Recht: So verändert das DSGVO den unternehmerischen Alltag

09. Juli 2019 Drucken
Recht: So verändert das DSGVO den unternehmerischen Alltag
© pixabay

Das Datenschutzgesetz 2018  (DSGVO) stellt Unternehmen vor umfassende Herausforderungen.  So dürfen Daten nur dem Zweck dienen, für den sie erhoben wurden. Die Linzer Sozietät Hasch & Partner hat die Auswirkungen des neuen Gesetzes untersucht. 

Der Anwendungsbereich erfasst lediglich Vorschriften zum Schutz natürlicher Personen bei Datenverarbeitungsvorgängen. Juristische Personen sind weder vom Schutzbereich der EU Datenschutz-Grundverordnung noch vom Datenschutz Anpassungsgesetz 2018 erfasst. Grundsätzlich ist die DSGVO auf den EU Raum begrenzt, allerdings ist sie im Falle der Datenspeicherung auf ausländischen Servern anwendbar, die außerhalb der Grenzen der europäischen Union stationiert sind. Das Gesetz  ist am 25. Mai 2018 in Kraft getreten.

Betroffene haben Anspruch auf Datenauszug

„Personenbezogene Daten“ liegen vor, wenn der Datensatz einerseits einen bestimmten Informationsgehalt über eine individuelle Person aufweist und andererseits dessen Zuordnung zum Betroffenen ermöglicht. Neben den bereits bestehenden Rechten auf Auskunft, Berichtigung, Löschung, Widerspruch, kommt nun das Recht auf Datenübertragung des Betroffenen hinzu. Dies bedeutet, dass der Betroffene das Recht hat, seine personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und einem anderen Verantwortlichen zu übermitteln.

Löschen binnen vier Wochen

Darüber hinaus normiert die DSGVO laut Hasch & Partner das „Recht auf Vergessen werden“: Derjenige, dessen Daten verarbeitet wurden, hat unter bestimmten Vorrausetzungen das Recht auf deren Löschung. Die Frist, innerhalb derer auf die entsprechenden Anträge reagiert werden muss, beträgt grundsätzlich 4 Wochen, allerdings kann diese im Falle von komplexen Löschungsvorgängen auf 12 Wochen verlängert werden.

Daten dienen nur dem ursprünglichen Zweck

Besondere Bedeutung hat der sogenannte Zweckbindungsgrundsatz. Demnach dürfen personenbezogene Daten nur zu dem Zweck verarbeitet werden, zu dem sie tatsächlich erhoben worden sind. Der Zweckbindungsgrundsatz wurde in der DSGVO durch Ausnahmen allerdings gelockert. Insbesondere Art 6 Abs 4 DSGVO sieht Ausnahmen vor, die eine Datenverarbeitung zu anderen Zwecken möglich machen. Besonders sensible (biometrische) Daten dürfen nur unter der Voraussetzung verarbeitet werden, dass die betroffene Person der Verarbeitung ausdrücklich zugestimmt hat bzw. schützenswerte, öffentliche Interessen berührt werden.

Bestellung eines Datenschutzbeauftragten

Die DSGVO verpflichtet Unternehmen zur Bestellung eines eigenen Datenschutzbeauftragten, bei denen die Verarbeitung von Daten zur Kerntätigkeit gehört. Betroffen sind auch Unternehmen, die Tätigkeiten zum Gegenstand haben, die die umfassende Überwachung von Personen nötig machen. Beispiele für solche Unternehmen sind Krankenhäuser, Versicherungen, Banken sowie Telefon- und Internetanbieter.

Das macht ein Datenschutzbeauftragter

Dieser Datenschutzbeauftragte hat einerseits Mitarbeiter und Vorgesetzte über die Regelungen der DSGVO aufzuklären und andererseits die Einhaltung der DSGVO im Unternehmen regelmäßig zu prüfen. Der Datenschutzbeauftragte nimmt diese Aufgaben weisungsfrei wahr, alle Ressourcen zur Verfügung zu stellen, die zur ordnungsgemäßen Erfüllung dieser Aufgaben notwendig sind. Zum Datenschutzbeauftragten können sowohl Mitarbeiter als auch externe Personen bestellt werden.

Datenschutz-Folgenabschätzung: Was alles dazugehört

Darüber hinaus normiert Art 35 DSGVO die zwingende Erstellung einer Datenschutz- Folgenabschätzung, sofern die Verwendung von Daten ein hohes Risiko für persönliche Rechte und Freiheiten betroffener Personen darstellt. Die Abschätzung der Folgen hat insbesondere bei Fällen des sog. Profiling (automatisierte Mustererkennung) zu erfolgen, aber auch bei der Verarbeitung sensibler Daten oder weiträumiger, systematischer Überwachung (Ton, Video) öffentlich zugänglicher Bereiche. Der Mindestinhalt einer solchen Datenschutz-Folgenabschätzung umfasst eine systemische Beschreibung der Verarbeitungsvorgänge, die Abschätzung der Notwendigkeit der Verarbeitung, die Einschätzung der Risiken, die durch den Verarbeitungsprozess entstehen, sowie geeignete Abhilfemaßnahmen zum Schutz personenbezogener Daten.

Verzeichnis von Datenverarbeitungstätigkeiten

Um Transparenz in Bezug auf den Datenschutz zu schaffen, verpflichtet die DSGVO Unternehmen mit mehr als 50 Mitarbeitern, künftig zur Führung eines Verzeichnisses aller im Unternehmen durchgeführter Datenverarbeitungstätigkeiten. Unternehmen mit weniger als 50 Mitarbeitern sind allerdings verpflichtet, trotzdem ein solches Verzeichnis zu führen, sofern ein Risiko für die Rechte und Freiheiten betroffener Personen besteht oder besonders sensible Daten – beispielsweise Daten über strafrechtliche Verurteilungen – verarbeitet werden.

Was alles in das Verzeichnis hinein gehört

Ebenso wie die Datenschutz-Folgenabschätzung, ist für das Verfahrensverzeichnis ein gewisser Mindestinhalt vorgeschrieben, insbesondere die Kontaktdaten des oder der Verantwortlichen bzw. des Datenschutzbeauftragten. Weiters müssen Angaben zur Kategorie der personenbezogenen Daten und zum Zweck der Verarbeitung festgehalten werden. Jeder Verarbeitungsvorgang ist in geeigneter Weise so zu protokollieren, dass die Zulässigkeit der Verarbeitung nachvollzogen und überprüft werden kann.

Drastische Strafen

Im Vergleich zu den Strafen des DSG 2000 sieht die DSGVO erhebliche Strafverschärfungen vor. Die Geldstrafen reichen bis zu einer Höhe von EUR 20 Mio. oder können bis zu vier Prozent des gesamten Vorjahresumsatzes betragen.

Mehr zum Thema