Es hat sich bestimmt schon bis zu Ihnen herumgesprochen: Die Datenschutzgrundverordnung (DSGVO) tritt am 25. Mai in Kraft. Damit Sie aber nicht doch in letzter Minute überrascht werden, haben wir noch einmal alle harten Fakten für Sie zusammengefasst.
Die Europäische Union will mit der Datenschutzgrundverordnung, beginnend am 25. Mai 2018, einen einheitlichen Rechtsrahmen schaffen, wie personenbezogene Daten verarbeitet werden sollen. Doch das Gesetz vereinfacht das Datenschutzrecht nicht unbedingt.
Für Sie und Ihr Unternehmen bedeutet das konkret, dass Sie mit erweiterten Dokumentationspflichten konfrontiert sind. Kommen Sie diesen nicht nach, riskieren Sie drastische Bußgelder – unter Umständen werden bis zu 20 Millionen Euro beziehungsweise bis zu vier Prozent des weltweiten Jahresumsatzes fällig. Mit 25. Mai müssen also all Ihre Datenanwendungen an die neue Rechtslage angepasst werden.
Wenn Sie also – was sehr wahrscheinlich ist – auch in Ihrem Unternehmen in irgendeiner Weise personenbezogene Daten verarbeiten wie etwa eine Kundendatei führen, Rechnungen ausstellen oder Lieferantendaten speichern, dann sind Sie betroffen.
Achtung, Falschmeldungen im Umlauf
In letzter Zeit häuften sich die Medienberichte, dass in Österreich keine Strafen bei Verstößen gegen die DSGVO verhängt werden. Das ist allerdings eine absolute Falschmeldung. Tatsächlich hat die Regierung vorgesehen, dass Beratung im Vordergrund steht. Unternehmen, die sich redlich um Datenschutz bemühen, werden im Einzelfall mit einer Verwarnung davonkommen. Was aber nicht heißt, dass es gar keine Strafen geben wird. Wer die Sache hingegen auf die leichte Schulter nimmt, wird um hohe Bußgelder nicht herumkommen.
Ob verwarnt oder gestraft wird, hängt dann vom Einzelfall ab. Der Strafrahmen bleibt natürlich unverändert, die Anpassungen der österreichischen Bundesregierung sorgen nur dafür, dass eine
gewisse Verhältnismäßigkeit gewahrt bleibt. Nähere Infos finden Sie hier:
https://www.lawoffice.at/presse/dsgvo-auch-in-oesterreich-drohen-weiterhin-geldstrafen/
Schwerpunkt der DSGVO: die Betroffenenrechte
Was wird neu sein: Alle Datenverarbeitungen mit personenbezogenen Daten sind ab Mai grundsätzlich verboten, außer Sie können diese rechtfertigen. Gründe dafür sind zum Beispiel eine bestehende gesetzliche Verpflichtung und die Einwilligung des Betroffenen. Wie auch bisher muss jede Datenverwendung einem konkreten Rechtfertigungsgrund zugeordnet werden. Und nur für diese Aufgabe dürfen die Daten zukünftig verwendet werden.
Die anfallenden Umstellungen bedeuten für Sie und Ihr Unternehmen aber nicht nur hohe Kosten, sondern einen erheblichen Arbeitsaufwand. Wir weisen Sie in diesem Zusammenhang auch darauf hin, dass Sie feststellen müssen, wer in Ihrem Unternehmen etwa für personenbezogene Daten verantwortlich ist oder wer „nur“ Aufträge verarbeitet.
Mit folgendem Mehraufwand müssen Sie ebenso rechnen:
- Erstellen und Führen eines Datenanwendungsverzeichnisses
- Erweitern der Informationspflichten gegenüber den Betroffenen
- Nominierung eines Datenschutzbeauftragten
Die Betroffenenrechte werden mit der DSGVO also gestärkt. Sie müssen daher jeden, der von Datenverarbeitungen in Ihrem Unternehmen betroffen ist, proaktiv und umfassend informieren. Es handelt sich dabei v. a. um folgende Rechte:
- Recht auf Löschen und Vergessen
- Recht auf Datenübertragbarkeit
- Recht auf Einschränkung der Verarbeitung
- Mitteilungspflicht bei Berichtigung, Löschen oder Einschränkung an alle Empfänger
- Widerspruchsrecht
- Auskunftsrecht, u. a. auch über die geplante Speicherdauer der personenbezogenen Daten
- Recht auf Berichtigung
Bisher mussten Sie bei der Datenschutzkommission melden, wenn Sie Daten Betroffener verarbeitet haben. Diese prüfte die Anmeldung, führte eine Risikoanalyse durch und speicherte die Anwendung im DVR-Register. Mit der DSGVO fällt die Meldung an das DVR-Register weg und Sie müssen jetzt in Ihrem Unternehmen selbst ein Datenanwendungsverzeichnis anlegen und gewissenhaft führen.
Sind Sie DSGVO-fit?
Sollten Sie sich noch nicht ganz sicher sein, ob Sie auch wirklich schon DSGVO-fit sind – die WKO hat für diesen Fall eine Checkliste für Unternehmer zusammengestellt, die Ihnen einen schnellen Überblick bietet: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html.
Wir fassen zusammen: Achten Sie darauf, Verträge, Prozesse und IT-Systeme anzupassen, damit Ihr Unternehmen DSGVO-sicher ist. Schulen Sie Ihre Mitarbeiter umfassend, damit auch sie die neuen Anforderungen geeignet unterstützen können.
Unser Tipp: Das Thema ist sehr komplex. Wegen der möglichen hohen Strafen empfehlen wir Ihnen, sich noch vor der Umsetzung von Experten wie uns unterstützen zu lassen. Für offene Fragen zur DSGVO stehen wir Ihnen natürlich wie immer während unserer Öffnungszeiten zur Verfügung: www.steueranker.at.