EU-Datenschutz-Grundverordnung

März 2018

Am 25.05.2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft, wodurch die EU-Datenschutzrichtlinie bzw. das in Österreich in Umsetzung der EU-Datenschutzrichtlinie ergangene Datenschutzgesetz 2000 weitgehend ersetzt wird. Dadurch kommt es zu umfassenden Neuerungen im österreichischen Datenschutzrecht.

Generell ist festzuhalten, dass die DSGVO ausschließlich auf personenbezogene Daten Anwendung findet. Darunter werden alle Informationen verstanden, die sich auf eine identifizierte oder identifizierbare natürliche Person (= betroffene Person) beziehen.

Normadressaten der DSGVO, welche deren Bestimmungen einzuhalten haben, sind Verantwortliche und Auftragsverarbeiter. Unter dem Begriff Verantwortliche wird eine natürliche oder juristische Person verstanden, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Hingegen handelt es sich bei einem Auftragsverarbeiter um eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichem verarbeitet, das heißt selbst nicht über Zwecke und Mittel der Datenverarbeitung entscheidet (z.B. ein Webhoster).

Generell dürfen – so wie schon nach der jetzigen Rechtslage – Daten nur unter Einhaltung bestimmter Grundsätze der Datenverarbeitung (z.B. Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Richtigkeit, etc.) verarbeitet werden.

Nach der neuen Rechtslage muss jedoch jeder Verantwortliche ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen, führen. Diese Verpflichtung gilt nicht für Unternehmen, die weniger als 250 Mitarbeiter haben, sofern


die vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt,

die Verarbeitung nur gelegentlich erfolgt, und

nicht die Verarbeitung besonderer Datenkategorien (= sensible Daten) einschließt.



Wenngleich noch unklar ist, wann diese Ausnahmebestimmungen im Einzelfall zur Anwendung gelangen, ist davon auszugehen, dass viele Unternehmer zur Führung eines solchen Verzeichnisses verpflichtet sein werden.

Davon abgesehen gibt es zahlreiche weitere Neuerungen. Aufgrund der hohen Strafen, welche bei Verletzung von datenschutzrechtlichen Bestimmungen drohen, ist zu empfehlen, Ihr Unternehmen und Ihre Geschäftsprozesse auf die Einhaltung zukünftiger datenschutzrechtlicher Standards zu überprüfen. Gerne sind wir Ihnen dabei behilflich.