EU DSGVO – EU-Datenschutzgrundverordnung ab 25.5.2018

Bei der EU-Datenschutzgrundverordnung handelt es sich um eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der EU vereinheitlicht werden. Die Verordnung, welche durch eine Novelle des Datenschutzanpassungsgesetzes in Österreich umgesetzt wurde, gilt ab dem 25.5.2018.

Anwendungsbereich
Um zu beantworten, ob sich auch Ihr Unternehmen an diese Regeln halten muss, ist eine Vielzahl von Aspekten zu berücksichtigen. Grundsätzlich muss man dabei sowohl den räumlichen als auch den sachlichen Anwendungsbereich der EU DSGVO betrachten.

Sachlicher Anwendungsbereich
Die EU DSGVO muss auf alle Verarbeitungen von personenbezogenen Daten, unabhängig von der verwendeten Technologie, angewendet werden. Eine Ausnahme stellt die Verarbeitung von Akten in Papierform dar, dies jedoch auch nur dann, wenn die Papierakten nicht nach bestimmten Kriterien geordnet werden können. Bei vielen Akten wie bspw Personalakten wird dies jedoch der Fall sein. Außerdem kann auch davon ausgegangen werden, dass die Anforderungen der EU DSGVO auch zur Anwendung kommen, wenn eine Ordnung nach bestimmten Kriterien in zumutbarer Zeit hergestellt werden kann.

Räumlicher Anwendungsbereich
Bei Unternehmen, die Niederlassungen in der EU haben, ist die EU DSGVO für die Verarbeitung von personenbezogenen Daten anwendbar, auch wenn die Verarbeitung selbst außerhalb der EU erfolgt. Bei Niederlassungen außerhalb der EU gilt das sogenannte Marktortprinzip; demnach müssen sich auch Unternehmen, die keine Niederlassung in der EU haben, an die Bestimmungen der EU DSGVO halten, wenn sie Waren oder Dienstleistungen in der EU anbieten oder auch nur das Verhalten der Personen in der EU analysieren.

Branche und Größe des Unternehmens
Oftmals sind in Österreich gesetzliche Anforderungen ausschließlich für Unternehmen einer gewissen Branche oder Größe anwendbar (bspw bankspezifische Anforderungen zur Bereitstellung von Kontodaten). Da die EU DSGVO keine solchen Ausnahmen kennt, gilt sie für Vereine, Gaststätten, Hotels oder Tierärzte ebenso wie für internationale Konzerne. Einschränkungen aufgrund der Zuordnung einer Branche bestehen ebenso wenig. Auch die oftmals zitierte Einschränkung für die Führung des Verzeichnis der Verarbeitungstätigkeiten – hier führt Artikel 30 EU DSGVO die Grenze ab 250 Mitarbeitern an – findet aufgrund anderer angeführter Kriterien in der Praxis keine Berücksichtigung. So muss dieses bereits geführt werden, wenn im Unternehmen die Verarbeitung nicht nur gelegentlich erfolgt. Man spricht jedenfalls bereits dann von einer nicht nur gelegentlichen Verarbeitung, wenn eine Lohnverrechnung oder ein elektronisches Kundenverwaltungssystem im Einsatz ist.

Herkunft der Daten
Die Anwendbarkeit der EU DSGVO aufgrund der Herkunft der Daten in Frage zu stellen ist ebenso nicht zielführend. So ist die Verarbeitung von Daten, die öffentlich zugänglich sind, von einem Drittunternehmen gekauft wurden, oder von dem Betroffenen selbst übermittelt werden, zu schützen. Insbesondere natürlich auch die mit diesen Daten bei dem Unternehmen in Verbindung gebrachten Zusammenhänge. Zu diesen Zusammenhängen ein Beispiel aus der Praxis: Der Kunde der seine Kontaktdaten öffentlich in dem Telefonverzeichnis bekannt gibt, möchte vermutlich nicht sein Kaufverhalten, welches das Unternehmen zu diesen öffentlich zugänglichen Informationen gespeichert hat, ebenso veröffentlichen.

Conclusio
Mehr als zwei Jahre nach der Veröffentlichung der EU DSGVO findet diese nun in wenigen Wochen in allen Mitgliedsstaaten der EU Anwendung. Die Implementierung der gesetzlichen Anforderungen ist in sehr vielen Fällen mit großen Aufwänden sowie hoher Komplexität verbunden und wird aufgrund der exorbitanten Strafandrohungen bereits seit vielen Monaten sehr gewissenhaft vorbereitet. Die Praxis hat jedoch gezeigt, dass viele Unternehmen längst überfällige Aufräumarbeiten von Datenbeständen durchführen. Dadurch wird auch in Bereiche Transparenz gebracht, die über lange Zeit ua für die Geschäftsführung noch nicht in dieser Form vorhanden war. Jedenfalls kann festgehalten werden, dass die Auseinandersetzung mit der EU DSGVO in fast allen Fällen keine Freiwilligkeit sondern eine Pflicht ist.

21.3.2018, Autor: Andreas Niederbacher / aniederbacher@deloitte.at / www@deloitte.at