Zehn Fakten zur neuen Datenschutzgrundverordnung

01. Mai 2018

Mit 25. Mai 2018 tritt EU-weit eine neue einheitliche Datenschutzgrundverordnung (DSGVO) in Kraft. Im Kern zielt diese Verordnung darauf ab, die Rechte aller „natürlichen Personen“, also von Nutzern, Kunden und Arbeitnehmern zu stärken und Transparenz zu schaffen. Die DSGVO betrifft jedes Unternehmen, das personenbezogene Daten verarbeitet oder erfasst und erfordert die Implementierung eines lückenlosen Datenschutzprogramms.

1. EU-weite Regelung

Mit der Verordnung wurde eine einheitliche EU-weite Regelung geschaffen, die sich an moderne Rahmenbedingungen und aktuelle Technologien anpasst. Daneben besteht das österreichische Datenschutzgesetz weiter.

2. Bürokratieabbau

Unternehmen müssen sich künftig nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen, nämlich jener, wo sie ihren Hauptsitz haben. Administrative Umstände wie Meldepflicht von Datenanwendungen für Unternehmen, die persönliche Daten verarbeiten, entfallen.

3. Prinzip der Datenminimierung

Datenschutzrechtliche Voreinstellungen: Es muss sichergestellt werden, dass grundsätzlich nur personenbezogene Daten verarbeitet (gespeichert, ausgelesen, übermittelt udgl) werden, die für den jeweiligen Zweck bzw für die Erfüllung eines Vertrag erforderlich sind.

4. Personenbezogene Daten

Als personenbezogene Daten gelten alle Informationen, die sich auf identifizierbare Personen beziehen oder die Möglichkeit der Identifikation bieten. Dazu zählen etwa Name, Adresse, Telefonnummer, Kontodaten, Kfz-Kennzeichen, E-Mail-Adresse oder IP-Adresse.

5. Datensicherheit und Datenweitergabe

Datenweitergabe ist nur unter gewissen Umständen zulässig. Dies kann zum Beispiel auf Grund schriftlicher Zustimmung der betroffenen Person erlaubt sein. An einen Dienstleister dürfen auch künftig Kundendaten weitergegeben werden. Dabei ist aber vertraglich genau festzulegen, was er damit machen darf. Da Steuerberater als „Verantwortliche“ nach der DSGVO einzustufen sind, ist keine gesonderte vertragliche Vereinbarung erforderlich.

6. Pflicht zur Folgenabschätzung

Besteht durch die Verarbeitung von Daten ein hohes Risiko, dass die Rechte und Freiheiten der Personen verletzt werden könnten, so muss eine Folgenabschätzung gemacht werden. Darin müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung sowie die ergriffenen Sicherheitsmaßnahmen beschrieben werden.

7. „Recht auf Vergessen werden“

Wollen Betroffene ihre Daten nicht weiter verarbeitet sehen, müssen die gelöscht werden – vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. So besteht diese Recht nicht, wenn gesetzliche Aufbewahrungspflichten bestehen oder die Daten zur Erfüllung des Vertrages weiterhin benötigt werden.

8. Empfindliche Strafen für Datenmissbrauch

Vieles von dem, was in der neuen DSGVO geregelt ist, galt auch schon bisher. Die Strafen für Vergehen fallen allerdings künftig deutlich höher aus. Höchststrafen belaufen sich auf bis zu 4 % des weltweiten Konzernumsatzes oder maximal 20 Millionen Euro.

9. Nicht nur digital

Die DSGVO betrifft nicht nur elektronische Daten, sondern auch Handakten und jegliche systematisch abgelegte Daten.

10. Mitarbeiter bei Datensicherheit gefordert

Maßnahmen rund um die neue DSGVO werden im Unternehmen zwar zu großen Teilen technisch abgewickelt, Mitarbeiter sind aber besonders in puncto Datensicherheit gefordert. So muss künftig zB die Speicherung von Kundendaten auf persönlichen Laufwerken unterbunden werden – außer es ist für die Arbeit unerlässlich.