Datenschutz NEU ab 25. Mai 2018

ACHTUNG Dieses "Aktuelle Thema" entspricht den Regelungen zum Zeitpunkt seiner Veröffentlichung und wird nicht laufend aktualisiert.

Allgemeines

Ab 25. Mai 2018 gelten umfassende neue Bestimmungen zum Datenschutz. Hintergrund der neuen Datenschutzbestimmungen ist, dass durch die Datenschutz-Grundverordnung (DSGVO) ein einheitliches Datenschutzrecht für alle EU-Mitgliedstaaten geschaffen wurde. Die EU-Verordnung räumt den Gesetzgebern der einzelnen Mitgliedstaaten einen gewissen Regelungsspielraum ein. In Österreich wurde dieser durch den Beschluss des "Datenschutz-Anpassungsgesetzes 2018" ausgenützt.

ACHTUNG Bis zum 25. Mai 2018 müssen Unternehmen alle Datenanwendungen an die neue Rechtslage anpassen. Erfolgt keine Anpassung oder wird ab 25. Mai 2018 auf andere Weise gegen die neuen Bestimmungen verstoßen, drohen hohe Geldstrafen.

Betroffene Unternehmen

Die neuen Datenschutzbestimmungen gelten ab 25. Mai 2018 für alle Unternehmen, die

  • in irgendeiner Art und Weise personenbezogene Daten verarbeiten (Auftragsverarbeiterin/Auftragsverarbeiter) oder
  • über die Zwecke und Mittel der Verarbeitung solcher Daten entscheiden (Verantwortliche/Verantwortlicher).

Die neuen Regelungen gelten unabhängig von der Größe des Unternehmens und daher sowohl für Ein-Personen-Unternehmen als auch für KMU und Großunternehmen.

Personenbezogene Daten sind z.B. Name, Adresse oder Geburtsdatum einer Person.

Neben dieser allgemeinen Kategorie von Daten gibt es auch besondere Kategorien personenbezogener Daten (sogenannte "sensible Daten"), z.B. politische Meinungen oder religiöse/weltanschauliche Überzeugungen. Für die Verarbeitung dieser Daten gelten besonders strenge Regelungen.

Pflichten von Unternehmen

Die Pflicht zur Erstattung von DVR-Meldungen entfällt mit 25. Mai 2018. Stattdessen müssen Verantwortliche und Auftragsverarbeiterinnen/Auftragsverarbeiter ein Verzeichnis all ihrer Datenverarbeitungstätigkeiten führen (Datenverarbeitungsverzeichnis). Dieses muss laufend aktualisiert werden.

Weiters müssen Unternehmen Personen, deren Daten sie verarbeiten, umfassend informieren (z.B. bezüglich des Namens und der Kontaktdaten der/des Verantwortlichen, der Zwecke der Datenverarbeitung etc.). In der Praxis werden diese Informationen häufig über Datenschutzbestimmungen oder Datenschutzerklärungen (Privacy Policies) erteilt.

Die DSGVO regelt weiters Meldepflichten im Falle der Verletzung des Schutzes personenbezogener Daten sowie – unter bestimmten Voraussetzungen – Pflichten zur Bestellung einer/eines Datenschutzbeauftragten und zur Durchführung einer "Datenschutz-Folgenabschätzung".

Einwilligungserklärungen

Wenn bestehende Einwilligungserklärungen (nach dem "alten", bis 24. Mai 2018 geltenden Datenschutzrecht) auch noch ab 25. Mai 2018 datenschutzkonform sind, d.h. der neuen Rechtslage entsprechen, sind sie weiterhin gültig.

Wenn dies jedoch nicht der Fall ist, müssen die bisher verwendeten Einwilligungserklärungen angepasst werden! D.h. es müssen neue Zustimmungserklärungen der betroffenen Personen eingeholt werden.

Es wird empfohlen, (vorformulierte) Einwilligungserklärungen nicht in Allgemeine Geschäftsbedingungen zu integrieren, da dies gegen die Bestimmungen der DSGVO verstoßen könnte. Stattdessen sollten zusätzlich zu den AGB separate Einwilligungen der betroffenen Personen eingeholt werden.

Rechte von Betroffenen

Mit den (teilweise) neu geschaffenen Rechten von Betroffenen ab 25. Mai 2018 gehen jeweils auch Pflichten der Unternehmen einher. Beispielsweise müssen Verantwortliche auf Antrag einer/eines Betroffenen Auskunft darüber geben, ob, und wenn ja, welche sie/ihn betreffende personenbezogene Daten verarbeitet werden.

HINWEIS Eine Übersicht über bisherige "Themen des Monats" und "Aktuelle Themen" findet sich ebenfalls auf USP.gv.at.

Stand: 13.03.2018

Abgenommen durch:
  • USP-Redaktion
Transparente Grafik zwecks Webanalyse