th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Datenschutz-Grundverordnung: Was auf Unternehmer zukommt

Die Datenschutz-Grundverordnung (DSGVO) und das novellierte österreichische Datenschutzgesetz treten am 25. Mai 2018 in Kraft. Auswirkungen gibt es auf alle österreichischen Unternehmen.

 Was auf Unternehmer zukommt
© Foto: iStockphoto

Die wichtigsten Veränderungen, die mit der DSGVO am 25.05.2018 in Kraft treten,  im Überblick.

Betreffen die Änderungen alle Unternehmen?
Die neue Datenschutz-Grundverordnung (DSGVO) vereinheitlicht die Regelungen für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen EU-weit. Sie gilt ohne Umsetzungsakt unmittelbar in allen EU-Mitgliedstaaten. Es sind jedoch punktuell begleitende, innerstaatliche Gesetzgebungsmaßnahmen zulässig, weshalb auch das österreichische Datenschutzgesetz angepasst wird. Von EPU bis zu großen Konzernunternehmen sind alle Betriebe betroffen.

Wozu braucht es ein Datenschutzrecht?
Das Datenschutzrecht dient vor allem der Privatsphäre von natürlichen Personen und regelt den Schutz personenbezogener Daten. Das sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen („betroffene Person“). Im Zweifel ist immer von personenbezogenen Daten auszugehen, z.B. Name, Geburtsdatum, Wohnadresse, Größe, Gewicht, Ausbildung, Einkommen- und Vermögensverhältnisse, Telefonnummer, Passnummer, Sozialversicherungsnummer, Familienstand, Vorlieben, Hobbys, Urlaubsort etc. Die DSGVO enthält weiters eine abgeschlossene Aufzählung besonders geschützter Daten („sensible Daten“): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, genetische Daten, biometrische Daten, Daten zum Sexualleben oder der sexuellen Orientierung.

Was ist erlaubt?
Beim Datenschutzrecht handelt es sich um ein Verbotsgesetz. Dies bedeutet, dass alle Datenverarbeitungen, die nicht ausdrücklich erlaubt sind, verboten sind. Es ist also eine der folgenden Rechtsgrundlagen erforderlich:

  • Die Verarbeitung ist für die Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen.
  • Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt.
  • Die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
  • Die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.
  • Die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen (dies insbesondere dann, wenn es sich bei der betroffenen Person um ein Kind handelt).
  • Die betroffene Person hat ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben.

Die Verarbeitung besonders geschützter Daten ist unter noch engeren Voraussetzungen zulässig.

Was ändert sich am 25. Mai 2018?

In Österreich gibt es diesen Schutz von personenbezogenen Daten bereits – im gültigen Datenschutzgesetz 2000. Einige Änderungen stechen jedoch hervor:

  • Stärkung der Betroffenenrechte (mehr Transparenz; Verankerung des Rechts auf Vergessenwerden; Einwilligung gilt nur falls freiwillig, aktiv und eindeutig)
  • Neuer Fokus auf die Datensicherheit (verpflichtende angemessene Sicherheitsvorkehrungen; Datenmissbräuche und Sicherheitsverletzungen müssen den Aufsichtsbehörden gemeldet werden)
  • Bestellung von Datenschutzbeauftragten vor allem im öffentlichen Bereich
  • Erhöhter Strafrahmen: Strafen bis zu 20 Millionen Euro beziehungsweise vier Prozent des Konzernumsatzes sind möglic
  • Aufgrund der DSGVO ist keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten. Auch die DVR-Nummer ist Vergangenheit. Stattdessen sind u.a. Verzeichnisse über die Verarbeitung von Daten zu führen.

Expertentipp von Florian Brutter
Abteilung Arbeits- und Sozialrecht in der  Wirtschaftskammer Tirol

Zur Vorbereitung auf die ab 25.05.2018 geltenden Bestimmungen der DSGVO sollte möglichst rasch ein Verarbeitungsverzeichnis erstellt werden. Anhand dieser Bestandsaufnahme können die weiteren Schritte geplant werden. Ein wichtiger Baustein ist auch die Sensibilisierung der Mitarbeiter. Und ein nicht zu unterschätzender Teilbereich des Datenschutzes betrifft die Datensicherheitsmaßnahmen.

Alle Informationen, Hinweise und Ratgeber finden Sie hier.

Hier geht's zum WKO Online-Ratgeber zur DSGVO


Rückfragen:
Tiroler Wirtschaftskammer
Abteilung Arbeitsrecht und Sozialrecht
Mag. Florian Brutter
T 05 90 90 5-1111
E arbeitsrecht@wktirol.at