Rechtstipp

DSGVO: Die Uhr tickt

In einem Jahr, am 25. Mai 2018, tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Wie Sie sich optimal darauf vorbereiten.

Rechtstipp Recht Preslmayr Rechtsanwälte Franz Lippe Günther Billes

Betrifft mich die DSGVO überhaupt? Benötige ich einen Datenschutzbeauftragten? Wie sieht das Verzeichnis der Verarbeitungstätigkeiten aus? Dies sind nur die ersten Fragen, mit denen man sich nun dringend beschäftigen sollte, sofern noch nicht geschehen. Denn auch wenn noch unklar ist, wie rigoros die Aufsichtsbehörden in der Praxis tatsächlich vorgehen werden, sieht die DSGVO Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes bei Datenschutzrechtsverstößen vor. 

Gelten wird der neue Rechtsrahmen für jede zumindest teilweise automatisierte Verarbeitung personenbezogener Daten sowie jede nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem. Sofern man nicht nur als natürliche Person Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeitet, ist daher die DSGVO in der Regel fast immer anwendbar. Doch wer soll sich konkret um die Einhaltung der neuen Anforderungen kümmern? 

Die DSGVO kennt drei Fälle, in denen ein Datenschutzbeauftragter verpflichtend zu benennen sein wird: Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche regelmäßige und systematische Überwachung von Betroffenen erfordern, oder sie besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder strafrechtsrelevanter Daten. Zusätzlich dazu gewährt die DSGVO auch die Möglichkeit, freiwillig einen Datenschutzbeauftragten zu benennen und eröffnet dem nationalen Gesetzgeber Spielraum, um weitere Fälle verpflichtender Benennung zu schaffen. 

White Paper zum Thema

Verantwortliche und Auftragsverarbeiter müssen künftig ein Verzeichnis all ihrer Datenverarbeitungstätigkeiten führen, sohin auch solcher, die bisher gar nicht meldepflichtig waren, wie in der Regel Rechnungswesen oder Personalverwaltung. In einem solchen Verzeichnis muss der Verantwortliche neben relevanten Kontaktdaten auch die Zwecke der Verarbeitung, eine Beschreibung der Kategorien datenschutzrechtlich Betroffener und personenbezogener Daten, die Kategorien von Datenempfängern, Angaben zu Datenübermittlungen im internationalen Datenverkehr, Speicherdauer der verschiedenen Datenkategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen schriftlich bereithalten. 

Kein Verzeichnis der Verarbeitungstätigkeiten ist nur dann zu führen, wenn weniger als 250 Mitarbeiter beschäftigt werden und die vorgenommene Datenverarbeitung kein Risiko für die Rechte und Freiheiten der datenschutzrechtlich Betroffenen birgt, die Verarbeitung nur gelegentlich erfolgt und sie nicht besondere Datenkategorien oder strafrechtsrelevante Daten einschließt. 

Auch wenn nach der DSGVO kein Datenschutzbeauftragter zu benennen und kein Verzeichnis der Verarbeitungstätigkeiten zu führen ist, gelten natürlich alle anderen Pflichten des neuen Rechtsrahmens dennoch. So muss etwa den Rechten der Betroffenen adäquat entsprochen werden können, müssen Datensicherheitsmaßnahmen implementiert und allenfalls Datenschutz-Folgeabschätzungen vor Aufnahme von Verarbeitungstätigkeiten mit einem voraussichtlich hohen Risiko vorgenommen werden. Datenverarbeiter sind daher in jedem Fall gut beraten, für die alsbaldige Herstellung datenschutzrechtlicher Compliance zu sorgen. 

Dr. Franz Lippe, LL.M. ist Rechtsanwalt bei Preslmayr Rechtsanwälte und vorwiegend im Medien- und Persönlichkeitsrecht, Datenschutzrecht und Urheberrecht tätig.