Ab 25.5.2018 gelten die EU-Datenschutz-Grundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG) 2018.
Das bedeutet für alle Unternehmen zum einen Handlungsbedarf bei Verträgen, internen Abläufen sowie Datensicherheitsmaßnahmen und zum anderen verschärfte Strafdrohungen von bis zu 4 % des Jahresumsatzes.
Einwilligungen
Datenverarbeitungen dürfen in vielen Fällen nur mit Einwilligung der betroffenen Person stattfinden. Dabei muss die Person aktiv zustimmen (sog. opt-in). Eine Einwilligung darf auch nicht versteckt erschlichen werden, z B durch einen Hinweis in den Allgemeinen Geschäftsbedingungen.
Datenschutzerklärungen
Datenschutzerklärungen müssen in Zukunft genau darüber informieren, was mit den Daten des Betroffenen geschieht und welche Interessen das Unternehmen mit der Verarbeitung der Daten verfolgt. Zudem muss auf die Rechte des Betroffenen, wie das Recht auf Auskunft über die gespeicherten Daten, hingewiesen werden.
Verträge mit Dienstleistern
Werden Aufgaben der Datenverarbeitung an externe Dienstleister ausgelagert, muss dies vertraglich genau geregelt sein. Klar sein muss vor allem, welcher Dienstleister die Daten verarbeitet, um eine Weitergabe der Daten an unberechtigte Dritte zu verhindern.
Risikoabschätzung und Verzeichnis der Verarbeitungen
Die DSGVO geht davon aus, dass es Bereiche gibt, in denen die Arbeit mit Daten besonders viele Risiken für den Datenschutz birgt. Aus diesem Grund müssen risikoträchtige Datenverarbeitungen in Zukunft bereits im Vorfeld eingeschätzt und diese Überlegungen dokumentiert werden. Zudem müssen Unternehmen ein Verzeichnis anfertigen, welches die einzelnen Bereiche, in denen ein Unternehmen Daten verarbeitet, genau dokumentiert.
Datenschutzbeauftragter
Ein Datenschutzbeauftragter muss nicht in allen Unternehmen bestellt werden. Ein Muss ist er bei Unternehmen ab 10 Mitarbeitern, wenn diese ständig mit der Verarbeitung von personenbezogenen Daten beschäftigt sind. Auch kleinere Unternehmen müssen einen Datenschutzbeauftragten bestellen, wenn ihre Tätigkeit ein hohes Risiko für den Datenschutz mit sich bringt.
Wir können Sie an dieser Stelle nur bruchstückhaft über die DSGVO informieren und empfehlen Ihnen dringend, sich mit diesem Thema zu beschäftigen, wenn Sie dies noch nicht getan haben sollten.
Die DSGVO verursacht in jedem Fall unangenehme Kosten, auch wenn gerade Einzelunternehmen und KMU meist andere Sorgen als die Erfüllung derart umfangreicher Pflichten haben. Dennoch müssen Sie das Thema Datenschutz umso ernster nehmen, je mehr Ihr Kundenstock aus natürlichen Personen besteht, deren Daten sensibel sind, also sogenannte „besondere Datenkategorien“ darstellen oder Sie Newsletter per E-Mail versenden.
Mehrere Online-Ratgeber, etwa jener von wko.at, führen Sie durch die relevanten Vorschriften, und stellen Ihnen Musterformulare zur Verfügung.