Dienstag, den 23.08.2016
Von: Mag Sylvia Unger

Änderungen durch die Datenschutz-Grundverordnung (Teil II)

Nachdem wir in Teil I unserer Serie zur Datenschutz-Grundverordnung (kurz: DS-GVO) einen Überblick über die wesentlichsten Änderungen und den Anwendungsbereich dargestellt haben, gehen wir in Teil II näher auf die neuen Pflichten für Unternehmer ein.

1. Pflicht zur Führung eines Verarbeitungsverzeichnisses:
Statt einer Meldung an das Datenverarbeitungsregister ist ab dem 25.05.2015 ein schriftliches Verzeichnis aller Verarbeitungstätigkeiten zu führen, wenn die folgenden Voraussetzungen vorliegen:

  • ab einer Unternehmensgröße von 250 Mitarbeitern
  • unabhängig von der Unternehmensgröße, wenn
    • die Verarbeitung ein Risiko für die Rechte und Freiheiten der Betroffenen darstellt;
    • die Verarbeitung nicht nur gelegentlich erfolgt;
    • sensible Daten verarbeitet werden;
    • Daten über strafrechtliche Verurteilung und Straftaten verarbeitet werden;

Wesentlicher Inhalt des Verarbeitungsverzeichnisses:

  • den Namen und die Kontaktdaten des Verantwortlichen, seines Vertreters sowie eines etwaigen Datenschutzbeauftragten;
  • die Zwecke der Verarbeitung;
  • eine Beschreibung der Kategorien der betroffenen Personen und der Daten;
  • Empfänger der Daten;
  • ggf. Übermittlungen von Daten an ein Drittland oder eine internationale Organisation;
  • wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen, die für die Sicherheit der Verarbeitung getroffen wurden.

Empfehlung: Auch wenn ein Unternehmen nicht verpflichtet ist, ein Verarbeitungsverzeichnis zu führen, ist es ratsam, ein solches zu erstellen. Dies erleichtert die Übersicht über die Datenanwendungen und damit die Einhaltung der DS-GVO.

2. Pflicht zur Benennung eines Datenschutzbeauftragten:
Eine Pflicht zur Benennung eines Datenschutzbeauftragten besteht in folgenden Fällen:

  • die Verarbeitung wird von einer öffentlichen Stelle durchgeführt;
  • im privaten Bereich, wenn
    • die Kerntätigkeit in einer Datenverarbeitung besteht, die eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht;
    • die Kerntätigkeit in der umfangreichen Bearbeitung von sensiblen Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht;

Aufgaben des Datenschutzbeauftragten:

  • Unterrichtung und Beratung des Verantwortlichen;
  • Überwachung der Einhaltung der DS-GVO;
  • Beratung iZm der Datenschutz-Folgeabschätzung;
  • Zusammenarbeit mit der Aufsichtsbehörde;
  • Anlaufstelle für Fragen in Zusammenhang mit der DS-GVO;

Wer kann zum Datenschutzbeauftragten bestellt werden?

  • unternehmensinterne Personen, solange kein Interessenskonflikt zwischen ihrer Arbeitnehmertätigkeit und den Aufgaben des Datenschutzbeauftragten steht;
  • externe Personen, die zur Erfüllung der oben genannten Aufgaben geeignet sind;

3. Meldepflicht bei einer Datenschutzverletzung:
Bei Verletzung des Datenschutzes (zB Datenmissbrauch) hat der Verantwortliche dies an die Aufsichtsbehörde (in Ö wahrscheinlich: Datenschutzbehörde) und die von der Verletzung Betroffenen zu melden.

  • Meldung an die Aufsichtsbehörde:
    • Meldepflicht unverzüglich, möglichst binnen 72 Stunden ab Bekanntwerden der Verletzung;
    • AUSNAHME: die Verletzung führt nicht zu einem Risiko für die Freiheit und Rechte natürlicher Personen;
  • Meldung an den Betroffenen:
    • wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten des Betroffenen zur Folge hat;
    • unverzüglich (= ohne schuldhafte Verzögerung);
    • Aufsichtsbehörde kann Verantwortlichen beauftragen, Betroffenen zu informieren;