Seit dem 25.5.2018 gilt die EU-Datenschutz-Grundverordnung (DSGVO). Das bedeutet für alle Unternehmen Handlungsbedarf bei Verträgen, internen Abläufen und Datensicherheitsmaßnahmen.
Insbesonders betrifft das
- das Führen eines Verarbeitungsverzeichnisses
- Informationsverpflichtungen/Datenschutzerklärungen gegenüber Mitarbeitern, Kunden und Geschäftspartnern
- Vertragliche Absicherung gegenüber Auftragsverarbeitern
- Risikoabschätzung
- Rechte der betroffenen Personen
- Dokumentation
Es gilt die Datenschutz-Grundverordnung sowie zusätzlich das jeweils nationale Recht.
Aufgrund Ihrer Angaben ergibt sich Folgendes:
IHRE DATENVERARBEITUNG WIDERSPRICHT IN FOLGENDEN PUNKTEN DEN GRUNDSÄTZEN DER DSGVO UND IST DAHER RECHTSWIDRIG!
Bitte beachten Sie den Grundsatz, dass Sie nur so wenig wie notwendig an Daten verarbeiten (Datenminimierung). Zusätzlich müssen diese verarbeiteten personenbezogenen Daten für den Zweck angemessen und erheblich sein.
Sie müssen sicherstellen, dass personenbezogene Daten nur solange gespeichert werden, als dies unbedingt für die Zweckerreichung erforderlich ist. Es obliegt dem Verantwortlichen Fristen für die Löschung oder regelmäßige Überprüfungen vorzusehen. Siehe dazu auch das Merkblatt “Speicher- und Aufbwewahrungsfristen”.
Der Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter (Subunternehmer) ohne vorherige schriftliche Genehmigung des Verantwortlichen beauftragen.
Als Auftragsverarbeiter treffen Sie besondere Pflichten:
- Datensicherheitsmaßnahmen implementieren.
- Jeder Auftragsverarbeiter (und seine Vertreter) führen ein Verzeichnis zu allen Kategorien von im Auftrag eines Verantwortlichen durchgeführten Tätigkeiten der Verarbeitung.
- Verpflichtung mit der Aufsichtsbehörde auf Anfrage zusammen zu arbeiten.
- Durchführung von Risikoanalysen der Datenverarbeitungen und den Verantwortlichen bei Erfüllung seiner Pflichten nach der DSGVO unterstützen.
- Verpflichtende Bestellung eines Datenschutzbeauftragten, wenn die Kerntätigkeit des Unternehmers eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen und Straftaten besteht.
Für die Weitergabe an andere Verantwortliche oder die Weiterverarbeitung (=Zweckänderung) muss eine Einwilligung oder eine gesetzliche Grundlage vorliegen.
In allen sonstigen Fällen muss die Weiterverarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben worden sind, zumindest vereinbar sein.
Um diese Vereinbarkeit festzustellen ist Folgendes zu berücksichtigen:
- jede Verbindung zwischen den ursprünglichen und neu beabsichtigten Zwecken
- der Zusammenhang, in dem die Daten erhoben wurden
- die Art der Daten (insbesondere ob sensible oder strafrechtlich relevante Daten vorliegen)
- mögliche Folgen der Weiterverarbeitung für betroffene Personen
- das Vorhandensein angemessener Garantien (z.B. Pseudonymisierung)
Liegt eine solche Vereinbarkeit mit den ursprünglichen Zwecken vor, ist keine andere gesonderte Rechtsgrundlage erforderlich als diejenige für die Erhebung der personenbezogenen Daten.
Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt als vereinbarer und rechtmäßiger Verarbeitungsvorgang.
Beabsichtigt der Verantwortliche die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, so muss er der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung stellen.
Für die Verarbeitung durch einen Auftragsverarbeiter müssen Sie mit Ihrem Auftragsverarbeiter einen Vertrag abschließen (siehe Musterdokumente).
Für die Weitergabe im Konzern gelten die allgemeinen Regelungen. Es gibt kein “Konzernprivileg”. Allerdings kann ein “berechtigtes Interesse” bestehen, personenbezogene Daten innerhalb der Unternehmensgruppe für interne Verwaltungszwecke, einschließlich der Verarbeitung personenbezogener Daten von Kunden und Beschäftigten, zu übermitteln.
Der Datenverkehr innerhalb der EU und mit Staaten mit angemessenem Datenschutzniveau bedarf keiner besonderen Genehmigung.
WEITERE HINWEISE
Rechte der betroffenen Person: Der Verantwortliche hat der betroffenen Person gegenüber umfangreiche Pflichten und sollte auf folgende Rechte der betroffenen Person vorbereitet sein:
Strafbestimmungen: Es sind Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes.
MUSTERDOKUMENTE
Die betroffen Person ist im Zeitpunkt der Datenerhebung in transparenter Weise über die sie betreffende Datenverarbeitung zu informieren. Gleiches gilt, wenn die personenbezogenen Daten über Dritte bezogen wurden. Zur Erstellung eines Musters nutzen Sie bitte unseren Online-Ratgeber Informationsverpflichtungen.
Der Verantwortliche muss seine Datenverarbeitungen daraufhin prüfen, ob durch die Verarbeitung ein hohes Risiko für die betroffenen Personen zur Folge hat. Dies geschieht im Wege einer Risikoabschätzung (Art. 35 Abs. 1 DSGO). Verwenden Sie hierfür bitte unseren Online-Ratgeber Datenschutz-Folgenabschätzung. Eine umfassende Information zum Thema Datenschutz-Folgenabschätzung finden Sie in unserem Merkblatt zur Datenschutz-Folgenabschätzung.
++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
KONTAKTADRESSEN
Aufsichtsbehörde für die Einhaltung datenschutzrechtlicher Bestimmungen in Österreich:
Österreichische Datenschutzbehörde
Barichgasse 40-42
1030 Wien
Telefon: +43 1 52 152-0
E: dsb@dsb.gv.at
W: http://www.dsb.gv.at/
Kontaktadressen rund um das Thema Datenschutzrecht:
WKNÖ-Bezirksstellen
Wirtschaftskammer-Platz 1
3100 St. Pölten
Telefon: +43 2742 851 0
E-Mail: wknoe@wknoe.at