DATENSCHUTZINFORMATIONEN „Die Musikergilde betreibt keinen Datenhandel.” Sie können entweder allen externen Diensten und den damit verbundenen Cookies zustimmen oder lediglich jenen, die für die korrekte Funktionsweise unserer Website zwingend notwendig sind. Beachten Sie, daß bei der Wahl der zweiten Möglichkeit ggf. nicht alle Inhalte angezeigt werden können. Wir verwenden Cookies, um externe Inhalte darzustellen, Ihre Anzeige zu personalisieren, Funktionen für soziale Medien anbieten zu können und die Zugriffe auf unsere Website zu analysieren. Dabei werden ggf. Informationen zu Ihrer Verwendung unserer Website an unsere Partner für externe Inhalte, soziale Medien, Werbung und Analysen weitergegeben. Unsere Partner führen diese Informationen möglicherweise mit weiteren Daten zusammen, die Sie bereitgestellt haben oder die sie im Rahmen Ihrer Nutzung der Dienste gesammelt haben. |
Wien (23. Mai 2018) – Schritt für Schritt. So wirst Du fit. Wie Asterix und Obelix auf der Jagd nach dem berühmten Passierschein A38.
1. Aufgabe: ein Datenverarbeitungsverzeichnis anlegen
Die Datenschutzbehörde kann nämlich jeden Unternehmer jederzeit auffordern, ihr das Verzeichnis der Verarbeitungen von personenbezogenen Daten zu übermitteln. Also ist es ratsam, ein solches Verzeichnis anzulegen. Wer kein derartiges Verzeichnis vorlegen kann, wird mit extrem hohen Strafen bedroht: bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahres. Ein Dokument dazu gibt es hier.
Tatsächlich handelt es sich um das Formular D_04a Verfahrensverzeichnis sowie ein 14-seitiges EU-Merkblatt zum Auswendiglernen.
2. Aufgabe: Zustimmung für Newsletter-Zusendung einholen
Viele senden regelmäßig Newsletter an Interessenten aus, deren Emailadresse sie von diesen erhalten haben. Nun muß eine ausdrückliche Erlaubnis dieser Interessenten nachweislich vorliegen. Wenn die alten Zustimmungserklärungen nur mündlich erteilt wurden oder nicht mehr aufgefunden werden können, sind neue Zustimmungen einzuholen. Zustimmungen sind frei widerruflich, dann ist die Zusendung einzustellen.
3. Aufgabe: Informationsverpflichtung
Auch wenn man Daten verarbeiten darf, muß den Betroffenen erklärt werden, daß man deren Daten verarbeitet und wozu. Es empfiehlt sich daher, eine Datenschutzerklärung auf der Website zu veröffentlichen.
4. Aufgabe: Auskunftsverpflichtung
Auf Anfrage ist zu beantworten, welche Daten über eine Person gespeichert werden. Daten sind nach Aufforderung auch an den Anfragenden herauszugeben. Widersprüchen gegen die Verarbeitung ist zu entsprechen, außer man muß die Daten noch aufbewahren [wie z. B. die Buchhaltung, 7 Jahre lang]. Auch wenn nichts [mehr] gespeichert ist: Wer auf ein derartiges Ersuchen gar nicht antwortet, hat schon verloren.
5. Aufgabe: Datensicherheit herstellen
Das Gesetz schreibt vor: Daten sind sicher zu verwahren. Kommt es zu Datenschutzverletzungen, muß die Datenschutzbehörde unverzüglich, spätestens aber binnen 72 Stunden informiert werden.
Diese fünf Punkte sind nur ein Einstieg in die komplexe Materie. Weitere Details nun von RA Mag. Oliver Ertl und RA Mag. Dorian Schmelz. pps
Es ist höchste Zeit, aber noch nicht zu spät, mit der Umsetzung der DSGVO zu beginnen. Hunderttausende Unternehmen in Österreich sind betroffen, und sie werden nicht alle gleich am 25. Mai 2018 kontrolliert werden.
Eine sofortige Anstrengung ist nötig
Ziel der DSGVO ist eine Sensibilisierung, welche strukturierten Datenverarbeitungen (online und offline, also auch auf Papier!) ein Unternehmer ausführt und wie Datenschutz und Nachvollziehbarkeit im Unternehmen hergestellt werden können. Das heißt aber, jeder Betroffene muß selbst darüber nachdenken und sich mit den Grundbegriffen vertraut machen. Ein juristisches oder technisches Zauberwerkzeug nach dem Motto Sprich nur ein Wort, dann wird meine Seele gesund gibt es nicht, sehr wohl aber Hilfsmittel, die auch für Kleinunternehmer, also auch für selbständig Musikschaffende tauglich sind.
Beispiele und unverbindliche Tipps
Die Wirtschaftskammer hat einfach zugängliches und auch verständliches Material veröffentlicht. Ein erschwingliches Online-Tool bieten auch die Rechtsanwälte Höhne und Partner an. Und noch eine weitere, erste Zusammenfassung.
Was ist die DSGVO?
Dabei handelt es sich um eine EU-Verordnung, die in jedem Mitgliedsstaat unmittelbar anwendbar ist; sie gilt daher für die einzelnen Bürger ähnlich wie ein nationales Gesetz - und sie verfolgt das Ziel, die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit zu vereinheitlichen.
Ab wann gilt die DSGVO? Gibt es eine Übergangsfrist?
Die bestehende Datenverarbeitung ist innerhalb von zwei Jahren ab Inkrafttreten der DSGVO (das war der 25. Mai 2016) mit ihr in Einklang zu bringen. Am Stichtag 25. Mai 2018 muß somit jedes Unternehmen die DSGVO einhalten.
Für wen gilt die DSGVO?
Betroffen sind nicht nur Großunternehmer, Behörden und öffentliche Stellen, sondern auch Klein- und mittelständische Unternehmen und Einpersonenunternehmen EPU
(Art 2 DSGVO). Ausnahmen für Kleinunternehmen und EPUs gelten v. a. im Bereich der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (siehe unten). Ansonsten ist von der DSGVO jedes Unternehmen in der EU betroffen, das personenbezogene Daten verarbeitet.
Was bedeutet Verarbeitung personenbezogener Daten?
Die datenschutzrechtlichen Vorgaben der DSVGO zielen auf die Verarbeitung personenbezogener Daten ab. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art 4 DSGVO). Darunter fallen etwa Name, Adresse, Geburtsdatum und Bankdaten von Personen. Somit verarbeitet jeder Unternehmer, der, beispielsweise, Rechnungen ausstellt oder Kundendateien führt, personenbezogene Daten im Sinn der Datenschutz-Grundverordnung.
Unter dem Begriff der Verarbeitung sind einerseits sämtliche Anwendungen zu verstehen, die personenbezogene Daten computerbasiert verarbeiten. Werden sie nicht computerbasiert erfaßt, ist die DSGVO andererseits dann anwendbar, wenn die Daten in einem digitalen oder analogen System gespeichert oder abgelegt werden (Art 4 DSGVO).
Welche neuen Pflichten ergeben sich aus der DSGVO?
Die DSGVO beinhaltet für Unternehmen neue Dokumentationspflichten und strengere Strafen. Vor der Einführung dieser Verordnung war die Verarbeitung von personen-bezogenen Daten bei der Datenschutzbehörde zu melden; diese bürokratische Hürde wurde nun abgeschafft.
Statt einer Melde- und Genehmigungspflicht bei der Datenschutzbehörde wurde durch die DSGVO die Verpflichtung geschaffen, ein Verzeichnis für Verarbeitungstätigkeiten (Art 30 DSGVO) zu führen. Inhaltlich ähneln die Anforderungen der derzeitigen DVR-Meldung. Hinzu kommt die Verpflichtung, zu dokumentieren, wann die personenbezogenen Daten wieder gelöscht werden sollen. Die Datenschutzbehörde kann den Unternehmer jederzeit auffordern, ihr das Verzeichnis zu übermitteln. Verantwortlich für den gesamten Datenverarbeitungsvorgang ist ab jetzt terminologisch nicht mehr der Auftraggeber, sondern dieser wurde in den Begriff des Verantwortlichen geändert.
Gibt es Ausnahmen für diese Verpflichtung?
Unternehmen mit weniger als 250 Beschäftigten sind von Teilen der DSGVO ausge-nommen. Dies gilt jedoch nur eingeschränkt. Denn auch kleine Unternehmen müssen dieses Verzeichnis führen, wenn die Verarbeitung von personenbezogenen Daten nicht nur gelegentlich erfolgt bzw. es sich um sensible Daten handelt (etwa Gesundheitsdaten). Somit unterliegen Lieferanten-, Kunden- und Personalverwaltung – unabhängig der Größe des Unternehmens – aufgrund ihrer regelmäßigen Verarbeitung der DSGVO.
Wie hoch ist die Strafe, wenn ich kein Verzeichnis von Verarbeitungstätigkeiten führe?
Fehlende oder unrichtige Datenanwendungen waren bisher mit einer Verwaltungsstrafe von bis zu 10.000 Euro bedroht. Die neue Strafdrohung beträgt bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahres und erreicht daher krasse Höhen.
Was soll in einem Unternehmen bis zum 25. Mai 2018 passieren?
Hauptarbeit für Unternehmen wird die Erstellung des Verzeichnisses für Verarbeitungstätigkeiten. Die gute Nachricht ist, daß jene Unternehmen, die bereits jetzt ihre Melde- und Genehmigungspflichten nach dem alten Datenschutzgesetz nachgekommen sind, einen Großteil der Arbeit bereits erledigt haben, da sie ihr Verzeichnis auf den gespeicherten Datenanwendungen aus dem Datenverarbeitungsregister (DVR-Online) aufbauen können.
Kurz und überblicksmäßig zusammengefaßt müssen also alle Unternehmer, die nicht nur gelegentlich personenbezogene Daten verarbeiten, ein Datenverarbeitungsverzeichnis anlegen; kann keines vorgelegt werden, ist bei einer Kontrolle die Strafe vorprogrammiert.
Bei der WKO-Handel gibt es dieses Verfahrensverzeichnis zum Herunterladen.
Was heißt, daß die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt?
Der Begriff gelegentlich ist in der DSGVO nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit besteht, erfolgen.
Als Beispiel wird das Anfertigen von Fotografien auf einer Firmenveranstaltung genannt.
Diese Ausnahmebestimmung ist jedoch insgesamt nicht sehr praxisrelevant. Es ist daher zum jetzigen Zeitpunkt davon auszugehen, daß grundsätzlich jedes Unternehmen, das eine Kundendatenbank führt oder eine Mitarbeiterverwaltung betreibt, ein Verarbeitungsverzeichnis benötigt.
Darf man überhaupt Daten verarbeiten?
Ja, wenn es dafür eine Grundlage gibt, und zwar auch ohne ausdrückliche Zustimmung aufgrund von
Auch wenn man Daten verarbeiten darf, muß den Betroffenen erklärt werden, daß und wozu man Daten verarbeitet.
Dazu dienen die omnipräsenten Cookie-Hinweise und weiterführenden Datenschutzerklärungen auf Webseiten. Hier ein Beispiel einer Datenschutzerklärung.
Wer Auftragsdatenverarbeiter hat, muß mit ihnen schriftliche Vereinbarungen abschließen.
Auftragsdatenverarbeiter sind, zum Beispiel, jene Unternehmen, die Mail- und Webhosting für einen betreiben, also alle, die im Auftrag des verantwortlichen Unternehmers Daten verarbeiten, ohne darauf Einfluß zu nehmen.
Ein Steuerberater ist jedoch kein solcher Auftragsdatenverarbeiter, weil er selbst entscheidet, wie er was bucht, er ist daher Datenverantwortlicher. Mit ihm schließen Sie einen Vertrag ab, in dem er und seine Mitarbeiter zur Verschwiegenheit verpflichtet sind. Generell sind eigene Mitarbeiter zu schulen und zur Verschwiegenheit über Daten zu verpflichten.
Jeder hat einem Datenverarbeiter gegenüber ein Recht auf Auskunft.
Betroffene haben gegenüber Unternehmen
Die Grenze der Auskunfts- Berichtigungs- und Löschungspflicht ergibt sich aus den Zwecken der Vertragserfüllung, inkl. Honoraransprüchen und gesetzlichen Verschwiegenheits- und Aufbewahrungspflichten. Wer aber auf ein Ersuchen gar nicht antwortet, hat schon verloren.
Beschwerden können an die Österreichische Datenschutzbehörde gerichtet werden.
Zuletzt geht es noch um Datensicherheit
Daten sind sicher zu verwahren. Kommt es zu Datenschutzverletzungen, muß die Datenschutzbehörde unverzüglich, spätestens aber binnen 72 Stunden informiert werden. o.e. / d.s.
PS : Obiger Text entspricht unserem Wissensstand. Sollte der Karren trotz Verfahrensverzeichnisses verfahren sein, sind Nachfragen daher nicht an mich zu richten, sondern direkt an den Verantwortlichen, also an den Gesetzgeber. pps
Kommentare werden geladen...