Datenschutz-Grundverordnung: Was ist zu tun?

Paragraf (c) fotolia

Die Datenschutz-Grundverordnung soll einen Interessensausgleich zwischen Wirtschaft und Konsumentenschutz schaffen. Auf der einen Seite darf die Verarbeitung personenbezogener Daten nur nach genauen Richtlinien erfolgen, auf der anderen Seite wird die Verarbeitung von personenbezogenen Daten für den Zweck der Direktwerbung ausdrücklich erlaubt. Bitte beachten Sie jedoch: Die Zusendung von E-Mails für Werbezwecke unterliegt nach wie vor den strengen Maßstäben des Telekommunikationsgesetzes.

Die Strafen

Die Datenschutz-Grundverordnung sollte man als Unternehmer auf keinen Fall auf die leichte Schulter nehmen. Bei Vergehen drohen nämlich extrem hohe Strafen. Für „administrative“ Vergehen können zehn Millionen Euro oder zwei Prozent des globalen Umsatzes fällig werden, für „fundamentale ethische Vergehen“ sind es bis zu 20 Millionen Euro oder vier Prozent des globalen Umsatzes – je nachdem, was mehr ist.

Verpflichtungen

Die wesentlichen Verpflichtungen durch die DSGVO:

Nachweispflicht

Unternehmen müssen die Regeln der DSGVO nicht nur einhalten, sondern dies auf Nachfrage der Behörde auch jederzeit nachweisen können. Das bedeutet: Es muss sehr intensiv dokumentiert werden, was sicherlich zusätzlichen Verwaltungsaufwand bedeutet.

Rechtmäßige Verarbeitung personenbezogener Daten

Jede Verarbeitung personenbezogener Daten erfordert eine entsprechende Rechtsgrundlage dafür, dass diese personenbezogenen Daten verarbeitet werden dürfen.

Für die Datenverarbeitung in Druckereien werden typischerweise die Begründungen “Vertragserfüllung”, “ausdrückliche Zustimmung” oder “legitimes Interesse” zur Anwendung kommen.

Besondere Regeln gelten für die Verarbeitung sogenannter „sensibler Daten“, Daten natürlicher Personen über deren ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder ihr Sexualleben. Bei der Verarbeitung solcher Daten ist auf jeden Fall eine „ausdrückliche Einwilligung“ erforderlich. Auch bei der Verarbeitung von personenbezogenen Daten von Kindern gelten strengere Maßstäbe.

Keine Weitergabe personenbezogener Daten an Dritte ohne Zustimmung

Außer in den engen Grenzen der Auftragsdatenverarbeitung dürfen personenbezogene Daten nicht ohne Zustimmung der Betroffenen an Dritte weitergegeben werden.

Integrität und Vertraulichkeit

Die DSGVO verpflichtet die Betriebe, entsprechende Maßnahmen zu setzen, damit personenbezogene Daten nicht in falsche Hände geraten. Das entsprechende EDV-Sicherheitskonzept ist zu dokumentieren.

Ebenso wird es notwendig sein, von den Mitarbeitern Verschwiegenheitserklärungen unterschreiben zu lassen. Für unsere Mitglieder gibt es ein Muster für eine solche Verschwiegenheitserklärung.

Verarbeitungsverzeichnis

Druckereien werden auf jeden Fall ein Verzeichnis von Verarbeitungstätigkeiten erstellen müssen, in dem alle Arten von Verarbeitungen personenbezogener Daten aufgezeichnet sind. Ein solches Verzeichnis bezeichnet man als Verarbeitungsverzeichnis.

Dieses Verarbeitungsverzeichnis muss die folgenden Informationen enthalten:

  • Zweck der Verarbeitung
  • Kategorien der betroffenen Personen
  • Kategorien der personenbezogenen Daten
  • Kategorien von Empfängern
  • gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland
  • die vorgesehene Speicherdauer
  • eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung.

Verpflichtung zum Abschluss eines Vertrages als Auftragsverarbeiter

Druckereien werden in vielen Fällen als sogenannte Auftragsverarbeiter personenbezogene Daten der Kunden ihrer Kunden verarbeiten (z. B. Adressdaten im Rahmen eines Mailings).

Eine solche Auftragsdatenverarbeitung ist ohne Zustimmung der Betroffenen erlaubt. Es muss aber ein entsprechender schriftlicher Vertrag geschlossen werden und eine Reihe von Bestimmungen eingehalten werden, die im Artikel 28 der DSGVO festgelegt sind.

Für unsere Mitglieder gibt es vorgefertigte Musterverträge, sowohl für die Verträge mit Kunden als auch für die Verträge mit Subdienstleistern. 

Auskunftspflicht und Löschung

Die Datenschutzgrundverordnung legt strengere Maßstäbe und kürzere Fristen bei der Auskunftspflicht fest. Eine Auskunft über die verarbeiteten personenbezogenen Daten muss innerhalb eines Monats erfolgen.

Wenn ein Unternehmen der Bitte einer Person nach Auskunft über personenbezogene Daten nicht nachkommt, drohen empfindliche Strafen. Ein Kunde kann unter bestimmten Voraussetzungen auch die Löschung seiner Daten aus einer Datenbank beantragen.

Datenschutzbeauftragter

Die DSGVO sieht für bestimmte Betriebe die Schaffung eines Datenschutzbeauftragten vor. Dieser nimmt eine Position zwischen dem Unternehmen und den Kunden ein und muss auf heikle datenschutzrechtliche Themen aufmerksam machen. Er hat zwar kein Vetorecht und haftet auch nicht persönlich für Vergehen, ist aber in datenschutzrechtlichen Fragen zu konsultieren.

Verpflichtend ist ein Datenschutzbeauftragter aber nur bei Unternehmen mit über 250 Mitarbeitern oder bei Unternehmen, die ein datengetriebenes Geschäft als Kerntätigkeit betreiben. Das betrifft in der Druckbranche beispielsweise ein Direktmarketing-Unternehmen. Bei einer typischen Druckerei, deren Kerntätigkeit nicht die Verarbeitung personenbezogener Daten ist, wird es aber selten notwendig sein, einen Datenschutzbeauftragten zu bestellen.

Weitere nützliche Informationen und Vorlagen für Vereinbarungen finden Sie im Mitgliederbereich unserer Website.

Musterverträge können Sie ab 19.03.2018 direkt beim Verband anfordern: verband@druckmedien.at.

Bei Fragen zur konkreten Umsetzung kontaktieren Sie als Mitglied unseren Datenschutzexperten Christian Handler: handler@druckmedien.at, Tel. 01 / 512 66 09

Als Verbandsmitglied stehen Ihnen die Spezialisten der Rechtsanwaltskanzlei PHH zum Sondertarif von 290 EUR statt 350 EUR/Stunde als Berater zur Verfügung.

BLOG POSTS

  • Papierpreise aktuell
    Papierpreise aktuell
    Die Intergraf hat die aktuellsten verfügbaren Zahlen zur...
  • DSGVO aktuell
    DSGVO aktuell
    Hier finden Sie nützliche Informationen und hilfreiche Dokumente...

ADRESSE

Grünangergasse 4,
1010 Wien
Tel: +43 (0)1-512 66 09
Fax: +43 (0)1-513 28 26-19

MITGLIEDER-LOGIN