kraft. Bis zu diesem Zeitpunkt müssen alle Datenanwendungen und Geschäftsprozesse an die neue Rechtslage angepasst werden. Daher ergibt sich für jedes Unternehmen (unabhängig von der Branche), das in irgendeiner Weise personenbezogene Daten verarbeitet (zB eine Kundendatei führt oder Rechnungen ausstellt), dringender Handlungsbedarf, da die internen Abläufe und alle Datenanwendungen in Bezug auf den Datenschutz analysiert und gegebenenfalls rechtzeitig angepasst werden müssen.

Der Schwerpunkt der DSGVO liegt auf der Stärkung der Betroffenenrechte. Grundsätzlich werden alle Datenverarbeitungen mit personenbezogenen Daten verboten, außer es gibt eine Rechtfertigung. Diese kann nur aufgrund einer gesetzlichen Verpflichtung, der Einwilligung des Betroffenen oder aus überwiegendem Interesse bestehen. Wie bisher muss auch zukünftig jede Datenverwendung einem konkreten Rechtfertigungsgrund zugeordnet werden. Und nur für diese Aufgabe dürfen die Daten verwendet werden.

Insbesondere die folgenden DSGVO Anforderungen beinhalten für österreichische Unternehmen einen hohen Arbeitsaufwand und Kosten:

  • Feststellung, ob man Verantwortlicher oder Auftragsverarbeiter für die Daten Betroffener ist
  • Erstellung und Führung eines Datenanwendungsverzeichnisses
  • Erweiterung der Informationspflichten gegenüber den Betroffenen
  • Nominierung eines Datenschutzbeauftragten

Bislang wurden die Daten in einem Unternehmen oft abteilungs- und unternehmensübergreifend verwendet. Beispielsweise wurde die Personalverrechnung im Konzernverbund zentral von einer Tochtergesellschaft durchgeführt oder die Kundenstammdaten wurden von mehreren Konzerngesellschaften gemeinsam genutzt. Nun gibt es kein „Konzernprivileg“ mehr. Jede Gesellschaft muss feststellen, ob sie Verantwortlicher für die Daten ist oder im Auftrag eines Anderen die Informationen verarbeitet (Auftragsverarbeiter). Der Verantwortliche bleibt dem Betroffenen gegenüber immer verantwortlich für die Sicherheit und den Einsatz seiner Daten. Daher müssen zwischen allen Verantwortlichen und Auftragsverarbeitern Verträge oder Service Level Agreements (SLA) geschlossen werden, um die DSGVO-konforme Verarbeitung zu gewährleisten. Jedes Unternehmen muss daher die Datenflüsse analysieren und mit Verträgen sichern.

Bisher wurden Anwendungen bei der Datenschutzkommission gemeldet, wenn Daten Betroffener verarbeitet werden sollten. Diese prüfte die Anmeldung, führte eine Risikoanalyse durch und speicherte die Anwendung im DVR-Register. Mit der DSGVO fällt die Meldung an das DVR-Register weg und jedes Unternehmen muss selbst das Datenanwendungsverzeichnis führen, inklusive einer Risikoanalyse und gegebenenfalls der Datenschutz-Folgenabschätzung.

Die Betroffenenrechte wurden gestärkt. Jeder, der von Datenverarbeitungen betroffen ist, muss proaktiv (bei Erstkontakt) und umfassend informiert werden, wobei auch technisch die folgenden Anforderungen umgesetzt werden müssen:

• Auskunftsrecht (u.a. auch über die geplante Speicherdauer)

• Recht auf Berichtigung

• Recht auf Löschung und auf „Vergessen“

• Recht auf Datenübertragbarkeit

• Recht auf Einschränkung der Verarbeitung

• Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger

• Widerspruchsrecht

Die Bestellung eines (internen oder externen) Datenschutzbeauftragten ist u.a. dann verpflichtend vorgesehen, wenn die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihres Zweckes eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder die Verarbeitung sensibler Daten in großem Umfang umfasst (z.B. ein Steuerberater, der für Klienten die Lohnverrechnung durchführt oder die systematische Überwachung von Personen durch Sicherheitsfirmen). Der Datenschutzbeauftragte ist an die Datenschutzbehörde zu melden.

Zusammenfassend ist festzuhalten, dass Verträge, Prozesse und IT-Systeme angepasst werden müssen, um diese neuen Anforderungen zuverlässig gewährleisten zu können. Außerdem müssen die Mitarbeiter umfassend geschult werden, um die neuen Anforderungen geeignet unterstützen zu können. In Anbetracht der Komplexität der Materie und der möglichen hohen Strafen ist es jedenfalls empfehlenswert, sich bei der Umsetzung von Experten unterstützen zu lassen.

 

Ansprechpartner:
Dipl.-Math. Gabriele Bolek-Flügl
Senior Manager IT Audit & Advisory
+43 1 537 37 540
gabriele.bolek-fuegl@bdo.at