Informationen zum Steuerrecht

Die Datenschutz-Grundverordnung (DSGVO) tritt per 25. Mai 2018 in Kraft. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Lesen Sie mehr…

Was regelt die Datenschutz-Grundverordnung 2018

Die DSGVO vereinheitlicht EU-weit die Regelungen für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen.

Damit soll erreicht werden,

• dass Betroffenenrechte erhöht werden: Das bedeutet mehr Transparenz im Datenverkehr. Eckpfeiler sind hier z.B. die Verankerung des Rechts auf „Vergessen-werden“ oder die optionale und freiwillige Einwilligung zur Datenübermittelung oder Speicherung, die aktiv und eindeutig erfolgen muss.
• dass neue Maßstäbe in Sachen Datensicherheit gelten: Hier geht es um verpflichtende sowie angemessene Sicherheitsvorkehrungen. In weiterer Folge müssen Datenmissbräuche und Sicherheitsverletzungen den jeweiligen Aufsichtsbehörden gemeldet werden.
• dass von öffentlichen Stellen und Unternehmen, deren Kerntätigkeit aus Datenverarbeitung besteht, ein(e) Datenschutzbeauftragte(r) bestellt wird.

Wer ist von der DSGVO betroffen?

Jeder Unternehmer, jede Firma und jedes Portal, welcher, welche oder welches in nur irgendeiner Art und Weise personenbezogene Daten erfasst oder verarbeitet, wird von der Datenschutz-Grundverordnung erfasst.

Welche wesentlichen Neuerungen kommen durch die Datenschutz-Grundverordnung auf Unternehmen zu?

• Stärkere Verantwortung für Verantwortliche und Auftragsverarbeiter („Dienstleister“) sowie weitreichende Neuregelung der Pflichten bei der Datenverarbeitung:
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („privacy by design bzw. privacy by default“): Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt und die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
  • Verantwortliche und Auftragsverarbeiter müssen ein „Verzeichnis von Verarbeitungstätigkeiten“ führen:
    • Der Inhalt hat insbesondere die eigenen Kontaktdaten, die Zwecke der Verarbeitung, eine Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen, die Empfängerkategorien, gegebenenfalls Übermittlungen von Daten in Drittländer, wenn möglich die vorgesehenen Löschungsfristen und eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen zu enthalten.
    • Die Pflicht zur Führung dieses Verzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern nur dann nicht, wenn die von ihnen vorgenommene Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, die Verarbeitung nur gelegentlich erfolgt und keine Verarbeitung besonderer Datenkategorien bzw keine Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten umfasst.
  • Verletzungen des Schutzes personenbezogener Daten sind sowohl den nationalen Aufsichtsbehörden (ohne unangemessene Verzögerung – möglichst binnen höchstens 72 Stunden nach dem Entdecken; außer die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten) als auch der betroffenen Person (ohne unangemessene Verzögerung, wenn die Wahrscheinlichkeit besteht, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt) zu melden.
  • Pflicht zur Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen, die (insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.
  • Vorherige Konsultation der Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
  • (Verpflichtender) Datenschutzbeauftragter: Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwortliche und Auftragsverarbeiter), wenn:
    • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder
    • die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.
• Informationspflichten und Betroffenenrechte:
  • Informationen können in Kombination mit standardisierten Bildsymbolen bereitgestellt werden.
  • Informationen und Betroffenenrechte sind ohne unangemessene Verzögerung, spätestens aber innerhalb eines Monats zu erledigen (diese Frist kann um höchstens weitere 2 Monate verlängert werden).
  • Auskunftsrecht (bspw. auch über geplante Speicherdauer)
  • Recht auf Berichtigung
  • Recht auf Löschung und auf „Vergessen-werden“
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
• Befugnisse und Aufgaben der Aufsichtsbehörden werden erweitert
  • Insbesondere auch Verhängung von „Geldbußen“ von bis zu 20 Mio Euro oder im Fall eines Unternehmens von bis zu 4 % seines weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres.
  • Jedoch wurden am 20. April 2018 bei einer Abstimmung im Nationalrat mit den Stimmen der Regierungsparteien die obig angeführten Straf-Regeln entschärft. Sofern die beschlossenen Bestimmungen seitens der EU nicht beeinsprucht werden, wird nun folgendes gelten:Somit werden Unternehmen bei Erstverstößen mit einer Abmahnung davonkommen, erst im Wiederholungsfall wird es Geldbußen geben.
  • „Die Datenschutzbehörde soll bei der Anwendung des Strafenkatalogs der DSGVO (Art. 83) die "Verhältnismäßigkeit" wahren. Ausdrücklich: ‚Insbesondere bei erstmaligen Verstößen wird die Datenschutzbehörde im Einklang mit Art. 58 DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch machen.‘ “

Zögern Sie nicht uns bei Fragen oder Unklarheiten zu kontaktieren! Ihr Team der Steuerberatung Illmer und Partner – Die kompetente Beratung in Landeck.

Stand: 04.05.2018