Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Die DSGVO verbietet jede Verarbeitung personenbezogener Daten, soweit nicht eine gesetzliche Norm die Erlaubnis zur Datenverarbeitung erteilt oder die Datenverarbeitung durch die Einwilligung der betroffenen Person legitimiert wird. Die Einwilligung muss vor Beginn der Erhebung oder der Verarbeitung der Daten erfolgen.

Zudem ist eine Einwilligung immer zweckgebunden, d.h. sie gilt immer bezogen auf die für die zur Erreichung des konkreten Zweckes notwendigen Verarbeitungsvorgänge.

Grundsätzlich ist jedes Unternehmen welches Kundendaten in jeglicher Form speichert und verarbeitet an die DSGVO gebunden! - Aktuell gibt es weder Übergangs- noch Schonfristen!

Die DSGVO wurde bereits am 2016 vom EU Parlament beschlossen und tritt mit 25.Mai 2018 in Kraft.

Die Einwilligung muss eindeutig (= durch eine aktive Handlung) und freiwillig (= ohne Zwang) abgegeben werden. Eine „erduldete“ Handlung stellt keine rechtsgültige Einwilligung dar. Auch bei einer konkludenten Einwilligung (Einwilligung durch schlüssiges Handeln) ist grundlegende Voraussetzung, dass die betroffene Person sich aktiv und freiwillig erklärt. Stillschweigen, bereits angekreuzte Kästchen oder Untätigkeit der betroffenen Person stellen entsprechend Erwägungsgrund 32 daher grundsätzlich keine wirksame Einwilligung dar.

Einwilligungen, die bis zum 25. Mai 2018 eingeholt wurden und nicht den Anforderungen der DSGVO entsprechen, sind für die Verarbeitung nach dem 25.Mai unwirksam, d.h. sie sind keine Legitimierung für eine Verarbeitung. Somit müssen Verantwortliche, wenn sie ihre Datenverarbeitung nach dem 25. Mai 2018 auf eine Einwilligung zur Legitimation der Datenverarbeitung stützen wollen, neue, den Anforderungen der DSGVO entsprechende Einwilligungen einholen.

Erfolgt eine Datenverarbeitung auf der Grundlage einer Einwilligung, so ist der Verantwortliche nachweispflichtig, dass „die betroffene Person ihre Einwilligung zu dem Verarbeitungsvorgang gegeben hat“. Dieses wiederum hat zur Konsequenz, dass wenn eine Einwilligung elektronisch erfolgt z.B. durch Setzen eines Hakens in einer Ankreuzbox, der Verantwortliche im Streitfall nachweisen muss, dass tatsächlich der Betroffene (Einwilligende) den „Haken“ gesetzt hat. Daraus folgt, dass die betroffene Person bei „elektronischen Einwilligungserklärungen“ zuvor eindeutig identifiziert werden muss. Diesen Nachweis muss der Verantwortliche z.B. gegenüber einer Aufsichtsbehörde oder ggfs. auch vor Gericht führen können.

Aufgrund der vorstehend beschriebenen Rechenschaftspflicht ist es daher gerade im Kontext mit der Verarbeitung von Gesundheitsdaten sinnvoll, Einwilligungserklärungen schriftlich oder elektronisch einzuholen und entsprechend beweisfest zu dokumentieren. Aufgrund der beim Verarbeiter liegenden Beweislast hinsichtlich der gegebenen Einwilligung ist bei einer elektronischen Einwilligung der Einsatz einer Protokollierung zu empfehlen. In dieser Protokollierung sollte neben dem Einwilligungstext und dem eindeutigen Identifizierungsmerkmal des Betroffenen (inkl. Art der verifizierten Authentifizierung, z.B. Double-Opt-In mit E-Mail-Adresse des Betroffenen) auch der Einwilligungszeitpunkt als qualifizierter elektronischer Zeitstempel enthalten sein.

Vereine und Clubs sind von der DSGVO nicht ausgenommen, da diese in der Regel ebenfalls personenbezogene Daten Ihrer Mitglieder speichern und verwalten. Klassische Beispiele dafür sind Mitgliederverzeichnisse, Mitgliedskarten, Werbeaussendungen in elektronischer und postalischer Form usw.

Die DSGVO fordert, dass alle Verantwortlichen ein Verzeichnis über alle Verarbeitungstätigkeiten führen müssen die in Ihrer Firma oder Ihrem Verein durchgeführt werden! Es muss dokumentiert werden in welchem zusammenhang sie mir Ihren personenbezogenen Daten arbeiten.

Das Verzeichnis muss mindestens Name und Kontaktdaten des Verantwortlichen, die rechtmäßige Basis der Verarbeitung und die Beschreibung der Kategorie enthalten.

Sofern Ihre Zulieferer und Lieferanten mit den von Ihnen gesammelten personenbezogenen Daten betraut werden, ist eine Lieferantenvereinbarung zu schliessen. Ein Weitergabe der personenbezogenen Kundendaten OHNE Vereinbarung mit Ihrem Lieferanten ist unzulässig!

Für jegliche Speicherung und Verarbeitung von personenbezogenen Daten MUSS eine rechtliche Grundlage vorliegen! z.B. Anbotserstellung, Dienstverhältnis, Lieferant, Kunde usw.

Die freiwillige Einwilligung der betroffenen Person muss ohne Zwang und Druck erfolgen, diese klar und deutlich Informiert wurde zu welchem konkreten Zweck die Daten verarbeitet werden und das die erteilte Einwilligung jederzeit ohne Grund wieder aufgehoben werden kann!

Eine pauschalierte Formulierung wie etwa "für alle heute und in Zukunft relevanten Zwecke" ist UNZULÄSSIG!

Auch bei der Benennung eines Datenschutzbeauftragten bleibt der Chef oder Geschäftsführer des jeweiligen Unternehmens der Datenverantwortliche. Ausnahmen davon treten nur in Kraft, wenn der Datenschutzbeauftragte grob fahrlässig oder vorsetzlich gegen die DSGVO verstößt! 

Ob in Ihrem Unternehmen ein Datenschutzbeauftrager von Nöten ist, ist von unterschiedlichen Voraussetzungen abhängig und kann nicht pauschaliert werden!

Haben Sie bespielsweise in Ihrem Unternehmen mehr als 10 Personen beschäftigt die personenbezogenen Daten verarbeiten brauchen Sie einen Datenschutzbeauftragten!

Jedoch bräuchten Sie aber bereits ab 3 Personen die Daten verarbeiten einen Datenschutzbeauftragten wenn die Datenerfassung eine Kerntätigkeit Ihres Unternehmens wäre oder aber Sie "sensible" Daten verarbeiten. Darunter fallen beispielsweise  Informationen zum Thema Gesundheit, Sexualleben, religiöse Einstellung, ethnische Herkunft, Strafregister und rechtliche Verurteilungen, Gewerkschaftszugehörigkeit, politische Meinung. 

Grundsätzlich sind Unternehmen verpflichtet, die gesammelten personenbezogenen Daten in regelmäßigen Abständen zu sichern, zu verschlüsseln (insbesonders bei sensiblen Daten) und eine Sicherungskopie getrennt vom ursprünglichen Speicherort aufzubewahren.

Gemäß der DSGVO dürfen diese Daten künftig nur mehr auf Server gespeichert und gesichert werden, deren physischer Standort sich INNERHALB der EU befindet! Bei einer Sicherung in Clouds wie beispielsweise Apple, Microsoft, Andoid usw. ist dies NICHT gewährleistet, da deren Server meist in Amerika stehen! Auch bei Providern die dem Anschein nach in Österreich oder Deutschland stationiert sind, stehen die meisten Server NICHT in der EU!

Diese Frage kann nicht pauschal beantwortet werden, da zahlreiche Parameter dafür ausschlaggebend sind! Es kursieren Informationen, dass man erst ab 10 Mitarbeiter welche personenbezogene Daten verarbeiten und/oder speichern einen Datenschutzbeauftragten benötigt! Diese Aussagen wird jedoch ausgehebelt, sobald Sie "sensible Daten" verarbeiten - Darunter fallen Gesundheitsdaten, Geburtsdaten, Daten zur religiösen oder politischen Einstellung, Strafregisterinformationen, finanzielle Informationen zu Schuldenstand oder Bonität usw.

INFORMATION: Wir arbeiten an einer Ablaufroutine, mit deren Sie in wenigen Schritten feststellen können, ob ein Datenschutzbeauftragter benötigt! Den Zugriff darauf finden in Kürze in Ihrem Unternehmerbereich.

Datenverarbeiter ist grundsätzlich jeder, der mit den gesammelten personenbezogenen Daten arbeitet oder dafür Einsicht hat! Dies bedeutet in Ihrem Unternehmen alle Mitarbeiter die Zugriff auf die Daten haben, Vertrieb, Lager, Verrechnung, Lieferanten, Produktion usw.

Alle angeführten Personen müssen daher im Arbeitsnachweisverzeichnis angeführt werden und deren rechtliche Notwendigkeit dokumentiert werden.

Art. 7 Abs. 3 DSGVO besagt, dass die betroffene Person das Recht haben muss, die Einwilligung jederzeit zu widerrufen. Diese Regelung stellt ferner klar, dass ein Widerruf die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Ein Widerruf gilt daher immer nur für die nach dem Widerruf geplante Verarbeitung.

Gemäß Art. 7 Abs. 3 S. 4 DSGVO muss der Widerruf mindestens genauso einfach wie die Erteilung der entsprechenden Einwilligung möglich sein. Der Verantwortliche muss daher eine zur gewählten Methode der Einwilligungseinholung entsprechend „gleich einfache“ Möglichkeit zum Einwilligungswiderruf anbieten.

Im Falle elektronisch eingeholter Einwilligungen durch die Betätigung einer Checkbox, stellt sich daher z.B. die Frage, wie ein Verantwortlicher einen Widerruf des Betroffenen, der kein eigenes „Kundenkonto“ beim Verantwortlichen hat, ermöglichen will. Die Widerrufmöglichkeit per geschriebener Mail oder Telefonanruf durch den Betroffenen dürfte, hinsichtlich der Beurteilung der (vergleichbaren) Unkompliziertheit (= dem bloßen Setzen eines Häkchens) vom zu betreibenden Aufwand her vermutlich nicht entsprechen. Zur Lösung dieses Problems könnte ein Verantwortlicher aber auf das bei E-Mail Newslettern gängige Abbestellungsverfahren zurückgreifen. So könnte man dem Betroffenen (nach Anklicken der Checkbox) eine E-Mail zusenden, die einen entsprechenden „Unsubscribe- (Widerrufs-)Link“ enthält und jederzeit vom Betroffenen für den Widerruf genutzt werden kann.

Vom zu betreibenden Widerrufsaufwand wäre diese Widerrufmethode mit dem Anklicken der Checkbox vergleichbar, denn auch hier benötigt der Betroffene nur einen Klick (auf einen Link), um seinen Widerruf auszuüben. Bei dieser vermeintlich „einfachen“ Widerrufmöglichkeit muss der Verantwortliche jedoch immer darauf achten, dass er die Ausübung eines solchen Widerrufs auch gleich „ernst“ behandelt. Aus diesem Grund muss er technisch und organisatorisch gewährleisten, dass nach ergangenem Widerruf durch den Betroffenen, die entsprechenden Daten nicht mehr für die von der Einwilligung erfassten Zwecke (weiter) verarbeitet werden.

Erfolgt jedoch ein Widerruf der Einwilligung und es liegt kein anderer Erlaubnistatbestand vor, so müssen gemäß Art. 17 Abs. 2 lit. b die personenbezogene Daten auf Wunsch des Betroffenen unverzüglich gelöscht werden.

Die DSGVO selbst sanktioniert Verstöße gegen verschiedene Vorschriften der DSGVO mit Bußgeldern. Die zu verhängenden Bußgelder sind verwaltungsrechtlicher Art und können von den jeweils zuständigen Aufsichtsbehörden verhängt werden.

Dabei gibt es das „kleine“ Bußgeld mit Geldbußen von bis zu 10.000.000 Euro oder – sofern dies einen höheren Betrag darstellt - im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs. Darüber hinaus sieht die DSGVO auch ein „großes“ Bußgeld mit Geldbußen von bis zu 20.000.000 Euro oder im Fall eines Unternehmens von bis zu 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs vor, je nachdem, welcher der Beträge höher ist.

Anmerkung der Redaktion: Die oben angeführten Beträge sind sicherlich das "worst case szenario" für die Big Player der Datenverarbeitung. Als KMU Unternehmen sollten Sie sich jedoch vor Augen halten, dass Erststrafen bereits mit 5.000€ geahndet werden. Derartige Beträge stellen wahrscheinlich viele kleine Unternehmen vor eine existenzielle Bedrohung.