Skip to main content
Erzählen Sie mir von Ihrem Projekt

* verpflichtend

Falls Sie mir nur Ihren Namen und Ihre E-Mail-Adresse bekannt geben, kontaktiere ich Sie gerne und vereinbare mit Ihnen ein persönliches Erstgespräch.
Vielen Dank für Ihre Anfrage! Sie erhalten alsbald von mir eine Antwort.
Kontaktdaten

Michael Trinh | Web-Dienstleistungen

Hildebrandgasse 22/13, A-1180 Wien

Tel. +43 (0) 677 624 776 00

Mail. office@trinh.at

Impressum

Sitemap

Anfrage

EU-Datenschutz-Grundverordnung

1 Jahr

Die Datenschutz-Grundverordnung (DSGVO) gilt ab 25. Mai 2018 europaweit. Vor allem Unternehmer müssen nun besonders sorgfältig und verantwortungsbewusst mit personenbezogenen Daten umgehen. In diesem Beitrag fasse ich Bestimmungen und mögliche Vorkehrungsmaßnahmen für euch zusammen.

1. Worum geht es bei der DSGVO?

Die Verordnung ist ein Europa-Rechtsakt und somit europaweit gültig. Sie wird das Datenschutzgesetz (DSG 2000) in Österreich ablösen. Durch sehr hohe Strafen (bis zu 20 Mio. €) könnten Verstöße für euer Unternehmen existenzbedrohend sein.

Im Vordergrund steht der Datenschutz von natürlichen Personen. Der Datenschutz von Unternehmen sowie juristische Personen wird nicht behandelt.

Durch zahlreiche Öffnungsklauseln können Mitgliedsstaaten ihre eigenen Bestimmungen versabschieden. z.B.: Einwilligungserklärungen von Kindern (im www) gelten in Österreich ab 14 Jahren. Allgemein gelten diese laut DSGVO erst ab 16 Jahren.

2. Wer ist betroffen?

Alle Unternehmen von Ein-Personen-Unternehmen bis Konzerne sind nun verpflichtet, personenbezogene Daten natürlicher Personen besonders zu schützen. Durch personenbezogene Daten (z. B.: Name, Adresse, IP, …) kann die Identität einer Person bestimmt werden.

3. Was muss getan werden?

Rechtsgrund

In erster Linie muss zur Speicherung von personenbezogenen Daten ein Rechtsgrund bestehen.

Rechstgründe sind:

  • gesetzliche Verpflichtungen
    z. B.: 7 Jahre Aufbewahrungspflicht der Buchhaltung, ...
  • Einwilligung einer natürlichen Person
    z. B.: Newsletter Zustimmung, ...
  • berechtigtes Interesse
    z. B.: Bestellung, Antragsstellung, ...

Die Zweckmäßigkeit der Datenspeicherung muss regelmäßig evaluiert werden. Gilt der Zweck der Speicherung nicht mehr, sind die Daten wieder zu löschen (inkl. Sicherungen!). 

Bei Einwilligungen besteht ein Koppelungsverbot. Für jeden Verwendungszweck der personenbezogenen Daten muss eine eigene Einwilligung der natürlichen Person eingeholt werden. z. B.: Bei einem Onlineshop müssen für das Akzeptieren der AGBs und der Newsletter-Anmeldung separate Checkboxen existieren.

Rechte von betroffenen Personen

Jede Person hat das Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit und Widerspruch. Die Geltendmachung muss spätestens innerhalb eines Monats erledigt werden.

Meldungspflicht bei Datenmissbrauch

Bei Verletzung des Datenschutzes durch Hacker-Angriffe oder irrtümliche Weitergabe von persönlichen Daten, sind die Behörden und die betroffenen Personen innerhalb von 72 Stunden zu informieren.

Verarbeitungsverzeichnis

Unternehmen mit mehr als 250 Mitarbeitern müssen anstatt der DVR-Meldung ein eigenes Datenverarbeitungsverzeichnis führen. Unternehmen, die bereits DVR-Meldungen über die Datenschutzbehörde speichern, können mit der Export-Funktion von DVR-Online die bestehenden Daten übernehmen.

Inhalte des Verarbeitungsverzeichnisses:

  • Name und Kontaktdaten der Firma
  • Zweck der Datenverarbeitung
    z. B.: Buchhaltung, Newsletter, …
  • Kategorien der betroffenen Personen und der personenbezogenen Daten
    z. B.: Wohnadresse, PLZ, Tel, …
  • Rechtsgrund
  • Zustimmungserklärungen, Verträge, ...
  • Daten Löschungs- bzw. Aufbewahrungsfrsiten
  • Kategorie der Datenempfänger
    z. B.: Marketingabteilung, Verkaufsabteilung, Grafikbüro, …
  • ev. Name der Applikation zur Speicherung der Daten

 

Hier findet ihr ein Muster eines Verarbeitungsverzeichnisses.

Unternehmen mit weniger als 250 Mitarbeitern müssen nur dann kein Verzeichnis führen, wenn ihre Datenverarbeitung keine Rechte und Freiheiten der betroffenen Personen gefährdet und nur gelegentlich Daten verarbeitet werden. Sie dürfen z. B. keine Gesundheitsdaten, Informationen über ethnische Herkunft, politische Meinung, … speichern.

Folgenabschätzung

Bei Datensammlungen mit hohem Risiko der Rechte und Freiheiten der betroffenen Personen, müssen Unternehmen eine Folgenabschätzung durchführen. Diese beinhaltet eine Risikoanalyse und geplante Abhilfen bei Datenmissbrauch.

Datenschutzbeauftragter

Einen Datenschutzbeauftragten muss ein Unternehmen bestellen:

  • wenn die Kerntätigkeit darin besteht, natürliche Personen umfangreich, regelmäßig und systematisch zu beobachten,
  • bei umfangreicher Speicherung und Verarbeitung von sensiblen Daten (z. B.: Gesundheitsdaten, Informationen über ethnische Herkunft, politische Meinung, …),
  • bei Speicherung und Verarbeitung von Daten über strafrechtliche Verurteilungen oder Straftaten.

Datenschutz und Technik "Privacy by Design"

Datenschutz soll fester Bestandteil von Technik sein. Von der Planung bis zur Umsetzung und Verwendung der Technik soll die Privatsphäre der Nutzer im Mittelpunkt stehen. Datenschutz soll als Standardeinstellung definiert sein („Privacy by Default“).

Webinar der WKO über die DSGVO

In diesem einstündigen Webinar erhalten ihr ausführliche Informationen zur DSGVO:

Zurück