Die DSGVO kommt – und wir sind bereit ihnen zu helfen

Wie fit sind Sie für die DSGVO?

Am 25. Mai 2018 ist „Data Protection Day“. Dann wird nach einer zweijährigen Übergangszeit die europäische Datenschutzgrundverordnung (DSGVO) wirksam. Spätestens bis zu diesem Tag müssen alle Datenverarbeitungsprozesse vollständig auf das neue Recht umgestellt sein. Zweck der DSGVO ist eine Vereinheitlichung der Datenschutzstandards in allen Ländern Europas.

 

Für welche Daten gilt die DSGVO?

Die DSGVO regelt den Umgang mit personenbezogenen Daten. Juristische Personen sind grundsätzlich nicht betroffen. Personenbezogene Daten sind nicht nur Daten, die den Namen einer Person enthalten, sondern auch pseudonymisierte Daten und ähnliche Informationen, die zwar auf den ersten Blick verschlüsselt sind, die von der verarbeitenden Stelle aber einer Person (wieder) zugeordnet werden können. Typische Beispiele dafür sind Kundennummern, Kreditkartennummern oder Online- und Gerätekennungen (IP-Adressen, Cookie-IDs).

 

Was verlangt die DSGVO?

Die Vorgaben der DSGVO ähneln in vielen Bereichen den Anforderungen, die in Österreich nach dem bis Mai 2018 geltenden Datenschutzgesetz (DSG 2000) bereits gang und gäbe waren. Insofern enthält die DSGVO weniger wirklich neue Anforderungen als mehr eine Fortentwicklung – teilweise auch eine Verschärfung – bekannter Bedingungen. Zu den Kernpunkten zählen die Verpflichtungen:

  • die Rechtmäßigkeit der Datenverarbeitung sicherzustellen. Es muss gewährleistet sein, dass jeder Datenverarbeitungsprozess durch eine Rechtsgrundlage gedeckt ist, angemessene technische Schutzvorkehrungen bestehen und das auch nachgewiesen werden kann
  • die Rechte der von der Datenverarbeitung betroffenen Personen zu wahren. Das umfasst zunächst die Verpflichtung, Transparenz über die Datenverarbeitungsprozesse herzustellen, indem der Betroffene ordnungsgemäß informiert wird und Auskunftsanfragen beantwortet werden. Darüber hinaus sind Ansprüche auf Berichtigung, Sperrung, Löschung, Widerspruch und Übertragung der Daten bei Vorliegen der entsprechenden Voraussetzungen unverzüglich zu erfüllen
  • Datenschutz durch technische Gestaltung und datenschutzfreundliche Voreinstellungen in allen Datenverarbeitungsprozessen bereits vom Entwicklungsstadium an zu berücksichtigen;
  • eine angemessene Datenschutzorganisation zu unterhalten und insbesondere eine aktuelle und vollständige Dokumentation der Datenverarbeitungstätigkeiten vorzuhalten

 

Wirkt die DSGVO auch außerhalb Europas?

Ja, dem Geltungsbereich der DSGVO unterliegen sowohl die in der EU niedergelassenen Unternehmen als auch diejenigen, die zwar in einem Drittland ansässig sind, aber gleichwohl gegenüber EU-Bürgern ihre Dienste anbieten oder Daten von EU-Bürgern verarbeiten. Ein Geschäftssitz der datenverarbeitenden Stelle im Ausland schützt mithin nicht (mehr) vor der Anwendbarkeit europäischen Datenschutzrechts.