Prantauer kritisiert neue Datenschutz-Verordnung

BEZIRK LANDECK. Die Datenschutz-Grundverordnung ist eine EU-Verordnung, jedoch werden dem nationalen Gesetzgeber gewisse Spielräume eingeräumt (aus diesem Grund gibt es zusätzlich auch eine Novelle des österreichischen Datenschutzgesetzes 2000, die ebenfalls mit 25. Mai 2018 in Kraft tritt).
WK-Obmann Anton Prantauer informiert: „Ab Mai 2018 gilt die EU Datenschutz-Grundverordnung (DSGVO). Informations- und Betroffenenrechte werden neu geregelt. In einer zunehmend digitalisierten Welt sind alle vom Datenschutz betroffen. Unternehmen ebenso wie Verbraucher und öffentliche Einrichtungen. Für Unternehmer besteht leider Handlungsbedarf. Mehr Aufwand, mehr Verantwortung und höhere Strafen als bisher, soviel steht fest. Unter anderem müssen die Unternehmen durch technische und organisatorische Maßnahmen, etwa datenschutzfreundliche Voreinstellungen, dafür sorgen, dass der – künftig strengere – Datenschutz gewahrt wird. Und sie „ersparen“ sich zwar die Meldungen ans Datenverarbeitungsregister (DVR), es muss jedoch ein Verzeichnis von Verarbeitungstätigkeiten geführt werden (näheres siehe unten).“ Konkreter eingegangen auf die gesetzlichen Bestimmungen heißt dies, dass es primär keine Meldepflicht bei der Datenschutzbehörde mehr gibt, stattdessen ist aber eine stärkere Verantwortung für Auftraggeber und Dienstleister damit verknüpft. Hierzu sind geeignete technische und organisatorische Maßnahmen zu treffen, sozusagen sind datenschutzrechtliche Voreinstellungen zu treffen – diese sollten sicherstellen, dass nur personenbezogene Daten, deren Verarbeitung für den jeweiligen Verarbeitungszweck erforderlich ist, verarbeitet werden.

Pflichten

Bezugnehmend auf die Pflichten, die auf die Unternehmer zukommen, informiert Prantauer: „Es muss eben wie erwähnt ein „Verzeichnis von Verarbeitungstätigkeiten“ geführt werden, dessen Inhalt den DVR-Meldungen sehr ähnlich ist. Für Unternehmen, die mindestens 250 Mitarbeiter haben, wird das generell gelten, für kleinere nur unter bestimmten Voraussetzungen, die aber recht schwammig verfasst sind“, bedauert Prantauer. Des Weiteren sind Meldungen von Verletzung des Schutzes personenbezogener Daten binnen 72 Stunden nach dem Entdecken zu melden. Neu ist auch die sogenannte Pflicht zur Datenschutz-Folgeabschätzung und eine damit verbundene vorherige Konsultation der Aufsichtsbehörde (sofern aus der Folgeabschätzung ein hohes Risiko hervorgeht): „Auch eine solche 'Datenschutz-Folgenabschätzung' kann erforderlich werden. Es stellt sich die Frage, wann hören die Reglementierungen endlich auf. Was muss passieren, dass über andere Lösungen nachgedacht wird und die Androhungen von Bestrafungen ein Ende finden“, so Prantauer, der seinem Ärger über die Datenschutzverordnung Luft macht.

Informationspflichten und Betroffenenrechte

Eine Notwendigkeit zur Installation eines Datenschutzbeauftragten besteht für Unternehmer nur in Sonderfällen, so heißt es in der Verordnung: „Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.“ Neu sind auch die Informationspflichten und Betroffenenrechte definiert. Darin verankert sind unter anderem das Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung als auch eine damit verbundene anschließende Mittelungspflicht an die Empfänger. Es gibt auch ein Recht auf Datenübertragbarkeit als auch ein Widerspruchsrecht, Befugnisse und Aufgaben der Aufsichtsbehörden werden erweitert. Besonders auch die Verhängung von „Geldbußen“ (von bis zu 20 Mio. oder im Fall eines Unternehmens von bis zu 4 Prozent seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres).

Praxisrelevante Punkte von Experten erläutert

Datenschutzexperte Dr. Werner Pilgermair spricht bei der Informationsveranstaltung über Dokumentationspflichten, Informationsreche als auch notwendige Maßnahmen für Unternehmer. Über die Aufgaben des Arbeitgebers informiert der Arbeitsrechtsexperte Mag. Florian Brutter – im Besonderen über den Umgang mit Mitarbeiterdaten und notwendige Anpassungen im Personalbereich.
Der Datenschutz-Informationsabend für die Bezirke Landeck und Imst findet am 28. September um 18:00 Uhr in der WK-Bezirksstelle Imst statt.
Die Anmeldung kann erfolgen unter T 05 90905-3410 oder landeck@wktirol.at