Datenschutzerklärung

EU-Datenschutz-Grundverordnung (DSGVO)

Am 4. Mai 2016 wurde die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates bekannt gemacht. Diese Verordnung, auch bekannt als Datenschutz-Grundverordnung (DSGVO), schützt natürliche Personen bei der Verarbeitung personenbezogener Daten und regelt den freien Datenverkehr. Sie ersetzt die Richtlinie 95/46/EG.

Die DSGVO trat am 25. Mai 2018 in Kraft, und seitdem müssen alle Datenverarbeitungen dieser Rechtsvorschrift entsprechen.

Obwohl die DSGVO als EU-Verordnung in allen Mitgliedstaaten direkt anwendbar ist, enthält sie zahlreiche Öffnungsklauseln, die dem nationalen Gesetzgeber gewisse Handlungsspielräume lassen. In Österreich wurden zur Umsetzung dieser Klauseln zwei Novellen des Datenschutzgesetzes verabschiedet: das Datenschutz-Anpassungsgesetz 2018 und das Datenschutz-Deregulierungs-Gesetz 2018.

Welche wesentlichen Neuerungen für Unternehmen brachte die Datenschutz-Grundverordnung (DSGVO)?

Die Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 in Kraft trat, brachte weitreichende Neuerungen für Unternehmen und deren Umgang mit personenbezogenen Daten. Zu den wesentlichen Änderungen gehören:

Keine Datenverarbeitungsregister (DVR) bei der Datenschutzbehörde mehr:

Stattdessen tragen Unternehmen eine stärkere Verantwortung hinsichtlich der Verarbeitung personenbezogener Daten.

Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen:

Unternehmen müssen geeignete technische und organisatorische Maßnahmen ergreifen, wie z.B. Pseudonymisierung, um sicherzustellen, dass die Verarbeitung den Anforderungen der DSGVO entspricht und die Rechte betroffener Personen geschützt sind.

Verzeichnis von Verarbeitungstätigkeiten:

Verantwortliche und Auftragsverarbeiter müssen ein detailliertes Verzeichnis führen, das Angaben zu Verarbeitungszwecken, betroffenen Datenkategorien und Sicherheitsmaßnahmen enthält. Diese Pflicht gilt für Unternehmen mit weniger als 250 Mitarbeitern nur dann nicht, wenn die Datenverarbeitung ein geringes Risiko für die betroffenen Personen darstellt.

Meldung von Datenschutzverletzungen:

Verletzungen des Datenschutzes müssen sowohl der nationalen Aufsichtsbehörde als auch den betroffenen Personen binnen 72 Stunden (oder unverzüglich) gemeldet werden, wenn ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht.

Datenschutz-Folgenabschätzung:

Unternehmen müssen eine Datenschutz-Folgenabschätzung durchführen, wenn Verarbeitungsvorgänge ein hohes Risiko für die Rechte betroffener Personen mit sich bringen. In bestimmten Fällen ist auch eine Konsultation der Aufsichtsbehörde erforderlich.

Pflicht zur Bestellung eines Datenschutzbeauftragten:

Unternehmen sind verpflichtet, einen Datenschutzbeauftragten zu bestellen, wenn ihre Kerntätigkeit umfangreiche und regelmäßige Beobachtungen betroffener Personen oder die Verarbeitung besonderer Kategorien von Daten umfasst.

• Neue Informationspflichten und Betroffenenrechte:

Die DSGVO führt neue Informationspflichten und Rechte für betroffene Personen ein, einschließlich des Rechts auf Auskunft, Berichtigung, Löschung („Recht auf Vergessenwerden“), Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruchsrecht.

• Erweiterte Befugnisse der Aufsichtsbehörden:

Aufsichtsbehörden können hohe Geldbußen verhängen – bis zu 20 Millionen Euro oder 4 % des weltweiten Jahresumsatzes eines Unternehmens.

Diese Regelungen stellen sicher, dass Unternehmen die Rechte der betroffenen Personen respektieren und den Datenschutz ernst nehmen. Unternehmen sollten daher ihre Datenverarbeitungsprozesse überprüfen und an die Anforderungen der DSGVO anpassen.

Für detaillierte Informationen und Vorlagen zur Umsetzung der DSGVO können Sie auf die folgenden Links zugreifen.