Die neuen Datenschutzrichtlinien treten am 25. Mai in Kraft und bringen Verunsicherung mit sich. Manches ist noch nicht klar, so dass selbst Spezialisten manche Frage nicht verbindlich beantworten können. Nichtsdestoweniger betreffen die neuen Richtlinien uns alle, die wir gewerblich arbeiten, und sie bringen einige Veränderungen im Umgang mit personenbezogenen Daten mit sich.

Generell unterscheidet die Gesetzgebung zwischen „normalen“ personenbezogenen Daten (wie Name, Adresse, Geburtsdatum, Bankdaten u.a.m.) und „sensiblen“ Daten (wie rassische oder ethische Zugehörigkeit, religiöse oder weltanschauliche Überzeugungen, Gesundheitsdaten, sexuelle Orientierung u.a.m.), deren Verarbeitung grundsätzlich untersagt ist.

 
Für die Verarbeitung personenbezogener Daten (das gilt für das Anlegen von Karteikarten in gleicher Weise wie für die elektronische Verarbeitung) ist eine Zustimmung der betroffenen Person unbedingt erforderlich.

  1. Diese Zustimmung kann schriftlich, elektronisch oder auch mündlich erfolgen, z.B. auch durch das Anklicken eines Kästchens auf einer Internetseite.
    Wichtig ist, dass die Einwilligung durch eine eindeutige bestätigende Handlung erfolgt. Stillschweigen, bereits vorangekreuzte Kästchen oder Untätigkeit stellen beispielsweise keine Einwilligung dar.
  2. Wenn die Verarbeitung mehreren Zwecken dient, ist für jeden Zweck der Verarbeitung eine gesonderte Einwilligung nötig, es sei denn die Weiterverarbeitung (z.B. Aussendung eines Marketingmails) ist mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben worden sind (z.B. Kundendaten aus einem früheren Geschäftsverhältnis), vereinbar.
  3. Ob (und in welchem Umfang) eine Meldung an das Datenverarbeitungsregister zu erfolgen hat, ist von der Art der Daten und ihrem Zweck abhängig.

 
Um den Umgang mit den Datenschutzbestimmungen zu erleichtern, hat der Gesetzgeber Standardanwendungen geschaffen, die in den meisten Unternehmen anzutreffen sind. Standardanwendungen dienen einem bestimmten Zweck wie Rechnungswesen und Logistik, Personalverwaltung für privatrechtliche Dienstverhältnisse, Mitgliederverwaltung, Verwaltung von Benutzerkennzeichen, oder auch Kundenbetreuung und Marketing für eigene Zwecke. Ob die eigene Datenanwendung eine Standardanwendung ist, ist von folgenden Kriterien abhängig:

  1. die Übereinstimmung der Zwecke,
  2. dass keine anderen Personenkreise erfasst werden,
  3. die Datenarten nicht überschritten werden,
  4. die Daten nur für die gesetzliche Zeitdauer gespeichert bleiben und
  5. die Daten an keine anderen Empfängerkreise gehen als in der jeweiligen Standardanwendung genannt.

Die Vorteile einer Standardanwendung sind:

  1. keine Meldung an das Datenverarbeitungsregister,
  2. keine Informationsverpflichtung gegenüber den Betroffenen,
  3. keine Protokollierung von Übermittlungen und
  4. Erleichterungen beim internationalen Datenverkehr.

 
'Die einzuhaltenden Grundsätze bei der Verarbeitung personenbezogener Daten sind:

  1. Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz (die Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden),
  2. Zweckbindung (die Daten dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden),
  3. Datenminimierung (die Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein),
  4. Richtigkeit (die Daten müssen richtig und auf dem neuesten Stand sein, unrichtige Daten müssen gegebenenfalls gelöscht oder berichtigt werden),
  5. Speicherbegrenzung (die Speicherung der Daten soll auf das erforderliche Mindestmaß beschränkt bleiben), sowie
  6. Integrität und Vertraulichkeit (angemessene Sicherheit der Daten muss gewährleistet werden, durch z.B. technische und organisatorische Maßnahmen wie auch Zugangsbeschränkungen für Unbefugte).

 
Darüber hinaus müssen die Informationspflichten und Betroffenenrechte erfüllt werden:


Die Informationspflichten unterscheiden sich, je nachdem ob man die Daten bei den betroffenen Personen selbst erhoben hat oder nicht. Im Fall der Shiatsu-Praxis haben wir es im Regelfall mit ersterem Fall zu tun. Das bedeutet, dass nachfolgende Informationen schon zum Zeitpunkt der Datenerhebung zur Verfügung gestellt werden müssen (es sei denn, die betroffene Person verfügt schon über die erforderlichen Informationen):

  1. die Namen und Kontaktdaten des Verantwortlichen (gegebenenfalls auch seiner Vertreter und/oder des Datenschutzbeauftragten),
  2. die Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung,
  3. gegebenenfalls die Empfänger der Daten,
  4. die Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer,
  5. die Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,
  6. die Möglichkeit des Widerrufs der Einwilligung,
  7. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, sowie
  8. die Information, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist; ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.


Die Betroffenenrechte sind jene Rechte, die die von der Datenverarbeitung betroffene Person gegenüber dem Verantwortlichen hat, um sich z.B. gegen unrichtige Datensätze zu wehren oder aber zu verlangen, dass erhobene Daten gelöscht werden, und müssen präzise, transparent, verständlich und leicht zugänglich (schriftlich, elektronisch oder auch in einer anderen Form) vermittelt werden:

  1. Informationspflicht (der betroffenen Person),
  2. Auskunftsrecht,
  3. Recht auf Berichtigung,
  4. Recht auf Löschung („Recht auf Vergessenwerden"),
  5. Recht auf Einschränkung der Verarbeitung,
  6. Recht auf Datenübertragbarkeit und
  7. Widerspruchsrecht.

 
Von wesentlicher Bedeutung ist die klare Information, an wen sich eine betroffene Person für die Ausübung der Betroffenenrechte wenden kann und angefragte Informationen müssen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang der Anfrage zur Verfügung gestellt werden. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.

  1. Informationen und alle Mitteilungen und Maßnahmen sind unentgeltlich zur Verfügung zu stellen.
  2. Bei offenkundig unbegründeten oder exzessiven Anträgen (z.B. wenn die Anfrage häufig wiederholt wird) einer betroffenen Person kann der Verantwortliche entweder ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder sich weigern, aufgrund des Antrags tätig zu werden.
    In beiden Fällen liegt die „Beweislast“ beim Verantwortlichen.

 
Erforderliche Datensicherheitsmaßnahmen sind:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten (z.B. Passwortsicherungen von Dateien),
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (z.B. Zutritts-/Zugangskontrollen, Zugriffsbeschränkungen),
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (z.B. Backup-Programme), und
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. Selbstevaluierungsprozesse).


Neben der Wahl geeigneter technischer und organisatorischer Maßnahmen („privacy by design“) sind geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch entsprechende Voreinstellungen grundsätzlich nur solche personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist („privacy by default“).

 
Wenngleich keine Meldung mehr an das Datenverarbeitungsregister erfolgen muss, so ist nun ein schriftliches Verzeichnis zu führen (Dokumentationspflicht), das folgende Inhalte erfasst:
 

  1. die Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  2. den Zweck der Datenverarbeitung,
  3. die Beschreibung der Kategorien betroffener Personen und personenbezogener Daten (z.B. Kunden und Lieferanten, Rechnungsdaten, Adressdaten),
  4. Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater), einschließlich Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in USA),
  5. gegebenenfalls die Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angaben des betreffenden Drittlands oder der betreffenden internationalen Organisation,
  6. nach Möglichkeit die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien, und
  7. nach Möglichkeit eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen.

 
Im Falle einer „Verletzung des Schutzes personenbezogener Daten“ („data breach“, d.h. einer Verletzung der Datensicherheit, die – unbeabsichtigt oder unrechtmäßig – zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt…) sind nachfolgende Schritte erforderlich:
 

  1. die unverzügliche Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt, sowie
  2. die Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

[1] Die Grundlage der neuen österreichischen Datenschutzrichtlinien ist die Anpassung an die Datenschutz-Grundverordnung der EU (DSGVO).

(Irrtümer vorbehalten)