Datenschutz und Compliance

Was bringt die Datenschutzgrundverordnung DSGVO ?

 

Mit der Anwendbarkeit der Datenschutzgrundverordnung ("DSGVO") ab Mai 2018 werden zahlreiche datenschutzrechliche Bestimmungen - vor allem auch die Strafandrohungen - wesentlich strenger. Die DSGVO ist bereits seit 25.5.2016 "in Kraft", die Anwendbarkeit ist für 25.5.2018 normiert. 

 

Das österreichische Umsetzungs- und Begleitgesetz tritt ebenfalls mit 25.5.2018 in Kraft.

 

Die Einhaltung der datenschutzrechtlichen Compliance ist somit bereits jetzt wichtig, um im Mai 2018 einen reibungsloser Übergang unter die neuen Regelungen zu ermöglichen und nicht mit einer potentiellen Rechtsverletzung zu "starten".

 

Obwohl die DSGVO unmittelbar EU-weit anwendbar ist, sind nationale Umsetzungsgesetze notwendig. Vor allem um die "Öffnungsklauseln" der DSGVO zu nutzen. Das österreichische Datenschutzgesetz (2018) tritt mit 25. Mai 2018 in Kraft (siehe Artikel auf help.gv.at)

 

Die Erfassung, Prüfung und Dokumentation von datenschutzrechtlich relevanten Datenverarbeitungen (inkl. Übermittlungen) ist ein mitunter zeitaufwändiger Prozess, der  auch Änderungen in firmeninternen Abläufen und Vertragsunterlagen (AGB etc). notwendig machen kann.

 

mit 25. Mai 2018 weicht die grundsätzliche Meldepflicht einer Pflicht zur Führung von Verzeichnissen der Datenverarbeitungen weichen (wobei weitreichende Ausnahmen und Gegenausnahmen bestehen).

 

Bereits jetzt ist es daher wichtig, ein umfassendes Audit der datenschutzrechtlichen Gesamtsituation im Unternehmen durchzuführen, um 2018 für die notwendigen Erweiterungen gerüstet zu sein. Zahlreiche Berufsvertretungen und Kammern haben bereits Leitlinien und Muster dazu herausgebracht.

  

Wichtige Eckpunkte für die nächsten Jahre sind:

 

-Bis 25. Mai 2018 sind Datenverarbeitungen grdstzl. bei der Datenschutzbehörde zu melden, außer die Datenverarbeitungen überschreiten iW nicht das Ausmaß der Datenverarbeitungen, die in der Standard- und Musterverordnung definiert sind. Die Beurteilung ist eine technisch-rechtliche. Die Standard- und Musterverordnung definiert abschließend sowohl Datenarten, als auch Übermittlungsempfänger und Verarbeitungszwecke. Etwa die Standardanwendung "Personalverwaltung" wird in vielen Unternehmen schon durch z.B. Systeme zur Evidenz von Mitarbeiterbewertungen oä überschritten.

 

Ab 25. Mai 2018 entfällt zwar die Meldepflicht von Datenverarbeitungen, allerdings sind den jetzigen Meldungen äquivalente Datenverarbeitungsübersichten ("Verarbeitungsverzeichnis") In-House im Unternehmen vorzuhalten und jederzeit der Behörde bei Verlangen vorzulegen.

 

-Datenübermittlungen außerhalb der EU: Aufgrund der drakonischen Strafdrohung der Datenschutzgrundverordnung ist es außerordentlich wichtig, nur rechtskonforme Datenübermittlungen durchzuführen. Hier kommt es auch darauf an, "versteckte" Datenübermittlungen nicht zu übersehen:

 

Zu prüfen sind z.B.:

  • Webseite: Wo sind die Server? Wer ist Subdienstleister? Cookie?
  • Server - Standorte von Cloud Dienstleistern - Wo überall befinden sich die Server Ihrer Cloud Dienstleister? Ist in den AGB evtl. enthalten, dass diese weltweit verteilt werden können? Sind die Server nur in "sicheren Drittländern" gelegen?
  • Wo ist Ihr E-Mail Provider ansässig, wo unterhält er seine Server?
  • Haben Sie datenschutzrechtskonforme Auftragsverarbeiterverträge mit sämtlichen externen Administratoren und sämtlichen anderen IT-Dienstleistern, wie Backup-Services uä, Cloud Anbietern etc?
  • Werden alle datenschutzrechtlichen Informationspflichten / Zustimmungserfordernisse erfüllt? Erfolgt dies in AGB und werden dabei die Transparenzgebote u.a. Erfordernisse eingehalten? Hierzu existiert bereits strenge Rechtsprechung v.a. des Obersten Gerichtshof zu den Anforderungen an Zustimmungserklärungen bez. Inhalts- und Formerfordernissen.
  • Wartungsklauseln in Hosting- und Cloudverträgen: Ist evtl. in ihren Dienstleisterverträgen enthalten, dass Wartungstechniker aus "nicht sicheren Drittstaaten" zu Wartungszwecken Zugriff auf Ihre Cloud-Daten gewährt wird?
  • Führen Sie Datenübermittlungen in Länder außerhalb der EU durch, die bisher genehmigungspflichtig waren? Wie ist die Rechtsgrundlage hierfür nach Mai 2018 sichergesetellt? Sind Ihre jetzt nicht genehmigungspflichtigen Datenübermittlungen in die USA überhaupt genehmigungsfähig? Das könnte wesentlich werden, sollte etwa der EuGH dem "Privacy Shield" die Gültigkeit absprechen, wie es für die Vorgängerregelung - Safe Harbour - bereits der Fall war.

 

Die maximale Strafdrohung der DSGVO beträgt bis zu 2%-4% des gesamten weltweit erzielten Jahresumsatzes eines Unternehmen (oder 20 Mio EUR).

 

Bitte beachten Sie, dass die hier angeführten Informationen Grundlagen betreffen und eine individuelle Beratung nicht ersetzen können, Wichtige Ausnahmen, Bezüge etc. können hier naturgemäß nicht dargestellt werden. Bei Fragen kontaktieren Sie mich.