DSGVO 2018 – 10 häufig gestellte Fragen

31.01.2018 DSGVO
5 Minuten Lesezeit
(c) Created by Freepik

[vc_row][vc_column][vc_column_text]Mit der neuen Datenschutzgrundverordnung (DSGVO) 2018 treten neue Regelungen in Kraft, die für Unternehmen von großer Bedeutung sind.

Im Folgenden gibt Rechtsanwalt Dr. Stefan Ettmayer Antworten auf häufig gestellte Fragen.

10 häufig gestellte Fragen zur DSGVO

[/vc_column_text][thb_gap height=“25″][thb_title title=“1. Wann tritt die DSGVO in Kraft?“][vc_column_text]Die DSGVO ist bereits in Kraft; sie gilt ab 25.05.2018. [vgl Art 99][/vc_column_text][thb_gap height=“25″][thb_title title=“2. Für wen gilt die DSVGVO?“][vc_column_text]Die DSGVO betrifft alle Unternehmen mit Niederlassung innerhalb der EU, die personenbezogene Daten verarbeiten, sowie Unternehmen ohne Niederlassung innerhalb der EU, sofern sie personenbezogene Daten von Personen innerhalb der EU verarbeiten und Waren oder Dienstleistungen innerhalb der EU anbieten oder das Verhalten von Personen beobachten, sofern ihr Verhalten in der EU erfolgt. [vgl Art 3]

Die DSGVO betrifft Unternehmen sowohl als „Verantwortliche“, welche über die Zwecke und Mittel der Datenverarbeitung entscheiden (nach DSG 2000 noch „Auftraggeber“ genannt), als auch als „Auftragsverarbeiter“ (nach DSG 2000 noch „Dienstleister“ genannt), welche personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten (zB Cloud-Anbieter). [vgl Art 4 Z 7 und 8][/vc_column_text][thb_gap height=“25″][thb_title title=“3. Was sind personenbezogene Daten?“][vc_column_text]„Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann. [vgl Art 4 Z 1][/vc_column_text][thb_gap height=“25″][thb_title title=“4. Was muss eine Zustimmungserklärung alles beinhalten, damit sie gültig ist?“][vc_column_text]Eine „Einwilligung“ der betroffenen Person ist jede freiwillig [Anmerkung: siehe Art 7 Abs 4 unten] für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. [vgl Art 4 Z 11]

Eine Verarbeitung personenbezogener Daten auf Grundlage einer Einwilligung ist nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat. [vgl Art 6 Abs 1 lit a)]

Bei der Beurteilung, ob die Einwilligung freiwillig erteilt wurde, muss dem Umstand in größtmöglichem Umfang Rechnung getragen werden, ob unter anderem die Erfüllung eines Vertrags, einschließlich der Erbringung einer Dienstleistung, von der Einwilligung zu einer Verarbeitung von personenbezogenen Daten abhängig ist, die für die Erfüllung des Vertrags nicht erforderlich sind. [Art 7 Abs 4]

Sonderbestimmungen gelten für Kinder [Art 8] und für sensible Daten [Art 9].

Dies bedeutet, eine Einwilligung muss

  • freiwillig
  • in informierter Weise und unmissverständlich
  • nachweisbar
  • inhaltlich und optisch von anderen Erklärungen oder Texten abgegrenzt (nicht in AGB versteckt und nicht mit anderen Erklärungen gekoppelt; dieses sogenannte „Koppelungsverbot“ bedeutet in der Praxis: im Zweifel für jede Datenanwendung eine eigene Checkbox, die aktiv angekreuzt werden muss)
  • in verständlicher, leicht zugänglicher Form; in klarer und einfacher Sprache
  • jederzeit widerrufbar

sein.[/vc_column_text][thb_gap height=“25″][thb_title title=“5. Wie kann ich mir eine Zustimmungserklärung einholen?“][vc_column_text]Die Einwilligung sollte durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist, etwa in Form einer schriftlichen Erklärung, die auch elektronisch erfolgen kann, oder einer mündlichen Erklärung. Dies könnte etwa durch Anklicken eines Kästchens beim Besuch einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder durch eine andere Erklärung oder Verhaltensweise geschehen, mit der die betroffene Person in dem jeweiligen Kontext eindeutig ihr Einverständnis mit der beabsichtigten Verarbeitung ihrer personenbezogenen Daten signalisiert.

Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person sollten daher keine Einwilligung darstellen. Die Einwilligung sollte sich auf alle zu demselben Zweck oder denselben Zwecken vorgenommenen Verarbeitungsvorgänge beziehen. Wenn die Verarbeitung mehreren Zwecken dient, sollte für alle diese Verarbeitungszwecke eine Einwilligung gegeben werden. Wird die betroffene Person auf elektronischem Weg zur Einwilligung aufgefordert, so muss die Aufforderung in klarer und knapper Form und ohne unnötige Unterbrechung des Dienstes, für den die Einwilligung gegeben wird, erfolgen. [Anmerkung: siehe oben Art 4 Z 11 und Erwägungsgrund 32]

Erfolgt die Einwilligung der betroffenen Person durch eine schriftliche Erklärung, die noch andere Sachverhalte betrifft, so muss das Ersuchen um Einwilligung in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache so erfolgen, dass es von den anderen Sachverhalten klar zu unterscheiden ist. [vgl Art 7 Abs 2][/vc_column_text][thb_gap height=“25″][thb_title title=“6. Sind meine Daten, die ich vor Mai 2018 gesammelt habe und nicht den neuen Bestimmungen entsprachen, noch gültig? Oder muss ich diese löschen?“][vc_column_text]Wenn die Daten vor dem 25.05.2018 rechtmäßig erhoben wurden, müssen diese aus diesem Grunde nicht gelöscht werden, dürfen aber weiterhin nur nach Maßgabe der neuen Bestimmungen verarbeitet werden.[/vc_column_text][thb_gap height=“25″][thb_title title=“7. Sind Daten, die in CRM Systemen gespeichert werden ebenfalls betroffen?“][vc_column_text]Ja, es ist unerheblich, wo die Daten gespeichert werden.[/vc_column_text][thb_gap height=“25″][thb_title title=“8. Was sind die Folgen bzw. Strafen bei Nichtbeachtung der DSVGO?“][vc_column_text]Verhängung einer Geldbuße durch die Aufsichtsbehörde [vgl Art 83; maximal bis zu EUR 20 Mio. oder 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres]

Haftung für Schadenersatz [vgl Art 82; Besonderheit: für materielle und immaterielle Schäden!]

mögliche andere Sanktionen [vgl Art 84][/vc_column_text][thb_gap height=“25″][thb_title title=“9. Wer haftet bei Nichtbeachtung der DSVGO? Der Datenprovider oder der Benutzer? Tochterfirma oder die Holding?“][vc_column_text]Haftungssubjekte sind der Verantwortliche und der Auftragsverarbeiter.

„Verantwortlicher“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. [vgl Art 4 Z 7]

„Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. [vgl Art 4 Z 8]

Jeder an einer Verarbeitung beteiligte Verantwortliche haftet für den Schaden, der durch eine nicht dieser Verordnung entsprechende Verarbeitung verursacht wurde. Ein Auftragsverarbeiter haftet für den durch eine Verarbeitung verursachten Schaden nur dann, wenn er seinen speziell den Auftragsverarbeitern auferlegten Pflichten aus dieser Verordnung nicht nachgekommen ist oder unter Nichtbeachtung der rechtmäßig erteilten Anweisungen des für die Datenverarbeitung Verantwortlichen oder gegen diese Anweisungen gehandelt hat. [vgl Art 82 Abs 2]

Datenprovider oder Benutzer?

Es kommt darauf an, wer den Schaden verursacht hat, respektive in welcher Sphäre der Schaden eingetreten ist. Die Haftung kann beide treffen.

Tochterfirma oder Holding?

Es kommt darauf an, wer das Recht hat, Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten zu treffen [vgl Erwägungsgründe 36 und 37]. Dies kann entweder die Tochterfirma oder die Holding sein.[/vc_column_text][thb_gap height=“25″][thb_title title=“10. Wann benötigt man einen Datenschutzbeauftragten?“][vc_column_text]Unternehmen (also Verantwortliche und Auftragsverarbeiter) benötigen einen Datenschutzbeauftragten, wenn

  1. die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
  2. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen [Anmerkung: wichtigster Fall in der Privatwirtschaft!], oder
  3. die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht. [vgl Art 37 Abs 1]

Nachdem die 10 häufigsten Fragen zur DSGVO beantwortet wurden, geht es hier weiter zu unseren Use Cases aus der Praxis.

[/vc_column_text][thb_gap height=“25″][/vc_column][/vc_row][vc_row][vc_column][vc_column_text]

 


[/vc_column_text][thb_gap height=“25″][vc_column_text]

Dr. Stefan Ettmayer, Rechtsanwalt

[/vc_column_text][thb_gap height=“25″][/vc_column][/vc_row][vc_row][vc_column width=“1/3″][thb_image image=“12114″ img_size=“191×274″ img_link=“url:https%3A%2F%2Fwww.dkra.at%2Fjuristen%2Fstefan-ettmayer%2F||target:%20_blank|“][/vc_column][vc_column width=“2/3″][thb_image image=“12112″ img_link=“url:https%3A%2F%2Fwww.dkra.at%2F||target:%20_blank|“][/vc_column][/vc_row]

Print Friendly, PDF & Email