Publication

Datenschutz in Skischulen

Georg Huber und Melanie Gassler Tischlinger ©Blickfang (Julia Türtscher)
Dr. Georg Huber, LL.M.

Datenschutz – ein heißes Thema auch für Skischulen

Es bleiben weniger als 200 Tage zur Umsetzung der EU-Datenschutzgrundverordnung (DSGVO). Die DSGVO tritt am 25. Mai 2018 in Kraft und legt allen Unternehmen, unabhängig von deren Größe, umfangreiche Pflichten zum Schutz personenbezogener Daten auf. Werden diese Pflichten nicht oder nur mangelhaft erfüllt, drohen hohe Strafen. Das gilt auch für Skischulen.

  1. Grundsätze

Die DSGVO hat sich zum Ziel gesetzt, den Schutz personenbezogener Daten innerhalb der EU in noch größerem Ausmaß zu vereinheitlichen und die Rechte betroffener Personen – also jener Personen, deren Daten gespeichert werden – zu stärken.

Um diese Ziele zu verwirklichen, legt die DSGVO den Datenschutz in die Eigenverantwortung der Unternehmen. Sie müssen ab 25. Mai 2018 in ihrem Umfeld dafür sorgen, dass personenbezogene Daten angemessen geschützt sind. Das bedeutet im Wesentlichen Vertraulichkeit, Integrität und Verfügbarkeit der Daten. Die personenbezogenen Daten sollen also davor geschützt sein, dass sie von Dritten eingesehen oder gar entwendet werden. Es muss auch sichergestellt sein, dass die Daten nicht unzulässig verändert oder manipuliert und dass sie bei Verlust (z.B. aufgrund eines Hackerangriffs oder infolge eines Computerviruses) jederzeit wiederhergestellt werden können.

Dabei sind auch noch die allgemeinen Grundsätze des Datenschutzes einzuhalten. Dies sind etwa Rechtmäßigkeit der Verarbeitung, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit und Speicherdauerbegrenzung.

  1. Rechtmäßigkeit und Zweckbindung

Nach der DSGVO sind Datenverarbeitungen verboten, es sei denn, sie erfolgen „rechtmäßig“. Rechtmäßig bedeutet, dass eine von sechs Voraussetzungen vorliegen muss, die in der DSGVO genannt werden. Eine Datenverarbeitung ist etwa dann rechtmäßig, wenn die Daten zur Vertragserfüllung benötigt werden, wenn eine wirksame Einwilligung vorliegt, wenn eine rechtliche Pflicht zur Verarbeitung besteht oder wenn überwiegende Interessen des Verarbeiters jene des Betroffenen überwiegen.

Bei jeder einzelnen Datenverarbeitung ist zu prüfen, auf welcher dieser Grundlagen sie erfolgt. Speichert eine Skischule etwa Mitarbeiterdaten, wird das in der Regel zulässig sein, weil sich schon aus den Steuer- und Sozialversicherungsgesetzen eine Pflicht zur Speicherung ergibt. Speichert die Skischule Gästedaten, wird dies zunächst auch rechtmäßig sein, allerdings nur in solchem Maß, als die Speicherung dieser Daten zur Erfüllung des Skikursvertrages notwendig ist.

Werden die Gästedaten für andere Zwecke verarbeitet, z.B. erhalten die Gäste einen Newsletter, kann diese Verarbeitung nicht mehr auf den Rechtmäßigkeitsgrund der Vertragserfüllung gestützt werden, da ein Newsletter nicht unbedingt zur Vertragserfüllung erforderlich ist. Es muss hier geprüft werden, ob allenfalls ein anderer Grund, etwa überwiegende berechtigte Interessen der Skischule oder eine gültige Einwilligung des jeweiligen Empfängers, vorliegt.

Daten dürfen also immer nur für einen bestimmten Zweck verwendet werden.

Den gesamten Artikel von RA Dr. Georg Huber, LL.M. und RAin Mag. Melanie Gassler-Tischlinger, LL.M. gibt es nachzulesen in der Ausgabe des Tiroler Wirtschaftsmagazins eco.nova: Datenschutz – ein heißes Thema auch für Skischulen

Foto: ©Blickfang (Julia Türtscher)