Die DSGVO-Datenschutzgrundverordnung ist in aller Munde. Kein Wunder, mit Freitag, den 2.2.2018, sind es noch exakt 112 Tage – also knapp vier Monate, bis die Verordnung am 25.5.2018 in Kraft tritt. Gemeinsam mit dem i-Magazin bringe ich Ihnen die DSGVO näher, informiere Sie über aktuelle Vorträge und freue mich, Sie bei einem meiner Workshops zu begrüßen.
Die Datenschutzgrundverordnung sieht in manchen Fällen die Bestellung eines Datenschutzbeauftragten (DSBA) vor. Dieser ist weisungsunabhängig und direkt der Geschäftsleitung unterstellt. Er berät die Unternehmensleitung und alle Mitarbeiter in datenschutzrechtlichen Angelegenheiten, überwacht die Einhaltung der gesetzlichen Datenschutzvorschriften und firmeninternen IT-Richtlinien. Die Kontaktdaten des Datenschutzbeauftragten sind der Behörde bekanntzugeben (www.dsb.at) und er ist erste Anlaufstelle bei behördlichen Anfragen.
Für die Nichteinhaltung der Datenschutzgrundverordnung kann der Datenschutzbeauftragte nicht belangt werden. Soweit er seiner Hinweispflicht nachgekommen ist, obliegt die Einhaltung der DSGVO dem Verantwortlichen (= Unternehmer) bzw. dem Auftragsverarbeiter – also jener Person, die im Auftrag des Verantwortlichen personenbezogene Daten verarbeitet. Der DSBA ist weisungsfrei und darf auf Grund seiner Tätigkeit als Datenschutzbeauftragter nicht gekündigt werden! Da Überwachung und operative Umsetzung nicht in einer Hand sein dürfen, kann der IT-Leiter nicht gleichzeitig Datenschutzbeauftragter sein.
Zwingend eingesetzt werden muss ein Datenschutzbeauftragter im öffentlichen Bereich und bei jenen Unternehmen, deren Kerntätigkeit aus Verarbeitungsvorgängen besteht, die »eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen« (DSGVO Art 37 Abs 1).
Dazu zählen laut Artike29 Datenschutzgruppe ein unabhängiges Beratergremium für die EU im Bereich Datenschutz, private Sicherheitsunternehmen, Spitäler, Versicherungen, Banken, Telekom-und Internetprovider etc. Auch bei Unternehmen mit der Kerntätigkeit in systematischen Auswertungen von Videoanlagen, Smart Metering oder intelligenter Haustechnik ist ein Datenschutzbeauftragter zwingend notwendig. Wichtig ist hier dabei der Begriff »Kerntätigkeit«. Ein selbständiger Lohnbuchhalter betreibt in seinem Kerngeschäft umfangreiche, systematische und regelmäßige Datenverarbeitung und benötigt daher einen DSBA – während der Elektroinstallationsbetrieb mit hausinterner Lohnverrechnung keinen Datenschutzbeauftragten benötigt. Die Lohnverrechnung ist zwar zwingend, aber nicht das Kerngeschäft des Unternehmens.
Die reine Installation von Videoanlagen, Smart Homes etc. ist keine Tätigkeit, die einen Datenschutzbeauftragten erzwingt – freiwillig ist es jedoch immer möglich, einen internen oder externen Datenschutzbeauftragten zu nominieren – allerdings dann mit den Rechten und Pflichten wie in der DSGVO Art 37 festgesetzt.
Noch so nebenbei…
Es steht außer Frage, dass es Sinn macht, im Unternehmen einen Mitarbeiter zu nominieren, der sich dem Thema Datenschutz widmet. Diese intern oder extern bestellte Person wird – soweit kein Datenschutzbeauftragter zwingend benötigt wird – als Datenschutzkoordinator bezeichnet und unterliegt somit nicht den strengeren DSGVO Art 37 Bestimmungen.
Fazit:
Soweit keine Spezialisierung auf Überwachung von personenbezogenen Daten das Kerngeschäft des Unternehmens ist, ist für den Elektroinstallationsbetrieb kein Datenschutzbeauftragter erforderlich.
Lesen Sie das nächste Mal: Das Verfahrensverzeichnis – die wichtigste Dokumentation
Ab Ende Februar2018 finden österreichweit Praxisworkshops zum Thema Datenschutzgrundverordnung statt. Nach einem Vortrag – Leser dieser Newsletterserie sind dabei im Vorteil – werden die notwendigen Dokumente erstellt. Auf Basis eines webbasierenden Tools adaptieren Sie speziell für die Elektrobranche vorbereitete Unterlagen – das spart Zeit. Sowohl der Vortrag als auch der Praxisteil orientieren sich stark an den Erkenntnissen und Empfehlungen der WKO, die als gewichtiger Partner der Wirtschaft schon das eine oder andere gemeinsam mit der Datenschutzbehörde ausgearbeitet haben soll. Anmeldungen zu dieser ersten Workshop-Runde nehmen die e-Marke oder der KFE gerne entgegen.
Die Termine und Orte:
| südl. NÖ/Bgld. | 26.02.2018 | Hotel Restaurant Schwartz, Bahnstr. 70, 2624 Neusiedl am Steinfeld |
| Wien | 28.02.2018 | Gewerbehaus, Rudolf Sallinger Pl. 1, 1030 Wien |
| OÖ/nördl. NÖ | 01.03.2018 | Stadthotel Gürtler, Rathausstraße 13, 3300 Amstetten |
| STMK | 07.03.2018 | Hügellandhof, Schemerlhöhe 58, 8076 Vasoldsberg / Abfahrt Laßnitzhöhe |
| T/Vbg. | 13.03.2018 | WK Tirol, Wilhelm-Greil Str. 7, 6021 Innsbruck |
| Wien | 21.03.2018 | Gewerbehaus, Rudolf Sallinger Pl. 1, 1030 Wien |
GNU Gert Natiesta Unternehmensberatung
Inhaber DI Mag Gert Natiesta
geprüfter Datenschutzexperte
Rudolf Waisenhorngasse 61
1230 Wien Österreich
Handy: +43 676 606638
E-Mail: g.natiesta@gnu.co.at