Alle Fragen zur Datenschutz-Grundverordnung - Teil 2

• Welche Formen der Einwilligung muss man einholen?

Es geht mündlich oder durch schlüssiges Handeln, etwa bei Bestätigung eines Buttons auf einer Homepage. Viele Organisationen machen es aber schriftlich, indem sie Datenschutzerklärungen ausschicken (z.B. für Newsletter), um auf der sicheren Seite zu sein.

• Wer muss einen Datenschutzbeauftragten bestellen?

Behörden und öffentliche Stellen wie Gemeinden sind dazu verpflichtet, Unternehmen nur, wenn ihre Kerntätigkeit die regelmäßige Kontrolle von Personen (z.B. Versicherungen) oder von sensiblen Daten (z.B. Krankenhäuser) umfasst.

• Wer kann Datenschutzbeauftragter sein?

Grundsätzlich jede Person innerhalb einer Organisation, solange ihre Funktion nicht mit den Aufgaben des Datenschutzbeauftragten kollidieren. Eine Unternehmensgruppe kann einen gemeinsamen Beauftragten bestellen, öffentliche Stellen können diesen auch an eine externe Person auslagern.

• Was sind die Aufgaben eines Datenschutzbeauftragten? Was nicht?

Das Verarbeitungsverzeichnis wird nicht direkt vom Datenschutzbeauftragten geführt, aber von ihm unterstützt und kontrolliert. Er muss dafür sorgen, dass die Anforderungen der Datenschutzgrundverordnung umgesetzt werden. Der Datenschutzbeauftragte ist weisungsfrei. Verantwortlich für den Datenschutz ist aber immer die Organisation selbst.

• Wann muss man eine Datenschutzfolgeabschätzung durchführen?

Wenn man sensible Daten verarbeitet und ein besonderes Risiko besteht, dass diese Daten gefährdet werden könnten. Das muss jeder Betroffene selbst einschätzen. Ist das der Fall, muss man weitere Maßnahmen setzen, wie die Bewertung der Vorgehensweisen und die Beschreibung der geplanten Abhilfemaßnahmen.

• Was ist bei einer Datenpanne zu tun?

Wenn Daten vernichtet, verloren, falsch weitergeleitet oder gehackt wurden, ist das unverzüglich oder innerhalb von 72 Stunden der Datenschutzbehörde zu melden. Es sei denn, es besteht kein Risiko für die Rechte und Freiheiten der dadurch betroffenen Person.

• Welche Aufgaben und Befugnisse hat die Datenschutzbehörde?

Diese Verwaltungsbehörde prüft, ob die datenschutzrechtlichen Vorraussetzungen eingehalten werden. Sie kann daher Einblick in Datenanwendungen und Unterlagen einfordern. Sie kann auch Einschränkungen, Verbote und Geldstrafen verhängen.

• Mit welchen Strafen kann man rechnen?

Die Verwaltungsstrafen der Datenschutzbehörde gehen bis zu 50.000 Euro. Die Bußgelder bei Verstößen gehen bis zu vier Prozent vom Jahresumsatz (bei Unternehmen) oder 20 Mio. Euro, je nachdem, was höher ist. Die Organisation als Verantwortlicher haftet dafür.

• Wie klar ist die Judikatur?

Im Vergleich zur bisherigen Gesetzeslage ist vieles neu und daher noch schwer abzuwägen. Man kann sich nur an der bislang geltenden Rechtsnorm orientieren, die aber von Land zu Land unterschiedlich ist. In vielen Bereichen herrscht noch Unklarheit, wie viel tatsächlich bestraft werden wird.

Mehr zur Datenschutz-Grundverordnung

>> Hier geht's zur Einleitung in Teil 1.
>> "Das wird schlimmer als die Registrierkasse": Das denkt WKO-Obmann Manfred Kainz über das neue Gesetz