Nr. 7/8 · 23. 2. 2018
22 · Service · Kärntner Wirtscha�
Foto: WKO
Datenschutz: Alles neu ab Mai
Vieles wird sich am 25. Mai ändern: Ab diesem Tag gilt die DatenschutzGrundverordnung (DSGVO), die den Umgang mit personenbezogenen Daten neu regelt. Die Verarbeitung von personenbezogenen Daten ist ab 25. Mai 2018 nur mehr dann zulässig, wenn – eine Einwilligung der betroffenen Person vorliegt oder – es eine gesetzliche Grundlage für die Weiterverarbeitung gibt (beispielsweise steuerrechtliche oder sozialversicherungsrechtliche Pflichten). Betroffen sind im Grunde alle Unternehmen – von Ein-Personen-Unternehmen bis hin zu Konzernen. Denn unter personenbezogene Daten fallen neben Kundendaten auch gespeicherte Informationen über Mitarbeiter, Lieferan-
Kärntner
Kärntner
Datenschutz neu ab Mai 2018 Die Zeitung der Wirtschaftskammer Kärnten
Service-Serie�
ten oder potenzielle Kunden, für die beispielsweise ein Angebot erstellt wurde. Laut gesetzlicher Definition sind personenbezogene Daten alle Informationen, die sich auf eine identifizierbare Person beziehen – wie deren Adresse, Geburtsdatum oder Bankdaten. Als identifizierbar wird eine Person angesehen, die insbesondere durch Zuordnung über Namen, Kundennummer oder Online-Kennung identifiziert werden kann. Für „sensible Daten“ gelten übrigens noch strengere Maßstäbe. Unter sensiblen Daten versteht man laut DSGVO personenbezo-
H
Mit der DatenschutzGrundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. Die Bestimmungen der DSGVO gelten ab 25. Mai 2018. Bis dahin müssen alle Datenanwendungen
Teil�1
an die neue Rechtslage angepasst werden. Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet, ist betroffen. Zur Verarbeitung personenbezogener Daten zählen unter anderem das Führen einer Kundendatei, Ausstellen von Rechnungen und Speichern von Lieferantendaten.
gene Daten, aus denen die rassische und ethnische Herkun, politische Meinungen, religiöse Überzeugungen oder die Gewerkschaszugehörigkeit hervorgehen, sowie die Verarbeitung von biometrischen Daten zur eindeutigen Identifizierung einer Person, Gesundheitsdaten oder Daten zur sexuellen Orientierung einer Person. Beispiele: Fingerabdruck, Krankengeschichte, Sozialversicherungsnummer. Im Umkehrschluss bedeutet das: Die Grundsätze des Datenschutzes gelten nicht für „anonyme Informationen“, also für Informationen, die sich nicht auf eine identifizierbare Person beziehen, oder personenbezogene Daten, die anonymisiert wurden. Die Verarbeitung anonymer Daten für statistische oder Forschungszwecke ist also nicht betroffen.
Gilt auch für Kundendaten am Papier Falls Sie sich nun denken: „Mir kann nichts passieren, denn ich habe nichts am PC gespeichert, sondern bewahre alles auf Papier in einem Ordner auf“, ist das leider ein Irrtum. Die DSGVO regelt nämlich den Umgang mit allen personenbezogenen Daten, auch mit jenen, die nicht-elektronisch aufbewahrt werden. Zum Abschluss noch die schlechte Nachricht: Wer das Thema nicht ernst nimmt, muss mit hohen Strafen rechnen. Angekündigt wurden Geldbußen von bis zu 20 Millionen Euro oder von
DSGVO-
1.
Ist-Analyse. Finden Sie heraus, welche personenbezogenen Daten im Unternehmen derzeit gespeichert werden.
2.
Hinterfragen. Stellen Sie fest, welche dieser Daten Sie in Zukun� unbedingt benötigen. Die Faustregel lautet: Je weniger personenbezogene Daten, desto besser und unkomplizierter.
3.
Ordnen. Beginnen Sie die Daten zu strukturieren. Bis 25. Mai 2018 muss ein Verzeichnis über die Verarbeitung der personenbezogenen Daten geführt und der Datenschutzbehörde auf Anfrage vorgelegt werden können.
bis zu vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäsjahres. Experten gehen davon aus, dass die Strafen für Klein- und Mittelunternehmen zwar deutlich niedriger, aber doch empfindlich sein werden.
Mehr Informationen im Internet: https://dsgvo.wkoratgeber.at/
Nr. 9 · 2. 3. 2018
Foto: WKO
18 · Service · Kärntner Wirtschaft
Wann Einverständnis nötig ist
Mit einer schriftlichen Einwilligung sind Unternehmen künftig auf der sicheren DSGVO-Seite.
Kärntner Kärntner
Kärntner
Datenschutz Datenschutz neuab abMai Mai2018 2018 neu 2018 Kärntner
Die Zeitung der Wirtschaftskammer Kärnten
Die Zeitung der Wirtschaftskammer Kärnten
Die Vorbereitung auf die neue Datenschutz-Grundverordnung (DSGVO) ähnelt einem Puzzle: Viele einzelne Dinge müssen erledigt und zu einem großen Ganzen zusammengefügt werden. Nachdem man sich mit der Frage beschäftigt hat, welche personenbezogenen Daten man in Zukunft von Mitarbeitern, Kunden und Lieferanten brauchen wird, geht es an die formelle Umsetzung. Jede Person, von der man ab 25. Mai 2018 Daten speichert und verarbeitet, muss über folgendes informiert werden: ffWas gepeichert wird, ffwas mit den Daten passiert, ffan wen man sich bei Fragen
Service-Serie� Service-Serie� Service-Serie�
wenden kann und lang die Daten vom Unternehmen gespeichert werden. Zusätzlich muss der Betroffene über seine Rechte informiert werden. Dazu zählen unter anderen das Recht auf Auskunft, Berichtigung oder Löschung von Daten. Thematisiert muss auch der gesetzliche Rahmen werden (die DSGVO). Schlussendlich muss auch der Hinweis auf die Möglichkeit des Widerrufs der Einwilligung in der Information enthalten sein.Was nach einem gewaltigen Aufwand klingt, lässt sich über vorgefertigte Formulare gut reffwie
H intergrund n ffMit
der DatenschutzGrundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. ffDie DSGVO gilt ab dem 25. Mai 2018. ffZur Verarbeitung personenbezogener Daten zäh-
Teil�1 Teil�1 Teil 2
len unter anderem das Führen einer Kundendatei, Ausstellen von Rechnungen und Speichern von Lieferantendaten. ffUnternehmen, die sich nicht an die DSGVO halten, müssen mit hohen Strafen rechnen. ffEinen WKO-Online-Ratgeber zur DSGVO finden Sie unter https://dsgvo. wkoratgeber.at/
geln. Wichtig ist, die Standardformulare für die eigene Verwendung zu adaptieren – und dabei auf gute Lesbarkeit zu achten. Im Gesetzestext steht ausdrücklich, dass eine klare und einfache Sprache zu verwenden ist und die Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form übermittelt werden müssen. Achtung: Vorformulierte Einwilligungserklärungen im Internet, die bereits mit einem zustimmenden Häkchen ausgestattet wurden, sind nicht erlaubt.
Information nicht in den AGB verstecken Das Verzeichnis von Verarbeitungstätigkeiten ist das Herzstück der DSGVO. Dieses müssen alle Unternehmen führen, es dient auch als Grundlage für Informationspflichten und Betroffenenrechte (mehr darüber erfahren Sie kommende Woche im dritten Teil dieser Service-Serie). Der Faktor Zeit spielt übrigens auch eine wichtige Rolle: Das Unternehmen muss bei der Erhebung der Daten bereits den Informationspflichten nachkommen. Tipp: Im Internet unter wko.at stehen Mustervereinbarungen zum Download bereit.
Alle Teile dieser Service-Serie finden Sie hier:
Hintergrund ffUnter
einer Einwilligung versteht man die eindeutige Willensbekundung, mit der eine Person zu verstehen gibt, dass sie mit der Verarbeitung der personenbezogenen Daten einverstanden ist. ffDie Einwilligungserklärung kann schriftlich, elektronisch (zum Beispiel durch aktives Anklicken einer vorformulierten Einwilligungserklärung) oder mündlich, aber auch in konkludenter Form erfolgen. ffEin bloßes Schweigen oder Untätigkeit der betroffenen Person kann keine Einwilligung darstellen, außer es ist eine eindeutige Verhaltensweise zu erkennen (wie ein Kopfnicken auf die Frage, ob die betroffene Person mit einer Datenverarbeitung für einen bestimmten Zweck einverstanden ist). ffAber Achtung: Zum Zweck der Beweisführung sollte eine schriftliche oder elektronische Form gewählt werden! Förderungen für Beratungen rund um den Datenschutz: ffKMU Digital-Beratung: Beratungen durch zertifizierte Berater werden in der Höhe von 50 Prozent gefördert. ffGeförderte Betriebsberatung (50 Prozent, maximal 1000 Euro) plus Cyberförderung des Landes (500 Euro).
Nr. 10 · 9. 3. 2018
20 · Service · Kärntner Wirtscha�
Foto: WKO
Hintergrund Die Meldung einer Datenschutzverletzung an die Datenschutzbehörde hat zumindest folgende Informationen zu enthalten: f eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten; f den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen; f die wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten; f eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung.
Datenverlust ist zu melden
Ab 25. Mai 2018 fallen DVR-Meldungen weg, dafür gibt es mehr Verantwortung für Unternehmer im Umgang mit personenbezogenen Daten. Der Grundpfeiler der neuen Datenschutz-Grundverordnung lautet: mehr Verantwortung für Unternehmer. So wird es ab 25. Mai 2018 keine generelle Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) und damit auch keine DVR-Meldungen mehr geben, sondern eine stärkere Verantwortung für Verantwortliche und Au�ragsverarbeiter. Dazu gehört auch eine weitreichende Neuregelung der Pflichten bei der Datenverarbeitung. Der wichtigste Punkt dabei ist das „Verzeichnis von Verarbeitungstätigkeiten“, das kün�ig zu führen ist: Deren Inhalt ist ähnlich den
Kärntner
Datenschutz neu ab Mai 2018 Service-Serie
derzeitigen DVR-Meldungen. In dem Verzeichnis muss vor allem folgendes angeführt werden: f die eigenen Kontaktdaten, f der Zweck der Verarbeitung, f eine Beschreibung der Datenkategorien und f der Kategorien von betroffenen Personen, f die Empfängerkategorien, f gegebenenfalls Übermittlungen von Daten in Drittländer, f wenn möglich die vorgesehenen Löschungsfristen und f eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen.
H intergrund f
f f
Mit der DatenschutzGrundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. Die DSGVO gilt ab dem 25. Mai 2018. Zur Verarbeitung personenbezogener Daten zäh-
f
f
Teil 3
len unter anderem das Führen einer Kundendatei, Ausstellen von Rechnungen und Speichern von Lieferantendaten. Unternehmen, die sich nicht an die DSGVO halten, müssen mit hohen Strafen rechnen. Mehr Infos, Muster-Vorlagen und einen OnlineRatgeber finden Sie unter wko.at/datenschutz
In der DSGVO ist auch genau geregelt, wie man bei dem Verlust von Daten umzugehen hat. Gehen personenbezogene Daten nämlich verloren oder wird deren Schutz (beispielsweise durch einen Hackerangriff) verletzt, gibt es folgende Meldepflichten: 1. Meldung an die österreichische Datenschutzbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten von Personen führt (siehe Box rechts), sowie 2. Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
Meldung innerhalb von 72 Stunden Die Meldung der Datenschutzverletzung an die Datenschutzbehörde muss unverzüglich (innerhalb von 72 Stunden) nachdem dies bekannt wurde erfolgen. Erfolgt die Meldung erst nach Ablauf von 72 Stunden, ist diese Verzögerung zu begründen. Eine Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn – technische und organisatorische Sicherheitsvorkehrungen angewandt wurden (durch die unbefugte Personen keinen Zugang zu diesen Daten haben, etwa durch Verschlüsselung), – der Verantwortliche durch nachträgliche Maßnahmen sicherge-
Förderungen für Beratungen rund um den Datenschutz: f KMU Digital-Beratung: Beratungen durch zertifizierte Berater werden in der Höhe von 50 Prozent gefördert. f Geförderte Betriebsberatung (50 Prozent, maximal 1000 Euro) plus Cyberförderung des Landes (500 Euro). Mehr Infos im Internet unter wko.at/ktn/foerderungen
stellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person aller Wahrscheinlichkeit nach nicht mehr besteht, oder – die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall muss jedoch eine öffentliche Bekanntmachung erfolgen oder eine ähnliche Maßnahme ergriffen werden, damit die betroffenen Personen vergleichbar wirksam informiert werden. Bei Verstößen gegen die Meldeund Benachrichtigungspflicht drohen Geldbußen von bis zu zehn Millionen Euro oder bis zu zwei Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschä�sjahres.
Alle Teile dieser Service-Serie finden Sie hier:
Nr. 11 · 16. 3. 2018
Foto: Fotolia/Hasselblad H5D
26 · Service · Kärntner Wirtscha�
Jeder Betrieb hat Auskun� zu geben Die DSGVO bringt mehr Rechte für Betroffene. So müssen Unternehmen bei Verlangen Auskun� über gespeicherte, personenbezogene Daten geben. Die Datenschutzgrundverordnung (DSGVO) wird den Umgang mit personenbezogenen Daten in Österreich auf den Kopf stellen: Bisher mussten Unternehmen jede Datenverarbeitung melden. Ab 25. Mai 2018 fällt diese Meldepflicht weg – und stattdessen gibt es mehr Verantwortung für die Betriebe. Sie müssen kün�ig vieles selbst beurteilen, angefangen von der Frage, ob personenbezogene Daten gespeichert werden müssen, bis hin zum Risiko des Datenverlusts.
Schri�lich, elektronisch oder mündlich möglich Salopp gesagt bedeutet die neue Regelung mehr Pflichten für Unternehmen – und mehr Rechte für die Betroffenen. Betroffenenrechte sind, wie der Name schon sagt, Rechte der von einer Datenanwendung betroffenen Person (= Betroffener) gegenüber dem Verantwortlichen. Sie kann sich damit beispielsweise gegen unrich-
Kärntner
folgendes zu umfassen: Kopien der Daten (E-Mails, Datenbankauszüge etc.), f den Verarbeitungszweck, f die Kategorien der Daten, die verarbeitet werden, f die Empfänger oder Kategorien von Empfängern, an die die Daten weitergegeben worden sind, f die geplante Speicherfrist. Weiters ist die betroffene Person über ihre weiteren Rechte zu informieren (siehe Box rechts). f
Datenschutz neu ab Mai 2018 Service-Serie
Teil 4
tige oder unvollständige Datensätze zur Wehr setzen oder verlangen, dass Daten wieder gelöscht werden. Betroffene verfügen künftig unter anderem über das Recht auf Auskun�: Jeder betroffenen Person ist bei Verlangen Auskun� darüber zu geben, welche personenbezogenen Daten man von ihr speichert. Die Auskun� hat grundsätzlich schri�lich und kostenlos zu erfolgen. Stellt die betroffene Person den Antrag elektronisch, so ist diese nach Möglichkeit auf elektronischem Weg zu beantworten, sofern die Person es nicht anders wünscht. Auch eine mündliche Beantwortung ist möglich, wenn die betroffene Person es verlangt. Das funktioniert aber nur, wenn die Identität der betroffenen Person in anderer Form nachgewiesen wurde. Achtung: Es wäre empfehlenswert, sich zumindest den Empfang der Informationen bei einer mündlichen Erteilung schri�lich bestätigen zu lassen!
Ausweis kün�ig nicht unbedingt notwendig Bisher war es notwendig, dass der Betroffene seine Identität mit einem entsprechenden Nachweis (Ausweiskopie) bereits bei der Anfrage offengelegt hat. Ab 25. Mai muss derjenige das nur dann tun, wenn der Verantwortliche begründete Zweifel an seiner
f
f
Die Beantwortung der Anfrage muss unverzüglich, spätestens aber innerhalb eines Monats erfolgen und hat unter anderem
Neben der Informationspflicht für Unternehmer räumt die DSGVO den Betroffenen folgende Rechte ein: f das Recht auf Auskun�, f das Recht auf Berichtigung, f das Recht auf Löschung, f das Recht auf Einschränkung der Verarbeitung, f das Recht auf Datenübertragbarkeit und f das Recht auf Widerspruch.
Identität hat. Dies kann zum Beispiel bei einer telefonische Anfrage oder bei einer Anfrage über eine Fantasie-E-Mail-Adresse der Fall sein. In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.
H intergrund
Von E-Mails bis zur geplanten Speicherfrist Alle Teile dieser Service-Serie finden Sie hier:
Neu ab 25. Mai
f
Mit der DatenschutzGrundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. Die DSGVO gilt ab dem 25. Mai 2018. Zur Verarbeitung personenbezogener Daten zäh-
f
f
len unter anderem das Führen einer Kundendatei, Ausstellen von Rechnungen und Speichern von Lieferantendaten. Unternehmen, die sich nicht an die DSGVO halten, müssen mit hohen Strafen rechnen. Mehr Infos, Muster-Vorlagen und einen OnlineRatgeber finden Sie unter wko.at/datenschutz
Nr. 12 · 23. 3. 2018
16 · Service · Kärntner Wirtscha�
Fotolia/sdecoret
Auch online muss auf Datenschutz geachtet werden.
Newsletter nach „Checkbox-Hakerl“ So wenig wie möglich, so viel wie nötig: Auch online sollte das Speichern von personenbezogenen Daten minimiert werden. Wer Kunden kün�ig einen Newsletter schicken möchte, muss dabei einiges beachten. Hier kommt einerseits – wie bisher – das Telekommunikationsgesetz zu tragen sowie ab 25. Mai die DatenschutzGrundverordnung (DSGVO). Denn die DSGVO wird auch den Online-Bereich betreffen. So müssen ab diesem Zeitpunkt die Grundsätze des Datenschutzes
„Alte“ Adressen Verantwortliche müssen von Kunden, die bereits vor 25. Mai 2018 den Newsletter erhalten haben, keine Einverständniserklärung einholen (siehe auch Box rechts), sofern alle diese Punkte erfüllt werden: f Die E-Mail-Adresse wurde bei Verkauf einer Ware oder Dienstleistung erhoben. f Der Kunde erhielt die Möglichkeit, den Empfang des Newsletters kostenfrei und problemlos abzulehnen. f Der Kunde erhält bei jeder Zusendung die Möglichkeit, den Empfang abzulehnen. f Die Zusendung erfolgt zur Werbung für eigene, ähnliche Produkte. f Der Kunde ist nicht in die „ECG-Liste“ eingetragen.
Kärntner
Datenschutz neu ab Mai 2018 Service-Serie
Teil 5
durch Technik (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) berücksichtigt werden. Kurz gesagt: Der Verantwortliche hat für Datensicherheit zu sorgen und dafür, dass nur solche personenbezogenen Daten verarbeitet werden, die für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Dies gilt nicht nur für die üblichen personenbezogenen Daten, sondern auch für IP-Adressen. Sie gelten laut DSGVO ebenfalls als personenbezogene Daten. Werden also IP-Adressen verarbeitet oder gespeichert, sind dieselben Regeln einzuhalten wie beispielsweise für das Abspeichern des Geburtsdatums eines Kunden.
Wann Einverständnis des Betroffenen nötig ist Nicht immer ist eine Einverständniserklärung der betroffenen Person nötig. Rechtmäßig sind die Daten verarbeitet, wenn sie für die Erfüllung eines Vertrags, beispielsweise für einen Online-Einkauf, unbedingt erforderlich sind. Es dürfen aber nicht mehr Daten als unbedingt erforderlich erhoben werden. Achtung: Marketingmaßnahmen nach einem Kauf sind bereits nicht mehr zur Ver-
tragserfüllung nötig. Das bedeutet, falls man die personenbezogenen Daten im Anschluss an den Online-Einkauf fürs Marketing nutzen möchte, muss man dafür das Einverständnis des Betroffenen einholen. Die Einwilligung ist an keine Form gebunden. Sie kann schri�lich, per E-Mail, mündlich oder schlüssig erteilt werden. Empfohlen wird aber das Einholen einer ausdrücklichen Einwilligung, da eine solche im Streitfall bessere Beweiskra� hat. Ein Beispiel für eine ausdrückliche Einwilligung wäre das Anklicken einer Checkbox. Dabei ist unbedingt darauf zu achten, dass die Checkbox nicht vorangekreuzt sein darf, sondern aktiv angeklickt werden muss! Musterformulierungen für eine solche Einverständniserklärung finden Sie im Internet unter wko.at/datenschutz Werden in einem Webshop ausschließlich Daten verarbeitet, die
Alle Teile dieser Service-Serie finden Sie hier:
zur Vertragsabwicklung notwendig sind und diese ausschließlich dafür verwendet werden, kann eine Einwilligung entfallen. Informationspflichten gelten aber auch in diesem Fall. Das bedeutet, der Betroffene muss bereits zum Zeitpunkt der Datenerhebung über bestimmte Punkte – wie den Namen des Verantwortlichen für die Datenverarbeitung oder des Zwecks der Verarbeitung – informiert werden. Achtung: Auf Einwilligungen gestützte Datenverarbeitungen von Kindern unter 14 Jahren sind nicht zulässig. Eine Alterskontrolle sollte vor Vertragsabschluss erfolgen, da ansonsten unter Umständen kein gültiger Vertrag geschlossen werden kann.
H intergrund f
f
Datenverarbeitungen, die auf bereits bestehenden Einwilligungserklärungen nach der alten Rechtslage basieren, erfordern keine neuerliche Zustimmungserklärung, sofern die erteilten Einwilligungen den Bedingungen der neuen Rechtslage entsprechen. Das bedeutet, der Verantwortliche muss darüber informieren (oder informiert
f
f
haben), für welche Daten die Einwilligung gebraucht wird, zu welchem Zweck und ob diese an Dritte weitergegeben werden. Es muss außerdem darauf hingewiesen werden, dass es jederzeit möglich ist, die Einwilligung zu widerrufen – und wie dieser Widerruf möglich ist. Mehr Infos im Internet unter wko.at/datenschutz
Nr. 13/14 · 6. 4. 2018 Kärntner Wirtscha�
· Service · 21
Foto: Fotolia/Andrej Popov
Mit der Datenschutzgrundverordnung ändern sich ab Mai 2018 auch einige Bestimmungen bei den Bildaufnahmen.
Für Kameras gelten neue Regeln Für eine Überwachungskamera braucht man ab 25. Mai keine Genehmigung mehr. Sie ist aber nur unter bestimmten Voraussetzungen erlaubt.
Kärntner
Datenschutz neu ab Mai 2018 Service-Serie
Bisher war es so, dass bei Anbringen einer Kamera ein Genehmigungsantrag bei der Datenschutzbehörde zu stellen war. Dies wird sich durch das neue Datenschutzgesetz, das am 25. Mai 2018 in Kra� tritt, ändern: Ab diesem Zeitpunkt braucht man für die Installation einer Kamera keine Genehmigung mehr, auch DVR-Nummern wird es keine mehr geben. Es müssen aber etliche Voraussetzungen erfüllt und Vorgaben eingehalten werden. Wichtig ist beispielsweise, dass auf die Bild-
aufnahme gut sichtbar aufmerksam gemacht wird. Aus der Kennzeichnung muss jedenfalls der Verantwortliche eindeutig hervorgehen. Dessen Name muss auf der Info-Tafel zur Videoüberwachung angebracht werden. Bildaufnahmen sind außerdem nur mehr dann zulässig, wenn f sie im lebenswichtigen Interesse einer Person nötig sind; f die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat; f sie durch besondere gesetzli-
Bei Bildverarbeitung beachten f
f
Der Verantwortliche muss ab 25. Mai 2018, sofern die Bildaufnahme nicht lediglich ein privates Dokumentationsinteresse verfolgt, Datensicherheitsmaßnahmen ergreifen und dafür sorgen, dass der Zugang zur Bildaufnahme und eine nachträgliche Veränderung durch Unbefugte ausgeschlossen ist. Außerdem muss er jeden Verarbeitungsvorgang protokollieren, außer es
f
f
Teil 6
handelt sich um Fälle einer Echtzeitüberwachung. Aufgenommene personenbezogene Daten sind zu löschen, wenn sie für den Zweck, für den sie ermittelt wurden, nicht mehr benötigt werden und keine andere gesetzliche Aufbewahrungspflicht besteht. Achtung: Wer eine Bildverarbeitung entgegen diesen Bestimmungen betreibt, dem droht ab 25. Mai 2018 eine Geldstrafe von bis zu 50.000 Euro.
f
che Bestimmungen angeordnet oder erlaubt ist oder im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.
Welche Bildaufnahmen kün�ig erlaubt sind Einige Beispiele für eine erlaubte Bildaufnahme wären: – Die Bildaufnahme dient dem vorbeugenden Schutz von Personen oder Sachen auf privaten Liegenscha�en, die ausschließlich vom Verantwortlichen genutzt werden. Sie reicht räumlich nicht über die Liegenscha� hinaus, mit Ausnahme einer unvermeidbaren Einbeziehung öffentlicher Verkehrsflächen. – Die Bildaufnahme ist erforderlich für den vorbeugenden Schutz von Personen oder Sachen an öffentlich zugänglichen Orten, die dem Hausrecht des Verantwortlichen unterliegen. Gründe dafür können bereits erfolgte Rechtsverletzungen sein oder ein besonderes Gefährdungspotenzial des jeweiligen Standorts. Das gilt unter anderem für bisherige Standardanwendungen (wie für Trafiken, Juweliere, Banken) sowie die Bildaufnahmen in öffentlichen Verkehrsmitteln. – Die Bildaufnahme verfolgt ein privates Dokumentationsinteresse, das nicht auf die identifizierende Erfassung unbeteiligter Personen oder auf die gezielte Erfassung von Objekten, die sich
Alle Teile dieser Service-Serie finden Sie hier:
zur Identifizierung solcher Personen eignen, gerichtet ist. Achtung: Nicht erlaubt sind Bildaufnahmen ohne einer ausdrücklichen Einwilligung der betroffenen Person in deren höchstpersönlichem Lebensbereich oder Bildaufnahmen zur Kontrolle von Arbeitnehmern.
Hintergrund f
f f
f
f
Mit der Datenschutz-Grundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EUweit vereinheitlicht. Die DSGVO gilt ab dem 25. Mai 2018. Zur Verarbeitung personenbezogener Daten zählen unter anderem das Führen einer Kundendatei, Ausstellen von Rechnungen und Speichern von Lieferantendaten. Unternehmen, die sich nicht an die Bestimmungen der DSGVO halten, müssen mit hohen Strafen rechnen. Mehr Informationen, Muster-Vorlagen und einen Online-Ratgeber finden Sie unter wko.at/datenschutz
Nr. 15 · 13. 4. 2018
Foto: Shutterstock
18 · Service · Kärntner Wirtscha�
Welche Risiken es beim Umgang mit personenbezogenen Daten gibt, müssen Unternehmen ab 25. Mai 2018 selbst abschätzen können.
Sicherheit der Daten an erster Stelle Die Sicherheit der Daten spielt ab 25. Mai 2018 eine wichtige Rolle. Unternehmen müssen nachweisen können, welche Maßnahmen zur Datensicherheit ergriffen wurden. Der Verantwortliche, also im Normalfall der Unternehmer, ist ab 25. Mai 2018 für die gesamte Datenverarbeitung verantwortlich. Das bedeutet auch, dass er bis dahin für alle Organisationseinheiten Maßnahmen zur Gewährleistung der Datensicherheit treffen muss. Er muss sicherstellen, dass – die Daten vor Zerstörung und vor Verlust geschützt sind, – die Datenverwendung ordnungsgemäß erfolgt und – die Daten Unbefugten nicht zugänglich sind.
Sicherheit der Daten auf Anfrage nachzuweisen Auf Anfrage ist der Verantwortliche verpflichtet, mit der Datenschutzbehörde zusammenzuarbeiten und den Nachweis zu erbringen, dass er sämtliche Pflichten erfüllt hat. Folgende Maßnahmen sind grundsätzlich zu setzen: 1. Die Pseudonymisierung und Verschlüsselung personenbezogener Daten (wie die Passwortsicherung von Dateien). 2. Sicherstellen der Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste (durch Zutritts-/Zugangskontrollen oder Zugriffsbeschrän-
Kärntner
Datenschutz neu ab Mai 2018 Service-Serie
Teil 7
kungen). Dazu gehört auch, dass unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten („Au�ragsprinzip“). 3. Rasche Wiederherstellung der Daten, falls es zu einem technischen Zwischenfall kommt (Backup-Programme). 4. Verfahren zur regelmäßigen Evaluierung der Wirksamkeit der getroffenen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. Während es bisher eine Checkliste mit Maßnahmen gab, die Unternehmen für die Datensicherheit zu erfüllen hatten, geht man kün�ig von einem „risikobasierten Ansatz“ aus. Das bedeutet, die Risiken rund um den Umgang mit personenbezogenen Daten sind von jedem Unternehmen selbst einzuschätzen. Dabei sind jene Risiken zu berücksichtigen, die mit der Verarbeitung verbunden sind, insbesondere bei unbeabsichtigter oder unrechtmäßiger Vernichtung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten. Die Einhaltung genehmigter Verhaltensregeln oder eines genehmigten Zertifizierungsverfah-
rens kann als Faktor herangezogen werden, um die Erfüllung der Maßnahmen nachzuweisen. Zum Schutz der personenbezogenen Daten haben die Verantwortlichen und die Au�ragsverarbeiter auch die Grundsätze des Datenschutzes durch Technik (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) zu berücksichtigen.
Alle Teile dieser Service-Serie finden Sie hier:
Schutz durch Technik und Voreinstellungen Sowohl bei der Planung als auch bei der Datenverarbeitung sind Maßnahmen zu treffen, um ein angemessenes Schutzniveau zu gewährleisten. Dabei sind unter anderem der Stand der Technik, Implementierungskosten, der Zweck der Verarbeitung sowie Eintrittswahrscheinlichkeiten und Risiken für die Rechte und Freiheiten natürli-
cher Personen zu berücksichtigen. Der Verantwortliche hat außerdem sicherzustellen, dass durch entsprechende Voreinstellungen nur solche personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind. Diese Verpflichtung gilt für die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.
H intergrund f
f f
Mit der DatenschutzGrundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. Die DSGVO gilt ab dem 25. Mai 2018. Zur Verarbeitung personenbezogener Daten zäh-
f
f
len unter anderem das Führen einer Kundendatei, Ausstellen von Rechnungen und Speichern von Lieferantendaten. Unternehmen, die sich nicht an die DSGVO halten, müssen mit hohen Strafen rechnen. Mehr Infos, Muster-Vorlagen und einen OnlineRatgeber finden Sie unter wko.at/datenschutz
