Zurück

DSGVO: HLP getCompliant Service

News vom 6.2.2018

It's all about Big Data. In der Welt des Internets sind Daten wie zum Beispiel Name, E-Mailadresse, Geschlecht, Geburtsdatum, Interessen und Hobbys schnell preisgegeben. Aber würden Sie einem Fremden, dem Sie auf der Straße begegnen und der Sie willkürlich anspricht, einfach Namen, Adresse und Ihr Geburtsdatum verraten?

Im alten Datenschutzregime musste keine explizite Zustimmung für die Verwendung von persönlichen Daten gegeben werden. Daten konnten auch dann einfach weiterverarbeitet werden, wenn diese zur Erbringung der Dienstleistung oder Lieferung des Produktes gar nicht notwendig gewesen sind. Durch neue datenschutzrechtliche Grundprinzipien soll der Schutz personenbezogener Daten natürlicher Personen EU-weit verstärkt werden. Am 25.5.2018 tritt nunmehr das Datenschutz-Anpassungsgesetz 2018 auf Basis der Datenschutz-Grundverordnung in Kraft. Damit sind Unternehmer und Geschäftsführer gesetzlich verpflichtet, bei Erhebung von Daten außerhalb einer Geschäftsbeziehung, das Einverständnis der betroffenen Person einzuholen. Bei Aufträgen dürfen nur jene Daten erhoben werden, die notwendig sind, um die Leistung erbringen zu können.

Als Faustregel gilt: Ohne Einwilligung nur notwendige Daten speichern!

Welche Daten von Kunden darf ein Unternehmen erfassen? Und für welchen Zweck darf er Sie nutzen?

Die DSGVO erlaubt die Erhebung, Speicherung, und Verarbeitung personenbezogener Daten, wenn es sich um die Erfüllung eines Vertragsverhältnisses bei einer Dienstleistung oder der Lieferung eines Produktes handelt. So darf zum Beispiel ein Handwerkerbetrieb all jene Daten - Maße des Raumes, Größe des Möbelstückes, Adresse und Name des Kunden - in Absprache mit dem Kunden erheben, die für die Auftragsdurchführung benötigt werden. Damit werden die erhobenen Daten Bestandteil des Vertragsverhältnisses. Das Unternehmen darf die Daten so lange speichern, bis der Auftrag erfüllt ist. Davon unbeeinflusst sind aber selbstverständlich steuerliche Beleg- (und damit Daten-)aufbewahrungspflichten (für die „berühmten“ 7 Jahre).

Welche Daten von Mitarbeitern dürfen verwendet und gespeichert werden?

Die Regeln für das Dienstverhältnis werden durch das Arbeitsrecht geregelt und sehen vor, dass bestimmte personenbezogene Daten erhoben, gespeichert und verarbeitet werden dürfen und somit ein rechtskonformes Dienstverhältnis zustande kommt. Hier ist die Datenerhebung durch ein Vertragsverhältnis gedeckt. Für diese Datenerhebung muss der Dienstgeber keine gesonderten Einwilligungen seiner Mitarbeiter einholen, da es zu der gesetzlichen Pflicht des Unternehmers zählt. Möchte der Dienstgeber allerdings Daten und Angaben zu Hobbys und Interessen des Mitarbeiters speichern, benötigt er eine schriftliche Einwilligung. Das gilt auch, wenn die Daten zum Beispiel in einem Geburtstagskalender für alle Mitarbeiter ersichtlich sind. In dieser Einwilligung muss der Zweck, die Speicherdauer und eine etwaige Datenübermittlung an Dritte angegeben werden.

Welche technischen Anforderungen sind an die Datenverwendung geknüpft?

Im Mittelpunkt stehen Integrität und Vertraulichkeit. Die Verantwortlichen sind verpflichtet, entsprechende Sicherheitsmaßnahmen einzurichten (Datenschutz durch Technik). Sicherheitseinrichtungen wie Firewalls und Virenschutz sind selbstverständlich. Auch geeignete Maßnahmen gegen die seit 2017 besonders aggressiven sogenannten Cryptolocker, welche alle zur Verfügung stehenden Daten auf dem PC und im Netzwerk verschlüsseln, müssen in Betracht gezogen werden.

Für wen gilt die DSGVO? Wie geht man das Thema am Besten an?

Die Verordnung gilt für alle Unternehmen, unabhängig von Größe und Komplexität. Es gibt keine Erleichterungen für Klein- und Mittelbetriebe. Jeder Verantwortliche hat dafür Sorge zu tragen, dass ab 25.5.2018 ein vertretbares Compliance-Niveau erreicht wird. Als Unternehmen sollten Sie Überlegungen zur Umsetzung der DSGVO möglichst früh starten. Als Einstieg eignet sich mE besonders gut das sogenannte Verarbeitungsverzeichnis. Mit diesem Verzeichnis halten Sie fest, welche Arten von Daten im Unternehmen zu welchem Zweck verarbeitet werden. Dieses Verzeichnis löst das bisherige DVR in Österreich ab.

 

Sie benötigen Unterstützung bei der Umsetzung? - Kontaktieren Sie bitte unseren zertifizierten IT-Sicherheitsexperten und Datenschutzbeauftragen, DI Markus Liebeg unter markus.liebeg@hoferleitinger.at.