JUST-Redaktion|

Daten­schutz­grund­ver­ord­nung neu

Im Mai ist es so weit: EU-weit treten mit der Daten­schutz­grund­ver­ord­nung die neuen Regeln im Daten­schutz in Kraft. Für Unter­neh­men ist es daher höchste Zeit, recht­li­chen Rat etwa bei den stei­ri­schen Rechts­an­wäl­ten ein­zu­ho­len, um interne Abläufe und vor allem den Umgang mit Pri­vat­kun­den den neuen recht­li­chen Vor­schrif­ten anzu­pas­sen.

Daten­schutz-Pflich­ten

„Unter den wich­tigs­ten Neue­run­gen sind hier die Infor­ma­ti­ons- und Doku­men­ta­ti­ons­pflich­ten zu nennen, die Unter­neh­men treffen“, sagt der Vize­prä­si­dent der Stei­er­mär­ki­schen Rechts­an­walts­kam­mer, Dr. Michael Kro­pi­unig. Bisher war bei Daten­an­wen­dun­gen in den Unter­neh­men eine Meldung zum Daten­ver­ar­bei­tungs­re­gis­ter nötig – die bekann­te „DVR­Num­mer“. Künftig ist es aber so, dass dieses Ver­zeich­nis im Unter­neh­men selbst geführt werden muss. Dieses „Ver­ar­bei­tungs­ver­zeich­nis“ muss aller­dings einige Anfor­de­run­gen erfül­len, erklärt Dr. Michael Kro­pi­unig. In diesem Ver­zeich­nis ist auf­zu­neh­men, wie und vor allem welche Daten erhoben werden und welchen Ver­ar­bei­tungs­schrit­ten sie danach unter­zo­gen werden. Wichtig dabei: Es ist auch anzu­füh­ren, an wen die Daten wei­ter­ge­ge­ben
werden.

„Diese Doku­men­ta­ti­ons­pflich­ten können durch­aus komplex werden – man denke nur an Unter­neh­men, die zur Auf­trags­ab­wick­lung zahl­rei­che Kun­den­da­ten anderen Unter­neh­men oder Behör­den über­mit­teln müssen“, infor­miert Dr. Kro­pi­unig. Grund­sätz­lich gilt: Erfasst werden müssen Daten von Per­so­nen, nicht von Unter­neh­men. „Eine spe­zi­el­le Form, wie dieses Ver­zeich­nis zu führen ist, schreibt die Daten­schutz­grund­ver­ord­nung nicht vor“, so Dr. Kro­pi­unig. Auch wenn es keine beson­de­ren Form­vor­schrif­ten gibt, muss dieses Ver­zeich­nis dennoch einige Pflicht­an­ga­ben ent­hal­ten. Im Detail: Zweck der Ver­ar­bei­tung, die betrof­fe­nen Per­so­nen­ka­te­go­rien, die ein­zel­nen Daten­ka­te­go­rien, Emp­fän­ger der Daten, Daten­si­cher­heits­maß­nah­men und sehr wichtig: Angaben, wie lange die Daten gespei­chert werden.

Daten-Lösun­gen

„Unter­neh­men müssen sich eine Art ‚Löschungs­plan‘ zurecht­le­gen, weil eine will­kür­lich lange Spei­che­rung von Daten künftig nicht mehr zuläs­sig ist“, rät Dr. Kro­pi­unig. So sind Daten etwa zur direk­ten Auf­trags­ab­wick­lung nur eine begrenz­te Zeit für das Unter­neh­men von Rele­vanz und müssen daher nach einer gewis­sen Zeit gelöscht werden – etwa, wenn nach zwei oder drei Jahren die Gewähr­leis­tungs­fris­ten aus­ge­lau­fen sind.

Hohe Strafen

Unter­neh­men sollten das Thema Daten­schutz und auch die tech­ni­sche Siche­rung von Daten kei­nes­falls auf die leichte Schul­ter nehmen. In der Ver­ord­nung sind hohe Strafen bei Ver­stö­ßen gegen die Daten­schutz-Normen vor­ge­se­hen – bis zu vier Prozent des Kon­zern­um­sat­zes oder bis zu 20 Mil­lio­nen €. Sollte es tat­säch­lich zu einem Hacker­an­griff kommen, müssen die Kunden, deren Daten nach außen gelangt sind, von dem Vorfall ver­stän­digt werden.

Darüber hinaus sieht die Daten­schutz­grund­ver­ord­nung Scha­den­er­satz für die Betrof­fe­nen vor. Es ist nicht aus­zu­schlie­ßen, dass zukünf­tig ver­mehrt Sam­mel­kla­gen gegen Unter­neh­men geführt werden – der Schaden eines Angriffs besteht daher dann nicht nur in einer Strafe durch die Daten­schutz­be­hör­de, sondern auch in Ersatz­zah­lun­gen, die geleis­tet werden müssen. Daher ist eine recht­li­che Risi­ko­ana­ly­se mit einem Anwalt uner­läss­lich – auch, wenn es darum geht, eine geeig­ne­te Ver­si­che­rung zur Deckung dieser Risiken zu finden, die mitt­ler­wei­le bereits am Markt ange­bo­ten werden.

www.rakstmk.at

 

Foto: Dr. Michael Kro­pi­unig, Vize­prä­si­dent der Stei­er­mär­ki­schen Rechts­an­walts­kam­mer

Foto­credit: René Stras­ser

Weitere Beiträge

Der Mensch als Maßstab

Mario Dalpra gehört zu jenen Künst­lern, deren Werk sich nicht linear ent­fal­tet, sondern in bestän­di­gem Wandel begrif­fen ist. Seit den frühen 1980er-Jahren, geprägt von seinem Studium bei Arnulf Rainer, ent­wi­ckelt er eine künst­le­ri­sche Haltung, die sich zwi­schen Malerei, Skulp­tur und kon­zep­tu­el­len Ansät­zen bewegt.

Story lesen

440 Quadrat­meter Zukunft

Grand Opening: Sedus hat Wien einen neuen Show­room geschenkt — und eine Bühne, auf der New Work Gestalt annimmt. Der Ort könnte besser nicht passen: die denk­mal­ge­schütz­te ehe­ma­li­ge Gas­zäh­ler­fa­brik im 15. Bezirk, ein Archi­tek­tur­ju­wel mit mar­kan­ter Back­stein­fas­sa­de.

Story lesen

Welcome back to the Office

Das Büro ist tot – lang lebe das Büro! Wie Sedus die Arbeits­welt neu denkt – und warum der Grund­riss das neue Recrui­ting-Tool ist. Will­kom­men in der Ära des bewusst gestal­te­ten Raums.

Story lesen

Der Mensch als Maßstab

Mario Dalpra gehört zu jenen Künst­lern, deren Werk sich nicht linear ent­fal­tet, sondern in bestän­di­gem Wandel begrif­fen ist. Seit den frühen 1980er-Jahren, geprägt von seinem Studium bei Arnulf Rainer, ent­wi­ckelt er eine künst­le­ri­sche Haltung, die sich zwi­schen Malerei, Skulp­tur und kon­zep­tu­el­len Ansät­zen bewegt.

Story lesen

440 Quadrat­meter Zukunft

Grand Opening: Sedus hat Wien einen neuen Show­room geschenkt — und eine Bühne, auf der New Work Gestalt annimmt. Der Ort könnte besser nicht passen: die denk­mal­ge­schütz­te ehe­ma­li­ge Gas­zäh­ler­fa­brik im 15. Bezirk, ein Archi­tek­tur­ju­wel mit mar­kan­ter Back­stein­fas­sa­de.

Story lesen