Ab nächstem Frühjahr entfaltet die EU-Datenschutz-Grundverordnung (DSGVO) ihre rechtliche Wirkung. Die Herangehensweise mancher Unternehmer, der DSGVO erst nächstes Jahr Beachtung zu schenken, kann sich jedoch als fatal herausstellen, wie dieser kurzer Überblick zeigen soll:

Was ist die DSGVO?

Es handelt sich dabei um eine europäische Verordnung, die in jedem Mitgliedsstaat unmittelbar anwendbar ist; sie gilt daher für die einzelnen Bürger ähnlich wie ein nationales Gesetz. Sie verfolgt das Ziel, die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit zu vereinheitlichen.

Ab wann gilt die DSGVO? Gibt es eine Übergangsfrist?

Die bestehende Datenverarbeitung ist innerhalb von zwei Jahren ab Inkrafttreten der DSGVO (das war der 25. Mai 2016) mit ihr in Einklang zu bringen. Am Stichtag 25. Mai 2018 muss somit jedes Unternehmen die DSGVO einhalten.

Für wen gilt die DSGVO?

Betroffen sind nicht nur Großunternehmer, Behörden und öffentliche Stellen, sondern auch Klein- und mittelständische Unternehmen und Einpersonenunternehmen (Art 2 DSGVO). Ausnahmen für Klein- und Einpersonenunternehmen gelten v.a. im Bereich der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (siehe unten). Ansonsten ist von der DSGVO jedes Unternehmen in der EU betroffen, das personenbezogene Daten verarbeitet.

Was ist die Verarbeitung personenbezogener Daten?

Die datenschutzrechtlichen Vorgaben der DSVGO zielen auf die Verarbeitung personenbezogener Daten ab.

Personenbezogene Daten sind „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen“ (Art 4 DSGVO). Darunter fallen va Name, Adresse, Geburtsdatum und Bankdaten von Personen. Somit verarbeitet jeder Unternehmer, der bspw Rechnungen ausstellt oder Kundendateien führt, personenbezogene Daten im Sinn der DSGVO.

Unter dem Begriff der Verarbeitung sind einerseits sämtliche Anwendungen zu verstehen, die personenbezogene Daten computerbasiert verarbeiten. Werden sie nicht computerbasiert erfasst, ist die DSGVO andererseits dann anwendbar, wenn die Daten in einem digitalen oder analogen System gespeichert oder abgelegt werden (Art 4 DSGVO).

Welche neuen Pflichten ergeben sich aus dem DSGVO? 

Das DSGVO beinhaltet für Unternehmen va neue Dokumentationspflichten und strengere Strafen.

Vor der Einführung der DSGVO war die Verarbeitung von personenbezogenen Daten bei der Datenschutzbehörde zu melden; diese bürokratische Hürde wurde nun abgeschafft.

Statt einer Melde- und Genehmigungspflicht bei der Datenschutzbehörde wurde durch die DSGVO die Verpflichtung geschaffen, ein „Verzeichnis für Verarbeitungstätigkeiten“ (Art 30 DSGVO) zu führen. Inhaltlich ähneln die Anforderungen der derzeitigen DVR-Meldung. Hinzu kommt die Verpflichtung, zu dokumentieren, wann die personenbezogenen Daten wieder gelöscht werden sollen. Die Datenschutzbehörde kann den Unternehmer jederzeit auffordern, ihr das Verzeichnis zu übermitteln. Verantwortlich für den gesamten Datenverarbeitungsvorgang ist ab jetzt terminologisch nicht mehr der „Auftraggeber“, sondern dieser wurde in den Begriff des „Verantwortlichen“ geändert.

Gibt es Ausnahmen für diese Verpflichtung?

Unternehmen mit weniger als 250 Beschäftigten sind von Teilen der DSGVO ausgenommen.

Dies gilt jedoch nur eingeschränkt. Denn auch kleine Unternehmen müssen dieses Verzeichnis führen, wenn die Verarbeitung von personenbezogenen Daten nicht nur gelegentlich erfolgt bzw es sich um sensible Daten handelt (bspw Gesundheitsdaten). Somit unterliegen Lieferanten-, Kunden- und Personalverwaltung – unabhängig der Größe des Unternehmens – aufgrund ihrer regelmäßigen Verarbeitung der DSGVO.

Wie hoch ist die Strafe, wenn ich kein Verzeichnis von Verarbeitungstätigkeiten führe?

Fehlende oder unrichtige Datenanwendungen waren bisher mit einer Verwaltungsstrafe von bis zu EUR 10.000 bedroht.

Die neue Strafdrohung beträgt bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahres und erreicht daher krasse Höhen.

Was soll in einem Unternehmen bis zum 25.5.2018 passieren?

Hauptarbeit für Unternehmen wird die Erstellung des „Verzeichnisses für Verarbeitungstätigkeiten“. Die gute Nachricht ist, dass jene Unternehmen die bereits jetzt ihre Melde- und Genehmigungspflichten nach dem alten Datenschutzgesetz nachgekommen sind, einen Großteil der Arbeit bereits erledigt haben, da sie ihr Verzeichnis auf den gespeicherten Datenanwendungen aus dem Datenverarbeitungsregister (DVR-Online) aufbauen können.

Schmelz Rechtsanwälte OG
RA Mag. Dorian Schmelz
www.rechtampunkt.at