Sie haben es bestimmt schon irgendwo gehört: Die Europäische Datenschutz-Grundverordnung (DSGVO) ist ab 25.5.2018 unmittelbar in allen Mitgliedstaaten anwendbar. Auch im nationalen österreichischen Datenschutzrecht werden zeitgleich Änderungen in Kraft treten. Die neuen Regelungen bringen in vielen Bereichen zusätzliche Pflichten und Verschärfungen, auf die sich Unternehmer/-innen und Führungskräfte rechtzeitig vorbereiten müssen. Bei Nichteinhaltung der Vorgaben drohen hohe Strafen und andere Nachteile wie Gerichtsverfahren, Imageschaden etc. Nachstehend finden Sie einen ersten groben Überblick, worum es geht und warum Datenschutz-Compliance für Führungskräfte essenziell ist.

Welche Daten müssen geschützt werden?

Geschützt werden müssen personenbezogene Daten, also Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist. Unternehmen und bestimmt auch Sie verarbeiten täglich eine Vielzahl an personenbezogenen Daten, sei es von Mitarbeitern/-innen, Kunden/-innen, Lieferanten/-innen oder Auftraggebern/-innen. Der Begriff der personenbezogenen Daten ist sehr weit gefasst. „Daten“ sind beispielsweise auch Kontonummer, Geschlecht, Familienstand, Intelligenzquotient, Soft Skills, Sozialversicherungsnummer etc. Eine Sonderstellung nehmen „sensible Daten“ ein, dies sind Daten natürlicher Personen, beispielsweise über ihre Gesundheit, rassische und ethnische Herkunft, Gewerkschaftszugehörigkeit oder ihr Sexualleben. Erheben Sie daher in einem ersten Schritt, welche Arten personenbezogener Daten Ihr Unternehmen von welchen Betroffenengruppen (natürliche und juristische Personen!) verarbeitet.

Who is who im Datenschutz?

Den Gegenpart zu den Betroffenen bilden die Auftraggeber/-innen / Verantwortlichen einerseits und Dienstleister/-innen/Auftragsverarbeiter/-innen andererseits. Hauptunterschied zwischen den beiden ist, dass Erstere über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden, während Zweitere keine eigenständige Entscheidungsbefugnis über die Datenverarbeitung haben, sondern diese nur im Rahmen des Auftrags verarbeiten. Aus dieser „Rollenverteilung“ leiten sich unterschiedliche Verpflichtungen ab. Eine falsche Zuordnung kann folgenreich sein. Prüfen und dokumentieren Sie daher in einem weiteren Schritt, hinsichtlich welcher Datenverarbeitung Ihr Unternehmen Auftraggeber/Verantwortlicher oder Dienstleister/Auftragsverarbeiter ist.

Wozu Datenschutz-Compliance?

Bei Verstößen gegen das derzeit geltende Datenschutzrecht (DSG 2000) drohen Verwaltungsstrafen bis zu EUR 25.000. Mit den relativ geringen Verwaltungsstrafen ist es ab 25.5.2018 zu Ende. Die DSGVO bringt massive Strafverschärfungen, und zwar Geldstrafen von bis zu EUR 20.000.000 oder bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs, je nachdem, welcher Betrag höher ist. Daneben bestehen weiterhin Klage- und Beschwerderechte von Betroffenen. Auch der drohende Reputationsverlust darf nicht vergessen werden.

Datenschutz-Compliance, aber wie?

Wichtige Schritte, um Ihr Unternehmen fit im Datenschutz zu machen, sind:

  • Definition eines Datenschutz-Projektteams und eines Zeitplans mit Milestones
  • Erhebung der Rolle Ihres Unternehmens (Auftraggeber/Verantwortlicher und/oder Dienstleister/Auftragsverarbeiter) und des Status quo
  • Planung und Umsetzung konkreter Maßnahmen und die Implementierung eines effektiven Kontrollsystems (dazu gehören unter anderem: Erstellung eines Verfahrensverzeichnisses, Einholung von Zustimmungserklärungen, Abschluss von Verträgen mit Auftragsverarbeitern/-innen, Involvierung des Betriebsrates, Umsetzung von Datensicherheitskonzepten, eventuell Bestellung eines/-r Datenschutzbeauftragten, Prozesse für den Umgang mit Betroffenenrechten und für den Fall von Datenpannen).

Warten Sie nicht länger – machen Sie Ihr Unternehmen fit für den Datenschutz!

Dr. Anna Mertinz ist Partnerin bei KWR Rechtsanwälte GmbH

Bildcredits: (c) Maksim Kabakou/Shutterstock.com, (c) Simone Jelitzka-Kahlen/KWR (Portrait)