Home-Blog

EU-Datenschutz-Grundverordnung – nur noch ein Jahr „Schonfrist“

Mai 17, 2017 - 13:28

Gastkommentar von Mag. Heinz Templ, Rechtsanwalt in Wien.

Im Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in der gesamten EU in Kraft. Unternehmen sind besonders gefordert. Sie werden in vielerlei Hinsicht von der bislang recht bürokratischen Verwaltung in die - nicht immer einfachere - Eigenverantwortlichkeit entlassen. Dies betrifft die Datenverarbeitung an sich als auch den Umgang mit den so verarbeiteten Daten.

Verantwortliche müssen im Unternehmen bestehende und neue Datenanwendungen auf die Konformität mit der DSGVO evaluieren, damit sie den überwiegend empfindlichen Strafen bei Verstößen vorbeugen. Betroffen sind vor allem die Bereiche IT-Sicherheit und Entwicklung, Datenmanagement, Datenevaluierung, Zweckplausibilität der Datenstruktur und das Vertragsmanagement mit Dienstleistern.

 

ZUSTIMMUNG ALS GRUNDSATZ

Wie schon bisher sind nur Daten mit Personenbezug von der Datenschutzverordnung erfasst. Werden anonyme oder nicht mehr auf Personen rückführbare Daten verarbeitet, entfaltet die Verordnung keine Wirkung. Die Zustimmung zur Verarbeitung der Daten ist ein Grundpfeiler der Regelung. Abseits davon dürfen personenbezogene Daten nur in genau festgelegten Grenzen verarbeitet werden. 

 

PRIVACY BY DESIGN

Bereits in der Entwicklung von Datenverarbeitungsszenarien sind Unternehmen nach dem Grundsatz „Datenschutz durch Technik“ - unabhängig von den dadurch verursachten (Mehr)Kosten - verpflichtet, anhand organisatorischer und technischer Maßnahmen sicherzustellen, dass nicht mehr Daten als für die Zweckerreichung notwendig, verarbeitet und gespeichert werden. Die Datensicherheit und die Wahrung der Datenintegrität spielen hierbei eine zentrale Rolle.

 

WESENTLICHE ERWEITERUNG DER BETROFFENENRECHTE

Neben dem vielzitierten und in der Praxis wohl schwierig handzuhabenden „Recht auf Vergessen“ müssen sich Unternehmen vor allem mit den, im Vergleich zur bisherigen Rechtslage, deutlich erweiterten Informationspflichten und den Betroffenenrechten, wie etwa dem auf Auskunft und Richtigstellung, auseinandersetzen. 

 

DIENSTLEISTER WIRD ZUM AUFTRAGSVERARBEITER

Derjenige, der bislang als „Dienstleister“ Daten im Auftrag eines Dritten (ab nun Verantwortlicher) verarbeitet hat, wird zum „Auftragsverarbeiter“. Die Verordnung gibt hierbei im Unterschied zur bisherigen Rechtslage einen Mindestinhalt für die Verträge vor, die der Verantwortliche mit dem Auftragsverarbeiter zu schließen hat. Verstöße gegen die Vertragspflicht sind mit empfindlichen Strafen bedroht, sodass sich eine gewissenhafte Prüfung bestehender und neu abzuschließender Verträge empfiehlt.

 

Verantwortliche UND Auftragsverarbeiter trifft unter der Voraussetzung, dass sie 1. mehr als 250 Mitarbeiter haben, 2. im Hinblick auf die Betroffenenrechte regelmäßig risikogeneigte Datenverarbeitung betreiben oder 3. sensible bzw. strafrechtlich relevante Daten verarbeiten, die Pflicht zur Führung des sogenannten Verfahrensverzeichnisses. Inhaltlich kommt das Verzeichnis den bisherigen Meldungen bei der Datenschutzbehörde nahe. 

 

DATENSCHUTZ-FOLGENABSCHÄTZUNG

Wenn mit neuen Technologien gearbeitet wird, die für Betroffenenrechte Risiken bergen könnten, oder wenn ein sogenanntes Profiling betrieben wird, besteht, unabhängig von der Unternehmensgröße, die Pflicht zur Vornahme der Datenschutz-Folgenabschätzung. Sie müssen also eine Einschätzung erstellen, welche rechtlichen Konsequenzen die Verarbeitung der Daten haben kann. Ebenso trifft diese Pflicht auf Unternehmer zu, die sensible oder strafrechtlich relevante Daten verarbeiten.

 

DATENSCHUTZBEAUFTRAGTE/R

Diese bislang in Österreich nicht bestehende Pflicht zur Bestellung eines Datenschutzbeauftragten trifft nun auch hierzulande Unternehmen, wenn ihre Kerntätigkeit in der Datenverarbeitung liegt, die etwa aufgrund des Umfangs eine stetige Überwachung von Betroffenen erfordert.

 

VIDEOÜBERWACHUNG EINFACHER?

Überraschend wenig regelt die DSGVO zur Videoüberwachung, die bislang mit wenigen Ausnahmen vorab genehmigungspflichtig war. Bereits erteilte Genehmigungen für Videoüberwachungsanlagen behalten ihre Gültigkeit. Derzeit ist davon auszugehen, dass in Zukunft das Betreiben kleinerer Anlagen vereinfacht wird und nicht mehr meldepflichtig ist. Bestehende wie auch neu installierte Anlagen müssen aber - wenn die Voraussetzungen dafür vorliegen - einer Datenschutz-Folgenabschätzung unterzogen werden; also bei systematischer und weitreichender Überwachung. Freilich müssen auch wie bisher die Grundsätze, wie etwa das Vorliegen eines berechtigten Interesses (etwa bei Installation einer Kamera in Einbruchsgefährdeten Objekten) beachtet werden.

 

DATA BREACH

Gelangen Daten eines Verantwortlichen in die Hände unbefugter Personen (etwa bei einem Hackerangriff) muss ein Unternehmen rasch reagieren. Innerhalb von 72 Stunden muss die Datenschutzbehörde informiert werden, wenn Betroffenenrechte in Gefahr sind. Unternehmen können mit der Absicherung ihrer Systeme nach dem Stand der Technik allfälligen Schadenersatzansprüchen am besten vorbeugen. Bei Verstößen gegen die Meldepflichten drohen außerdem hohe Geldbußen von bis zu 10 Millionen EURO, oder von bis zu 2 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres. 

 

FAZIT

Unternehmen aller Größe sind mit der neu erreichten Eigenständigkeit, die ihnen die DSGVO zubilligt, gefordert. Für die Evaluierung der bestehenden Datenanwendungen und die Anpassung an die neue Rechtslage ist ein Jahr ein ziemlich kurzer Zeitrahmen, bedenkt man die oft langwierigen Prozesse, die hinter Änderungen in diesen Unternehmensbereichen stehen. Verschärfend kommt hinzu, dass es in einigen Bereichen für den Gesetzgeber in Österreich noch Spielraum gibt, Regelungen aus der DSGVO für Österreich zu präzisieren. Wer bislang im Unternehmen das Thema Datenschutz und Datensicherheit noch stiefmütterlich vor sich hergeschoben hat, hat raschen Handlungsbedarf! 

 

Autor:
Mag. Heinz Templ ist Rechtsanwalt in Wien
T: 01 95 84 619
E-Mail: office@templ.com
www.templ.com

 

 

Stichwörter: , , , , , ,