Neuerungen die mit der Einführung der DS-GVO zum 25.05.2018 für Unternehmen verpflichtend werden.
- Es wird keine Meldepflicht bei der österreichischen Datenschutzbehörde im Datenverarbeitungsregister (DVR) mehr geben.
- Statt dessen wird auf stärkere Verantwortung für Verantwortliche (derzeit „Auftraggeber“) und Auftragsverarbeiter (derzeit „Dienstleister“) gesetzt.Weitreichende zahlreicheNeuregelung der Pflichten bei der Datenverarbeitung sind somit anhängig.
- Datenschutz durch technische Umsetzung sowie Datenschutz freundliche Voreinstellungen unter dem Motto privacy by design/privacy by default.
Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) erforderlich, damit die Verarbeitung den Anforderungen genügt und somit die Rechte der betroffenen Personen geschützt werden. Die Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden und nicht übers Ziel hinaus Daten gesammelt und Verarbeitet werden.
- Verantwortliche sowie Auftragsverarbeiter müssen ein Verzeichnis für Verarbeitungstätigkeiten“ führen, der jeweilige Inhalt ist ähnlich aufgebaut wie die aktuellen DVR-Meldungen. hat Erfasst werden muss der Zweck der Erfassung sowie Verarbeitung, korrekte Beschreibung der Datenkategorien + Kategorien von betroffenen Personen.
Gegebenenfalls das eine Übermittlungen von Daten an Drittländer nötig ist, sind organisatorischen besondere Datensicherheits- Maßnahmen zu treffen.
- Die Pflicht zur Führung dieses Verfahrensverzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern, nur dann nicht, wenn die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt.
- Verletzungen des Schutzes personenbezogener Daten sind den Aufsichtsbehörden ohne Verzögerung in höchstens 72 Stunden nach Entdecken zu melden.
- Pflichtstellung zur Folgenabschätzung bei Verarbeitungsvorgängen, die besondere bei Verwendung neuer Technologien (Web 2.0 & Co) aufgrund des Umfangs & der Umstände sowie dem Zweck voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.
- Konsultation im Vorfeld mit der zuständigen Aufsichtsbehörde, wenn sich aus einer Folgenabschätzung ergibt, dass die Verarbeitung ein hohes Risiko zur Folge hat, sofern der für die Verarbeitung Verantwortliche Datenschutzbeauftragte keine Maßnahmen zur Eindämmung dieses Risikos trifft.
- Datenschutzbeauftragter eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen nur dann, wenn
- die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihres Typs, ihres Umfangs eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich macht.
- die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.
- Neue Informationspflichten und Betroffenenrechte
- Aufgaben & Befugnisse der Datenschutzbehörde werden erweitert
- Insbesondere in Bezug auf die Verhängung von Strafzahlungen.
- Einführung hoher Strafen
- Strafzahlungen von bis zu 20 Millionen Euro oder im Fall eines KMU von bis zu 4 % seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.
Hinweis:
Dieser Artikel stellt Rechtsberatung dar. Bei Fragen empfehlen wir einen Datenschutzbeauftragten bzw. Rechtsanwalt zu kontaktieren.