Mag. Eva Pernt, MBA

Stubenring 24
1010 Wien

+43 1 5137900-0

Neue Datenschutzverpflichtungen für Unternehmen ab 25.5.2018

Mit der vom Europäischen Parlament beschlossenen Datenschutz-Grundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. Zur Durchführung der DSGVO wurde in Österreich das Datenschutz-Anpassungsgesetz 2018 beschlossen.

Die neuen Bestimmungen treten mit 25.5.2018 in Kraft. Bis zu diesem Zeitpunkt müssen alle Datenanwendungen und Geschäftsprozesse an die neue Rechtslage angepasst werden. Daher ergibt sich für jedes Unternehmen (unabhängig von der Branche), das in irgendeiner Weise personenbezogene Daten verarbeitet (zB eine Kundendatei führt, Rechnungen ausstellt), dringender Handlungsbedarf, da die internen Abläufe und alle Datenanwendungen in Bezug auf den Datenschutz analysiert und gegebenenfalls rechtzeitig angepasst werden müssen.

Der Schwerpunkt der DSGVO liegt auf der Stärkung der Betroffenenrechte. Grundsätzlich werden alle Datenverarbeitungen mit personenbezogenen Daten verboten, außer es gibt eine Rechtfertigung. Diese kann nur aufgrund einer gesetzlichen Verpflichtung, der Einwilligung des Betroffenen oder aus überwiegendem Interesse bestehen. Wie bisher muss auch zukünftig jede Datenverwendung einem konkreten Rechtfertigungsgrund zugeordnet werden. Und nur für diese Aufgabe dürfen die Daten verwendet werden.

Insbesondere die folgenden DSGVO Anforderungen beinhalten für österreichische Unternehmen einen hohen Arbeitsaufwand und Kosten:

  • Feststellung, ob man Verantwortlicher oder Auftragsverarbeiter für die Daten Betroffener ist
  • Erstellung und Führung eines Datenanwendungsverzeichnisses
  • Erweiterung der Informationspflichten gegenüber den Betroffenen
  • Nominierung eines Datenschutzbeauftragten

Bislang wurden die Daten in einem Unternehmen oft abteilungsund unternehmensübergreifend verwendet. Beispielsweise wurde die Personalverrechnung im Konzernverbund zentral von einer Tochtergesellschaft durchgeführt oder die Kundenstammdaten wurden von mehreren Konzerngesellschaften gemeinsam genutzt. Nun gibt es kein „Konzernprivileg“ mehr. Jede Gesellschaft muss feststellen, ob sie Verantwortlicher für die Daten ist oder im Auftrag eines Anderen die Informationen verarbeitet (Auftragsverarbeiter). Der Verantwortliche bleibt dem Betroffenen gegenüber immer verantwortlich für die Sicherheit und den Einsatz seiner Daten. Daher müssen zwischen allen Verantwortlichen und Auftragsverarbeitern Verträge oder Service Level Agreements (SLA) geschlossen werden, um die DSGVO- konforme Verarbeitung zu gewährleisten. Jedes Unternehmen muss daher die Datenflüsse analysieren und mit Verträgen sichern.

Bisher wurden Anwendungen bei der Datenschutzkommission gemeldet, wenn Daten Betroffener verarbeitet werden sollten. Diese prüfte die Anmeldung, führte eine Risikoanalyse durch und speicherte die Anwendung im DVR-Register. Mit der DSGVO fällt die Meldung an das DVR Register weg und jedes Unternehmen muss selbst das Datenanwendungsverzeichnis führen, inklusive einer Risikoanalyse und gegebenenfalls der Datenschutz-Folgenabschätzung.

Die Betroffenenrechte wurden gestärkt. Jeder, der von Datenverarbeitungen betroffen ist, muss proaktiv (bei Erstkontakt) und umfassend informiert werden, wobei auch technisch die folgenden Anforderungen umgesetzt werden müssen:

  • Auskunftsrecht (u.a. auch über die geplante Speicherdauer)
  • Recht auf Berichtigung
  • Recht auf Löschung und auf „Vergessen“
  • Recht auf Datenübertragbarkeit
  • Recht auf Einschränkung der Verarbeitung
  • Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger
  • Widerspruchsrecht

Die Bestellung eines (internen oder externen) Datenschutzbeauftragten ist u.a. dann verpflichtend vorgesehen, wenn der Geschäftszweck in der Verarbeitung personenbezogener Daten besteht (zB ein Steuerberater, der für Klienten die Lohnverrechnung durchführt). Der Datenschutzbeauftragte ist an die Datenschutzbehörde zu melden.

Zusammenfassend ist festzuhalten, dass Verträge, Prozesse und IT Systeme angepasst werden müssen, um diese neuen Anforderungen zuverlässig gewährleisten zu können. Außerdem müssen die Mitarbeiter umfassend geschult werden, um die neuen Anforderungen geeignet unterstützen zu können. In Anbetracht der Komplexität der Materie und der möglichen hohen Strafen ist es jedenfalls empfehlenswert, sich bei der Umsetzung von Experten unterstützen zu lassen.

KlientenINFO

Download als PDF

Foto: Ausgabe 6/2017 Dezember 2017

Dezember 2017

Ausgabe 6/2017

Vorschau auf das Jahr 2018

SV-Werte 2018, Sachbezugswerte für Dienstautos ab 2018, Sachbezugswerte für Zinsersparnis, Dienstwohnungen, Unterhaltsleistungen – Regelbedarfsätze für 2018, Familienbeihilfe, Familienbeihilfe, Vereinfachte GmbH-Gründung ab 2018, Quotenregelung im Aufsichtsrat ab 1.1.2018

Einlagen- und Innenfinanzierungserlass

Um feststellen zu können, ob eine Ausschüttung steuerlich als Einlagenrückzahlung oder als Dividende zu behandeln ist, sind Evidenzkonten zu führen.

Höchstgerichtliche Entscheidungen

wirtschaftliche Betrachtungsweise beim Mantelkauf, GmbH-Beteiligung notwendiges Betriebsvermögen bei Gesellschafter-Geschäftsführer, Keine Werbeabgabe für Online-Werbung

Neue Datenschutzverpflichtungen für Unternehmen ab 25.5.2018

Die Datenschutz-Grundverordnung (DSGVO) vereinheitlicht die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen

Abschaffung der Mietvertragsgebühren für Wohnungsmieter ab 11.11.2017

Nationalrat beschließt Abschaffung der Mietvertragsgebühren für Wohnungsmietverträge

Internas

Mag Wolfgang Schmid, Mag Wolfgang Dibiasi, Mag Eva Pernt: Die Weichen für eine erfolgreiche Zukunft sind gestellt.

Termin 31.12.2017

Substanzabgeltung für geschenkte Liegenschaften rechtzeitig überweisen, Mitteilungen betreffend Verrechnungspreise, Rückerstattung von Kranken-, Arbeitslosen- und Pensionsversicherungsbeiträgen 2014, Arbeitnehmerveranlagung 2012, Ankauf von Wertpapieren für optimale Ausnutzung des GFB 2017

Splitter

Registrierkasse – Jahresendbeleg 2017: Was ist zu tun bis zum 15.2.2018?

Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite

Mit diesem QR-Code gelangen Sie schnell und einfach auf diese Seite

Scannen Sie ganz einfach mit einem QR-Code-Reader auf Ihrem Smartphone die Code-Grafik links und schon gelangen Sie zum gewünschten Bereich auf unserer Homepage.