DATENSCHUTZ - WAS IST DAS?

Datenschutz ist der Schutz personenbezogener und personenbeziehbarer Daten vor Missbrauch. In dem Zusammenhang auch mit dem Schutz der Privatsphäre. Ziel des Datenschutz ist die Sicherung des Grundrechts auf informationelle Selbstbestimmung. Jeder Mensch hat das Recht zu entscheiden, wer was über ihn weiß.

Es gibt diverse Möglichkeiten Daten zu erheben, zu verarbeiten zu speichern und weiterzuleiten, wichtig ist das ein Unternehmen den Datenschutz organiseren muss.

Deshalb ist Datenschutz in Ihrem Unternehmen wichtig

Nicht nur, weil es das Bundesdatenschutzgesetz vorschreibt, sondern weil es den Erfolg Ihres Unternehmens sichert. Die größten Gefahren für den Datenschutz kommen von innerhalb Ihres Unternehmens. Dazu gehören zum Beispiel die versehentliche Datenvernichtung oder der Datenmissbrauch.

Datenschutz ist Schutz von persönlichen Daten, aber speziell Schutz der Personen zu dem die Daten gehören. § 1 Abs. 1 BDSG sagt: Zweck dieses Gesetzes ist es, den Einzelnen davor zu schützen, dass er durch den Umgang mit seinen personenbezogenen Daten in seinem Persönlichkeitsrecht beeinträchtigt wird.

Es geht hier um ein Grundrecht – die Privatsphäre. Der Schutz der Privatsphäre bei der Verarbeitung personenbezogener Daten muss gewährleistet werden.

DATENSCHUTZ - WAS IST DAS? (2)

Der Schutz von Daten, vor Datenmissbrauch und von Persönlichkeitsrechten in der modernen Informationsgesellschaft ist wichtig. Das Bundesdatenschutzgesetz und die EU Verordnung regelt den Umfang des Schutzes. Die Regelungen müssen in Unternehmen ordnungsgemäß umgesetzt und Datenschutzverletzungen vermieden werden.

Sie als Unternehmer sind für den Datenschutz in Ihrem Unternehmen voll verantwortlich. Nicht nur das – Ihre Kunden und Arbeitnehmer erwarten, dass ihre persönlichen Daten bei Ihnen sicher sind. Eine Nichteinhaltung der Datenschutzgesetze kann Folgen haben. Neben einem geschäftsschädigenden Imageverlust drohen hohe Bußgelder (laut EU Verordnung sind 20.000.000 € Strafe möglich). Diese Verantwortung ist eine schwere Last für viele Unternehmer. Sie bringt umfangreiche Aufgaben und Pflichten mit sich, die vielen nicht bewusst sind. Unternehmer haben die Verantwortung für:

  • den Schutz aller personenbezogenen internen oder externen Daten.
  • die detaillierte Dokumentierung der Datenerhaltung.
  • die gesetzeskonforme Durchführung von Speicherung oder Backups.
  • den Schutz aller Daten gegen Diebstahl oder Verlust.
  • Erfassung und Verarbeitung von Mitarbeiterdaten.
  • die unbedingte Einhaltung aller Datenschutzgesetze.
  • die Durchführung von Datenschutz-Vorabkontrollen
  • die Erstellung von Verfahrensverzeichnisse.
  • die Unterweisung der Mitarbeiter

Sie können zwar einen Mitarbeiter zum Datenschutzbeauftragen bestellen. Allerdings liegt die volle Verantwortung bei Ihnen als Geschäftsführer. Ein solcher interner Datenschutzbeauftragter muss unabhängig agieren können und ausreichend Zeit für seine Aufgabe haben. Das ist in der Praxis nicht immer gegeben. Ein interner Datenschutzbeauftragte, genießt ähnlichen Kündigungsschutz, wie ein Betriebsrat.
Es ist auch möglich, einen externen Datenschutzbeauftragten zu bestellen. Das hat viele Vorteile für Sie. Externe Datenschutzbeauftragte haben große Erfahrung und widmen sich voll ihrer Aufgabe: Sie wirken auf die Einhaltung aller datenschutzrechtlichen Vorschriften hin.

DIE AUFGABEN EINES DATENSCHUTZBEAUFTRAGTEN

Egal, ob Sie nun Ihren Datenschutz im Unternehmen ordnungsgemäß umsetzen durch einen internen oder externen Datenschutzbeauftragen, beide haben die gleichen Aufgaben.

BDSG beschreibt die Aufgaben eines Datenschutzbeauftragten. Er hat auf die Einhaltung aller datenschutzrechtlichen Vorschriften hinzuwirken und hat keine Entscheidungsgewalt. Organisatorisch ist er der direkt der Geschäftsleitung unterstellt.

Zu seinen Aufgaben gehören unter anderem:

  • Die Beratung und Information des Unternehmens und aller Personen die Daten verarbeiten hinsichtlich ihrer Datenschutzpflichten
  • Analyse, Kontrolle und Überwachung des Datenschutzes im Unternehmen
  • Die Überwachung dass datenschutzrechtliche Regelungen und betrieblicher Prozesse zum Schutz personenbezogener Daten eingehalten werden
  • Die Schulung von Mitarbeitern
    Die Beratung über und die Überwachung von Datenschutz-Folgenabschätzungen
  • Die Kooperation mit Datenschutzbehörden.
  • Ansprechpartner für alles rund um den Datenschutz

Als Unternehmer können Sie Haftungsrisiko minimieren, durch die Bestellung eines externen Datenschutzbeauftragten. Schon deshalb muss er fachlich immer auf der Höhe sein und kontinuierlich und zuverlässig auf die Einhaltung der aktuellen Datenschutzrichtlinien in Ihrem Unternehmen achten.

DATENSCHUTZ IN DEUTSCHLAND - GESETZLICHE ANFORDERUNGEN

Altes und neues Bundesdatenschutzgesetz

Zur Zeit ist das aktuelle Bundesdatenschutzgesetz noch immer in der Fassung vom 14.01.2003 in Kraft. Allerdings wurde das Gesetz an den EU-Datenschutz-Grundverordnung angepasst und am 06.07.2017 veröffentlicht.

Das neue Bundesdatenschutzgesetz erhält seine Gültigkeit gleichzeitig mit der EU-Datenschutz-Grundverordnung, die am 25.05.2018 in Kraft tritt.

Wichtigste Neuerungen der Grundverordnung sind:

  • Recht auf Vergessen – Personendaten müssen nach Aufforderung gelöscht werden.
  • Datenschutzverletzungen können direkt gemeldet werden, egal wo sie stattfand.
  • Geldstrafen stark erhöht für Verstöße – bis zu 4 % des Jahresumsatzes
  • Datenschutz-Folgenabschätzung durchführen unter Beachtung bestimmter Kriterien. Sie ermittelt, ob ein Risiko für Daten der Personen besteht.
  • Aufsichtsbehörde müssen darüber informiert werden.
  • Rechenschaftspflichten – Nachweis, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, mit denen personenbezogene Daten verarbeitet werden gewährleistet ist.
  • Strengere Informationspflichten. Neue Rechtsgrundlage zur Verarbeitung der Daten und die Dauer der Speicherung und die Kriterien dafür oder die Weitergabe an Verarbeiter von Auftragsdaten, Meldung von unbefugten Datenmissbrauch.
  • Prüfpflichten wurden eingeführt. Bsp.: Prüfen „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“, dass „die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde“.
  • Altersgrenze jetzt 16 Jahre.
    Einwilligung zur Datenverarbeitung strenger geregelt: freiwillig und in Kenntnis der beabsichtigten Nutzung, Zustimmung kann jederzeit widerrufen werden.
  • Zweckgebundene Datenspeicherung – personenbezogene Daten dürfen nur zu dem vereinbarten Zweck genutzt werden.
  • Allgemein verschärftere Datenschutzregelungen: Information über die Verarbeitung von Daten, Notwendige Zustimmung erforderlich, vertraglichen Regelung bei Auftragsdatenverarbeitung, neue Voraussetzungen zur Übermittlung von Personendaten in EU-Drittländer.
  • Schärfere Nutzerrechte – Jeder darf wissen, wo welche seiner persönlichen Daten gespeichert wurden

Haben Sie den Datenschutz in Ihrem Unternehmen wirklich noch voll im Griff?

Sprechen Sie mit uns darüber – wir können Sie unterstützen!

DATENSCHUTZ IN ÖSTERREICH - GESETZLICHE ANFORDERUNGEN

NEWS Datenschutz in Österreich

In Österreich gilt das Datenschutzgesetz, kurz DSG, und es ergänzt die seit Mai 2018 europaweit geltende Datenschutz Grundverordnung (DSGVO). Das Datenschutz-Anpassungsgesetz 2018, BGBl. I Nr. 120/2017 veränderte das bis dahin für alle Österreicher geltende Datenschutzgesetz 2000 tief greifend.

Datenverantwortliche in Österreich mussten sich bei der Umstellung, neben dem Wegfall der Meldepflicht an das Datenverarbeitungsregister der Datenschutzbehörde, noch an viele neue Begrifflichkeiten gewöhnen. Wer früher schlicht Auftraggeber war, wurde mit der Einführung der DSGVO „Verantwortlicher“. Aus dem früheren Dienstleister wurde nun ein „Auftragsverarbeiter“. Alle wurden stärker in die Verantwortung genommen, was den Umgang mit Daten anging.
Sowohl die Verantwortlichen und die Auftragsverarbeiter müssen nun ein Verzeichnis von Verarbeitungstätigkeiten führen, das inhaltlich zwar Ähnlichkeit mit den DVR-Meldungen hat, jedoch viel weitergehender ist. Besonderen Wert wird gelegt auf eigene Kontaktdaten, die Verarbeitungszwecke, die Beschreibung von Datenkategorien und Kategorien betroffener Personen und Empfängern. Ob Daten in Drittländer übermittelt werden, Löschfristen die vorgesehen sind sowie die generelle Beschreibung von technischen und organisatorischen Maßnahmen zur Datensicherheit, müssen nun auch darin erfasst werden. Technische Verfahren wie Privacy by default und Pseudonymisierung waren auch neue Stichwörter für Datenverantwortliche in Österreich. Neu waren dann auch die Meldepflichten, die Datenschutz-Folgeabschätzung sowie die umfangreichen Informationspflichten und die damit einhergehenden verschiedenen Rechte der betroffenen Personen. Österreichische Unternehmen wurden verpflichtet, einen Datenschutzbeauftragten zu bestellen und das bezog sich nicht, wie im benachbarten Deutschland, auf die Mitarbeiterzahl, sondern darauf, dass „die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.„

Was die Bußgelder für Datenschutzverstöße angeht, sagen viele Experten, wäre die EU-DSGVO in Österreich verwässert worden. Zwar wurden grundsätzlich die Befugnisse und Aufgaben von Datenaufsichtsbehörden erweitert – sie können auch Bußgelder verhängen in Höhe des EU-DSGVO-Strafmaßes – aber eine Last-Minute Gesetzesnovelle bremste diese jedoch ziemlich aus. Nichtregierungsorganisationen, die im Bereich Datenschutz tätig sind, ist es nicht erlaubt, Schadenersatz einzutreiben. Wie ein Schlag in die Magengrube muss die Novelle auf gemeinnützige Datenschützer wie Max Schrems Organisation noyb gewirkt haben. Ihnen wurde praktisch der Boden unter den Füßen weggezogen.

Damit geht Österreich einen weicheren Weg als die restliche EU. Die EU-DSGVO wollte erreichen, dass drohende empfindliche Strafen Konzerne unter Druck setzen sollten, den Datenschutz gesetzeskonform anzugehen. Im Alpenland gibt es Strafen in der Regel nur für Wiederholungstäter und die können auch noch davonkommen, wenn sie es geschickt anstellen. Die Novelle will, dass bei der Anwendung des DSGVO-Bußgeldkatalogs (Art. 83) die „Verhältnismäßigkeit“ gewahrt wird. Es heißt dazu explizit: „Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.“ Öffentliche Einrichtungen und Behörden (dazu zählen auch GmbHs) können überhaupt nicht strafbar gemacht werden. Unternehmen, die selbst die entschärfte DSGVO nicht ernst nehmen, kommen gut weg – denn, laut § 30 DSG können sie gar nicht bestraft werden für Datenschutzverletzungen untergeordneter Mitarbeiter. Nur dann, wenn Management oder die interne Überwachung zu Wiederholungstätern werden. Abschreckung heißt das österreichische DSGVO-Stichwort hierfür. Aber für den Fall, dass doch noch Strafe droht, gibt’s durch die Novelle durchaus ein Schlupfloch: Wenn eine Verwaltungsbehörde eine Verwaltungsstrafe auferlegt, kann die Datenschutzbehörde dann nicht noch mal abstrafen.

Aus irgendeinem tieferen Grund, haben die österreichischen und die ausländischen Spione sowie private Spionage-Dienste im Auftrag eines EU-Mitgliedsstaates auch nicht wirklich viel zu befürchten, denn für sie wurde die Videoüberwachung und -auswertung sogar erleichtert.
Für Journalisten, Wissenschaftler, Künstler gab es neue Privilegien. Insbesondere Medien dürfen personenbezogene Daten für journalistische Zwecke verarbeiten. Die Kapitel II, III, IV, V, VI, VII und IX der DSGVO müssen sie dabei gar nicht mal lesen. Sie müssen aber alles tun, heißt es, „soweit dies erforderlich ist, um das Recht auf Schutz der personenbezogenen Daten mit der Freiheit der Meinungsäußerung und der Informationsfreiheit in Einklang zu bringen“. Die österreichische Datenschutzbehörde muss zudem das Redaktionsgeheimnis beachten.
Videoüberwachung in Österreich ist auch dann zulässig, wenn es andere, datenschutzfreundlichere Sicherheitsvorkehrungen gibt. Was nun nur noch zur unzulässigen Bildverarbeitung zählt, ist auch nicht mehr viel. Unzulässig ist es, personenbezogene Fotografien oder Videos mit anderen personenbezogenen Daten abzugleichen also, wenn damit ohne Einverständnis der betroffenen Personen, Persönlichkeitsprofile erstellt werden. Für alle andere Zwecke ist es weitestgehend Okay, personenbezogene Daten mit Fotografien zu verknüpfen, auch wenn die betroffenen Personen gar nicht zugestimmt haben.

Auch Absurdes traf die Österreicher: Ein paar Hunderttausend Bürger in Wien müssen ihre Klingelschilder austauschen dank eines Klägers in einer Gemeindewohnung.

DATENSCHUTZ-GRUNDVERORDNUNG DER EU

2016 hat das EU-Parlament die neue EU-Datenschutz-Grundverordnung genehmigt, die am 25.05.2018 in Kraft tritt. Abgelöst wird damit die seit 1995 geltende EU-Datenschutzrichtlinie (Richtlinie 95/46/EG). Für ganz Europa gibt es nun einen einheitlichen Datenschutz

Wichtigste Neuerungen der EU Grundverordnung sind:

  • Recht auf Vergessen – Personendaten müssen nach Aufforderung gelöscht werden.
  • Datenschutzverletzungen können direkt gemeldet werden, egal wo sie stattfand.
  • Geldstrafen stark erhöht für Verstöße – bis zu 4 % des Jahresumsatzes
  • Datenschutz-Folgenabschätzung durchführen unter Beachtung bestimmter Kriterien. Sie ermittelt, ob ein Risiko für Daten der Personen besteht.
  • Aufsichtsbehörde müssen darüber informiert werden.
  • Rechenschaftspflichten – Nachweis, dass die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, mit denen personenbezogene Daten verarbeitet werden gewährleistet ist.
  • Strengere Informationspflichten. Neue Rechtsgrundlage zur Verarbeitung der Daten und die Dauer der Speicherung und die Kriterien dafür oder die Weitergabe an Verarbeiter von Auftragsdaten, Meldung von unbefugten Datenmissbrauch.
  • Prüfpflichten wurden eingeführt. Bsp.: Prüfen „unter Berücksichtigung der verfügbaren Technik angemessene Anstrengungen“, dass „die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind oder mit dessen Zustimmung erteilt wurde“.
  • Altersgrenze jetzt 16 Jahre.
    Einwilligung zur Datenverarbeitung strenger geregelt: freiwillig und in Kenntnis der beabsichtigten Nutzung, Zustimmung kann jederzeit widerrufen werden.
  • Zweckgebundene Datenspeicherung – personenbezogene Daten dürfen nur zu dem vereinbarten Zweck genutzt werden.
  • Allgemein verschärftere Datenschutzregelungen: Information über die Verarbeitung von Daten, Notwendige Zustimmung erforderlich, vertraglichen Regelung bei Auftragsdatenverarbeitung, neue Voraussetzungen zur Übermittlung von Personendaten in EU-Drittländer.
  • Schärfere Nutzerrechte – Jeder darf wissen, wo welche seiner persönlichen Daten gespeichert wurden

 

Haben Sie den Datenschutz in Ihrem Unternehmen wirklich noch voll im Griff?

Sprechen Sie mit uns darüber – wir können Sie unterstützen!