Das bürokratische Ungeheuer des Jahres 2018 wird wohl die Implementierung der EU-Datenschutz-Grundverordnung (DSGVO), welche ab dem 25.5.2018 in Geltung tritt.
Ab diesem Zeitpunkt entfällt zwar die Verpflichtung zur Erstattung von Datenverarbeitungsregister (DVR-)Meldungen an die Datenschutzbehörde, jedoch obliegt es einem datenschutzrechtlichen Auftraggeber (künftig: „dem für die Verarbeitung Verantwortlichen“) unter gewissen genannten Voraussetzungen die eigenen Datenanwendungen in einem eigenen Verzeichnis zu verwalten, sowie in bestimmten Fällen sogenannte Datenschutz. Folgeabschätzungen zur Beurteilung der Rechtmäßigkeit von bestimmten Datenverwendungen durchzuführen.
Die Bestimmungen der DSGVO gelten für jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet (z.B. eine Kundendatei führt, Rechnungen ausstellt, Lieferantendaten speichert). Damit kommen wesentliche Neuerungen auf Unternehmen zu.
DVR-Meldungen, welche vor Gültigkeit der EU-Datenschutz-Grundverordnung bei der Datenschutzbehörde eingebracht werden, entbinden den für die Verarbeitung Verantwortlichen künftig nicht von der Verpflichtung zum Führen einer Liste seiner Datenanwendungen („Verzeichnis von Verarbeitungstätigkeiten“).
Datenschutz-Folgenabschätzung
Für bereits existierende Verarbeitungsvorgänge (Datenanwendungen) ist keine DatenschutzFolgenabschätzung durchzuführen, wenn diese Verarbeitungsvorgänge durch die Datenschutzbehörde bereits zu einem früheren Zeitpunkt im Zuge einer DVR-Registrierung im Rahmen eines Vorabkontrollverfahrens genehmigt wurden. Bei der automatischen Registrierung über DVR-Online oder in Fällen, in denen die Datenschutzbehörde eine Datenanwendung registriert hat, jedoch kein Fall der Vorabkontrolle vorgelegen ist – das betrifft nichtvorabkontrollpflichtige Meldungen vor dem 1.9.2012 –, kommt dies hingegen nicht in Betracht.
Kommt es jedoch zu einer Änderung bestehender Verarbeitungsvorgänge, ist sehr wohl eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Voraussetzungen hierfür zutreffen.
Generell wird empfohlen, bereits existierende Datenverarbeitungsvorgänge einer regelmäßigen Evaluierung zu unterziehen, ob sich Voraussetzungen geändert haben. Bejahendenfalls wäre – bei Vorliegen aller Voraussetzungen – eine Datenschutz-Folgenabschätzung durchzuführen. Überdies wird empfohlen, auch zu dokumentieren, aus welchen Gründen keine Datenschutz-Folgenabschätzung durchgeführt wurde.
Das Datenverarbeitungsregister wird ab dem Inkrafttretenszeitpunkt bis zum 31.12.2019 zu Archivzwecken fortgeführt werden. Um dem Meldepflichtigen die Möglichkeit zu bieten, seine vorhandenen DVR-Meldungen zu sichern, ist es ab sofort möglich, in der Internet-Applikation DVR-ONLINE elektronisch verfügbare Meldungsinhalte sowohl als PDF-Dokumente als auch als XML-Dateien zu exportieren. Hierfür wurden im DVR-ONLINE-Meldebereich des Meldenden entsprechende Funktionen eingefügt.
In jedem Fall ist dringend zu empfehlen, sich als Unternehmer mit der DSGVO auseinanderzusetzen und die entsprechenden Maßnahmen im eigenen Unternehmen umsetzen. Wertvolle (erste) Hilfestellung bieten verschiedene Checklisten, welche sich etwa auf der Homepage der Wirtschaftskammer (www.wko.at) herunterladen lassen. Diese Checklisten geben eine gute Vorstellung davon, welchen Fragen Sie sich als betroffener Unternehmer im Einzelnen hier zu stellen haben.
Die Datenschutz-Grundverordnung wurde schon als „Datenschutz-Keule mit vielen kostenintensiven Detailbestimmungen für die Unternehmen“ bezeichnet – nicht zu Unrecht. Nicht ratsam ist es aber, die neuen Bestimmungen zu negieren. Im Extremfall können Geldstrafen bis zu € 20 Millionen (!) über säumige bzw. zuwiderhandelnde Unternehmen verhängt werden.