Österreich -

Austrofloor So meistern Sie die DSGVO

Im Rahmen der Austrofloor 2018 referierte Dr. Walter Löbl über die Grundlagen und ­Neuerungen der ­Datenschutz-Grundverordnung (DSGVO) und informierte, welche Punkte der Parkett- und Bodenleger beachten muss.

Zu Beginn seines Vortrags erläuterte Rechtsexperte Dr. Walter Löbl die Grundlagen für die neue Datenschutz-Grundverordnung (DSGVO). Am 4. Mai 2016 wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ kundgemacht. Die Datenschutz-Grundverordnung trat dann am 25. Mai 2018 in Kraft. Seitdem müssen alle Datenverarbeitungen dieser Rechtslage entsprechen. Doch welche wesentlichen Pflichten und Neuerungen für Unternehmen enthält nun die Datenschutz-Grundverordnung (DSGVO)?

1 Keine Meldepflicht bei der Datenschutzbehörde

Es gibt keine Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungs­register) mehr. Stattdessen eine stärkere Pflicht für Verantwortliche (derzeit „Auftraggeber“) und Auftragsverarbeiter (derzeit „Dienstleister“) und eine weitreichende Neuregelung der Pflichten bei der Datenverarbeitung: So sind beispielsweise geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt und die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

2 Verzeichnis von Verarbeitungstätigkeiten führen

Verantwortliche und Auftragsverarbeiter müssen ein „Verzeichnis von Verarbeitungstätigkeiten“ führen: Der Inhalt ist ähnlich den derzeitigen DVR-Meldungen und hat insbesondere die eigenen Kontaktdaten, die Zwecke der Verarbeitung, eine Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen, die Empfängerkategorien, gegebenenfalls Übermittlungen von Daten in Drittländer, wenn möglich die vorgesehenen Löschungsfristen und eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen zu enthalten. Die Pflicht zur Führung dieses Verzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern − nur dann nicht, wenn die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt und keine Verarbeitung besonderer Datenkategorien beziehungsweise keine Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten umfasst.

3 Verletzungen der DSGVO zeitnah melden

Verletzungen des Schutzes personenbezogener Daten sind sowohl den nationalen Aufsichtsbehörden (ohne unangemessene Verzögerung – möglichst binnen höchstens 72 Stunden nach dem Entdecken; außer die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten) als auch der betroffenen Person (ohne unangemessene Verzögerung, wenn die Wahrscheinlichkeit besteht, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt) zu melden.

4 Pflicht zur Folgen­abschätzung

Weiters gibt es eine Pflicht zur Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen, die (insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.

5 Kein Datenschutz-­beauftragter nötig

Die neuen Bestimmungen sagen zwar, dass es einen Datenschutzbeauftragten geben müsse. Diese Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwortliche und Auftragsverarbeiter) aber nur, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht. Weil das für einen Bodenlegerbetrieb nicht zutrifft, braucht man auch keinen Datenschutzbeauftragten. Jedoch sollte der Parkett- und Bodenleger folgende Punkte beachten beziehungsweise umsetzen:

  • Erstellung einer Auftragsverarbeiter-­Vereinbarung,
  • Erstellung eines Verarbeitungs­verzeichnisses,
  • Erstellung einer Datenschutzerklärung (auf der Firmen-Homepage, beim Angebot immer darauf hinweisen),
  • Erstellung einer Datenschutzmitteilung (auf der Firmen-Homepage),
  • Erstellung einer Datenschutzrichtlinie für alle Mitarbeiter (z. B. Vereinbarung der Schweigepflicht).

Genaue Informationen zur Umsetzung finden Unternehmer auf der Homepage der Wirtschaftskammer Österreich unter www.wkoe.at, wo es einen eigenen Online-Ratgeber dazu gibt.

6 Informationspflichten und Betroffenenrechte

Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats, zu erledigen (diese Frist kann um höchstens weitere zwei Monate verlängert werden). Dies betrifft folgende Punkte:

  • Auskunftsrecht (unter anderem ­auch über die geplante Speicherdauer),
  • Recht auf Berichtigung,
  • Recht auf Löschung und auf „Vergessenwerden“,
  • Recht auf Einschränkung der Verarbeitung,
  • Mitteilungspflicht bei Berichtigung, ­Löschung oder Einschränkung an alle Empfänger,
  • Recht auf Datenübertragbarkeit,
  • Widerspruchsrecht.

7 Verhängung von Geldbußen

Der Jurist Dr. Walter Löbl wies im Rahmen seines Vortrags auch darauf hin, dass die Befugnisse und Aufgaben der Aufsichtsbehörden erweitert wurden. Dazu gehört die Verhängung von Geldbußen von bis zu vier Prozent des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres. Es existiert aber auch die Bestimmung, dass beim Erstverstoß nur eine Verwarnung ausgesprochen wird.

8 Auswirkungen in Österreich

Nach den anfänglichen Aufregungen rund um die Einführung der neuen DSVGO ist es heuer etwas ruhiger um das Thema geworden. Die Datenschutzbehörde ist aber aktiv und geht den Beschwerden genau nach. So gab es im Vorjahr bereits über 1.000 Beanstandungen, die zu drei Strafzahlungen in Höhe von 300 bis 4.800 Euro geführt haben. Im heurigen Jahr wird sich die Zahl der Beschwerden und Strafen laut Walter Löbl sicher erhöhen. Wer aber die „Informationspflichten und Betroffenenrechte“ unter Punkt 6 umsetzt, der sollte demnach nichts zu befürchten haben. Thomas Mayrhofer

© boden-wand-decke.de 2022 - Alle Rechte vorbehalten
Kommentare
Bitte melden Sie sich an, um Ihren Kommentar angeben zu können.
Login

* Pflichtfelder bitte ausfüllen