Die Datenschutzgrundverordnung Österreich 2018 – worauf unbedingt zu achten ist.

Nun steht es fest! Die neuen Anpassungen der Datenschutzgrundverordnung und des Datenschutzgesetzes (DSG) in Österreich nach dem Datenschutzanpassungsgesetz gelten ab Ende Mai 2018.

Haben Sie bis dato noch keine Anpassungen gemacht, sollten Sie sich auf keinen Fall zu viel Zeit lassen, denn bis zum 25.05.2018 müssen alle Anwendungen im Datenbereich an das Gesetz angepasst werden. Im Falle eines Verstoßes drohen hohe Geldstrafen.

Für die Anpassung an die neue Datenschutzgrundverordnung stehen wir Ihnen selbstverständlich gerne zur Verfügung. Des Weiteren bietet die österreichische Wirtschaftskammer hierfür auch diese Checkliste an, um alle Punkte zeitgerecht anpassen zu können.

Um Welche Daten geht es bei der DSGVO?

Die Bestimmungen der DSGVO gelten für die Verarbeitung von personenbezogenen Daten natürlicher Personen.

Personenbezogene Daten, sind alle Informationen, die sich auf eine natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, über eine Kennung wie einen Namen identifiziert werden kann.

Beispieldaten: Name, Adresse, Geburtsdatum, Bankdaten, etc.

Was kommt bei der Anpassung der Datenschutzgrundverordnung (DSGVO) auf mein Unternehmen zu?

Einer der Hauptpunkte bei der Anpassung der DSGVO ist, dass die Meldepflicht bei der Behörde für Datenschutz wegfällt. Es werden die Verantwortlichen mehr in die Verantwortung gezogen. Gemeint sind Auftraggeber und Dienstleister. Zusätzlich gibt es eine neue umfangreichere Regelung der Arbeitsnorm bei der Verarbeitung von Daten.

Datenschutz durch technologisches Design und datenschutzfreundliche Voreinstellung: Für die Anpassung an die österreichische Datenschutzgrundverordnung müssen sowohl technische als auch organisatorische Schritte unternommen werden, damit die Verarbeitung der Daten den Anforderungen der DSGVO genügt und die Rechte der betroffenen Personen geschützt sind. Durch die Voreinstellung der verwendeten Programme soll sichergestellt werden, dass nur Daten von Personen verarbeitet werden, die für den jeweiligen Zweck benötigt werden.

Alle Verantwortlichen und Personen, die Aufträge verarbeiten, müssen ein Verzeichnis führen, in dem die genaue Tätigkeit der Verarbeitung aufgelistet ist. Der Inhalt dieses Verzeichnisses ist der derzeitigen DVR-Meldung sehr ähnlich und hat Folgendes zu beinhalten:

  • Eigene Kontaktdaten
  • Grund der Datenverarbeitung
  • Beschreibung der Daten- und Personenkategorien
  • Kategorien der Datenempfänger
  • Werden die Daten an Drittländer übermittelt
  • Fristen für die Datenlöschung
  • Welche Datensicherheitsmaßnahmen wurden technisch und organisatorisch getroffen

Unternehmen mit weniger als 250 Mitarbeitern haben nur dann keine Verbindlichkeit, dieses Verzeichnis zu führen, wenn die Verarbeitung von Daten keine Gefahr für die Rechte und Freiheiten der betroffenen Personen mit sich bringt. Wenn die Datenverarbeitung nur in seltenen Fällen geschieht und keine Kategorien von Daten verarbeitet werden, die als besonders eingestuft sind, wie strafrechtliche Verurteilungen und Straftaten.

Durch die Anpassungen der Datenschutzgrundverordnung in Österreich sind Sie bei einer Verletzung des Schutzes von persönlichen Daten selbstverständlich zu einer Meldung verpflichtet. Diese Meldung hat binnen 72 Stunden nach Entdeckung der Verletzung bei den österreichischen Aufsichtsbehörden und bei den betroffenen Personen zu erfolgen.

Die Änderungen der DSGVO beinhalten nun auch eine Folgenabschätzung für Datenschutz. Eine solche Folgenabschätzung muss gemacht werden, wenn neue Technologien verwendet werden und durch die Verarbeitung ein hohes Risiko für die Rechte und Freiheiten von Personen entstehen können.

Die Verpflichtung zur Anstellung eines Datenschutzbeauftragten

Ein Unternehmen ist verpflichtet einen Datenschutzbeauftragten zu bestellen oder anzustellen, wenn:

  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche, regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen oder
  • die Kerntätigkeit aus der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.

 

Author: Claudia Berger

Claudia Berger ist in der Firma Dextra Data Solution für den Blog und Social Media verantwortlich

Share This Post On