Wir ergänzen diese Sammlung mit dem Wissen, das sich mit der Zeit aufbaut - und mit konkreten Handlungsanweisungen für verschiedene typische Fälle. Als laufend erweiterte Sammlung ergänzt diese FAQ-Sammlung unser Special!
Wer muss Verzeichnisse führen und die DSGVO umsetzen?
De facto jeder Betrieb in Europa. Die Hürden für die Verpflichtung sind sehr gering, Ausnahmen gibt es praktisch nicht.
Mustervorlagen, Beispiele
Muster Datenverarbeitung-Verzeichnis (.doc)
Datenverarbeitungsregister (WKO-Muster)
Was sind personenbezogene Daten? Sind IP-Adressen personenbezogen?
Alles, was man auch nur irgendwie einer Person zuordnen kann, ist personenbezogen. IP-Adressen, Nummerntafeln am Auto etc. sind personenbezogen.
Wie hole ich mir eine Einwilligung ein?
Sollte die Einwilligung als Rechtsgrundlage gewählt werden, ist eine deutliche Formulierung in einem eigenen (getrennt erkennbaren) Absatz mit freiwilliger Aktivierung (Checkbox, ohne Zwang da Kopplungsverbot) zu wählen. 'Ich willige ein, dass...' samt verständlicher Erklärung dürfte die einfachste Variante dazu sein.
Kann ich Daten 'nicht personenbezogen' machen?
Ja, die echte Anonymisierung von Daten ist ein Ausweg. Sie muss aber wirklich 'one way' sein und nicht rückabwickelbar sein. Das ist der Unterschied zur 'Pseudonymisierung', wo man zwar einen Datensatz nicht direkt einer Person zuordnen kann, aber leicht durch einen Verweis wieder die ursprünglichen Daten zusammenführen kann - und das gilt dann immer noch als personenbezogen.
Wie hoch sind die Strafen durch die DSGVO?
Es gibt zwei Klassen von Strafen, die beide extrem hoch gewählt wurden, um internationale Konzerne zu bändigen. Der Strafrahmen geht jeweils bis 10 oder 20 Mio. Euro oder 2%/4% des Jahresumsatzes (jeweils, was höher ist!) und wird von Datenschutzbehörde bzw. Gericht festgesetzt.
10 Mio. EUR/2%: fehlender Datenschutzbeauftragter, kein Verarbeitungsverzeichnis oder keine Folgeabschätzung, mangelhafte Datensicherheit, keine Elterneinwilligung, Nicht-Kooperation
20 Mio. EUR/4%: Missachtung Bescheid, Auskunftsrecht/Löschrecht missachtet, unrechtmäßige Datenspeicherung oder Übertragung ins Ausland
Zertifizierung von Datenverarbeitungen
Es soll auch Prüfsiegel geben, die den Datenschutz zertifizieren. Akkreditierte Vergabe- und Prüfstellen sind hierzu vorgesehen.
Ab wann gilt in Europa die DSGVO?
Die Verordnung ist bereits länger beschlossen und in Kraft. Letztmöglicher Zeitpunkt der Umsetzung ist der 25. Mai 2018.
Die Anpassungen welchen Landes gelten?
Für ein Unternehmen gelten die Regelungen zur DSGVO, die im Land des Sitzes (Marktort) des Unternehmens zur Anwendung kommen. In Österreich wäre das also die DSGVO inklusive der Anpassung über das DSG. Seine Rechte macht man auch bei der dortigen Datenschutzbehörde geltend, wendet man sich an die eigene, so wird die Anzeige weitergereicht. So ist etwa sichergestellt, dass das deutsche Abmahnunwesen nicht in anderen Ländern auch noch zu Problemen führt. Wichtig ist das Marktort-Prinzip insbesondere bei der Anwendbarkeit bei Jugendlichen, wo das Schutzalter in allen Ländern unterschiedlich gehandhabt wird. Der Großteil des Gesetzes ist ja in allen Ländern gleichermaßen gültig.
Wo gibt es mehr Informationen zur DSGVO?
Zum Einen ist das Gesetzeswerk natürlich selbst im Internet abrufbar, das betrifft die DSGVO in Europa genauso wie das ergänzende DSG 2018 (via Datenschutz-Anpassungs-Gesetz 2018) in Österreich:
DSGVO 2016
DSGVO Text deutsch
DSG 2018 (pdf)
Art 29 Gruppe (en)
Art 29 Gruppe (de)
Art 29 Gruppe (at)
In Europa gibt es aber auch noch eine Gruppe ('Artikel 29') bestehend aus den Datenschützern der Länder, die das Regelwerk um Praxisaspekte ins Detail führen und anwendbarer machen. Die Ergebnisse dieses 'EU Datenschutz-Ausschuss' sind zwar nicht Gesetz, aber ähnlich wie die heimischen Erläuterungen zu Gesetzen eine gute Erläuterung, die auch von Gerichten und Gutachtern herangezogen wird - sie werden also de facto den Rahmen genau abstecken, der in der Praxis angewendet wird.
Datenschutzbehörde ÖsterreichLeitfaden der Datenschutzbehörde (pdf)
Und natürlich sind es die lokalen Ansprechpartner in Form der Datenschutzbehörden (Datenschutzkommission), die die lokale Umsetzung durchführen. Die DSB in Österreich ist hierzu zu nennen.
Weiter in der Web-Version mit Fotos, Videos, Links und mehr...
#DSGVO #Muster #Vorlage #FAQ #Fragen #Antworten #Beispiele
Auch interessant!
Abmahnungen nach DSGVO (Google Fonts)
In Österreich wird die Abmahnwelle rund um den Einsatz von Google Fonts immer umfangreicher. Insbesondere...
Google Analytics und die DSGVO
Mai 2018 bedeutet auch, sich Gedanken zu Google Analytics zu machen, wenn damit die statistische Auswertu...
Kontaktformulare nach der DSGVO 2018
Die Datenschutzgrundverordnung stellt im Web einige Dinge um, die bisher noch möglich waren. Zuletzt habe...
Newsletter und die DSGVO
Mit dem neuen DSG 2018 und der Datenschutz Grundverordnung der EU wird auch beim Newsletter nachgeschärft...
DSGVO: Web-Dienste und ADV-Verträge
Wer im Internet aktiv ist, hat diverse Verträge mit Dienstleistern, die Daten verarbeiten. Unternehmen mü...
Erste Schritte zum DSGVO-Datenschutz
Was Unternehmen angehen müssen haben wir hier in eine Anleitung zusammengefasst. Gehen Sie Schritt für Sc...
Auskunfts- und Informationspflichten - und mehr!
Wenn eine Person, deren Daten erfasst wurden, deren Löschung beantragt oder Einsicht in die gespeicherten...
Daten zwischen Unternehmen
Daten in der Cloud speichern, Dienstleister für Newsletter oder Datenbanken nutzen, externe Werkzeuge ein...