DSGVO: Novelle zum Gesetz da. Nicht zurücklehnen, weiter vorbereiten! (NL 12b/18)

Bitte nicht die Vorbereitung auf die DSGVO einstellen, da Novelle womöglich EU-widrig ist!

Die wichtigsten To Do’s unten nochmals anbei!

Vorige Woche wurde bekannt, dass die Regierung für Viele überraschend im April eine Novelle des Datenschutzgesetzes (dient der Umsetzung der Datenschutzgrundverordnung DSGVO) im Ministerrat beschlossen hatte. Man werde bei Erstvergehen nur verwarnen, nicht bestrafen, sieht die Novelle vor. (Aber auch: Die Behörden werden gänzlich von der DSGVO ausgenommen…).

Da wir von mehreren Seiten gehört haben, dass damit der DSGVO die Giftzähne gezogen worden wären und man sich entspannen könne, möchten wir ganz DRINGEND davor WARNEN, genau das zu tun.

Bitte arbeiten Sie unbedingt weiter, um Ihr Unternehmen DSGVO-fit zu machen, auch wenn dieses neue Gesetz Hoffnung auf Erleichterung (Verwarnung statt Strafen) macht. Denn es gibt gravierende Bedenken:
Wie in diversen Medien berichtet bezweifeln EU-/IT- und Rechts-Experten, dass die österreichische Regelung Bestand haben werde, weil es dem EU-Recht widersprechen würde. Denn die Verpflichtung zum Datenschutz bzw. die angedrohten Strafen würden sich direkt aus der DSGVO, dem ersten EU-weiten Gesetz überhaupt ergeben. Und wenn die nationale Regelung der EU-Vorgabe widerspreche, dürfte die Österreichische Datenschutzbehörde nicht verwarnen (wie es das österreichische Gesetz nun bei erstmaligen Vergehen vorsieht), sondern müsste dennoch strafen (wie es die EU-Regelung vorsieht)!

Wer Recht hat, werden wir erst in einigen Monaten oder sogar Jahren wissen.

Daher unsere Warnung: Bitte nicht zurück lehnen und bei der Umsetzung der DSGVO nun die Zügel locker lassen. Frei nach dem Motto: Bei 539.000 Unternehmen in Österreich kommen die Behörden vielleicht in 10 Jahren einmal bei mir vorbei. Und dann werde ich sowieso nur verwarnt und nicht bestraft. Also wird es schon nicht so schlimm werden…

Unserer Ansicht nach ist das der komplett falsche Ansatz. Denn: Datenschutz ist ein Grundrecht und die EU hat sich zum Ziel gesetzt, diesem Grundrecht (das es eigentlich schon seit dem Datenschutzgesetz 2000 gibt) mit drakonischen Strafen zum Durchbruch zu verhelfen.

Viele kritisieren, dass mit der DSGVO ein enormes Bürokratie-Monster geschaffen wurde, das für EPU und KMUs riesige Probleme bei Umsetzung mache, während die wirklichen Datenkraken wie Facebook, Google, Amazon und Co nicht zu bändigen sein werden und sich möglicherweise durch schlagkräftige Juristen-Power gegen die Umsetzung jahrelang wehren werden. Das mag zutreffen, ändert aber nichts daran, dass wir die DSGVO haben und umsetzen müssen. Also bitte nicht den Kopf in den Sand stecken und zuwarten.

Natürlich ist es eine „Marscherleichterung“ für die österreichischen Unternehmen (besonders für EPUs und KMUs) positiv, wenn die Behörde das Prinzip „Beraten statt Strafen“ verfolgt, wie das Dr. Matthias Schmidl, stellvertretender Leiter der österreichischen Datenschutzbehörde DSB im RisControl-Newsletter kürzlich äußerte.

Aber ab dem 25.5. werden die Kunden-Anfragen/Beschwerden massiv zunehmen. Wer dann nicht rechtzeitig und kompetent Auskunft geben und die richtigen Maßnahmen setzen kann, wird Schwierigkeiten mit der Behörde erhalten, die letztlich existenzbedrohlich werden können. Gleiches trifft zu, wenn man Ihnen vorwerfen kann, dass sie nicht die Daten Ihrer Kunden, Mitarbeiter, Partner, etc. durch TOMs, etc. geschützt haben. Daher gibt es die Prophezeiung, dass die Konkurrenz und Spezialanwälte nur auf Fehler von Ihnen warten!

Daher unser Appell: Arbeiten Sie weiter an der DSGVO-Umsetzung. Wir gehen davon aus, dass viele von Ihnen schon weit fortgeschritten sind und die einzelnen Häppchen, in die wir die DSGVO zerlegt hatten, schon umgesetzt haben. Alle Details dazu finden Sie auf unserer Homepage unter dem Punkt „DSGVO leicht gemacht“.

Dort finden Sie auch die wichtigsten Schritte zum Einstieg:

  • Kurzbedienungsanleitung zur DSGVO u.a. mit der Analyse der vorhandenen Daten (hier…)
  • Festlegung der künftigen Datenstrategie (Einhaltung der neuen Prinzipien), Einwilligungserklärungen oder reicht Rechtsgrundlage (Vertrag, konkludente Zustimmung, etc.) (hier…)
  • Vorgehen bei künftigen Auskunfts- und Löschwünschen (hier…)
  • Brauche ich Datenschutzbeauftragten? Reicht ein DS-Verantwortlicher? (hier…)
  • Was ist eine Datenschutz-Folgenabschätzung? Wer muss sie tun? (hier…)
  • Wie stelle ich sichere Übertragung via E-Mail her? (hier…)
  • Wie erstelle ich ein Verfahrensverzeichnis? Das wichtige Formular der DSGVO-Umsetzung! (hier…)
  • Wie erfülle ich meine Informationspflichten nach der DSGVO? (hier…)
  • Habe ich von allen Partnern Datenschutzerklärungen/ Auftragsverarbeiter-Vereinbarungen (wenn Sie Daten weitergeben)? (hier…)
  • Sicherungsmaßnahmen auf allen Ebenen erfüllt (TOM’s)? (hier…)
  • Wie sieht mein Daten-Sicherungskonzept aus? (hier…)
  • Notfallkonzept: Was tun, wenn was passiert (Data breach)? (hier…)
  • Sind Soziale Medien (Facebook, WhatsApp & Co) und Cloud-Systeme beruflich erlaubt? (hier…)
  • Formular-Sammlung (hier…)
  • FAQ’s: Antworten auf die häufigst gestellten Fragen (hier…)

Wie weit sind Sie mit der DSGVO-Vorbereitung?

Haben Sie Fragen? Gibt es Unklarheiten?
Schreiben Sie uns unter Redaktion@ivva.at