Im Zuge der Speicherbegrenzung ist es tatsächlich so, dass Daten gelöscht werden müssen, sobald der Zweck der Datenverarbeitung erfüllt wurde und es keine Speichergründe mehr gibt (z.B. mit Ablauf der steuerrechtlichen Aufbewahrungspflicht). Hier sind automatische Löschungen vorzusehen. Daten eines einmaligen Kundenmailings sind daher sofort zu löschen.

Oberste Priorität hat die Datensicherheit. Ein Zugriff auf die Daten muss (z.B. vor externen Hackern, unbefugten Mitarbeitern oder technischen Fehlern) entsprechend der Verarbeitung sichergestellt werden (Prinzip „Integrität und Vertraulichkeit“). Allerdings werden Daten ja in der Praxis oft nicht lokal oder nur vom Verantwortlichen selbst verarbeitet. Regelmäßig werden externe Dienste (z.B. Clouds) genutzt. Dabei können Daten – etwa bei bestimmten Spezialaufträgen – auch in Länder übertragen werden, die keine dem europäischen Datenschutz entsprechenden Gesetze haben. In diesem Falle muss der „Auftragsdatenverarbeiter“, also der Dienstleister (z.B. ein Cloud-Dienst) garantieren können, dass er die von Ihnen zur Verfügung gestellten Daten – beispielsweise im Falle einer Verarbeitung eines Newsletters für einen Kunden – entsprechend den Vorschriften der DSGVO behandelt. Das Risiko wird also auf den Partnerbetrieb übertragen. Sie müssen allerdings dazu mit diesem einen entsprechenden Vertrag abschließen, der den Vorgaben der DSGVO entspricht.

Das ist vor allem dann, wenn man mit großen internationalen Anbietern zusammenarbeitet, ein Thema. Hier kann es ratsam sein, über den Vertrag, der zwischen Ihrem Unternehmen und dem „Auftragsdatenverarbeiter“ geschlossen wird, gesondert von einem Rechtsanwalt prüfen zu lassen.

Nein. Das Führen von Kundenkarteien, Mitarbeiterunterlagen, E-Mails, Dokumentationen oder das Abrechnungswesen sind – solang dieser Zweck nicht überschritten wird – ohne weitere Einschränkung erlaubt. Die Pflichten nach der DSGVO sind allerdings natürlich zu beachten.

Generell, aber das ist nichts Neues, ist das Führen von Verteilern meist nur über ein „Opt-in“ möglich, benötigt also eine Zustimmung des Empfängers. Diese ist in der Regel ohne großen Aufwand einzuholen. Eine Nutzung der Daten für Marketingzwecke ist dann unproblematisch. Eine Weitergabe von Daten (z.B. bei einem Verkauf des Unternehmens) ist in der Regel nicht zulässig.

Nur, wenn die entsprechenden Personen dafür ihr Einverständnis geben. An sich gilt: Nutzung für das Gewinnspiel. Eine weitere Nutzung (z.B. über das jeweilige Gewinnspiel hinaus, für Werbung) muss klar als weiterer Zweck angegeben werden. Die Kunden können ihre Zustimmung natürlich auch jederzeit widerrufen –  dann müssen Sie die Daten sofort löschen.

Hat der Betroffene/der Konsument der Verwendung seiner Daten zugestimmt, liegt keine Verletzung seiner Interessen vor. Die Zustimmung muss „ohne Zwang“ abgegeben worden sein und überdies „in Kenntnis der Sachlage für den konkreten Fall“. Allerdings kann man eine solche Erlaubnis jederzeit widerrufen. Und nur wenn der Betroffene weiß, welche Daten zu welchem Zweck verwendet werden sollen, kann er eine gültige Zustimmung abgeben. Seine Daten dürfen jedenfalls nicht einfach an ein konzernmäßig verbundenes Unternehmen weitergegeben werden, ohne seine ausdrückliche schriftliche Zustimmung.

Seit 24. Mai 2016 ist die Datenschutzgrundverordnung (Verordnung (EU) 2016/679) in Kraft. Ab 25. Mai 2018 wird sie gelten und ist daher von jedem/jeder ÖsterreicherIn einzuhalten. Diese Verordnung sieht schwerwiegende Veränderungen im Datenschutz vor. So sind bei Verstößen gegen die Datenschutzverordnung drakonische Strafen – bis zu 4% des weltweiten Jahresumsatzes eines Unternehmens bzw. 20 Millionen Euro – möglich!

Zudem müssen ab einer gewissen Unternehmensgröße bestimmte Dokumentationspflichten eingehalten und ein Datenschutzbeauftragter bestellt werden. Das Thema ist sehr breit gefächert, daher hier nur ein paar Hinweise:
Kann die Verarbeitung der bisherigen Daten in Ihrem Unternehmen so weiter fortgeführt werden?

Braucht Ihr Unternehmen einen Datenschutzbeauftragten?

Wer/welcher Mitarbeiter bzw. welche Abteilung wird Dokumentationsverpflichtungen nachkommen?

Nach welchem System wird den Dokumentationsverpflichtungen entsprochen – ist das praktikabel?

Sollte das Personal noch entsprechend geschult und sensibilisiert werden?

Wo steht der Server auf denen die Daten gespeichert werden?

Was passiert mit meinen bisherigen Dienstleisterverträgen?
Hierbei sollten Sie individuell auf Ihr Unternehmen zugeschneiderte Lösungen erarbeiten, die im Mai 2018 ohne weiteren Druck oder Stress unmittelbar umgesetzt werden können.

Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat- und Familienlebens, Anspruch auf Geheimhaltung der ihn betreffenden personenbezogenen Daten, soweit ein schutzwürdiges Interesse daran besteht. Personenbezogene Daten sind grundsätzlich Angaben über Betroffene, deren Identität bestimmt oder bestimmbar ist – wie Name, Adresse und Geburtsdatum. Jedermann hat, soweit ihn betreffende personenbezogene Daten verarbeitet werden, das Recht auf Auskunft darüber, wer welche Daten über ihn verarbeitet, woher die Daten stammen, und wozu sie verwendet werden, insbesondere auch, an wen sie übermittelt werden. Es steht jedem auch das Recht auf Richtigstellung unrichtiger Daten und das Recht auf Löschung unzulässigerweise verarbeiteter Daten zu. Besondere Regelungen bestehen für sensible Daten (wie rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder philosophische Überzeugung, Gesundheit oder Sexualleben).

Wenn Sie Daten verwenden wollen, müssen Sie Maßnahmen zur Gewährleistung der Datensicherheit treffen. So müssen Sie z.B. sicherstellen, dass die Daten vor zufälliger oder unrechtmäßiger Zerstörung und vor Verlust geschützt sind, die Verwendung ordnungsgemäß erfolgt und die Daten Unbefugten nicht zugänglich sind. Sie müssen also auch eine Sicherung gegen „Hackerangriffe“ einrichten. Und Sie müssen vor der Aufnahme einer Datenverarbeitung eine Meldung an das Datenverarbeitungsregister erstatten und diese Meldung immer aktuell zu halten. Diese Meldung kann online bei der Datenschutzbehörde eingebracht werden.

Eine schuldhafte Verletzung der Datenschutzvorschriften kann neben Verwaltungsstrafen auch Schadenersatzklagen nach sich ziehen! Darüber hinaus können auch Klagen nach dem UWG drohen.

Es gibt eine sinnvolle Musterklausel, wenn Sie eine datenschutzrechtliche Zustimmung einholen wollen:
Ich stimme zu, dass meine persönlichen Daten, nämlich (welche Daten?) zum Zweck der (welcher Zweck?) verarbeitet werden und an (an wen werden die Daten versendet?) zum Zweck der (welcher Zweck?) übermittelt werden. Diese Zustimmung kann ich jederzeit (auf welche Art?) widerrufen.
Diese Klausel dient aber nur als Formulierungshilfe und muss in jedem Einzelfall individuell angepasst werden. Datenart, Zweck und Empfänger müssen genau bezeichnet werden!