Artikel

EU DSGVO – 5 Minuten vor 12

Wann welche gesetzliche Anforderung zur Anwendung kommt und wie es um die Implementierung steht. Einhaltung nicht Kür, sondern Pflicht.

Die EU-DSGVO gilt beinahe für jedes Unternehmen. Die wenigen Ausnahmen, die es gibt, sind in der Praxis so gut wie nie anwendbar. Bei der EU-Datenschutzgrundverordnung (EU-DSGVO) handelt es sich um eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der EU vereinheitlicht werden. Die Verordnung, welche durch eine Novelle des Datenschutzanpassungsgesetzes in Österreich umgesetzt wurde, tritt am 25.5.2018 in Kraft.

Sachlicher Anwendungsbereich

Die EU-DSGVO muss auf alle Verarbeitungen von personenbezogenen Daten, unabhängig von der verwendeten Technologie, angewendet werden. Eine Ausnahme stellt die Verarbeitung von Akten in Papierform dar, dies jedoch auch nur dann, wenn die Papierakten nicht nach bestimmten Kriterien geordnet werden können. Bei vielen Akten wie zum Beispiel Personalakten wird dies jedoch der Fall sein. Außerdem kann davon ausgegangen werden, dass die Anforderungen der EU-DSGVO auch zur Anwendung kommen, wenn eine Ordnung nach bestimmten Kriterien in zumutbarer Zeit hergestellt werden kann.

Räumlicher Anwendungsbereich

Bei Unternehmen, die Niederlassungen in der EU haben, ist die EU-DSGVO für die Verarbeitung von personenbezogenen Daten anwendbar, auch wenn die Verarbeitung selbst außerhalb der EU erfolgt. Bei Niederlassungen außerhalb der EU gilt das sogenannte Marktortprinzip. Demnach müssen sich auch Unternehmen, die keine Niederlassung in der EU haben, an die Bestimmungen der EU-DSGVO halten, wenn sie Waren oder Dienstleistungen in der EU anbieten oder auch nur das Verhalten der Personen in der EU analysieren.

Branche und Größe des Unternehmens

Oftmals sind in Österreich gesetzliche Anforderungen ausschließlich für Unternehmen einer gewissen Branche oder Größe anwendbar. Da die EU-DSGVO keine solchen Ausnahmen kennt, gilt sie für Vereine, Gaststätten, Hotels oder Tierärzte ebenso wie für internationale Konzerne.

Einschränkungen aufgrund der Zuordnung zu einer Branche bestehen ebenfalls nicht. Auch die oftmals zitierte Einschränkung für die Führung des Verzeichnises der Verarbeitungstätigkeiten – hier führt Artikel 30 der EU-DSGVO die Grenze ab 250 Mitarbeitern an – findet aufgrund anderer Kriterien, die von der EU-DSGVO vorgegeben werden, in der Praxis keine Berücksichtigung. So muss ein solches Verzeichnis der Verarbeitungstätigkeiten bereits geführt werden, wenn im Unternehmen die Verarbeitung nicht nur gelegentlich erfolgt. Man spricht jedenfalls bereits dann von einer nicht nur gelegentlichen Verarbeitung, wenn eine Lohnverrechnung oder ein elektronisches Kundenverwaltungssystem im Einsatz ist.

Herkunft der Daten

Daten sind, unabhängig von ihrer Herkunft, von der EU-DSGVO betroffen. So ist auch die Verarbeitung von Daten, die öffentlich zugänglich sind, von einem Drittunternehmen gekauft wurden oder von dem Betroffenen selbst übermittelt werden, zu schützen. Insbesondere gilt dies auch für die Zusammenhänge, die von Unternehmen basierend auf diesen Daten hergestellt werden.

Dazu ein Beispiel aus der Praxis: Es ist nicht anzunehmen, dass ein Kunde, der seine Kontaktdaten öffentlich in einem Telefonverzeichnis bekannt gibt, gleichzeitig sein Kaufverhalten, welches das Unternehmen zu diesen öffentlich zugänglichen Informationen gespeichert hat, veröffentlichen möchte.

Conclusio

Mehr als zwei Jahre nach der Veröffentlichung der EU-DSGVO findet diese nun in wenigen Wochen in allen Mitgliedsstaaten der EU Anwendung.
Die Implementierung der gesetzlichen Anforderungen ist in sehr vielen Fällen mit großen Aufwänden sowie hoher Komplexität verbunden und wird aufgrund der exorbitanten Strafandrohungen bereits seit vielen Monaten sehr gewissenhaft vorbereitet.

Die Praxis hat gezeigt, dass viele Unternehmen längst überfällige Aufräumarbeiten von Datenbeständen durchführen. Dadurch wird auch in Bereiche Transparenz gebracht, die über lange Zeit u.a. für die Geschäftsführung noch nicht in dieser Form vorhanden war. Insgesamt kann festgehalten werden, dass die Auseinandersetzung mit der EU-DSGVO in fast allen Fällen nicht auf Freiwilligkeit basiert, sondern eine Verpflichtung darstellt.

 

War der Artikel hilfreich?