Am 25.5.2018 ist es soweit - die EU-DSGVO (Datenschutzgrundverordnung) tritt in Kraft.

Für Unternehmen ändert sich einiges in Österreich. Das Datenverarbeitungsregister und die Anmeldung der Datenanwendungen sind Geschichte.

Ein "Verzeichnis von Verarbeitungstätigkeiten" (VV, VVT, VdV oder in englischer Sprache: record of processing activities (ROPA)) ist gem. Art 30 zu führen, in dem die Verarbeitungstätigkeiten (entspricht in etwa den bisherigen Datenanwendungen) beschrieben werden. Das VV dient internen Zwecken, und ist der Datenschutzbehörde auf Anfrage zur Verfügung zu stellen.

Es ist ab 25.05.2018 der "Dreh- und Angelpunkt" des Datenschutz-Management-Systems in einer Organisation und zentraler Sammelpunkt für alle notwendigen (und ergänzend dazu auch die sinnvollen) Angaben im Bereich von Verarbeitungstätigkeiten. 

Datenschutzbeauftragte sind verpflichtend zu bestellen.

Data (Processing) Impact Assessment (PIA/DPIA) oder auch Datenschutz-Folgenabschätzungen (DSFA) bei der Einführung von Datenanwendungen im Unternehmen wird zur Notwendigkeit, wenn ein hohes Risiko für Rechte und Freiheiten natürlicher Personen besteht.

Es ist sind Maßnahmenpläne zu entwickeln, für den Fall, dass es zu Datenschutzverletzungen kommt, und eine Information der Behörde bzw. der betroffenen Personen notwendig ist. Dies ist notwendig, um die Data Breach Notification Duty (Meldung bei Datenschutzvorfällen) oder Anfragen von betroffenen Personen bei Ausübung ihrer Rechte (z.B. Auskunftsrecht) rechtzeitig und vollumfänglich erfüllen zu können.

Die Geldbußen steigen empfindlich. Der Strafrahmen liegt bei bis zu 4 % des Vorjahresumsatzes des Konzerns bzw. 20 Millionen Euro. Das ist 800 mal höher als derzeit nach den Bestimmungen des Datenschutzgesetzes (DSG). Die Geldbußen richten sich speziell an Unternehmen, denn für Behörden und öffentliche Stellen gibt es die Möglichkeit im Rahmen einer Öffnungsklausel von Geldbußen Abstand zu nehmen.

In Österreich haben wir seit 12.05.2017 einen Entwurf zu einem Anpassungsgesetz. Sie finden Text hier: <<< link >>> 

Es gab dann Diskussionen bei den Parlamentsparteien und im Verfassungsausschuss und konnte die notwendige 2/3-Mehrheit für die Änderung der Verfassungsbestimmung des § 1 (1) DSG 2000 nicht erreicht werden. Es wurden daher nur die Paragraphen ab § 4 geändert und die Paragraphen § 1 bis § 3 blieben vom DSG 2000 unverändert erhalten. Daher wird auch die Meinung vertreten, dass der Datenschutz für juristische Personen in Österreich bestehen bleibt.

Im BGBl I 120/2017 wurde sodann am 31.07.2017 das "Datenschutzgesetz (DSG)" mit dem Inkrafttreten am 25.05.2018 veröffentlicht.

Es heißt in Zukunft daher nicht mehr DSG 2000, sondern Datenschutzgesetz (DSG) und der Titel lautet:

"Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten"

Dr. Thomas P. Schweiger, LL.M.

CIPP/E, zert.DSBA (DATB, TÜV)

 steht als externer
DSB zur Verfügung

Auftragsbedingungen

Der Text der Datenschutzgrundverordnung

seit 06.07.2017 verfügt Österreich über ein Anpassungsgesetz und es wurde am 31.07.2017 im BGBl veröffentlicht

Datenschutz-Anpassungsgesetz

BGBl I 120/2017