Simsalabim! Die DSGVO-Anleitung

Einen Zauberspruch zur DSGVO gibt es leider nicht. Dafür fünf Aufgaben, die schnell zu erledigen sind. Was müssen Musikschaffende tun, um dem neuen Gesetz zu entsprechen?

Wien (23. Mai 2018) – Schritt für Schritt. So wirst Du fit. Wie Asterix und Obelix auf der Jagd nach dem berühmten Passierschein A38.

1. Aufgabe: ein Datenverarbeitungsverzeichnis anlegen

Die Datenschutzbehörde kann nämlich jeden Unternehmer jederzeit auffordern, ihr das Verzeichnis der Verarbeitungen von personenbezogenen Daten zu übermitteln. Also ist es ratsam, ein solches Verzeichnis anzulegen. Wer kein derartiges Verzeichnis vorlegen kann, wird mit extrem hohen Strafen bedroht: bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahres. Ein Dokument dazu gibt es hier.

Tatsächlich handelt es sich um das Formular D_04a Verfahrensverzeichnis sowie ein 14-seitiges EU-Merkblatt zum Auswendiglernen.

2. Aufgabe: Zustimmung für Newsletter-Zusendung einholen

Viele senden regelmäßig Newsletter an Interessenten aus, deren Emailadresse sie von diesen erhalten haben. Nun muß eine ausdrückliche Erlaubnis dieser Interessenten nachweislich vorliegen. Wenn die alten Zustimmungserklärungen nur mündlich erteilt wurden oder nicht mehr aufgefunden werden können, sind neue Zustimmungen einzuholen. Zustimmungen sind frei widerruflich, dann ist die Zusendung einzustellen.

3. Aufgabe: Informationsverpflichtung

Auch wenn man Daten verarbeiten darf, muß den Betroffenen erklärt werden, daß man deren Daten verarbeitet und wozu. Es empfiehlt sich daher, eine Datenschutzerklärung auf der Website zu veröffentlichen.

4. Aufgabe: Auskunftsverpflichtung

Auf Anfrage ist zu beantworten, welche Daten über eine Person gespeichert werden. Daten sind nach Aufforderung auch an den Anfragenden herauszugeben. Widersprüchen gegen die Verarbeitung ist zu entsprechen, außer man muß die Daten noch aufbewahren [wie z. B. die Buchhaltung, 7 Jahre lang]. Auch wenn nichts [mehr] gespeichert ist: Wer auf ein derartiges Ersuchen gar nicht antwortet, hat schon verloren.

5. Aufgabe: Datensicherheit herstellen

Das Gesetz schreibt vor: Daten sind sicher zu verwahren. Kommt es zu Datenschutzverletzungen, muß die Datenschutzbehörde unverzüglich, spätestens aber binnen 72 Stunden informiert werden.

Diese fünf Punkte sind nur ein Einstieg in die komplexe Materie. Weitere Details nun von RA Mag. Oliver Ertl und RA Mag. Dorian Schmelz. pps

Umsetzung der DSGVO

Es ist höchste Zeit, aber noch nicht zu spät, mit der Umsetzung der DSGVO zu beginnen. Hunderttausende Unternehmen in Österreich sind betroffen, und sie werden nicht alle gleich am 25. Mai 2018 kontrolliert werden.

Eine sofortige Anstrengung ist nötig

Ziel der DSGVO ist eine Sensibilisierung, welche strukturierten Datenverarbeitungen (online und offline, also auch auf Papier!) ein Unternehmer ausführt und wie Datenschutz und Nachvollziehbarkeit im Unternehmen hergestellt werden können. Das heißt aber, jeder Betroffene muß selbst darüber nachdenken und sich mit den Grundbegriffen vertraut machen. Ein juristisches oder technisches Zauberwerkzeug nach dem Motto Sprich nur ein Wort, dann wird meine Seele gesund gibt es nicht, sehr wohl aber Hilfsmittel, die auch für Kleinunternehmer, also auch für selbständig Musikschaffende tauglich sind.

Beispiele und unverbindliche Tipps

Die Wirtschaftskammer hat einfach zugängliches und auch verständliches Material veröffentlicht. Ein erschwingliches Online-Tool bieten auch die Rechtsanwälte Höhne und Partner an. Und noch eine weitere, erste Zusammenfassung.

Was ist die DSGVO?

Dabei handelt es sich um eine EU-Verordnung, die in jedem Mitgliedsstaat unmittelbar anwendbar ist; sie gilt daher für die einzelnen Bürger ähnlich wie ein nationales Gesetz - und sie verfolgt das Ziel, die Verarbeitung personenbezogener Daten durch private Unternehmen und öffentliche Stellen EU-weit zu vereinheitlichen.

Ab wann gilt die DSGVO? Gibt es eine Übergangsfrist?

Die bestehende Datenverarbeitung ist innerhalb von zwei Jahren ab Inkrafttreten der DSGVO (das war der 25. Mai 2016) mit ihr in Einklang zu bringen. Am Stichtag 25. Mai 2018 muß somit jedes Unternehmen die DSGVO einhalten.

Für wen gilt die DSGVO?

Betroffen sind nicht nur Großunternehmer, Behörden und öffentliche Stellen, sondern auch Klein- und mittelständische Unternehmen und Einpersonenunternehmen EPU 
(Art 2 DSGVO). Ausnahmen für Kleinunternehmen und EPUs gelten v. a. im Bereich der Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (siehe unten). Ansonsten ist von der DSGVO jedes Unternehmen in der EU betroffen, das personenbezogene Daten verarbeitet.

Was bedeutet Verarbeitung personenbezogener Daten?

Die datenschutzrechtlichen Vorgaben der DSVGO zielen auf die Verarbeitung personenbezogener Daten ab. Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art 4 DSGVO). Darunter fallen etwa Name, Adresse, Geburtsdatum und Bankdaten von Personen. Somit verarbeitet jeder Unternehmer, der, beispielsweise, Rechnungen ausstellt oder Kundendateien führt, personenbezogene Daten im Sinn der Datenschutz-Grundverordnung.

Unter dem Begriff der Verarbeitung sind einerseits sämtliche Anwendungen zu verstehen, die personenbezogene Daten computerbasiert verarbeiten. Werden sie nicht computerbasiert erfaßt, ist die DSGVO andererseits dann anwendbar, wenn die Daten in einem digitalen oder analogen System gespeichert oder abgelegt werden (Art 4 DSGVO).

Welche neuen Pflichten ergeben sich aus der DSGVO?

Die DSGVO beinhaltet für Unternehmen neue Dokumentationspflichten und strengere Strafen. Vor der Einführung dieser Verordnung war die Verarbeitung von personen-bezogenen Daten bei der Datenschutzbehörde zu melden; diese bürokratische Hürde wurde nun abgeschafft.

Statt einer Melde- und Genehmigungspflicht bei der Datenschutzbehörde wurde durch die DSGVO die Verpflichtung geschaffen, ein Verzeichnis für Verarbeitungstätigkeiten (Art 30 DSGVO) zu führen. Inhaltlich ähneln die Anforderungen der derzeitigen DVR-Meldung. Hinzu kommt die Verpflichtung, zu dokumentieren, wann die personenbezogenen Daten wieder gelöscht werden sollen. Die Datenschutzbehörde kann den Unternehmer jederzeit auffordern, ihr das Verzeichnis zu übermitteln. Verantwortlich für den gesamten Datenverarbeitungsvorgang ist ab jetzt terminologisch nicht mehr der Auftraggeber, sondern dieser wurde in den Begriff des Verantwortlichen geändert.

Gibt es Ausnahmen für diese Verpflichtung?

Unternehmen mit weniger als 250 Beschäftigten sind von Teilen der DSGVO ausge-nommen. Dies gilt jedoch nur eingeschränkt. Denn auch kleine Unternehmen müssen dieses Verzeichnis führen, wenn die Verarbeitung von personenbezogenen Daten nicht nur gelegentlich erfolgt bzw. es sich um sensible Daten handelt (etwa Gesundheitsdaten). Somit unterliegen Lieferanten-, Kunden- und Personalverwaltung – unabhängig der Größe des Unternehmens – aufgrund ihrer regelmäßigen Verarbeitung der DSGVO.

Wie hoch ist die Strafe, wenn ich kein Verzeichnis von Verarbeitungstätigkeiten führe?

Fehlende oder unrichtige Datenanwendungen waren bisher mit einer Verwaltungsstrafe von bis zu 10.000 Euro bedroht. Die neue Strafdrohung beträgt bis zu zehn Millionen Euro oder zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahres und erreicht daher krasse Höhen.

Was soll in einem Unternehmen bis zum 25. Mai 2018 passieren?

Hauptarbeit für Unternehmen wird die Erstellung des Verzeichnisses für Verarbeitungstätigkeiten. Die gute Nachricht ist, daß jene Unternehmen, die bereits jetzt ihre Melde- und Genehmigungspflichten nach dem alten Datenschutzgesetz nachgekommen sind, einen Großteil der Arbeit bereits erledigt haben, da sie ihr Verzeichnis auf den gespeicherten Datenanwendungen aus dem Datenverarbeitungsregister (DVR-Online) aufbauen können.

Kurz und überblicksmäßig zusammengefaßt müssen also alle Unternehmer, die nicht nur gelegentlich personenbezogene Daten verarbeiten, ein Datenverarbeitungsverzeichnis anlegen; kann keines vorgelegt werden, ist bei einer Kontrolle die Strafe vorprogrammiert.

Bei der WKO-Handel gibt es dieses Verfahrensverzeichnis zum Herunterladen.

Was heißt, daß die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt?

Der Begriff gelegentlich ist in der DSGVO nicht näher erläutert. Gemeint dürften Verarbeitungen sein, die nur sporadisch, wenn gerade Gelegenheit besteht, erfolgen. 
Als Beispiel wird das Anfertigen von Fotografien auf einer Firmenveranstaltung genannt.

Diese Ausnahmebestimmung ist jedoch insgesamt nicht sehr praxisrelevant. Es ist daher zum jetzigen Zeitpunkt davon auszugehen, daß grundsätzlich jedes Unternehmen, das eine Kundendatenbank führt oder eine Mitarbeiterverwaltung betreibt, ein Verarbeitungsverzeichnis benötigt.

Darf man überhaupt Daten verarbeiten?

Ja, wenn es dafür eine Grundlage gibt, und zwar auch ohne ausdrückliche Zustimmung aufgrund von

• Verträgen: alle Daten die zur Vertragserfüllung (Auftrittsvertrag, Plattenvertrag, Studiovertrag, etc) zwischen den Vertragspartnern notwendig sind, dürfen auch verarbeitet und solange wie dafür gespeichert werden;
• Gesetzen, zum Beispiel die Bundesabgabenordnung: Für die eigene Buchhaltung und Einkommenssteuerberechnung dürfen die nötigen Daten gespeichert werden und müssen sogar sieben Kalenderjahre aufbewahrt werden;
• sonstigen berechtigten Interessen, wobei man damit aber vorsichtig umgehen muß; ansonsten mit ausdrücklicher Zustimmung, und zwar einer informierten, freiwilligen Einwilligung, die dokumentiert werden muß, also z. B. für Newsletter, Werbezusendungen etc. Wenn die alten Zustimmungserklärungen z. B. nur mündlich erteilt wurden oder nicht mehr aufgefunden werden können, sind neue Zustimmungen einzuholen.

Auch wenn man Daten verarbeiten darf, muß den Betroffenen erklärt werden, daß und wozu man Daten verarbeitet.

Dazu dienen die omnipräsenten Cookie-Hinweise und weiterführenden Datenschutzerklärungen auf Webseiten. Hier ein Beispiel einer Datenschutzerklärung.

Wer Auftragsdatenverarbeiter hat, muß mit ihnen schriftliche Vereinbarungen abschließen.

Auftragsdatenverarbeiter sind, zum Beispiel, jene Unternehmen, die Mail- und Webhosting für einen betreiben, also alle, die im Auftrag des verantwortlichen Unternehmers Daten verarbeiten, ohne darauf Einfluß zu nehmen.

Ein Steuerberater ist jedoch kein solcher Auftragsdatenverarbeiter, weil er selbst entscheidet, wie er was bucht, er ist daher Datenverantwortlicher. Mit ihm schließen Sie einen Vertrag ab, in dem er und seine Mitarbeiter zur Verschwiegenheit verpflichtet sind. Generell sind eigene Mitarbeiter zu schulen und zur Verschwiegenheit über Daten zu verpflichten.

Jeder hat einem Datenverarbeiter gegenüber ein Recht auf Auskunft.

Betroffene haben gegenüber Unternehmen

• das Recht auf Auskunft, Berichtigung, Löschung oder Einschränkung der Verarbeitung ihrer gespeicherten Daten;
• ein Widerspruchsrecht gegen die Verarbeitung;
• ein Recht auf Datenübertragbarkeit gemäß den Voraussetzungen des Datenschutzrechts;

Die Grenze der Auskunfts- Berichtigungs- und Löschungspflicht ergibt sich aus den Zwecken der Vertragserfüllung, inkl. Honoraransprüchen und gesetzlichen Verschwiegenheits- und Aufbewahrungspflichten. Wer aber auf ein Ersuchen gar nicht antwortet, hat schon verloren.

Beschwerden können an die Österreichische Datenschutzbehörde gerichtet werden.

Zuletzt geht es noch um Datensicherheit

Daten sind sicher zu verwahren. Kommt es zu Datenschutzverletzungen, muß die Datenschutzbehörde unverzüglich, spätestens aber binnen 72 Stunden informiert werden. o.e. / d.s.

PS : Obiger Text entspricht unserem Wissensstand. Sollte der Karren trotz Verfahrensverzeichnisses verfahren sein, sind Nachfragen daher nicht an mich zu richten, sondern direkt an den Verantwortlichen, also an den Gesetzgeber. pps