LimeSoda Blog

€ 20 Mio: Die neue Datenschutz-Grundverordnung (DSGVO) straft hart

Vorab: Mein Ziel ist es hier, einen raschen Überblick über die wesentlichen Eckpunkte dieser neuen Verordnung  zu geben. Ich bin keine Juristin und die exakte Auswirkung mancher Regelungen in der DSGVO wird wohl erst im Laufe der Zeit ausjudiziert. Dementsprechend versteht sich der folgende Artikel bitte als Diskussionsgrundlage. Unabhängig davon empfiehlt es sich, deinen Webshop und deine Unterlagen unbedingt rechtlich prüfen zu lassen. Weiterführende Informationen der Wirtschaftskammer Österreich sind im Artikel verlinkt.

Was ist die DSGVO?

Die EU-Datenschutz-Grundverordnung – kurz EU-DSGVO – ersetzt die bisher gültige EU-DSRL (EU-Datenschutzrichtlinie) bzw. daraus resultierenden, unterschiedlichen nationale Umsetzungsgesetze der EU-Staaten. So soll ein unionsweit einheitliches Datenschutzniveau erreicht werden (sog. „Vollharmonisierung“). Allerdings enthält die DSGVO zahlreiche „Öffnungsklauseln“, die den europäischen Mitgliedsstaaten Regelungsspielräume belassen. Länderspezifische Abweichungen werden also nach wie vor möglich sein. Im Falle von Österreich betrifft das konkret das Datenschutzgesetz (DSG) 2000.

Wen/was betrifft die DSGVO?

Die EU-DSGVO betrifft global alle Organisationen, die…

  1. mit EU-Bürgern zu tun haben oder sich auch nur auf die EU ausrichten und
  2. in irgendeiner Art und Weise personenbezogene Daten selbiger erfassen oder verarbeiten (also z.B.: Kontaktformulare anbieten, Kundenkonten verwalten, Rechnungen ausstellen,…) .

Es müssen also auch Unternehmen mit Sitz außerhalb Europas diese Verordnung befolgen, sobald obenstehende Punkte auf sie zutreffen.

Was ist nicht betroffen?

Ab wann gilt sie?

Die EU-DSGVO tritt mit 25.05.2018 um 0:00 Uhr in Kraft. Es gibt keine Übergangsfrist zwischen alter und neuer Rechtslage.

Was passiert bei Nichteinhaltung?

Für nicht an die neue Rechtslage angepasste Datenanwendungen drohen – abhängig von Art, Schwere und Dauer des Verstoßes – Strafen von bis zu 20 Mio. € bzw. 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (es gilt der höhere Wert) von der zuständigen Aufsichtsbehörde.

Was steht drinnen/was ist neu?

  1. Die Meldepflicht an das Datenverarbeitungsregister (DVR) entfällt. Stattdessen treffen sowohl Verantwortliche („Auftraggeber“ = AG) als auch Auftragsverarbeiter („Dienstleister“ = DL) vermehrte Berichts- und Auskunftspflichten.
  2. Durchführung einer Datenschutz-Folgenabschätzung bei potentiell risikoreichen Verarbeitungsvorgängen, konkret
    1. automationsunterstützte Auswertungen von personenbezogenen Aspekten, z.B.: Profiling
    2. bei einer großen Zahl an Datenverarbeitungen von sensiblen Daten
    3. systematischen Überwachungen von öffentlich zugänglichen Orten

    sowie Vorab-Konsultation der Aufsichtsbehörde sofern keine Präventionsmaßnahmen getroffen werden (können).

    Voraussetzungen und Analyseschritte für die Risiko-Folgenabschätzung (WKO)

  3. Bestellung eines Datenschutzbeauftragten für
    1. öffentliche Stellen
    2. Unternehmen, deren Kerntätigkeit aus Datenverarbeitung besteht, welche regelmäßige und systematische Kontrolle von Datenschutzobjekten beinhaltet (z.B. Profiling)
    3. Unternehmen, die sensible Datensätze in großer Zahl erfassen

    Voraussetzungen, Aufgaben, Qualifikationen des Datenschutzbeauftragten (WKO)

  4. Umfangreiche Aufzeichnungspflichten (für Auftraggeber und Dienstleister!) in Form eines „Verzeichnisses von Verarbeitungstätigkeiten“ (ähnlich der derzeitigen DVR-Meldungen).
    Entbunden davon sind idR. KMU (also Unternehmen mit weniger als 250 MitarbeiterInnen) mit folgenden Ausnahmen:
    1. Datenverarbeitungsvorgänge (DVV) mit hohem Risiko
    2. DVV erfolgen nicht gelegentlich
    3. DVV erfassen sensible oder strafrechtlich relevante Daten

    Pflicht und Umfang von Verzeichnissen von Verarbeitungstätigkeiten (WKO)

  5. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („Privacy by Design & Privacy by Default“), z.B. durch Pseudonymisierung, Verschlüsselung, Grundsatz der  Datenminimierung
    Maßnahmen und Vorgehensweise (WKO)
  6. Datenschutzverletzungen müssen „ohne unangemessene Verzögerung“ sowohl den nationalen Aufsichtsbehörden als auch der betroffenen Personen gemeldet werden (sog. „Data Breach Notifications„).
    Pflichten und Vorgehensweise bei Datenschutzverletzungen (WKO)
  7. Betroffenenrecht auf Berichtigung, Löschung („Vergessenwerden“) bzw. Einschränkung der Verarbeitung der personenbezogenen Daten.
    Was bei solchen Anträgen zu tun ist (WKO)
  8. Betroffenenrecht auf Widerspruch der Verarbeitung der personenbezogenen Daten
    Abwicklung von Widerspruchsanträgen (WKO)
  9. Betroffenenrecht auf Datenübertragbarkeit
    Details zur Vorgehensweise (WKO)
  10. Betroffenenrecht auf Auskunft
    Korrekte Abwicklung von Auskunftsanträgen (WKO)
  11. Umfangreiche Informationspflichten an den Betroffenen
    Umfang, Zeitpunkt und Ausnahmen (WKO)
  12. Informationspflichten und Betroffenenrechte sind „ohne unangemessene Verzögerung“, spätestens aber innerhalb eines Monats zu erledigen (diese Frist kann unter bestimmten Umständen um höchstens weitere 2 Monate verlängert werden).

Fazit

Auch wenn der 25. Mai 2018 noch in weiter Ferne zu liegen scheint: Angesichts des großen Umfangs der Thematik, der fehlenden Übergangsfrist und der empfindlich hohen Strafen sind Webshop- und in bestimmten Fällen auch Webseiten-Betreiber gut beraten, sich bereits jetzt damit auseinanderzusetzen und die konkreten Maßnahmen vorzubereiten bzw. umzusetzen.

Noch Fragen oder Anmerkungen? Habt ihr andere/weitere gute Quellen? Dann bitte einfach posten!

Noch keine Bewertungen.