Die neue EU Datenschutzgrundverordnung wurde kürzlich verabschiedet. Nun haben die EU Mitgliedstaaten 2 Jahre Zeit für die nationale Umsetzung dieser. Eine EU Verordnung (Directive) ist jedenfalls für alle EU Mitgliedstaaten bindend.

Central Points sind die strengeren Vorgaben in Bezug auf die Verarbeitung persönlicher Daten von EU-Bürgern und die geplanten hohen Geldbußen.

 

Sämtliche Mitarbeiter dürfen nur noch zu diesen Daten Zugriff haben, die sie für die Ausübung Ihres Jobs benötigen. Wer wann Zugriff auf welche Daten hat, ist nun in den Mittelpunkt gerückt.

 

Die vorgesehenen Strafen bei Verstößen gegen die Verordnung können künftig bis zu vier Prozent vom weltweit erwirtschafteten Jahresumsatz eines Unternehmens betragen. Der ernsthafte Verstoß (Artikel 5) gegen die Verordnung in Bezug auf die Verarbeitung personenbezogener Daten und der Bestimmungen (Artikel 7) betreffend der Einwilligung betroffener Personen sind EU-weit im Fokus.

 

Hier gilt für Unternehmen künftig die Beweislastumkehr. Es muss dokumentiert und bewiesen werden, ob es unbefugte Zugriffe auf Daten gegeben hat. Laut Verordnung müssen diese unbefugten Zugriffe auf Daten vom Unternehmen unbedingt verhindert werden. Alle Zugriffe müssen protokolliert und revisionssicher gespeichert/archiviert werden.

 

Diese Verordnung trifft jeden Unternehmer, welcher in irgendeiner Art und Weise personenbezogene Daten verarbeitet. Nur anonymisierte Daten, die als personenbezogene Herkunft nicht mehr identifizierbar sind, sollen nicht mehr darunter fallen (EG 23 bzw Art 4 Abs 3b, aber auch bereits § 4 Z 1 DSG 2000). In Wahrheit fällt jedes Unternehmen, welches eine Kundendatei führt, Rechnungen ausstellt, Lieferantendaten speichert, etc. darunter. 

 

Im Artikel 31 der DS-GVO ist geregelt, dass eine Verletzung jedes Schutzes personenbezogener Daten innerhalb von 72 Stunden nach Bekanntwerden an die zuständige Aufsichtsbehörde (hier in Österreich) zu melden ist!

 

Ob es in Österreich weiter die verpflichtenden Meldungen (z. B. einer Videoüberwachung) an die österreichische Datenschutzkommission geben wird, ist derzeit noch offen. Damit ist auch unbekannt, ob es weiter die Datenverarbeitungsregisternummern (DVR Nummern) geben wird.

 

Ob und in welcher Form überhaupt die österreichische Datenschutzkommission weiter existieren wird ist derzeit unbekannt. Es wird erwartet, dass der österreichische Gesetzgeber spätestens Anfang 2017 einen ersten groben Umsetzungsentwurf für das Einfließen der EU Datenschutzgrundverordnung in die österreichischen Gesetze präsentieren wird.