Südtiroler Landwirt, Rechtsberatung | 11.05.2018

Datenschutzregeln jetzt umsetzen

Am 25. Mai tritt die neue europäische Datenschutzgrundverordnung in Kraft. Die EU-Verordnung (DSGVO) mahnt einen sorgsameren Umgang mit den personenbezogenen Daten an. Wir informieren über die wichtigsten Grundsätze der Verordnung (DSGVO).

Bereits bisher vorgeschrieben war eine angemessene Datensicherung.  (Grafik: Daniel Hafner)

Bereits bisher vorgeschrieben war eine angemessene Datensicherung. (Grafik: Daniel Hafner)

Personenbezogene Daten sind alle Informationen, die sich auf eine natürliche Person beziehen. Besondere Daten sind Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, die sexuelle Orientierung oder Gesundheit hervorgehen.
Diese Daten unterliegen einem besonderen Schutz. Als Datenverarbeitung ist z. B. das Erfassen, Speichern, Verwenden, Übermitteln, Verbreiten und Löschen von Daten definiert. Die Daten werden für einen gewissen Zweck erhoben, und die Erhebung soll für den jeweiligen Zweck angemessen sein. Die Daten dürfen nicht für andere Zwecke verwendet werden und sollen nur so lange verarbeitet werden, wie dies unbedingt notwendig ist. Deshalb muss in Zukunft auch die Dauer der Speicherung begründet werden.
Während der Verarbeitung ist darauf zu achten, dass die Daten vor unbefugtem Zugriff, Verlust oder Zerstörung geschützt sind. Grundsätzlich müssen die Betriebe nachweisen, welche Daten im Betrieb verarbeitet und wie sie geschützt werden.

Aufklären und Zustimmung einholen
Der Betrieb muss die betroffenen Personen über den Zweck der Verarbeitung, die Rechtsgrundlage sowie über eventuelle Konsequenzen bei Verweigerung der Datenaushändigung aufklären.
Aufgrund der Nachweispflicht ist wie bisher eine schriftliche Dokumentation mit einer Unterschrift des Betroffenen zu empfehlen. Im Aufklärungsschreiben ist dem Betroffenen Folgendes mitzuteilen: Kontaktdaten des Dateninhabers, eventuelle Empfänger oder Empfängerkategorien der Daten bei Übermittlung an Dritte (z. B. Polizeiorgane, Steuerberater), eventuelle Übermittlung in Drittländer, Speicherdauer und Rechte der betroffenen Person.
Die Einwilligung dürfen Personen ab 16 Jahren geben, sonst müssen Erziehungsberechtigte der Datenverarbeitung zustimmen. Die entsprechenden Schreiben sind in einer einfachen und verständlichen Sprache abzufassen. In diesem Zusammenhang könnte es auch sinnvoll sein, in einer Datenbank zu erfassen, wann und vor allem für welchen Zweck der Betroffene die Zustimmung für die Datenverarbeitung erteilt hat.

Rechte des Betroffenen
Der Gesetzgeber sieht für den Betroffenen verschiedene Rechte vor, die ihm auch mitgeteilt werden müssen. Zu den Rechten zählen: Auskunftsrecht; das Recht, falsche Daten zu berichtigen; Recht auf Widerspruch; Einschränkung und Löschung; Recht auf Beschwerde bei einer Aufsichtsbehörde.
Neu hinzugekommen ist das Recht auf Datenübertragbarkeit. Das heißt: Der Betroffene kann verlangen, die gesamten Daten an einen anderen Datenverarbeiter weiterzuleiten.

Was passiert mit alten Daten?
Für die nach den alten Datenschutzbestimmungen eingeholten Daten hat die italienische Datenschutzbehörde Folgendes festgestellt: Sie dürfen weiterhin verwendet werden, wenn eine ausdrückliche Einwilligung vorliegt und der Betroffene über den Verwendungszweck und seine Rechte informiert wurde.
Betroffene Betriebe sollten also überprüfen, ob für alle Kundendaten ein unterschriebenes Aufklärungsschreiben bzw. eine Zustimmung für den verwendeten Zweck (z. B. Direktwerbung) vorliegt.
Da die Zustimmung für freiwillige Nutzungen eindeutig durch den Betroffenen und vor allem aktiv gegeben werden muss, ist in Zukunft darauf zu achten, dass die Nutzung nicht an andere Leistungen gebunden ist. So ist es beispielsweise nicht mehr zulässig, Preisausschreiben, Preisvergünstigungen usw. an die Zusendung von Direktwerbung zu koppeln.

Sicherheitsmaßnahmen
Bereits bisher sind Mindestsicherungsmaßnahmen vorgesehen. So müssen Mitarbeiter eingewiesen und die Kunden über den Zweck und die Art der Datenverarbeitung aufgeklärt werden. Computer müssen kennwortgeschützt und mit einem aktuellen Virenschutzprogramm ausgestattet sein. Arbeitsplätze dürfen nicht für Außenstehende frei zugänglich sein. Alle Daten in Papierform müssen in verschließbaren Schränken aufbewahrt werden.
Die EU-Bestimmungen sind in diesem Punkt weniger konkret und verlangen nur geeignete technische und organisatorische Maßnahmen zum Datenschutz. In diesem Sinne sollte sich der Betreiber zusätzliche Gedanken über die Datensicherung machen und überprüfen, ob seine Maßnahmen dem Stand der Technik entsprechen. Eine Verschlüsselung des E-Mail-Verkehrs und der Internetseite (https statt http) zählt sicherlich dazu.

Fazit
Die Betriebe die wichtigsten Punkte der neuen Datenschutzbestimmungen umsetzen. Vor allem sollten die Datenerhebung, die Zustimmung zur Datenverarbeitung und die Aufklärungsschreiben aktuell sein.