Unter Datenschutz wird der Schutz vor der missbräuchlichen Verwendung von personenbezogenen Daten verstanden. Personenbezogen sind Daten immer dann, wenn sie einer Person zuzuordnen sind. In Österreich wird der Datenschutz hauptsächlich durch die zwei Gesetze Datenschutz-Grundverordnung (DSGVO) und Datenschutzgesetz (DSG) geprägt. Bei der DSGVO handelt es sich um eine Verordnung der Europäischen Union, wonach für eine rechtmäßige Verarbeitung personenbezogener Daten stets eine Rechtsgrundlage oder eine Einwilligung notwendig ist.
Nicht zuletzt aufgrund der empfindlichen Strafen stellt sich für Unternehmer die Frage „Darf ich personenbezogene Daten erheben und verarbeiten und was gilt es zu beachten?“.
Wann dürfen Daten verarbeitet werden?
Die gesetzlichen Vorgaben einer rechtskonformen Datenverarbeitung ergeben sich primär aus der DSGVO und sekundär aus dem österreichischen DSG. Allgemein kann gesagt werden, dass Datenverarbeitung stets nur dann erfolgen darf, wenn eine geeignete Rechtsgrundlage oder eine Einwilligung der betroffenen Person gegeben ist.
Rechtsgrundlagen gemäß Artikel 6 DSGVO können ua. sein:
- Erforderlichkeit der Datenverarbeitung für die Erfüllung eines Vertrages (lit. b).
- Erforderlichkeit der Verarbeitung für die Erfüllung einer rechtlichen Verpflichtung (lit. c).
- Schutz von lebenswichtigen Interessen der betroffenen oder einer anderen natürlichen Person (lit. d).
- Wahrnehmung von Aufgaben im öffentlichen Interesse oder durch öffentliche Gewalt (lit. e).
- Wahrung von berechtigten Interessen, sofern die Interessen der betroffenen Person nicht überwiegen (lit. f).
.
Die Checkliste für Unternehmer
Um etwaigen Aufholbedarf in Sachen Datenschutz identifizieren zu können, bedarf es vorab einer Analyse des Ist-Zustandes. In weiterer Folge empfiehlt sich stets die Beiziehung eines Juristen.
-
-
-
- Welche personenbezogenen Daten werden verarbeitet?
- handelt es sich dabei um besondere Kategorien personenbezogener Daten (insb. Gesundheitsdaten)?
- handelt es sich dabei um besondere Kategorien personenbezogener Daten (insb. Gesundheitsdaten)?
- Wird Profiling vorgenommen?
- Unter Profiling versteht man die automatisierte Verarbeitung personenbezogener Daten zu Zwecken den Analyse oder Vorhersage.
- Unter Profiling versteht man die automatisierte Verarbeitung personenbezogener Daten zu Zwecken den Analyse oder Vorhersage.
- Für welche Zwecke und auf welcher Rechtsgrundlage werden Daten verarbeitet?
- besteht in Eventu eine Einwilligung der betroffenen Person?
- besteht in Eventu eine Einwilligung der betroffenen Person?
- Werden Auftragsverarbeiter herangezogen?
- Auftragsverarbeiter sind natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten in Ihrem Auftrag verarbeiten.
- Handelt es sich um zuverlässige Auftragsverarbeiter?
- Gibt es Verträge?
- Erfüllung der Informationspflichten gemäß DSGVO
- Betroffenen Personen sind gewisse Informationen zur Verwendung ihrer Daten zur Verfügung zu stellen.
- Betroffenen Personen sind gewisse Informationen zur Verwendung ihrer Daten zur Verfügung zu stellen.
- Erfüllung der Betroffenenrechte gemäß DSGVO
- Insbesondere das Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch.
- Insbesondere das Rechts auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch.
- Werden ausreichend Datensicherheitsmaßnahmen getroffen?
- Datenschutz ist nicht gleich Datensicherheit. Letzteres meint den Schutz der rechtskonform verarbeiteten Daten zum Beispiel durch Datenverschlüsselung.
- Datenschutz ist nicht gleich Datensicherheit. Letzteres meint den Schutz der rechtskonform verarbeiteten Daten zum Beispiel durch Datenverschlüsselung.
- Besteht Dokumentationspflicht für die Datenverarbeitung?
- Neben der Führung eines Verarbeitungsverzeichnisses kann auch eine Datenschutz-Folgeabschätzung gesetzlich vorgeschrieben sein.
- Neben der Führung eines Verarbeitungsverzeichnisses kann auch eine Datenschutz-Folgeabschätzung gesetzlich vorgeschrieben sein.
- Ist eine Verständigung der Aufsichtsbehörde notwendig?
- Muss ein Datenschutzbeauftragter (DSB) bestellt werden?
- Besteht Datenverkehr mit Dritten deren Sitz nicht innerhalb der EU ist?
- Stichwort Arbeitnehmerdatenschutz
- Überprüfung der Dienstverträge, Betriebsvereinbarungen und Dienstordnungen etc.
- Überprüfung der Dienstverträge, Betriebsvereinbarungen und Dienstordnungen etc.
- Führung notwendiger Dokumente
- Insbesondere Datenschutzerklärung, Formular der Einverständniserklärung, Verarbeitungsverzeichnis, Datenschutzfolgeabschätzung, Verträge mit Auftragsverarbeitern
- Welche personenbezogenen Daten werden verarbeitet?
-
-
Sie sehen, für Unternehmer gilt es in Sachen Datenschutz etliche Punkte zu beachten. Um Ihnen den Fokus auf Ihr Kerngeschäft zu ermöglichen, unterstützten wir Sie gerne bei der Analyse und Umsetzung des Datenschutzes in Ihrem Unternehmen.
Disclaimer: Dieser Beitrag wurde sorgfältig recherchiert und zusammengestellt; eine Haftung für die Richtigkeit wird nicht übernommen. Dieser Beitrag ersetzt auch keine Rechtsberatung.