DSGVO kompakt

2. Juli

Wir freuen uns, dass die core unternehmensberatung von nun an auch Fragen zum Thema EU-Datenschutz-Grundverordnung (DSGVO) beantworten und Unternehmen in diesem Bereich beraten kann. Mitte Juni 2021 konnte Philipp Wietter den DSGVO-Lehrgang der WKÖ/incite Lehrgang mit der Prüfung zum Datenschutzexperten erfolgreich abschließen und wurde in das Expertenverzeichnis aufgenommen.

Wir möchten Ihnen deshalb einen kurzen Überblick über die wichtigsten Begriffe und FAQs im Zusammenhang mit Datenschutz geben, die wir uns auch selbst als Unternehmen gestellt haben:

Begriffsbestimmungen
Personenbezogene Daten
Informationen, die sich auf eine identifizierbare natürliche Person (Betroffener) beziehen. Identifizierbar ist eine Person zB durch Name, Adresse, Geburtsdatum, Bankdaten. Beziehen sich hingegen Informationen nicht direkt auf eine Person (Anonymisierung) oder auf eine juristische Person (zB GmbH), so sind die Regelungen der DSGVO nicht anwendbar.
Verantwortlicher
Natürliche oder juristische Person, die über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Auftragsverarbeiter
Natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Empfänger
Natürliche oder juristische Person, welcher personenbezogen Daten offengelegt werden (zB Auftragsverarbeiter, Behörden)
Was regelt die DSGVO?
Die DSGVO regelt den Schutz natürlicher Personen bei der ganz oder teilweise automatisierte Verarbeitung von personenbezogenen Daten. Aber auch die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind, sind von der DSGVO umfasst. Dies können zum Beispiel Akten in Papierform, die in einem Ordner abgelegt werden, sein. Namensschilder auf der Türklingel einer Wohnhausanlage fallen hingegen mangels Dateisystem nicht in den Anwendungsbereich der DSGVO.
Welche Pflichten haben Verantwortliche im Zusammenhang mit der Verarbeitung personenbezogener Daten?
Verantwortliche haben die Pflicht zur Information, wenn die Daten entweder direkt oder indirekt bei den Betroffenen erhoben werden. Unternehmen sollten deshalb bereits auf ihrer Website diese Pflicht in Form einer Datenschutzerklärung wahrnehmen. Zusätzlich haben Verantwortliche geeignete technische und organisatorische Maßnahmen (TOMs) umzusetzen. Dabei geht es um Fragen zur Datensicherheit, Datenintegrität aber auch zu technischen Themen wie etwa IT-Security, IT-Ressourcen und Datenspeicherung.
Nicht zu vergessen ist, dass sowohl Verantwortliche als auch Auftragsverarbeiter ein Verzeichnis aller Datenverarbeitungstätigkeiten führen müssen.
Ist im Datenverarbeitungsverzeichnis für jede natürliche Person einzutragen, was mit den personenbezogenen Daten passiert?
Nein. Jedoch müssen im Datenverarbeitungsverzeichnis die Kategorien betroffener Personen und Daten (zB Kunden und Lieferanten, Rechnungsdaten, Adressdaten) beschrieben werden.
Sind kleine Unternehmen wie etwas Einzelunternehmen oder KMUs von der Pflicht zur Führung eines Datenverarbeitungsverzeichnisses befreit?
Theoretisch ja – faktisch nein. Unternehmen mit weniger als 250 MitarbeiterInnen sind nur dann befreit, wenn zB die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgt. Praktisch stellt sich jedoch die Fragen, wie „gelegentlich“ definiert wird.
Hat jedes Unternehmen einen Datenschutzbeauftragten zu bestellen?
Nein. Die Verpflichtung besteht nur dann, wenn die Kerntätigkeit des Unternehmens in der regelmäßigen und systematischen Verarbeitung von Daten (zB Banken, Kreditauskunfteien) besteht oder die Verarbeitung von sensiblen Daten (Sozialversicherung) erfolgt.
Welche Rechte haben Betroffene?
Betroffene haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch der vom Verantwortlichen verarbeitenden personenbezogenen Daten.