Eines der aus rechtlicher Sicht wohl herausforderndsten Themen wird in diesem Jahr die finale Umsetzung der EU-Datenschutz-Grundverordnung (DSGVO) sein, die mit 25. Mai 2018 in Geltung treten wird. Die wichtigsten Änderungen betreffen den Datenschutz bei natürlichen Personen.
Nach zweijähriger Umsetzungsphase werden ab dem 25. Mai 2018 alle Unternehmen jeglicher Größenordnung die Vorgaben der DSGVO einhalten müssen, um somit eine rechtmäßige Verarbeitung personenbezogener Daten sicherzustellen. Verstöße gegen die DSGVO sind mit beträchtlichen Geldstrafen in Höhe von bis zu EUR 20.000.000 oder 4 % des gesamten weltweiten Jahresumsatzes des Unternehmens (je nachdem, welcher der beiden Beträge höher ist) sanktioniert.
Sollten Sie sich bislang nicht oder nicht im ausreichenden Ausmaß mit der Umsetzung der DSGVO in Ihrem Unternehmen auseinandergesetzt haben, so steht nun ein rasches und vor allem zielgerichtetes Handeln an erster Stelle. Gerne unterstützen wir Sie dabei, Ihr Unternehmen so schnell wie möglich „DSGVO-fit“ zu machen.
Dazu ist es zunächst notwendig, gemeinsam den datenschutzrechtlichen Ist-Zustand in Ihrem Unternehmen zu erheben (d. h., welche personenbezogenen Daten werden zu welchem Zweck und auf welcher rechtlichen Basis im Unternehmen verarbeitet; wer hat Zugriff auf diese Daten; werden diese Daten an Dritte übermittelt etc.). Sodann sind die verpflichtenden Verarbeitungsverzeichnisse/-dokumentationen zu erstellen und die weiteren notwendigen Schritte zu setzen.
Dies gilt für alle Datenanwendungen, beispielsweise Direct Mails für gewerbliche und Spendenzwecke, für Web Tools (Daten für einen Newsletter, Einholung von Angeboten/Anfragen u. a.), die Daten von natürlichen Personen (mit)erfassen.
Unternehmen, deren Kerntätigkeit in der Durchführung von Datenverarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive), müssen einen Datenschutzbeauftragten zusätzlich bestellen. Dasselbe gilt, wenn die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler, kritischer Daten oder Daten über strafrechtliche Verurteilungen oder Straftaten besteht. Der Name des Datenschutzbeauftragten samt Kontaktdaten müssen der Aufsichtsbehörde mitgeteilt werden. Für geeignete Veröffentlichungen und Offenlegungen ist zu sorgen.
Gerade auf die Erstellung der Verarbeitungsverzeichnisse/-dokumentationen, die gleichsam das Herzstück der DSGVO bilden, sowie die Existenz von Datenschutz-Policies wird die Datenschutzbehörde anfänglich besonderes Augenmerk legen. Die Behörde wird im Anlassfall auch überprüfen, ob die Voraussetzungen zur Bestellung eines Datenschutzbeauftragten möglicherweise doch gegeben waren.
Die Datenschutzbehörde veröffentlicht auf ihrer Homepage (
https://www.dsb.gv.at/home) Stellungnahmen und Informationen zur laufenden Entwicklung des Datenschutzes in Österreich.