Das frische Magazin
für Human Resources
Mayerhofer-Trajkovski
HREX

EU Datenschutz Grundverordnung 2018 (DSGVO Österreich) | Übersichtlich & umsetzbar

18Apr2018
5 min
dsgvo-oesterreich-eu-2018-datenschutzrecht

HR-Know-how aus der Praxis für die Praxis

Inhalt

DSGVO Österreich: Sie wissen es bestimmt schon, denn es ist in aller Munde: Ab 25mai2018 ist die EU-Datenschutz Grundverordnung Österreich (DSGVO 2018) von allen Unternehmern in Österreich einzuhalten. Zeitgleich wird auch ein neues nationales Datenschutzgesetz in Kraft treten, das aber vor 25.5.2018 möglicherweise noch novelliert wird.

Die EU Datenschutz Grundverordnung sorgt derzeit für viel Verwirrung, zuweilen sogar für Verzweiflung. Dafür besteht aber kein Grund, denn es ist durchaus möglich, bis 25mai2018 datenschutz-fit zu werden. In diesem Beitrag erklären wir Ihnen wichtige Begriffe des neuen Datenschutzrechts und geben Ihnen Hinweise zur Bestellung eines Datenschutzbeauftragten.

EU Datenschutz Grundverordnung 2018 | Wer muss personenbezogene Daten schützen?

Das geltende Datenschutzrecht kennt als „Hauptdarsteller“ Auftraggeber, Dienstleister und Betroffene. Ab 25.5.2018 werden die Akteure im Datenschutz anders genannt: Auftraggeber werden „Verantwortlichen“, Dienstleiter werden „Auftragsverarbeiter“ und Betroffene werden „betroffene Personen“ genannt.

Der Hauptunterschied zwischen Auftraggebern/Verantwortlichen einerseits und Diensteistern/Auftragsverarbeitern ist, dass erstere über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden, während zweitere keine eigenständige Entscheidungsbefugnis über die Datenverarbeitung haben, sondern diese nur im Rahmen des Auftrags verarbeiten.

Je nachdem, ob ein Unternehmer im datenschutzrechtlichen Sinn Verantwortlicher oder Auftragsverarbeiter ist, sind besondere Vorgaben zu beachten. Beispielsweise treffen den Verantwortlichen Informationspflichten. Der Verantwortliche ist es auch, den voranging die Verpflichtung im Zusammenhang mit Betroffenenrechten (wie zB Recht auf Auskunft, auf Löschung oder Recht auf Datenübertragbarkeit) treffen. Aber auch der Auftragsverarbeiter hat zahlreiche Pflichten, muss zum Beispiel ebenfalls ein Verfahrensverzeichnis führen.

Zwischen Verantwortlichen und Auftragsverarbeitern muss ein schriftlicher Vertrag abgeschlossen werden, der den in der DSGVO Österreich erwähnten Mindestinhalt enthält.

TIPP: Prüfen Sie, ob und hinsichtlich welcher Daten Ihr Unternehmen datenschutzrechtlicher Verantwortlicher und/oder Auftragsverarbeiter ist. Dokumentieren Sie dies und stellen Sie sicher, dass die entsprechenden Verträge abgeschlossen werden!

EU Datenschutz Grundverordnung 2018 | Projektplan und konkrete Schritte

Definieren Sie ein Projektteam und legen Sie Kompetenzen sowie Timelines fest. Datenschutz-Compliance ist nichts, was man nebenbei machen soll. Strukturiertes und abgestimmtes Vorgehen ist dabei sehr wichtig.

Um definieren zu können, welche konkreten Schritte Sie für Datenschutz-Compliance setzen müssen, sollten Sie zunächst den datenschutzrechtlichen Ist-Zustand erheben und schnellstmöglich mit der Erstellung des unternehmensintern zu führenden Verzeichnis von Verarbeitungstätigkeiten („Verfahrensverzeichnis“) beginnen.

Dazu müssen Sie eine Bestandsaufnahme aller bestehenden Datenanwendungen Ihres Unternehmens machen und diese Bestandsaufnahme in Form des Verfahrensverzeichnisses strukturiert erfassen. Achten Sie darauf, dass das Verfahrensverzeichnis den Vorgaben der Datenschutz-Grundverordnung entspricht und holen Sie hierzu erforderlichenfalls Rechtsberatung ein.

Parallel zur Erstellung des Verfahrensverzeichnisses sollten Sie die nächsten Schritte planen und umsetzen. Dabei müssen Sie definieren, welche datenschutzrechtlichen Risiken und welche „offenen Flanken“ Ihr Unternehmen im Bereich Datenschutz hat (zum Beispiel: fehlende Auftragsverarbeiterverträge, fehlende Einwilligungserklärungen, zu lange Speicherung, Sicherheitsrisiken und viele mehr).

Ein wichtiger Schritt im Datenschutz-Projekt ist die Abklärung der Frage, ob Ihr Unternehmen einen Datenschutzbeauftragten bestellen muss:

EU Datenschutz Grundverordnung Österreich 2018 | Datenschutzbeauftragter: müssen wir einen bestellen?

Dies ist im Einzelfall oft nicht einfach zu eruieren und die Einholung von Rechtsberatung zu diesem Punkt ratsam. Jedenfalls sollten Sie, falls Sie keinen Datenschutzbeauftragten bestellen, die Argumente hierfür dokumentieren.

Die DSGVO 2018 sieht die verpflichtende Bestellung in drei Fällen vor (Artikel 37):

  • wenn die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  • oder wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder
  • wenn die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung von sensiblen oder strafrechtlichen relevanten Daten

Die Formulierung der DSGVO Österreich enthält – wie auch in vielen anderen Bereichen – unklare Begriffe, was es für die Unternehmen erschwert, klar festzustellen, ob sie einen Datenschutzbeauftragten brauchen oder nicht.  Die Bestellung eines Datenschutzbeauftragten ist insbesondere für “datengetriebene Geschäftsmodelle” erforderlich. Unter „Kerntätigkeit“ werden die wichtigsten Vorgänge, die zur Erreichung der Ziele der Tätigkeit bzw. Durchführung der Tätigkeit des Verantwortlichen oder des Auftragsverarbeiters notwendig sind, verstanden.

Die Beurteilung, ob ein Datenschutzbeauftragter zu bestellen ist, muss im Einzelfall getroffen werden. Falls die rechtliche Analyse erheben hat, dass Ihr Unternehmen nicht verpflichtend einen Datenschutzbeauftragten bestellen muss, sollten Sie überlegen, ob Ihr Unternehmen auf freiwilliger Basis einen Datenschutzbeauftragten bestellt.

Sofern keine verpflichtende Bestellung eines Datenschutzbeauftragten geboten ist und auch keine freiwillige Bestellung eines Datenschutzbeauftragten erfolgt, gibt es noch die Variante, eine für den Datenschutz zuständige Person zu bestellen, die aber formell nicht alle Aufgaben, Befugnisse und die Stellung eines Datenschutzbeauftragten nach der DSGVO Österreich hat. Eine solche Person könnte beispielsweise „Datenschutzexperte“, „Datenschutzansprechperson“ oder „Datenschutzkoordinator“ genannt werden.

Datenschutzbeauftragter Österreich | Aufgaben

Die Aufgaben des Datenschutzbeauftragten sind in der Datenschutz-Grundverordnung sehr kursorisch formuliert. Zu den wesentlichen Verantwortlichkeiten des Datenschutzbeauftragten zählen:

  • Beratung des Unternehmens und der Beschäftigten hinsichtlich datenschutzrechtlicher Pflichten;
  • Überwachung und Einhaltung der DSGVO 2018 im Unternehmen;
  • Beratung des Unternehmens im Zusammenhang mit der Datenschutz-Folgenabschätzung und ihrer Durchführung;
  • Zusammenarbeit mit der Datenschutzbehörde;
  • Anlaufstelle für Betroffene

 

Datenschutzbeauftragter Österreich | Arbeitsrechtliche Besonderheiten

Dem Datenschutzbeauftragten müssen die zur Erfüllung seiner Aufgaben erforderlichen Ressourcen zur Verfügung gestellt werden. Dazu zählt auch, dass sich ein Datenschutzbeauftragter, der über keine umfassende juristische Ausbildung verfügt, Budget für die Einholung externer Rechtsberatung hat.

Der Datenschutzbeauftragte ist zur strengen Verschwiegenheit verpflichtet. Er muss in Erfüllung seiner Aufgaben weisungsfrei sein. Ihm muss Zugang zu den Daten und den Datenverarbeitungsvorgängen des Unternehmens gegeben werden. Die Kontaktdaten des Datenschutzbeauftragten sind der Datenschutzbehörde mitzuteilen.

Zu beachten ist auch, dass der Datenschutzbeauftragte einen speziellen Kündigungsschutz genießt. Wie genau dieser ausgestaltet ist, bleibt noch abzuwarten. Jedenfalls sollte die Wahl des Datenschutzbeauftragten daher sorgfältig erfolgen.

Ein Datenschutzbeauftragter (Österreich) muss kein Mitarbeiter sein. Man kann auch einen externen Berater, beispielsweise ein Rechtsanwalt, zum Datenschutzbeauftragten bestellen. Auch hier ist eine sorgfältige Auswahl und genaue Durchsicht der Angebote geboten.

Die Bestellung eines Datenschutzbeauftragten bedeutet nicht, dass dieser für Strafen haftet. Für Strafen nach der Datenschutz-Grundverordnung haftet jene natürliche oder juristische Person, die die Daten verarbeitet, in der Regel also das Unternehmen.

 

HRweb zum Thema DSGVO Österreich

Weitere HRweb-Beiträge zu Datenschutz Grundverordnung Österreich

EU Datenschutz Grundverordnung 2018 (DSGVO Österreich) | Übersichtlich & umsetzbar

Kategorien:

Schlagwörter:

Teilen:

Ähnliche Beiträge