Datenschutz-Grundverordnung im Überblick
Mit dem Datenschutz-Anpassungsgesetz 2018 und der Datenschutz-Grundverordnung wurde das DSG2000 außer Kraft gesetzt. Dadurch ergeben sich einige maßgebliche Änderungen.
Die Datenschutz-Grundverordnung (DSGVO) trat am 25 Mai 2018 in Geltung. Das Ziel der DSGVO ist es, europaweit einheitliche Standards zum Thema Datenschutz zu schaffen. Es beinhaltet zum einen eine Stärkung des Datenschutzniveaus personenbezogener Daten und der Rechte von Anwenderinnen und Anwendern, zum anderen aber auch neue Verpflichtungen für Unternehmen bzw. jene die datenschutzrelevante Dienste anbieten, um diese Rechte gewährleisten zu können. Diesbezüglich wurde in jedem Mitgliedsstaat eine nationale Datenschutzbehörde als Anlaufstelle für Anfragen, Beschwerden und dergleichen geschaffen.
Die neuen Rechte umfassen:
- Datenportabilität: Es besteht das Recht, Daten von einem Online-Diensteanbieter zu anderen übertragen zu lassen.
- Kinderschutz: Eine Registrierung für Online-Dienste von Kindern unter 16 Jahren ist nur mit Einwilligung der Eltern erlaubt.
- Strengere Sanktionen: Bei Verletzung der personenbezogenen Daten sind erhebliche Strafen möglich.
- Mehr Transparenz: Recht auf Auskunft darüber, welche und in welcher Weise persönliche Daten verarbeitet werden.
- One-Stop-Shop: Die nationalen Datenschutzbehörden dienen als Anlaufstelle für Probleme mit den persönlichen Daten, unabhängig davon in welchem Land die datenverarbeitende Organisation ihren Sitz hat.
- Recht auf Vergessenwerden: Suchmaschinen und Webseiten können unter bestimmten Umständen aufgefordert werden Ergebnisse bzw. Informationen zu entfernen, die die persönliche Privatsphäre negativ beeinflussen.
- Einschränkung der Verarbeitung: Unter gewissen Voraussetzungen kann die Verarbeitung bestimmter Daten durch eine betroffene Person untersagt werden.
Allgemein gesprochen soll die DSGVO zu mehr Verantwortung bezüglich der Sicherheit personenbezogener Daten führen. Dazu sind eine sensible Behandlung der Daten, Datensparsamkeit, Schutz der Daten vor ungerechtfertigtem einsehen bzw. ungerechtfertigter Weitergabe notwendig. Zudem muss auch immer ersichtlich sein welche Daten zu welchem Zweck verarbeitet oder gespeichert werden.
Neue Pflichten für Dienstleister umfassen:
- Technischer Aufbau und Voreinstellungen einer Dienstleistung müssen so gewählt werden, dass die Verarbeitung den Anforderungen der DSGVO entspricht und die Rechte der betroffenen Personen geschützt sind (Artikel 25). Insbesondere ist hierbei auf Datensparsamkeit zu achten und dass personenbezogene Daten nur verarbeitet werden, wenn sie für einen bestimmten Zweck notwendig sind.
- Führen eines Verzeichnisses der Verarbeitungsvorgänge (Artikel 30)
- Datenschutzbeauftragter ist unter bestimmten Umständen notwendig: Eine Gruppe von Unternehmen oder Behörden kann auch einen gemeinsamen Datenschutzbeauftragten benennen (Artikel 37-39).
Weiters verpflichtet die DSGVO Dienstleister zu folgenden Handlungszeiträumen in den jeweiligen Fällen:
- Pflichtinformationen und Rechte sind Betroffenen bei der Erhebung von Daten unverzüglich mitzuteilen, spätestens jedoch innerhalb eines Monats.
- Verpflichtende Folgenabschätzung ist durchzuführen, falls durch die Verarbeitung voraussichtlich ein hohes Risiko für den Datenschutz besteht. Falls diese Abschätzung ein hohes Risiko ergibt muss auch die Aufsichtsbehörde konsultiert werden.
- Meldepflicht im Falle von Datenschutzverletzungen an die Datenschutzbehörde und Betroffene in angemessener Zeit (höchstens 72 Stunden nach Entdeckung). Hierbei existieren jedoch auch Ausnahmen.
Weitere Informationen
- Österreichische Datenschutzbehörde
- Datenschutz-Grundverordnung
- WKO-Ratgeber zur DSGVO
- WKO-Ratgeber zu Informationsverpflichtungen
- WKO-Checkliste für Unternehmen
Für den Inhalt verantwortlich: A-SIT Zentrum für sichere Informationstechnologie – Austria