Für Sie als Unternehmer hat die EU-Datenschutz-Grundverordnung (DSGVO) eine Flut an neuen datenschutzrechtlichen Bestimmungen mit sich gebracht und es drohen plötzlich drakonische Strafen bis zu EUR 20 Mio. (oder bis zu 4% des Jahresumsatzes). Aber stößt Ihnen dieser unverdauliche Regelungs-Eintopf nicht sauer auf?
Mit diesem Artikel möchten wir dazu beitragen, Komplexität zu reduzieren, indem wir drei wesentliche Kernbestimmungen des neuen Datenschutzrechts für Sie auf den Punkt bringen: *)
Wann braucht Ihr Unternehmen ein Verarbeitungsverzeichnis?
Verpflichtend ist die Führung eines Verzeichnisses der Verarbeitungstätigkeiten jedenfalls für Unternehmen mit mehr als 250 MitarbeiterInnen.
Verpflichtend ist die Führung eines Verzeichnisses der Verarbeitungstätigkeiten aber auch für Unternehmen mit weniger als 250 MitarbeiterInnen, wenn
a) sensible personenbezogene Daten verarbeitet werden;
b) die Verarbeitung öfter als nur gelegentlich erfolgt; oder
c) die Datenverarbeitung ein Risiko für die Rechte der betroffenen Personen darstellt.
Inhaltlich muss der Verantwortliche ein Verzeichnis über sämtliche Verarbeitungstätigkeiten führen, die in seiner Zuständigkeit liegen. Als Leitfaden dienen die sechs W-Fragen:
WER? Wessen Daten werden verarbeitet?
WARUM? Zu welchem Zweck werden diese Daten gesammelt?
WELCHE? Welche Daten werden erhoben?
WIE? Wie und über welche Kanäle werden die Daten erhoben?
WO? Wo werden Daten gespeichert (zB lokaler Server oder im Internet)?
WIE LANGE? Für welchen Zeitraum werden die Daten gespeichert?
Welche Kundendaten darf Ihr Unternehmen verarbeiten?
Wichtig ist, dass Sie für alle Daten, die Sie verarbeiten, eine angemessene Rechtfertigung vorweisen können. Diese Rechtfertigung liegt vor:
bei einer ausdrücklichen Einwilligung des Kunden (in welcher Form auch immer); oder
wenn dies für die Erfüllung einer gesetzlichen Verpflichtung (zB Buchhaltung, Steuer- und Abgabenwesen) notwendig ist; oder
wenn dies für die Erfüllung eines Vertrags mit dem Kunden (zB Kundenauftrag) erforderlich ist.
Besondere Vorsicht ist allerdings bei sensiblen personenbezogenen Daten geboten. Dies sind Daten, aus denen etwa die ethnische Herkunft, die politische Meinung oder die sexuelle Orientierung eines Menschen hervorgehen. Auch biometrische oder Gesundheitsdaten fallen darunter. Sensible personenbezogene Daten dürfen nur nach ausdrücklicher Einwilligung (!) der betroffenen Person verarbeitet werden, außer erhebliche öffentliche oder lebenswichtige persönliche Interessen machen die Verarbeitung notwendig.
Wann und worüber muss der Kunde informiert werden?
WANN? Wann immer Daten beim Kunden erhoben werden, ist der Kunde umfassend über die Verarbeitungsvorgänge zu informieren.
WORÜBER? Hier wird zwar im Detail zwischen Daten, die beim betroffenen Kunden selbst erhoben werden, und solchen, die nicht beim Kunden selbst erhoben werden, unterschieden. Zur Orientierung dienen aber in beiden Fällen wiederum die klassischen W-Fragen:
WER ist der Verantwortliche bzw. Datenschutzbeauftragte?
WELCHE Kategorien personenbezogener Daten werden verarbeitet?
WOHIN gehen die Daten, an welchen Empfänger oder gar ins Ausland?
WIE LANGE werden die Daten gespeichert?
WELCHE RECHTE stehen dem Kunden zu, nämlich insbesondere das Recht auf Widerruf der Einwilligung zur Datenverarbeitung und ein Beschwerderecht bei der Aufsichtsbehörde.
Appetit auf mehr?
Gerne servieren wir Ihnen weitere Schmankerl des neuen Datenschutzrechts in schmackhaften und leicht verdaulichen Häppchen und helfen Ihrem Unternehmen dabei, alle für Sie wichtigen Aspekte des Datenschutzes zu verstehen und richtig umzusetzen!
Sprechen Sie mit uns!
*) Wir weisen darauf hin, dass dieser Artikel keine Rechtsberatung ersetzen kann. Für Vollständigkeit und Richtigkeit des Inhalts wird daher keine Gewähr geleistet. Dieser Artikel kann und soll daher keinesfalls einen anwaltlichen Beratungstermin oder die Lektüre des weitaus umfassenderen und detaillierteren Wortlauts der DSGVO ersetzen.
Tel. +43 732 / 67 39 82