Neue Verpflichtungen durch die DSGVO
Juni 2018
Seit 25.05.2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO), durch welche das in Österreich in Umsetzung der EU-Datenschutzrichtlinie ergangene Datenschutzgesetz 2000 (nunmehr „Datenschutzgesetz“) weitgehend ersetzt wurde.
Wie bereits berichtet, dürfen – wie schon nach der alten Rechtslage – Daten nur unter Einhaltung bestimmter Grundsätze der Datenverarbeitung (z.B. Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Richtigkeit, etc.) verarbeitet werden – und wenn einer der im Gesetz aufgezählten Ausnahmetatbestände vorliegt (insbesondere Zustimmung des Betroffenen, Erforderlichkeit zur Vertragserfüllung, Wahrung des berechtigten Interesses des Verantwortlichen oder eines Dritten, etc.).
Jeder Verantwortliche muss – von wenigen Ausnahmen abgesehen – ein sogenanntes Verzeichnis aller Verarbeitungstätigkeiten führen. Im Gegenzug entfällt zukünftig eine Meldung an das Datenverarbeitungsregister (DVR).
Auftragsverarbeiter, also natürliche oder juristische Person, die personenbezogene Daten im Auftrag eines Verantwortlichem verarbeiten, das heißt selbst nicht über Zwecke und Mittel der Datenverarbeitung entscheiden (z.B. IT-Dienstleister), sind zudem verpflichtet, einen Vertrag über die Auftragsverarbeitung mit dem jeweiligen Kunden (Verantwortlichen) abzuschließen, auf dessen Weisung und in dessen Namen und Auftrag Daten verarbeitet werden.
Schließlich ist – neben zahlreichen weiteren Verpflichtungen – jeder Verantwortliche verpflichtet, bei Erhebung von personenbezogenen Daten die betroffene Person (z.B. Kunde, Mitarbeiter) zum Zeitpunkt der Datenerhebung über die Datenverarbeitung zu informieren. Der Betroffene ist dabei insbesondere über den Namen und die Kontaktdaten des Verantwortlichen, die Zwecke der Datenverarbeitung, die Rechtsgrundlage für die Datenverarbeitung und allfällige Empfänger von Daten zu informieren.