Die neue Datenschutzverordnung - soll ich resignieren?

Bald wird die neue Datenschutzverordnung rauskommen.
Die betrifft nicht nur die Großkonzerne, sondern auch die Kleinen, z.B. mich.
Wobei, die Großkonzerne betrifft es, weil die werden jubeln.
Und die Anwälte.
Vor allem jene charakterlosen Typen, die Abmahnungsanwälte.

Also: Wir haben in Österreich das Datenschutzgesetz:
"Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 – DSG 2000)"

Damit man noch verwirrter wird, gibt es dazu dann das 

"Bundesgesetz, mit dem  das Datenschutzgesetz 2000 geändert wird (Datenschutzanpassungsgesetz). "
Insgesamt sind das über 60 Seiten in einer Sprache, die nicht deutsch ist (weil deutsch verstehe ich relativ gut).

Ich habe an eine Behörde, die ich nicht nenne, weil ich sonst den Datenschutz verletze, folgende Mail geschickt:

"Sehr geehrte Damen und Herren,
ich habe die Datenschutzverordnung durchgelesen und möchte mich vergewissern, dass ich da ein paar Sachen richtig verstanden habe:
 
1.      Wenn ein Auftraggeber im Sinne des ABGB mir als Auftragnehmer im Sinne des ABGB einen Auftrag gibt, und ich dessen Daten verarbeite dann bin ich der Auftraggeber im Sinne der Datenschutzverordnung. Ich als Auftragnehmer i.S.d. ABGB werde also zum Auftraggeber i.S. der Datenschutzverordnung und der Auftraggeber i.S.v. ABGB wird vom Auftraggeber (ABGB) zum Betroffenen. Ist das richtig?
2.      Habe ich das richtig verstanden, dass das Speichern der Telefonnummer am Handy mit Namen unter diese Verordnung fällt und ich da auch meldepflichtig bin?
Vielen Dank für Ihre Bemühungen, aber angesichts der Strafen darf ich mir da keinen Fehler leisten.
Walter Siebert"

Schon am nächsten Tag (Super!) erhielt ich folgende Antwort:


Sehr geehrter Herr Siebert!

Zunächst ist festzuhalten, ... dass im Rahmen einer telefonischen oder schriftlichen Anfrage keine rechtlichen Beurteilungen zur Anwendung und Auslegung rechtlicher Bestimmungen bzw. inhaltliche Beratungsleistungen vorgenommen werden können. ...

Unverbindlich jedoch folgende Information:

Zunächst eine kurze Klarstellung:

Der bisherige Auftraggeber wird nach der DSGVO zum Verantwortlichen. Der bisherige Dienstleister wird nach der DSGVO zum Auftragsverarbeiter.
Dies war bisher etwas verwirrend, da der zivilrechtliche Auftragnehmer unter umständen datenschutzrechtlicher Auftraggeber war.
Das nenne ich mal eine Verbesserung!
Zur Frage 1:
Aus datenschutzrechtlicher Sicht kommt es wohl darauf an, was konkret Sie mit diesen Daten des zivilrechtlichen Auftraggebers machen. Wenn Sie "bloß" IT-Dienstleister sind und keinerlei Entscheidungsbefugnis über die Daten haben, sind Sie zivilrechtlicher Auftragnehmer und datenschutzrechtlicher Auftragsverarbeiter. Wenn Sie aber etwa selbstständig über Daten verfügen können und Ihnen Entscheidungsbefugnis zukommt, sind Sie zivilrechtlicher Auftragnehmer, aber datenschutzrechtlicher Verantwortlicher.
Damit ist es klar: Ich bin datenschutzrechtlicher Verantworticher.
Zur Frage 2:

Die Meldepflicht im DVR-Online entfällt mit Geltung der DSGVO ab 25. Mai 2018. Ggf. ist jedoch ein internes Datenverarbeitungsregister zu führen.
Na bitte, alles wird einfacher.