Blog abonnieren

16.09.2014     Michael Veronese

Heute ist es in Unternehmen kaum mehr möglich, auf automatisationsunterstützte Datenanwendungen zu verzichten. Sie schicken Newsletter an Kunden, Mitarbeiter- und Lieferantendaten werden elektronisch verarbeitet und im Marketing und Vertrieb wird es immer wichtiger, im Internet mit potentiellen Kunden Kontakt aufzunehmen. Der Datenschutz darf dabei nicht missachtet werden.

Datenschutz ist ein Grundrecht: Jedermann hat Anspruch auf Geheimhaltung seiner personenbezogenen Daten, sobald ein schutzwürdiges Interesse des Betroffenen besteht. Auch juristische Personen/Personengemeinschaften unterliegen gem. § 4 Z 3 DSG diesem Grundrecht. Daher sind auch Unternehmensdaten geschützt. Kein schutzwürdiges Interesse liegt bei veröffentlichten Daten vor, wenn etwa eine Telefonnummer bereits im Telefonbuch veröffentlicht wurde.

Unternehmen haften für die Einhaltung des Datenschutzes. Konkret haftet der Geschäftsführer bzw. der Datenschutzbeauftragte. Dieser Artikel bietet eine Übersicht, worauf Sie als Geschäftsführer achten müssen.

Wann dürfen automationsunterstützte Datenanwendungen vorgenommen werden?

Das Datenschutzgesetz regelt automationsunterstützte Datenanwendungen (nicht unter diese Regelung fallen z. B. die Ablage von Dokumenten, in denen personenbezogene Daten enthalten sind, Mitschriften etc.). Elektronische Datenanwendungen sind grundsätzlich verboten, außer:

  • Es handelt sich um öffentliche Daten, oder
  • Die Zustimmung des Betroffenen liegt vor, oder
  • Ein überwiegendes berechtigtes Interesse des Verarbeiters liegt vor, oder
  • Es besteht eine gesetzliche Verpflichtung.

Erfahren Sie, was Sie als Chef über Datenschutz und Datensicherheit wissen sollten - Whitepaper jetzt herunterladen!

Im Unternehmensalltag wird in den meisten Fällen die Zustimmung der Betroffenen eingeholt werden müssen.

Wann muss eine Meldung an das Datenschutzregister erfolgen?

Das Datenschutzgesetz besagt, dass jeder, der Datenverarbeitung betreiben möchte, diese vor ihrer Aufnahme dem Datenverarbeitungsregister melden muss. Es gibt aber auch Ausnahmen.

Die Meldung an das Datenverarbeitungsregister muss folgende Punkte enthalten:

  • Zweck der Datensammlung (z. B. Logistik, Kundendatenverwaltung)
  • Kreis der betroffenen Personen (z. B. Kunden, Mitglieder)
  • Art der verarbeiteten Daten (z. B. Adressdatenbanken)
  • Kreis der Übermittlungsempfänger (z. B. Geschäftspartner, Rechtsvertreter)

Ausgenommen von der Meldepflicht ist die Verarbeitung folgender Daten:

  1. Veröffentlichte Daten (persönliche Daten aus Telefonbüchern, Internet, Zeitung)
  2. Anonyme Daten
  3. Daten von Privatpersonen für persönliche oder familiäre Zwecke (ansonsten müsste jeder “Heimcomputer“ gemeldet werden)
  4. Daten für publizistische Zwecke
  5. Daten, die unter eine Standardanwendung fallen (geregelt in der Standard- und Muster-Verordnung 2004)

Folgende wirtschaftsrelevante Standardanwendungen enthält die Standard-und Muster Verordnung 2004, BGB II. Nr. 312/2004:

  • SA 001 Rechnungswesen und Logistik
  • SA 002 Personalverwaltung und privatrechtliche Dienstverhältnisse
  • SA 003 Mitgliederverwaltung
  • SA 007 Verwaltung von Benutzerkennzeichen
  • SA 022 Kundenbetreuung und Marketing für eigene Zwecke
  • SA 032 Videoüberwachung (für bestimmte Bereiche, z. B. Banken, Juweliere, Trafiken, Tankstellen, Rechenzentren, Parkgaragen)
  • SA 033 Datenübermittlung in Konzernen

Standardanwendungen bilden die wichtigste Ausnahme, denn sie enthalten vordefinierte Datenverarbeitungen (z. B. Kunden- oder Mitarbeiterdaten an Behörden oder andere Unternehmen), die typischerweise in Unternehmen vorkommen. Sie sind nur insoweit zulässig, als eine Rechtsgrundlage besteht.

Von der Meldepflicht ans Datenverarbeitungsregister sind weiters Datensammlungen ausgenommen, die nur aus bereits veröffentlichten Daten bestehen (z. B. veröffentlichte Firmenbuchdaten, Grundbuchdaten, Bilanzen).

Die Meldung an das Datenverarbeitungsregister muss elektronisch über die Webseite der Österreichische Datenschutzbehörde unter diesem Link erfolgen.

Eine Datenanwendung darf grundsätzlich direkt nach Abgabe der Meldung in Betrieb genommen werden. Eine Ausnahme stellen Anwendungen dar, bei denen sensible Daten (z. B. Gesundheitsdaten), strafrechtlich relevante Daten oder Informationen über Kreditwürdigkeit verarbeitet werden. Hier ist eine Vorabgenehmigung bei der Datenschutzbehörde einzuholen. (Quelle: WKO – „Meldeverpflichtung beim Datenverarbeitungsregister“. Das Datenverarbeitungsregister ist für jedermann kostenlos zugänglich.)

Datensicherheit ist Teil des Datenschutzes

Mit dem Datenschutz ist der Begriff der Datensicherheit unweigerlich verknüpft. Datensicherheit bezeichnet die technische Sicherung, Erhaltung und Verfügbarkeit von Datenverarbeitungssystemen und der durch sie verarbeiteten Daten.

Dabei spielt es keine Rolle, ob es sich um personenbezogene Daten oder solche ohne Personenbezug handelt. Die Datensicherheit ist daher ein Bestandteil des Datenschutzes und somit auch im Datenschutzgesetz verankert. Dazu § 14 (1): „Für alle Organisationseinheiten eines Auftraggebers oder Dienstleisters, die Daten verwenden, sind Maßnahmen zur Gewährleistung der Datensicherheit zu treffen.“

Datenschutzerklärung – „nice to have“, aber keine Pflicht

Eine Datenschutzerklärung bzw. Privacy Policy oder Code of Conduct ist nicht verpflichtend, da es dafür keine rechtliche Grundlage in Österreich gibt. Die Offenlegung des Umgangs mit personenbezogenen Daten hat sich aber in den letzten Jahren zunehmend etabliert.

Datenschutzerklärungen gehören daher zum Best Practice Standard eines Unternehmens, da sie einerseits als vertrauensbildende Maßnahme gegenüber Kunden sowie andererseits als Richtlinie für die eigenen Mitarbeiter sinnvoll eingesetzt werden können. Ein Beispiel für eine umfassende Datenschutzerklärung ist etwa der Privacy Code of Conduct der Deutschen Telekom Gruppe.

Sie suchen noch eine Orientierungshilfe für die Datenschutz-Grundverordnung? Nehmen Sie jetzt kostenlos am DSGVO Online Check teil!

Holen Sie sich jetzt unser kostenloses White Paper!

New Call-to-action 

 

Artikel teilen:

NO MORE POSTS

NO MORE POSTS TO LOAD

Kommentare zu diesem Beitrag.