Änderungen durch die Datenschutz-Grundverordnung (Teil I)

Erstellt von Mag Sylvia Unger |

Die Datenschutz-Grundverordnung (kurz: DS-GVO) ist ab 25.05.2018 in allen EU-Mitgliedstaaten unmittelbar wirksam. Sie regelt den Datenschutz EU-weit neu und ersetzt ab diesem Zeitpunkt das derzeit in Österreich geltende Datenschutzgesetz 2000 (DSG 2000). Für Unternehmer bringt die DS-GVO zahlreiche Änderungen in der Datenverarbeitung sowie hohe Strafdrohungen (bis € 20 Mio oder 4% des Jahresumsatzes) bei Verletzung der Vorschriften. Wir werden in einer eigenen Artikelserie zur DS-GVO näher auf die Rechte und Pflichten für Unternehmer und Betroffene eingehen und beginnen in Teil I mit einem Überblick über die kommenden Neuerungen verglichen mit der derzeitigen Rechtslage und einer Darstellung des Anwendungsbereiches.

1.wesentliche Unterschiede zur derzeitigen Rechtslage:

derzeitige Rechtslage:

  • Schutzbereich: Daten von natürlichen und juristischen Personen
  • Registrierungspflicht von Datenverarbeitungen im Datenverarbeitungsregister, soweit keine Standardverarbeitung
  • Rechte des Betroffenen (=Person, dessen Daten verarbeitet werden):
    • Auskunft
    • Information
    • Widerspruch
    • Richtigstellung und Löschung
  • Erforderlicher Inhalte einer Einwilligung zur Datenverarbeitung:
    • alle zu verarbeitenden und zu übermittelnden Daten
    • Zwecke der Datenverarbeitung
    • Empfänger der Daten
    • die Information über das Recht, die Einwilligung jederzeit widerrufen zu können
  • Strafrahmen bei Verstoß: bis EUR 25.000,00

 

neue Rechtslage nach der DS-GVO:

  • Schutzbereich: Daten von natürlichen Personen
  • Entfall der Meldepflicht – Selbstbeurteilung - unternehmensinterne Dokumentation zu Datenanwendungen => unter bestimmten Umständen Pflicht zur Führung eines Verarbeitungsverzeichnisses
  • Stärkung der Rechte des Betroffenen:
    • umfassende Informationsrechte
    • Widerspruch gegen die Datenverarbeitung und Profiling
    • Einschränkung der Datenverarbeitung
    • Datenübertragbarkeit
    • Recht auf „Vergessenwerden“/Löschen
    • Berichtigung
  • Pflicht zur Ernennung eines Datenschutzbeauftragten, wenn
    • die Kerntätigkeit in einer Datenverarbeitung besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht
    • die Kerntätigkeit in der umfangreichen Bearbeitung von sensiblen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht
    • die Daten von einer öffentlichen Stelle verarbeitet werden
  • Meldepflicht bei Datenmissbrauch an die Aufsichtsbehörde (in Ö wahrscheinlich: Datenschutzbehörde) und den Betroffenen
  • Neben den bisherigen Inhaltserfordernissen ordnet die DS-GVO ausdrücklich an, dass die Einwilligung als Erklärung oder einer sonstigen eindeutigen Handlung abzugeben ist.Stillschweigen, Untätigkeit oder standardmäßig angekreuzte Kästchen gelten nicht als Einwilligungen zur Datenverarbeitungen
  • Massive Erhöhung der Strafrahmen bei Verstößen: bis EUR 20.000.000,00 oder 4% des Jahresumsatzes (je nachdem, welcher Betrag höher ist)!

 

2.Anwendungsbereich:

Der Anwendungsbereich der DS-GVO ist sehr weit gefasst. Diese gilt, wenn

  • der Verantwortliche eine Niederlassung in der EU hat,
  • das Verhalten von Personen in der EU beobachtet wird,
  • Waren und Dienstleistungen in der EU angeboten werden und
  • personenbezogene Daten von Personen verarbeitet werden, die sich in der Union befinden.