Die Datenschutz-Grundverordnung der Europäischen Union tritt am 25. Mai in Kraft. Es gibt keine Übergangs- oder Schonfrist. Betriebe müssen sich vorbereiten, denn bei Rechtsverletzungen drohen hohe Strafen.
1. Was sind personenbezogene Daten?
Es handelt sich dabei um alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) beziehen, z.B. Name, Adresse, Bankdaten.
2. Zählen als persönliche Daten auch die Kontaktdaten bei den Geschäftspartnern z.B. Durchwahl, Handynummer oder Email-Adresse des Sachbearbeiters oder des Angestellten?
Ja. Kunden und Lieferanten inkl. Kontaktpersonen beim Kunden und Lieferanten sind betroffene Personen.
3. Welche betrieblichen Änderungen kommen durch die Verordnung auf Unternehmen zu?
Das Verarbeitungsverzeichnis ist völlig neu, ebenso die eigenständige Risikoanalyse, die Datenschutz-Folgenabschätzung, der Datenschutzbeauftragte in manchen Fällen, es gibt neue Regelungen bei den Rechten betroffener Personen und der Meldepflichten von Datenschutzverletzungen, usw.
4. Müssen Aktivitäten wie Newsletter im Verarbeitungsverzeichnis aufgezeichnet werden?
Nein, das Verarbeitungsverzeichnis soll einen allgemeinen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Hierfür ist der Verarbeitungszweck (z.B. Marketing oder Newsletterversand) allgemein anzugeben. Sollte sich an den Datenverarbeitungen im Unternehmen nichts ändern, ist dieses einmal zu erstellen und muss danach nicht mehr geändert werden.
5. Müssen Personalverantwortliche jeden Bewerber in das Verzeichnis schreiben?
Es ist nicht erforderlich, dass tatsächlich jeder einzelne Datensatz in das Verarbeitungsverzeichnis eingetragen wird. Dieses soll keine Datenbank mit allen im Unternehmen vorhandenen Daten darstellen, sondern der Datenschutzbehörde einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten.
6. Wann braucht man einen Datenschutzbeauftragten?
Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist für Unternehmen nur in folgenden Fällen vorgesehen, wenn
- die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive).
- die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten). An Qualifikationen muss der Datenschutzbeauftragte Fachwissen auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis haben.
7. Muss man beim Betreiben einer Webseite einen Datenschutz-Beauftragten bestellen?
Ein Datenschutz-Beauftragter ist nur zu bestellen, wenn die Kerntätigkeit einer Website eine umfangreiche regelmäßige oder systematische Überwachung von betroffenen Personen erfordert oder in der umfangreichen Verarbeitung sensibler oder strafrechtsrelevanter Daten besteht. Wenn ein Webshop daher z.B. Profiling betreibt, wird dies i.d.R. nicht die Kerntätigkeit sein.
8. Sind Ein-Personen-Unternehmen (EPU) als Unternehmen anzusehen oder als Privatpersonen?
Es sind Unternehmen, aber keine juristischen Personen. Die Daten von Einzelunternehmern sind genauso personenbezogene Daten wie die von Privatpersonen. EPU müssen genauso analysieren, welche Daten sie von Kunden haben, ob diese sicher gespeichert sind, und sie müssen ihrer Auskunftspflicht im Bedarfsfall nachkommen.
9. Was muss ein Kleinunternehmen tun, das die üblichen Kundendaten (Namen, Adressen, Tel., Mail und Geburtsdaten, Vorlieben von Kunden) speichert?
Auch Kleinunternehmer müssen alle Vorgaben der DSGVO beachten. Beginnen sollten Sie einmal mit einer Art „Dateninventur”, schauen Sie sich an, wo und wie Sie überall im Betrieb personenbezogene Daten verarbeiten und gehen Sie dann z.B. am besten schrittweise unsere Checkliste bzw. unseren Onlineratgeber durch.
10. Gibt es Unterschiede zwischen Kleinunternehmern und GmbHs?
Nein. Es kann nur sein, dass die Daten der GmbH (demnach die Daten der juristischen Person) nicht als personenbezogen einzuordnen sind. Die DSGVO sagt hier klar nein, das Datenschutz-Anpassungsgesetz 2018 ist hier leider nicht so eindeutig. Man muss noch abwarten, was die Rechtsprechung dazu sagt.
11. Wie muss ein Verein vorgehen, wenn er Mitgliedsdaten und Bilder auf Webseiten veröffentlicht?
Die DSGVO gilt ausnahmslos auch für Vereine. Sie haben die DSGVO im gleichen Maß einzuhalten wie Unternehmen. Bei der Veröffentlichung von Daten auf der Website empfiehlt es sich, eine Einwilligung für genau diese Datenarten und Zwecke und Veröffentlichung von den betroffenen Mitgliedern einzuholen.
12. Gelten die Vorschriften nur für elektronische Datenverarbeitung oder auch für handschriftliche Aufzeichnungen?
Sofern diese Aufzeichnungen in einem Dateisystem aufbewahrt werden, fällt auch der Papierakt darunter. Dateisystem ist eine strukturierte Sammlung personenbezogener Daten, die nach bestimmen Kriterien geordnet ist (z.B. alphabetisch, chronologisch, etc.).
13. Ist es überhaupt noch zulässig, Daten in einer Cloud abzulegen?
Ja, Daten dürfen nach wie vor auch in Clouds abgelegt werden. Wie bisher gilt aber auch hier, dass man sich „sicherer Clouds“ bedienen sollte, d.h. sich den Fragen stellen sollten, ob die Daten sicher sind, ob der Anbieter Sicherheitsmaßnahmen hat, ob Daten weitergegeben werden (z.B. außerhalb der EU), wer auf Daten zugreifen kann. Manche Anbieter werben z.B. mit Gütesiegeln oder Zertifizierungen, d.h. man kann ein gewisses Vertrauen in diese Anbieter setzen.
14. Sind berufliche Kontaktdaten eines Kunden Personendaten im Sinne der DSGVO?
Ja. Business to Businness (B2B) oder Business to Customer (B2C) macht keinen Unterschied.
15. Wenn ich von einem Kunden personenbezogene Daten über das Internet recherchiere und diese Daten dann in unserer Datenbank aktualisiere – gilt hier die DSGVO?
Ja, denn auch hier werden personenbezogene Daten verarbeitet. Dieser Verarbeitungsvorgang fällt unter keine Ausnahme vom Anwendungsbereich der DSGVO.
16. In welchem Ausmaß müssen Subunternehmer an Kunden bekanntgegeben werden?
Grundsätzlich sind alle „Empfänger” von Daten bekannt zu geben. Empfänger ist hier voraussichtlich sehr weitgehend zu interpretieren und erfasst auch Auftragsverarbeiter.
17. Fallen auch die Daten der Mitarbeiter, die man bei einer neuen Anstellung benötigt (Adresse, Kontodaten, SVNr. etc), unter personenbezogene Daten?
Ja. Die Verordnung regelt den Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Die aufgezählten Daten sind personenbezogene Daten und unterliegen daher der DSGVO.
18. Wenn man Bilder und Videos betrachtet, ab wann zählt eine Person in einem Bild bzw. in einem Video als personenbezogene Daten?
Wenn die Person erkennbar ist.
19. Sind Daten von juristischen Personen ebenfalls personenbezogene Daten (z.B. Kundendaten im Großhandel)? Gelten dieselben Regeln zwischen GesmbH und ihren Kunden, die Einzelunternehmer sind? Sind diese wie natürliche Personen zu behandeln?
Nach der DSGVO sind Daten juristischer Personen (= GmbH, AG, nicht aber schlichtweg Unternehmen), nicht erfasst. Im österreichischen Datenschutz-Anpassungsgesetz 2018 sind sie teilweise erfasst. Es bleibt abzuwarten, wie hier von der Rechtsprechung entschieden wird.
20. Was tun, wenn Daten auch in einer Cloud gespeichert werden? – ich habe darüber keine Info, was dieser Anbieter mit den Daten macht. Stellt das für mich ein Problem dar?
Diverse US-amerikanische IT-Anbieter haben sich bereits auf die DSGVO vorbereitet. Da Sie die Verantwortung trifft, sich „zuverlässiger“ Auftragsverarbeitern zu bedienen, wäre sinnvoll, nachzufragen bzw. die Nutzungsund Datenschutzbedingungen zu lesen. Der Abschluss von Standardvertragsklauseln oder die Zertifizierung im sogenannten „Privacy Shield“ ist auch nach der DSGVO notwendig, um Cloud-Dienste von Anbietern mit Sitz außerhalb der EU datenschutzrechtskonform nutzen zu können. (Anm: Privacy Shield: Nur zertifizierte“ Unternehmen sind vom Datenschutzschild erfasst. Für den Datentransfer an nicht in die Liste eingetragene Unternehmen müssen nach wie vor andere Grundlagen der Übermittlung gefunden werden.)
21. Was ist, wenn mein Lieferant mir nicht bestätigt, dass er sich an die neue Verordnung hält?
Verweigert ein Vertragspartner, der personenbezogene Daten in Ihrem Auftrag verarbeitet, den Abschluss einer neuen Auftragsverarbeiter-Vereinbarung, verstößt eine weitere Zusammenarbeit gegen die DSGVO. D.h. Sie sollten sich in diesem Fall jemand anderen suchen.
22. Kann man das Verlangen auf Löschung von Daten ablehnen mit dem Hinweis auf die gesetzliche Aufbewahrungpflicht?
Ja, denn hier geht die gesetzliche Regelung dem Verlangen der betroffenen Person vor.
23. Was bedeutet das Koppelungsverbot im Zusammenhang mit der Einwilligung bei Verträgen?
Eine Einwilligungserklärung muss freiwillig erfolgen. Sie ist nur gültig, wenn sie nicht unter Zwang und nur nach freier Entscheidungsmöglichkeit abgegeben wurde. Wenn die Erfüllung eines Vertrags von einer Einwilligung abhängig ist, obwohl diese Einwilligung für die Erfüllung des Vertrags nicht erforderlich ist, wäre das unzulässig.
24. Dürfen Auftragsverarbeiter Daten ihrer Kunden an weitere Auftragsverarbeiter (= Subunternehmer) weitergeben?
Der Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter ohne vorherige schriftliche Genehmigung des Verantwortlichen beauftragen. Liegt nur eine allgemeine schriftliche Genehmigung vor, muss der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Ersetzung anderer Auftragsverarbeiter informieren. Der Verantwortliche hat die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.
25. Gilt die DSGVO nur für Unternehmen? Oder auch für den Umgang mit personenbezogenen Daten als Privatperson?
Sie gilt nur im geschäftlichen Umfeld. Die private Datenverarbeitung (z.B. privates Video, privates Telefonverzeichnis usw.) unterliegt nicht der DSGVO.
Quelle: Wiener Wirtschaft
