Die EU-DSGVO: Der Grundstein für ein einheitliches europäisches Datenschutzrecht ist gelegt

Von Franz J. Heidinger / Laurin Maran – Das Triumvirat aus EU-Kommission, EU-Parlament und EU-Ministerrat einigten sich nach vier Jahren Verhandlungen auf eine Reform des Datenschutzrechts. Ab 25. Mai 2018 gilt in allen 28 Mitgliedsstaaten unmittelbar die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (EU-DSGVO). Die Bedeutung des neuen Gesetzes kann nicht überschätzt werden, betrifft es doch nahezu jedes Unternehmen. Sie sollten daher rechtzeitig beginnen, ihre Datenschutzstrategie anzupassen, denn der Bußgeldkatalog für Verstöße hat es in sich: Es drohen Strafen von bis zu EUR 20 Millionen oder 4% des globalen Konzernumsatzes.cropped-20160916_1114211.jpg

Das aktuelle österreichische Datenschutzgesetz basiert auf der EU-Datenschutzrichtlinie aus dem Jahr 1995. Zum Vergleich: 1995 verkaufte Amazon sein erstes Buch auf seiner Internetplattform, Facebook ging 2004 online und das iPhone war „Erfindung des Jahres 2007“. Selbst Google ist zwei Jahre jünger als die Richtlinie. Es war also höchste Zeit, das Datenschutzgesetz an die neuen digitalen Herausforderungen anzupassen. Im Folgenden liefern wir einen ersten Überblick, worauf sich Unternehmen einstellen müssen.

Anwendungsbereich: Für wen gilt die EU-DSGVO? Was wird geschützt?

Gemäß Art. 3 Abs. 1 DSGVO findet die Verordnung Anwendung „auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftraggebers in der Union erfolgt“. Somit betrifft das Gesetz jedes Unternehmen mit Sitz in der EU, das Kunden- oder Mitarbeiterdaten verarbeitet. Darüber hinaus müssen sich auch Unternehmer, die zwar nicht in der EU niedergelassen sind, aber Waren oder Dienstleistungen innerhalb der EU anbieten oder das Verhalten von natürlichen Personen in der EU beobachten, an die neuen Bestimmungen halten.

Wie schon heute werden auch unter der EU-DSGVO personenbezogene Daten geschützt. Darunter versteht man alle Informationen, die direkt oder indirekt einer bestimmten natürlichen Person zugeordnet werden können. Es sind selbst pseudonymisierte Daten geschützt, wenn sie durch Heranziehung zusätzlicher Informationen einer bestimmten Person zugeordnet werden könnten, womit auch IP-Adresse und Cookies erfasst sind. Die Daten von juristischen Personen, also Unternehmen, werden in Zukunft nicht mehr durch das Datenschutzrecht geschützt sein. Wird beispielsweise einem Unternehmen ein Bankkredit verwehrt, konnte es sich bislang auf sein Auskunftsrecht nach § 27DSG 2000 berufen und erfahren, auf Grund welcher Informationen die Bank ihre Entscheidung getroffen hat. Die Möglichkeit wird es ab 2018 nicht mehr geben. Unternehmensdaten werden auch in Zukunft geschützt sein, allerdings über das Berufs- und Geschäftsgeheimnis.

Rechte für Betroffene – Pflichten für Unternehmen

Die Verordnung sieht zum Teil aus dem österreichischen Datenschutzgesetz bekannte, aber auch neue Rechte für Betroffenen vor. So sind Unternehmen zum Beispiel verpflichtet, Personen kostenlos eine Kopie der von ihnen gespeicherten Daten zur Verfügung zu stellen. Außerdem wurde das „Recht auf Vergessenwerden“ gesetzlich verankert: Auf Antrag sind Daten über Betroffene unverzüglich zu löschen, wenn sie nicht mehr notwendig sind, die Person ihre Einwilligung widerruft oder die Daten unrechtmäßig verarbeitet wurden. Wurden die Daten bereits öffentlich gemacht, hat der Verantwortliche aktiv Dritte, die die Daten nutzen, über das Begehren zu informieren.

Ganz neu ist das Recht auf Datenübertragbarkeit. Erfolgt die Verarbeitung der Daten mithilfe automatisierter Verfahren, so sind sie dem Betroffenen in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügungzu stellen. Er kann sogar verlangen, dass der Auftraggeber diese Daten direkt auf einen anderen Auftraggeber überträgt. Ein denkbarer Anwendungsfall wäre zum Beispiel der Wechsel des Strom- oder Mobilfunkanbieters.

Unternehmen drohen bei Verletzungen nicht nur die Strafen der Aufsichtsbehörden, sondern sie haften auch für materielle und immaterielle Schäden der Betroffenen, die aus einem Verstoß entstanden sind.

Technischer Datenschutz und IT-Sicherheit

Unter Berücksichtigung des Stands der Technik und abhängig vom jeweiligen Schutzbedarf sind Sicherheitsmaßnahmen zu implementieren, die ein angemessenes Schutzniveau gewährleisten. Dies erstreckt sich über die Pseudonymisierung und Verschlüsselung der Daten, über Maßnahmen, die es bei Zwischenfällen ermöglichen, die Daten schnell wieder herzustellen bis hin zur Entwicklung eines Verfahrens, mit dem die Sicherheit der Verarbeitung regelmäßig geprüft wird.

Die Grundsätze des Datenschutzes müssen schon bei der Entwicklung von Produkten und Dienstleistungen berücksichtigt werden (Privacy by design). Durch datenschutzfreundliche Voreinstellungen soll sichergestellt werden, dass nur solche Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (Privacy by default).

Datenschutz-Folgeabschätzung und Datenschutzbeauftragter

Die Datenschutz-Folgeabschätzung könnte besonders mittelständische Unternehmen vor Herausforderungen stellen. Die EU-DSGVO sieht vor, dass im voraus eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge stattfinden muss, insbesondere bei der Verwendung neuer Technologien und wenn die Art, der Umfang oder der Zweck der Verarbeitung eine potentielle Gefährdung von Rechten und Freiheiten von Betroffenen mit sich bringt. Geht aus der Abschätzung hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte, ist die Datenschutzbehörde zu kontaktieren.

Liegt die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche und systematische Überwachung von Betroffenen erforderlich macht oder in der Verarbeitung von sensiblen Daten, ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten zu verpflichten. Der Beauftragte muss kein Beschäftigter des Unternehmens sein, aber auf Grundlage seiner beruflichen Qualifikation und seines Fachwissens im Bereich des Datenschutzrechts bestellt werden.

Meldepflichten

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, ist binnen 72 Stunden ab Kenntnis die Datenschutzbehörde zu informieren. Hat die Verletzung ein hohes Risiko für die Rechte natürlicher Personen zur Folge, so sind auch diese unverzüglich zu benachrichtigen. Wäre dies mit einem unverhältnismäßigen Aufwand verbunden, hat stattdessen eine öffentliche Bekanntmachung zu erfolgen.

Fazit

Bei den künftigen Bußgelddrohungen macht es durchaus Sinn, sich frühzeitig mit den neuen Regeln auseinanderzusetzen und die neuen Anforderungen umzusetzen.

Kommentar verfassen

Trage deine Daten unten ein oder klicke ein Icon um dich einzuloggen:

WordPress.com-Logo

Du kommentierst mit Deinem WordPress.com-Konto. Abmelden /  Ändern )

Google+ Foto

Du kommentierst mit Deinem Google+-Konto. Abmelden /  Ändern )

Twitter-Bild

Du kommentierst mit Deinem Twitter-Konto. Abmelden /  Ändern )

Facebook-Foto

Du kommentierst mit Deinem Facebook-Konto. Abmelden /  Ändern )

Verbinde mit %s