53

IHRE ALTERNATIVE IM 

WIRTSCHAFTS- UND 

STEUERRECHT.

Am Winterhafen 4, 4020 Linz

0732 77 37 02

office@wo-ra.at

www.wo-ra.at

ALLES WAS RECHT IST.

EU-Datenschutz

Drastische 

Verschärfungen 

ab Mai 2018

Am 25. Mai 2018 tritt eine drastische Verschärfung des Da-

tenschutzrechtes, die Datenschutzgrundverordnung (DS-

GVO), in Kraft. Sie ist in Österreich unmittelbar anwendbar 

und sieht bei Verstößen Geldbußen von bis zu 20 Millionen 

Euro oder bis zu vier Prozent des weltweit erzielten Jah-

resumsatzes des vergangenen Geschäftsjahres vor. 

Zu beachten hat diese Bestimmungen jeder, der personenbe-
zogene Daten (Vor- und Nachname, Geburtsdatum, Sozialver-

sicherungsnummer, Kundennummer, IP-Adresse, etc.) ver-
arbeitet, also eine Kundendatei führt, Rechnungen ausstellt 
oder Lieferantendaten erhebt, speichert oder löscht – also so 
gut wie jedes Unternehmen. Die Verarbeitung personenbezo-
gener Daten hat dabei rechtmäßig, das heißt auf Basis einer 
gültigen Rechtsgrundlage, zu erfolgen. An die Einwilligung 

werden strenge Maßstäbe gesetzt: Diese muss freiwillig und 
in Kenntnis der vollen Sach- und Rechtslage sein und jeder-

zeit widerrufen werden können. Zur Sicherung von (rechtmä-

ßig) verarbeiteten personenbezogenen Daten sind technische 
und organisatorische Sicherheitsmaßnahmen zu treffen, etwa 
die Pseudonymisierung von Daten oder die Begrenzung der 
Speicherdauer. 

Generell wurden die Rechte der Betroffenen, das heißt derje-
nigen, deren personenbezogenen Daten verarbeitet werden, 
gestärkt: Neben dem Recht auf Widerruf haben Betroffene 

das Recht auf Auskunft, Berichtigung oder Löschung der über 
sie verarbeiteten Daten. Das Unternehmen hat zudem geeig-
nete Maßnahmen vorzunehmen, um der betroffenen Person 
alle Informationen und alle Mitteilungen zu übermitteln.

Für die Unternehmen gilt es zu klären: Ist man Verantwort-
licher, also Herr über die Daten, oder bloßer Auftragsverar-
beiter im Sinne der DSGVO? Muss das Unternehmen einen 
Datenschutzbeauftragten bestellen? Welche Informationen 
hat das Verzeichnis der Verarbeitungstätigkeiten zu enthalten? 
Für die betroffenen Unternehmen ist jedenfalls zu empfehlen, 
mit externen Experten ein rechtliches und technisches Daten-
audit durchzuführen, um rechtzeitig die richtigen Maßnahmen 
setzen zu können._

Kommentar 

von Gerald Waitz.

Gerald Waitz ist Rechtsanwalt und Partner der Linzer 
Kanzlei Waitz Obermühlner Rechtsanwälte GmbH, die 
Unternehmen und Unternehmerpersönlichkeiten im 
Wirtschafts- und Steuerrecht berät. Gerald Waitz ist 
ausgewiesener 

Experte im IT-Recht und derzeit 

schwerpunktmäßig in der Umsetzung der Vorgaben der 
DSGVO für die von ihm betreuten Unternehmen tätig.