Datenschutz – ein heißes Thema auch für Skischulen
Es bleiben weniger als 200 Tage zur Umsetzung der EU-Datenschutzgrundverordnung (DSGVO). Die DSGVO tritt am 25. Mai 2018 in Kraft und legt allen Unternehmen, unabhängig von deren Größe, umfangreiche Pflichten zum Schutz personenbezogener Daten auf. Werden diese Pflichten nicht oder nur mangelhaft erfüllt, drohen hohe Strafen. Das gilt auch für Skischulen.
- Grundsätze
Die DSGVO hat sich zum Ziel gesetzt, den Schutz personenbezogener Daten innerhalb der EU in noch größerem Ausmaß zu vereinheitlichen und die Rechte betroffener Personen – also jener Personen, deren Daten gespeichert werden – zu stärken.
Um diese Ziele zu verwirklichen, legt die DSGVO den Datenschutz in die Eigenverantwortung der Unternehmen. Sie müssen ab 25. Mai 2018 in ihrem Umfeld dafür sorgen, dass personenbezogene Daten angemessen geschützt sind. Das bedeutet im Wesentlichen Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die personenbezogenen Daten sollen also davor geschützt sein, dass sie von Dritten eingesehen oder gar entwendet werden. Es muss auch sichergestellt sein, dass die Daten nicht unzulässig verändert oder manipuliert und dass sie bei Verlust (z.B. aufgrund eines Hackerangriffs oder infolge eines Computerviruses) jederzeit wiederhergestellt werden können.
Dabei sind auch noch die allgemeinen Grundsätze des Datenschutzes einzuhalten. Dies sind etwa Rechtmäßigkeit der Verarbeitung, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und Speicherdauerbegrenzung.
- Rechtmäßigkeit und Zweckbindung
Nach der DSGVO sind Datenverarbeitungen verboten, es sei denn, sie erfolgen „rechtmäßig“. Rechtmäßig bedeutet, dass eine von sechs Voraussetzungen vorliegen muss, die in der DSGVO genannt werden. Eine Datenverarbeitung ist etwa dann rechtmäßig, wenn die Daten zur Vertragserfüllung benötigt werden, wenn eine wirksame Einwilligung vorliegt, wenn eine rechtliche Pflicht zur Verarbeitung besteht oder wenn überwiegende Interessen des Verarbeiters jene des Betroffenen überwiegen.
Bei jeder einzelnen Datenverarbeitung ist zu prüfen, auf welcher dieser Grundlagen sie erfolgt. Speichert eine Skischule etwa Mitarbeiterdaten, wird das in der Regel zulässig sein, weil sich schon aus den Steuer- und Sozialversicherungsgesetzen eine Pflicht zur Speicherung ergibt. Speichert die Skischule Gästedaten, wird dies zunächst auch rechtmäßig sein, allerdings nur in solchem Maß, als die Speicherung dieser Daten zur Erfüllung des Skikursvertrages notwendig ist.
Den gesamten Artikel von RA Dr. Georg Huber, LL.M. und RAin Mag. Melanie Gassler-Tischlinger, LL.M. gibt es nachzulesen in der Ausgabe des Tiroler Wirtschaftsmagazins eco.nova RECHT (December 2017): Datenschutz – ein heißes Thema auch für Skischulen
Foto: ©Blickfang (Julia Türtscher)