EU-Datenschutz-Grundverordnung

Jänner 2018 Für Unternehmer und Unternehmerinnen steht einiges an Arbeit an: Die Übergangsfrist zur EU-DSGVO endet am 25. Mai 2018 und bringt Veränderungen und ein neues Bewusstsein für Daten und Datenschutz mit sich. Lesen Sie in diesem Beitrag die wichtigsten Grundsätze und Neuerungen.

Haupt-Themen im Überblick:
  • Die Grundsätze für die Verarbeitung personenbezogener Daten
  • Datenverarbeitung > die Neuerungen
  • Online-Bereich > Beratung vom Experten Anton Mayringer

ÜBERGANGSFRIST ENDET AM 25. MAI 2018


Am 15. Dezember 2015 einigten sich das Europäische Parlament, der Rat und die Kommission in Brüssel auf die neuen Regelungen zum Datenschutz; veröffentlicht wurde die Pressemeldung mit folgender Überschrift: «Agreement on Comission’s EU data protection reform will boost Digital Single Market». Die EU-DSGVO wurde erarbeitet und implementiert, damit Europa für das digitale Zeitalter fit würde, heißt es.

Diese neue Regelung stützt sich auf die Annahme, dass sich mehr als 90 Prozent der EuropäerInnen einen kollektiven Datenschutz für die gesamte EU wünscht, ganz egal, wo ihre Daten verarbeitet werden. Bisher hatten die Nationen selbst den Datenschutz festgelegt, nun gibt es dazu einen europäischen Beschluss: Die «VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)
» trat mit 25. Mai 2016 in Kraft und die Übergangsfrist endet am 25. Mai 2018. Die neue Verordnung gilt für die Verarbeitung personenbezogener Daten in Standorten/Niederlassungen in der Europäischen Union. Die DSGVO gilt auch für Unternehmen, die die Verarbeitung personenbezogener Daten in Europa betreiben, wenngleich deren Marktniederlassungen außerhalb der EU zu finden ist.

Quellen
Pressemitteilung Brüssel, 15 December 2015
Reform of EU data protection rules
EU-Datenschutz-Grundverordnung (DSGVO): Sachlicher und räumlicher Anwendungsbereich

DIE GRUNDSÄTZE FÜR DIE VERARBEITUNG PERSONENBEZOGENER DATEN


Die Datenverarbeitung hat nach den Grundsätzen der (1) Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz zu erfolgen. Das bedeutet gemäß dem Gesetzestext, dass die Daten auf (für KonsumentInnen) „nachvollziehbare Weise“ verarbeitet werden. Zweiter Grundsatz ist die (2) Zweckbindung der personenbezogenen Daten, die erhoben wurden. Diese werden für einen festgelegten, eindeutigen und legitimen Zweck erhoben und werden nur hinsichtlich dieser Vereinbarung verarbeitet. In zweckgebundener Weise werden nur so viele personenbezogenen Daten erhoben, wie es notwendig ist, so der Grundsatz der (3) Datenminimierung. Die (4) Richtigkeit der personenbezogenen Daten ist anzustreben. Sofern unrichtige Daten bekannt werden, werden diese unverzüglich gelöscht oder berichtigt. Der Grundsatz der (5) Speicherbegrenzung besagt, dass die personenbezogenen Daten nur so lange gespeichert werden, wie es zur zweckorientierten Verarbeitung erforderlich ist. Der Grundsatz der (6) Integrität und Vertraulichkeit stellt sicher, dass die Daten vor Verlust, Zerstörung oder Schädigung bewahrt und durch technische Maßnahmen geschützt werden.

Quelle: VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES

DATENVERARBEITUNG ► DIE «NEUERUNGEN» IM KURZÜBERBLICK


EINWILLIGUNGSERKLÄRUNG BEIM VERARBEITEN VON PERSONENBEZOGENEN DATEN
Unter einer Einwilligung versteht die Verordnung "jede freiwillig, für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung durch die be­troffene Person in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist." Es wird eine aktive Einwilligung zur Bearbeitung von personenbezogenen Daten gefordert, wenn die Verarbeitung der Daten über den unmittelbaren Zweck (für welchen diese erfasst werden) hinausgeht (z.B. späterer Newsletter). Die Zustimmung erfolgt entweder schriftlich, elektronisch oder durch Zustimmen einer Datenverarbeitung per Mausklick. Diese Zustimmung per Mausklick darf nicht vorausgefüllt sein («Opt-In-Lösung»). Diese Zustimmungserklärung wird klar und verständlich formuliert und klar ersichtlich sein (d.h. sie darf nicht im Fließtext "verschwinden").

INFORMATIONSPFLICHT FÜR PERSONEN Fordern Personen eine Auskunft an, ist der Verantwortliche im Unternehmen (falls gegeben der Datenschutzverantwortliche) unmittelbar dazu verpflichtet, Informationen über die Datenverarbeitung zu geben (abhängig davon, ob die Informationen direkt bei der Person erhoben werden oder bei einer weiteren Person) - unter anderem folgende:
  • Name und Kontaktdaten
  • Datenherkunft, wenn die Daten nicht von der betroffenen Person selbst erhoben wurden
  • Verarbeitungszwecke und rechtliche Grundlagen sowie berechtigte Interessen
  • Kategorien der personenbezogenen Daten (z.B. Geburtstage)
  • Empfänger der Daten insbesondere über die Übermittlung an weitere internationale Organisationen oder Länder
  • die Dauer der Datenspeicherung und die Gründe hierfür
  • Informationen über Betroffenenrechte und Beschwerderecht
BETROFFENENRECHTE zum Schutze von personenbezogenen Daten wie beispielsweise die Informationspflicht, das Auskunftsrecht und das Recht auf Berichtigung, Löschung (Recht auf Vergessenwerden), Einschränkung der Verarbeitung, Datenübertragbarkeit und das Widerspruchsrecht.

PRIVACY BY DESIGN / PRIVACY BY DEFAULT Datenschutz wird in Produkten und Techniken von Anfang an integriert (Datenschutzfreundliche Voreinstellungen). Technisch und organisatorische Maßnahmen müssen der Verordnung Genüge leisten. Es dürfen nur jene Daten erfasst werden, die auch wirklich erforderlich sind.

DATENSICHERUNG DURCH TECHNISCHE VORAUSSETZUNGEN Es werden Daten verschlüsselt, belastbare und sichere Systeme und Backup-Systeme verwendet und Selbstevaluationsmaßnahmen getroffen.

SCHRIFTLICHES VERZEICHNIS VON VERARBEITUNGSTÄTIGKEITEN Verantwortliche und Auftragsverarbeiter führen Verzeichnisse über Kontaktdaten, Datenkategorien, über die Zwecke der Verarbeitung, die Empfängerkategorien, ggf. über die Übermittlungen von Daten in Drittländer, Speicherfristen (Mehr zu Speicherfristen > WKO). Eine allgemeine Beschreibung der Datensicherung ist weiterer Bestandteil des Verzeichnisses. Solche Verzeichnisse müssen auch Unternehmen mit weniger als 250 MitarbeiterInnen führen. Ein Auftragsverarbeiter, der im Sinne des Unternehmens (Verantwortlichen) Daten verarbeitet, muss in seiner Tätigkeit (1) Datensicherheitsmaßnahmen einführen, (2) ein Verzeichnis über die Verarbeitung führen, (3) mit der Aufsichtsbehörde zusammenarbeiten, (4) Risikoanalysen durchführen sowie (5) u.U. einen Datenschutzbeauftragten stellen.

DATENSCHUTZ-FOLGENABSCHÄTZUNG Eine Abschätzung von Verarbeitungsvorgängen ist insbesondere dann anzuwenden, wenn neue Technologien eingesetzt werden und ein hohes Risiko hinsichtlich des Schutzes von Personen besteht. Darunter versteht man eine Evaluation seiner Datenverarbeitung, durchgeführt vom Unternehmen selbst und nach den neuen Regulativen, inhaltlich hat dieses u.a. zu beinhalten: Vorgänge, Zwecke, Risiken, Abhilfemaßnahmen und Notwendigkeit der Verarbeitungsvorgänge.

MELDUNG VON DATENSCHUTZ-VERLETZUNGEN an nationale Aufsichtsbehörden und der betroffenen Person erfolgt höchstens binnen 72 Stunden, um Schäden zu verhindern bzw. einzudämmen.

DATENSCHUTZKOORDINATOR IM UNTERNEHMEN Dieser ist insbesondere dann erforderlich, wenn eine Verpflichtung zu einem Datenschutzbeauftragten besteht. Dieser Verantwortliche überwacht die Prozesse auf Datensicherheit und Einhaltung der Regelungen, berät zu Maßnahmen und arbeitet mit der Aufsichtsbehörde zusammen.

Quelle
WKO Informationen

DSGVO UND DER ONLINE-BEREICH


Die neue Verordnung der EU schützt die europäischen BürgerInnen, bringt aber eine doch auch überschaubare Menge an Änderungen für UnternehmerInnen mit sich – gerade auch bei Verarbeitungen personenbezogener Daten im Online-Bereich.

Wir beraten Sie gerne bei der DSGVO-konformen Gestaltung von Datenverarbeitungsprozessen im Online-Bereich, was insbesondere dann wichtig ist, wenn
  • Sie eine Webseite betreiben und dort Analyse-Methoden beispielsweise wie Google Analytics anwenden.
  • Sie einen Online-Shop betreiben.
  • Sie eine Landingpage betreiben, mit welcher Sie Anfragen generieren.
  • Sie eine Webseite betreiben, über die Sie Anfragen aus Formularen generieren.
  • Sie Newsletter verschicken oder versenden lassen.
  • Sie Ihre Anfragen von einem Dienstleister erstbearbeiten lassen.
  • Sie Anfragen auf Buchungsplattformen verarbeiten lassen.
  • ...und viele mehr.

IHRE FRAGEN. UNSERE ANTWORTEN.


Die wichtigsten Fragen aus unserer Sicht werden die folgenden sein:
  • Wie habe ich die Datenverarbeitung zu dokumentieren und abzuwandeln, damit die Prozesse rechtskonform werden?
  • Welche Daten darf ich für mein Marketing (nicht mehr) verwenden?
  • Welche Prozesse muss ich bei zukünftigen Kampagnen mitberücksichtigen?
  • Welche MitarbeiterInnen werden in welcher Form informiert und die Inhalte verlässlich weitergegeben (Thema interne Schulungen)?
  • Benötige ich einen Datenschutzbeauftragten in meinem Unternehmen?

ANTON MAYRINGER ► BERATUNG MIT EXPERTENWISSEN


Als «Geprüfter Datenschutzexperte» der incite Qualitätsakademie des Fachvberbandes UBIT verfügt Anton Mayringer über Expertise zur EU-Datenschutzgrundverordnung, deren Übergangsfrist am 25. Mai 2018 endet. Er berät zu Themen wie Rechtliche Grundlagen, Betroffenenrechte, Pflichten des Verantwortlichen und Umsetzungsplanung sowie Risikoanalysen, Sicherheitsmaßnahmen organisatorischer oder technischer Natur – insbesondere, was die gesetzlichen Änderungen im Online-Bereich betrifft.

Zertifikate:

News und Online-Trends

Erfolge

Geprüfter Datenschutzexperte: Anton Mayringer

Als «Geprüfter Datenschutzexperte» hat Anton Mayringer sein Wissen zur EU-DSGVO unter Beweis gestellt.
Wissen

SSL-Zertifikate für Webseiten und Online-Shops

Für mehr Sicherheit im Internet: Verschlüsselte HTTPS-Verbindungen für Webseiten und Online-Shops.
Wissen

Barrierefreiheit im Internet

Warum eine barrierefreie Webseite aus Marketing-Sicht unerlässlich ist.
weitere Beiträge laden

NACH OBEN

Telefonisch erreichen Sie
uns unter +43274227441