Die Datenschutzgrundverordnung ist eine EU-weite Verordnung und dem Schutz personenbezogener Daten gewidmet. (Bild: Fotolia)

Kolumne von Gert Natiesta: Die DSGVO geht uns alle was an

Die Akteure der Datenschutzgrundverordnung

Die DSGVO – Datenschutzgrundverordnung ist in aller Munde. Kein Wunder, mit Freitag, den 16.2.2018, sind es noch exakt 98 Tage – also knapp mehr als 3 Monate, bis die Verordnung am 25.5.2018 in Kraft tritt. Gemeinsam mit dem i-Magazin bringe ich Ihnen die DSGVO näher und freue mich, Sie bei einem meiner Workshops zu begrüßen.

Die zwei Hauptakteure in der Datenschutzgrundverordnung sind einerseits der Verantwortliche – früher Auftraggeber – und andererseits der Betroffene. „Als Verantwortliche gelten natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheiden“, so steht es auf den Seiten der WKO – siehe https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Pflichten-des-Verantwortl.html. Der Verantwortliche – üblicherweise ein Unternehmer – verarbeitet personenbezogene Daten des Betroffenen. Das sind in der Regel Kunden, Mitarbeiter und Lieferanten. Die Betroffenen haben das Recht zu erfahren, welche Daten verarbeitet werden und wie lange diese gespeichert werden. Auch die Löschung der Daten kann beantragt werden und muss – soweit keine andere gesetzliche Regelung dagegen spricht – umgesetzt werden. Achtung: Für all diese Verpflichtungen gibt die DSGVO einen Zeitraum von einem Monat vor und all diese Aufgaben sind kostenfrei zu erfüllen.

Zum Thema Löschen: Während die DSGVO eine sofortige Löschung, d.h. Nichtwiederherstellbarkeit der Daten verlangt, wird in §4 Abs 1 Datenschutzanpassungsgesetz 2018 auf die technische und wirtschaftliche Umsetzbarkeit Rücksicht genommen. Daten können bis zum Löschungszeitpunkt nur gesperrt weitergeführt werden. Inwiefern die österreichische Sichtweise der EU-weiten DSGVO widerspricht, wird sich noch klären…

Selbstverständlich kann sich der Verantwortliche eines Dienstleisters bedienen – in der DSGVO wird dieser als »Auftragsverarbeiter« bezeichnet. Der Auftragsverarbeiter muss im Wesentlichen mit personenbezogenen Daten hantieren. Typische Auftragsverarbeiter sind selbständige Lohnbuchhalter, Telefonmarketing, Druckdienstleister, eventuell Programmierer und Steuerberater. Das von der Hausverwaltung beauftrage Elektroinstallationsunternehmen ist trotz übermittelter Adresse und Namen des Mieters kein Auftragsverarbeiter, sondern Auftragsnehmer.

Zwischen Verantwortlichen und Auftragsverarbeiter muss ein schriftlicher oder elektronischer Vertrag abgeschlossen werden, der insbesondere den Schutz der personenbezogenen Daten vorsieht. Eine Mustervorlage der WKO findet man unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag.html. Auch bei Auslagerung von Tätigkeiten an den Auftragsverarbeiter steht der Verantwortliche nach wie vor in der Pflicht, das heißt, er ist erster Ansprechpartner der Behörden.

Der Datenschutzbeauftragte ist ein interner oder externer weisungsunabhängiger Berater für Datenschutz. Er muss bei Behörden und bei Unternehmen mit umfangreicher regelmäßiger und systematischer Überwachung von Betroffenen eingesetzt werden. Darunter fallen beispielsweise Spitäler, private Sicherheitsunternehmen, Banken und Versicherungen. Niedergelassene Ärzte, Rechtsanwälte und Elektrotechnikerbrauchen normalerweise keinen Datenschutzbeauftragten. Mehr in meinem DSGVO-Newsletter vor 2 Wochen »Der Datenschutzbeauftragte«

Noch so nebenbei…

Erleichterungen für EPUs und KMUs waren in der ersten Versionen der DSGVO vorgesehen – auch in der letztendlich gültigen Version gibt es eine Definition für KMUs: Unternehmen mit weniger als 250 Mitarbeiter – nur die Erleichterungen sind im Laufe der Entstehungsgeschichte alle verschwunden…

Fazit:

Der Unternehmer – in DSGVO-Diktion der Verantwortliche – hat die Einhaltung der Rechte der »Betroffenen«, das sind in erster Linie Kunden, Mitarbeiter und Lieferanten, zu gewährleisten. Bei Anfrage sind die Daten offenzulegen, abzuändern oder soweit berechtigt zu löschen. Das erstellte Verfahrensverzeichnis dokumentiert die zugrundeliegenden Überlegungen.

Lesen Sie das nächste Mal: Die Tücken des Mobiltelefons

Ab Ende Februar 2018 finden österreichweit Praxisworkshops zum Thema Datenschutzgrundverordnung statt. Nach einem Vortrag – Leser dieser Newsletterserie sind dabei im Vorteil – werden die notwendigen Dokumente erstellt. Auf Basis eines webbasierenden Tools adaptieren Sie speziell für die Elektrobranche vorbereitete Unterlagen – das spart Zeit. Sowohl der Vortrag als auch der Praxisteil orientieren sich stark an den Erkenntnissen und Empfehlungen der WKO, die als gewichtiger Partner der Wirtschaft schon einiges gemeinsam mit der Datenschutzbehörde ausgearbeitet hat. Anmeldungen zu dieser ersten Workshoprunde nehmen die e-marke oder der KFE gerne entgegen.

Die Termine und Orte:

südl. NÖ / Burgenland 26.02.2018

Hotel Restaurant Schwartz,

Bahnstr. 70, 2624 Neusiedl am Steinfeld

Wien 28.02.2018

Gewerbehaus,

Rudolf Sallinger Pl. 1, 1030 Wien

OÖ / nördl. NÖ 01.03.2018

Stadthotel Gürtler,

Rathausstraße 13, 3300 Amstetten

Steiermark 07.03.2018 Hügellandhof,
Schemerlhöhe 58, 8076 Vasoldsberg / Abfahrt Laßnitzhöhe
Tirol / Vorarlberg 13.03.2018

WK Tirol,

Wilhelm-Greil Str. 7, 6021 Innsbruck

Wien 21.03.2018

Gewerbehaus,

Rudolf Sallinger Pl. 1, 1030 Wien

 

GNU Gert Natiesta Unternehmensberatung
Inhaber DI Mag Gert Natiesta
geprüfter Datenschutzexperte
Rudolf Waisenhorngasse 61
1230 Wien Österreich
Handy: +43 676 606638
E-Mail: g.natiesta@gnu.co.at

ähnliche Beiträge