Rechtstipp : DSGVO: Die Uhr tickt

31.05.2017
Lesezeit: ca. 3 Minuten
In einem Jahr, am 25. Mai 2018, tritt die Datenschutz-Grundverordnung (DSGVO) in Kraft. Wie Sie sich optimal darauf vorbereiten.

Betrifft mich die DSGVO überhaupt? Benötige ich einen Datenschutzbeauftragten? Wie sieht das Verzeichnis der Verarbeitungstätigkeiten aus? Dies sind nur die ersten Fragen, mit denen man sich nun dringend beschäftigen sollte, sofern noch nicht geschehen. Denn auch wenn noch unklar ist, wie rigoros die Aufsichtsbehörden in der Praxis tatsächlich vorgehen werden, sieht die DSGVO Geldbußen von bis zu 20 Millionen Euro oder von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes bei Datenschutzrechtsverstößen vor.

Gelten wird der neue Rechtsrahmen für jede zumindest teilweise automatisierte Verarbeitung personenbezogener Daten sowie jede nichtautomatisierte Verarbeitung personenbezogener Daten in einem Dateisystem. Sofern man nicht nur als natürliche Person Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeitet, ist daher die DSGVO in der Regel fast immer anwendbar. Doch wer soll sich konkret um die Einhaltung der neuen Anforderungen kümmern?

Die DSGVO kennt drei Fälle, in denen ein Datenschutzbeauftragter verpflichtend zu benennen sein wird: Die Verarbeitung wird von einer Behörde oder öffentlichen Stelle durchgeführt, die Kerntätigkeit besteht in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche regelmäßige und systematische Überwachung von Betroffenen erfordern, oder sie besteht in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder strafrechtsrelevanter Daten. Zusätzlich dazu gewährt die DSGVO auch die Möglichkeit, freiwillig einen Datenschutzbeauftragten zu benennen und eröffnet dem nationalen Gesetzgeber Spielraum, um weitere Fälle verpflichtender Benennung zu schaffen.

Verantwortliche und Auftragsverarbeiter müssen künftig ein Verzeichnis all ihrer Datenverarbeitungstätigkeiten führen, sohin auch solcher, die bisher gar nicht meldepflichtig waren, wie in der Regel Rechnungswesen oder Personalverwaltung. In einem solchen Verzeichnis muss der Verantwortliche neben relevanten Kontaktdaten auch die Zwecke der Verarbeitung, eine Beschreibung der Kategorien datenschutzrechtlich Betroffener und personenbezogener Daten, die Kategorien von Datenempfängern, Angaben zu Datenübermittlungen im internationalen Datenverkehr, Speicherdauer der verschiedenen Datenkategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen schriftlich bereithalten.

Kein Verzeichnis der Verarbeitungstätigkeiten ist nur dann zu führen, wenn weniger als 250 Mitarbeiter beschäftigt werden und die vorgenommene Datenverarbeitung kein Risiko für die Rechte und Freiheiten der datenschutzrechtlich Betroffenen birgt, die Verarbeitung nur gelegentlich erfolgt und sie nicht besondere Datenkategorien oder strafrechtsrelevante Daten einschließt.

Auch wenn nach der DSGVO kein Datenschutzbeauftragter zu benennen und kein Verzeichnis der Verarbeitungstätigkeiten zu führen ist, gelten natürlich alle anderen Pflichten des neuen Rechtsrahmens dennoch. So muss etwa den Rechten der Betroffenen adäquat entsprochen werden können, müssen Datensicherheitsmaßnahmen implementiert und allenfalls Datenschutz-Folgeabschätzungen vor Aufnahme von Verarbeitungstätigkeiten mit einem voraussichtlich hohen Risiko vorgenommen werden. Datenverarbeiter sind daher in jedem Fall gut beraten, für die alsbaldige Herstellung datenschutzrechtlicher Compliance zu sorgen.

Dr. Franz Lippe, LL.M. ist Rechtsanwalt bei Preslmayr Rechtsanwälte und vorwiegend im Medien- und Persönlichkeitsrecht, Datenschutzrecht und Urheberrecht tätig.

Fehlt es dem Vertragsverhältnis an dieser betrieblichen Rechtfertigung, liegt eine verbotene Einlagenrückgewähr an den Gesellschafter vor – ein Problem, das in der Praxis laufend unterschätzt wird. Die Folge ist die absolute Nichtigkeit des Rechtsgeschäfts.

In einem kürzlich vom OGH zu behandelnden Anlassfall hat eine GmbH-Gesellschafterin von einem Dritten eine Liegenschaft angemietet. Die GmbH hat zur Besicherung aller Verbindlichkeiten der Gesellschafterin aus dem Mietverhältnis unentgeltlich eine Garantie gegenüber dem Vermieter übernommen. Da die GmbH aus diesem Geschäft zwar Pflichten, aber keinerlei Vorteil hatte, handelte es sich um einen Verstoß gegen das Einlagenrückgewährverbot. Die damit verbundene Nichtigkeit musste auch der an sich außenstehende Vermieter gegen sich gelten lassen, weil dieser in die gesamte Vertragsgestaltung eingebunden war. Die Garantie, die dem Vermieter als Sicherheit dienen sollte, war daher auch ihm gegenüber unwirksam.

Der OGH hat mit dieser Entscheidung seine bisherige Rechtsprechung bestätigt, wonach das Verbot der Einlagenrückgewähr auch einem Dritten entgegengehalten werden kann, wenn dieser im Zusammenwirken mit Gesellschaft und Gesellschafter gehandelt hat oder sich ihm der Verstoß geradezu aufdrängen musste (OGH 22.12.2016, 6 Ob 232/16k).

Mag. Günther Billes ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte.

Erstveröffentlichung
31.05.2017
Letzte Aktualisierung
27.12.2021

Entdecken Sie jetzt