Die neue EU‑Datenschutz‑Grundverordnung (DSGVO) trat am 4.5.2016 in Kraft und wird ab 25.5.2018 in ganz Europa direkt anwendbar sein. Sie soll das Recht der Verwendung personenbezogener Informationen (Daten) in Europa vereinheitlichen.
Unternehmen, die personenbezogene Daten verarbeiten, haben somit noch eineinhalb Jahre Zeit, sich auf das neue europäische Datenschutzrecht einzustellen. Die DSGVO zwingt Unternehmen durch eine astronomisch hohe Strafdrohung für Datenschutzverletzungen von bis zu EUR 20 Mio oder 4 % des weltweiten Konzernumsatzes (je nachdem, welche Zahl höher ist!), sich intensiv mit dem Datenschutzrecht auseinanderzusetzen und umsichtiger mit den Daten ihrer Mitarbeiter, Geschäftspartner und Kunden umzugehen. Derzeit macht die Höchststrafe bei Verstößen gegen den Datenschutz in Österreich gerade einmal EUR 25.000 aus.
Die DSGVO bringt zahlreiche neue Verpflichtungen mit sich
Etwa die Durchführung von Datenschutz-Folgenabschätzungen vor Inbetriebnahme besonders komplexer oder umfangreicher Verarbeitungstätigkeiten oder das Führen von „Verfahrensverzeichnissen“ sind ebenso verpflichtend, wie das Betreiben von „Datenschutz durch Technik“ („privacy by design“) und „datenschutzfreundlichen Voreinstellungen“ („privacy by default“).
In Anbetracht der Vielzahl an Neuerungen und Verpflichtungen und der enormen Strafdrohung, die im Ernstfall unternehmensgefährdend sein kann, sollte keine Zeit verloren werden, um die Datenverarbeitungen für die neuen Anforderungen fit zu machen.
Bei Datenmissbrauch oder -verlust
Nach der DSGVO muss innerhalb von 72 Stunden nach Kenntnis neben den Betroffenen, die schon heute unverzüglich darüber zu unterrichten sind, auch die zuständige Datenschutzbehörde umfassend über den Vorfall und seine voraussichtlichen Auswirkungen und Folgen informiert werden. Außer der Vorfall birgt voraussichtlich keine Gefahr für die Betroffenen, etwa weil die verloren gegangenen Daten durch Verschlüsselung geschützt waren.
Fazit
In Anbetracht der Vielzahl an Neuerungen und Verpflichtungen und der enormen Strafdrohung, die im Ernstfall unternehmensgefährdend sein kann, sollte keine Zeit verloren werden, um die Datenverarbeitungen für die neuen Anforderungen fit zu machen. Der erste Schritt ist, sich einen Überblick zu verschaffen, welche Datenanwendungen im Unternehmen betrieben werden, um sie dann anschließend auf die Einhaltung aller datenschutzrechtlichen Bestimmungen zu prüfen und schließlich an die neuen Anforderungen anzupassen. Die Zeit dafür läuft!
Dr. Rainer Knyrim, Partner bei Preslmayr Rechtsanwälte, ist fachlicher Leiter und Moderator des Strategieforums PriSec - Privacy & Security am 7./8. November in Rust am Neusiedler See.
