Mit der DSGVO wurde ein einheitlicher Rechtsschutz und einheitliche Regeln für die Datenverarbeitung innerhalb der EU festgelegt. Sämtliche Unternehmen, die in irgendeiner Weise personenbezogene Daten verarbeiten (Kundenkartei, Rechnungen, Lieferantendaten) sind hierdurch betroffen und müssen bis zum 25.05.2018 entsprechende Vorkehrungen treffen.
Der Fokus der DSGVO liegt in der Stärkung von Betroffenenrechten und der Datensicherheit.
Verzeichnis von Verarbeitungstätigkeiten
Verantwortliche und Auftragsverarbeiter müssen ein Verzeichnis von Verarbeitungstätigkeiten führen, in dem der Zweck der Verarbeitung, die Beschreibung der Datenkategorie, die Kategorie der betroffenen Personen und die Empfängerkategorien enthalten sind.
Die Pflicht zur Führung eines solchen Verzeichnisses besteht nicht für Unternehmen mit weniger als 250 Mitarbeitern, sofern kein Risiko für die betroffenen Personen gegeben ist, die Verarbeitung nur gelegentlich erfolgt und keine besonderen Kategorien (ethnische Herkunft, politische Meinungen, Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheitsdaten, etc.) verarbeitet werden.
Weiters besteht die Pflicht zur Erstellung einer Datenschutz-Folgenabschätzung für Verarbeitungsvorgänge, die aufgrund der Art, des Umfanges, der Umstände und dem Zweck voraussichtlich ein hohes Risiko für die Rechte und Freiheit natürlicher Personen zur Folge haben.
Datenschutzbeauftragte
Die Aufgaben eines Datenschutzbeauftragten sind die Beratung des Unternehmens und der Mitarbeiter hinsichtlich ihrer Pflicht nach dem Datenschutzrecht, die Überprüfung und Überwachung der Einhaltung der Datenschutzvorschriften sowie die Zusammenarbeit mit der Aufsichtsbehörde.
Ein Datenschutzbeauftragter kann freiwillig bestellt werden. Eine zwingende Bestellung ist erforderlich, wenn die Kerntätigkeit in der Durchführung von Bearbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich macht oder die Kerntätigkeit in einer umfangreichen Verarbeitung besonderer Kategorien von Daten (siehe oben) besteht. Ein Datenschutzbeauftragter darf bei der Erfüllung seiner Aufgaben an keine Weisung gebunden sein und er darf vom Unternehmer wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden.
Informationspflichten und Betroffenenrechte
Betroffenen Personen werden umfangreiche Informationsrechte im Zusammenhang mit der Verarbeitung ihrer Daten eingeräumt. Weiters haben sie das Recht auf Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie ein Widerspruchsrecht.
Datensicherheitsmaßnahmen
Für die Sicherheit der Verarbeitung von personenbezogenen Daten werden abhängig von den konkreten Umständen zahlreiche Maßnahmen gefordert. Hierzu zählen die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme, Zutritts- und Zugangskontrollen, Zugriffsbeschränkungen, die rasche Wiederherstellung nach einem technischen Zwischenfall, etc.
Die Grasch + Krachler Rechtsanwälte OG unterstützt bei der Umsetzung der DSGVO und sowie der laufenden Überwachung und Evaluierung ihrer Datenverarbeitung.