Nächstes Jahr, mit 25. Mai 2018, gibt es neue gesetzliche Regelungen im Datenschutz: Die Datenschutz-Grundverordnung (DS-GVO) der Europäischen Union.
Sie vereinheitlicht die Regelungen für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Einrichtungen. Die Datenschutz-Grundverordnung ist Teil der EU-Datenschutzreform.
Ihre Hauptpunkte
- Die Stärkung der Rechte von Betroffenen. Das heißt mehr Transparenz, sowie die Verankerung des Rechts auf „Vergessenwerden“ (auch als Recht auf Datenlöschung bezeichnet) und weiter gilt eine Einwilligung dann, falls diese freiwillig, aktiv und eindeutig ist.
- Ein neuer Fokus auf die Datensicherheit: Verpflichtende angemessene Sicherheitsvorkehrungen. Datenmissbräuche und Sicherheitsverletzungen müssen den Aufsichtsbehörden gemeldet werden.
- Die Bestellung von Datenschutzbeauftragten im öffentlichen Bereich.*
- Ein erhöhter Strafrahmen mit Strafen bis zu 20 Millionen Euro, beziehungsweise 4 % des weltweiten jährlichen Umsatzes.
Die Datenschutz-Grundverordnung gilt auch für Unternehmen, die ihren Sitz außerhalb der EU haben, allerdings ihre Angebote EU-BürgerInnen machen, wie beispielsweise Facebook und Google. Nicht nur die Datenschutzbehörde kann rechtliche Schritte gegen ein Unternehmen einleiten, sondern auch jene, die von der Datenverarbeitung betroffen sind sowie der Mitbewerb.
*Folgende Verantwortliche haben zwingend einen Datenschutzbeauftragten zu bestellen:
- Behörden und öffentliche Stellen (ausgenommen Gerichte, wenn es nicht die Justizverwaltung betrifft)
- Jene, deren Kerntätigkeit die regelmäßige und systematische Überwachung von Personen darstellt
- Jene, deren Kerntätigkeit in der umfangreichen Verarbeitung von sensiblen Daten und Strafdaten besteht
Unterschiedliche Gruppen von Daten
Je nachdem wie „sensibel“ die Daten sind, unterliegt der Umgang damit verschieden strengen Schutzvorschriften. Damit verbunden sind auch unterschiedliche Strafrahmen bei Verletzung des Datenschutzes.
„Es ist zwischen sensiblen also besonders schutzwürdigen Daten und nicht-sensiblen Daten zu unterscheiden. Sensible Daten sind ethnische Herkunft, Gesundheitsinformationen, politische Meinung, religiöse Überzeugung, Sexualleben. Nicht-sensible Daten sind Adresse oder Geburtsdatum. Beide Arten müssen natürlich geschützt werden. Dennoch bestehen bei sensiblen Daten besondere Anforderungen an die Sicherheit im Umgang mit diesen.“, so Mag. Markus Cerny, Partner bei Pitzal Cerny Partner Rechtsanwälte OG.
Erfassung der datenschutzrelevanten Vorgänge
Mit Inkrafttreten der DS-GVO obliegt es jedem Unternehmen selbst, Verarbeitungsverzeichnisse über die verschiedenen Datenverarbeitungen zu führen. Diese beinhalten Informationen zu den betroffenen Personen, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen und Löschfristen. Sie dienen der Datenschutzbehörde zur Überprüfung, ob die gesetzlichen Anforderungen erfüllt wurden. Außerdem sind sie wichtige Beweismittel in möglichen Gerichtsverfahren.
Quellen:Datenschutzbehörde Österreich