Autor: Alix Frank Rechtsanwälte GmbH

Anwendungsbereich der EU- DSGVO

am von Alix Frank Rechtsanwälte GmbHin Allgemein, EU-DSGVO

Von Franz J. Heidinger / Laurin Maran – Der Anwendungsbereich beantwortet stets die Frage, für welche Sachverhalte bestimmte Gesetze anzuwenden sind. Man unterscheidet zwischen dem sachlichen und dem räumlichen Anwendungsbereich. Während der sachliche Anwendungsbereich klärt, ob ein Gesetz überhaupt thematisch für eine bestimmte Situation anzuwenden ist, klärt der räumliche Anwendungsbereich, wo, also in welchem Land, sich diese bestimmte Situation abgespielt haben muss, damit das Gesetz gilt.20160919_141500

Der sachliche Anwendungsbereich

Gemäß Artikel 2 Abs 1 EU-DSGVO gilt die Datenschutzgrundverordnung für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Nun stellt sich natürlich die Frage, was der Verfasser der EU-DSGVO unter den Begriffen „personenbezogene Daten“ und  „Verarbeitung“ versteht.

Die Definitionen finden sich nur zwei Artikel später: Gemäß Artikel 4 Z 1 EU-DSGVO versteht man unter personenbezogenen Daten „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“

Somit findet die EU-DSGVO immer dann Anwendung, wenn personenbezogene Daten von natürlichen Personen verarbeitet werden. Die Grundrechte und insbesondere das Recht auf Schutz personenbezogener Daten aller Menschen, ungeachtet ihrer Staatsangehörigkeit oder ihres Aufenthaltsort, sollen gewahrt bleiben.

Durch das aktuelle österreichische Datenschutzgesetz (DSG 2000) sind auch die Daten juristischer Personen, also von Vereinen, Stiftungen, Aktiengesellschaften, GmbHs etc.,  geschützt. Sobald die EU-DSGVO das DSG 2000 abgelöst haben wird, wird dieser Schutz jedoch wegfallen. Verarbeitet man also zukünftig unternehmensbezogene Daten, wie beispielsweise Kontaktdaten oder die Rechtsform eines Unternehmens, wird die EU-DSGVO auf diese Verarbeitung nicht anwendbar sein. Die hinter der juristischen Personen stehenden Menschen sind jedoch weiterhin geschützt, handelt es sich bei diesen schließlich um natürliche Personen.

Unter Verarbeitung versteht die EU-DSGVO „jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“

Wie man sieht wird jede denkmögliche Auseinandersetzung mit personenbezogenen Daten erfasst. Somit muss sich jedes Unternehmen, jeder Einzelunternehmer und jeder Onlineshopbetreiber, auch wenn er nur am Rande seiner beruflichen Tätigkeit mit personenbezogenen Daten in Kontakt kommt, mit den Bestimmungen der EU-DSGVO auseinandersetzen.

Es gibt jedoch ein paar Ausnahmen: Die Verordnung findet unter anderem keine Anwendung auf die Verarbeitung personenbezogener Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten, solange sie ohne Bezug zu einer beruflichen oder wirtschaftlichen Tätigkeit vorgenommen werden. Die Nutzung sozialer Netze und Online-Tätigkeiten von Privaten fällt somit nicht in den Anwendungsbereich der EU-DSGVO. Die Verordnung gilt jedoch dennoch für die Verantwortlichen, die die Instrumente für die Verarbeitung personenbezogener Daten für solche persönliche oder familiäre Tätigkeiten bereitstellen.

Beispiel:

Verschickt jemand Fotos einer anderen Person über Whatsapp, fällt dieser Vorgang nicht unter das neue Regelwerk. Das Unternehmen „WhatsApp Inc.“ allerdings, welches das Foto verarbeitet, muss sich an die datenschutzrechtlichen Bestimmungen halten. Ebenso ist es mit der Veröffentlichung von Fotos anderer Personen auf Facebook. Aber auch wenn dies vielleicht datenschutzrechtlich nicht relevant sein mag, werden dennoch Persönlichkeitsrechte der betroffenen Person verletzt.

Räumlicher Anwendungsbereich

  • Die EU-DSGVO wird angewendet, wenn personenbezogene Daten im Rahmen der Tätigkeit einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Europäischen Union verarbeitet werden und zwar unabhängig davon, ob die Verarbeitung in der Union stattfindet. Eine Niederlassung ist laut EuGH eine auf eine gewisse Dauer angelegte Außenstelle eines Stammhauses, die über hinreichende materielle und personelle Ausstattung verfügt, um Geschäfte zu betreiben.
  • Weiters findet die Verordnung Anwendung, wenn personenbezogene Daten von Personen, die sich in der Europäischen Union befinden, verarbeitet werden, der für die Verarbeitung Verantwortliche aber nicht in der Europäischen Union niedergelassen ist. Allerdings nur, wenn die Verarbeitung im Zusammenhang damit steht, Personen in der EU Waren oder Dienstleistungen anzubieten oder das Verhalten von Personen in der EU zu beobachten.

Somit müssen sich unter Umständen bald auch nicht-europäische Unternehmen ohne Niederlassung in der EU an das europäische Datenschutzrecht halten.

Beispiel:

Ein texanischer Hutmacher verkauft seine Westernhüte über einen Onlineshop im Internet. Selbstverständlich ist dieser Onlineshop über das Internet auch aus Österreich nutzbar. Für eine Bestellung müssen sich Käufer mit Name, Anschrift und E-Mailadresse registrieren –  zweifelsohne personenbezogene Daten. Die Frage der Anwendbarkeit der EU-DSGVO hängt nun davon ab, ob der Hutmacher offensichtlich vor hat, seine Hüte auch in der EU zu verkaufen. Dies wird anhand des Einzelfalls entschieden. Ist es beispielweise möglich, die Sprache des Onlineshops auf Deutsch umzustellen, werden die Preise auch in Euro angezeigt und stellt er Informationen über die Einfuhrbestimmungen in die EU zu Verfügung, spricht dies für eine Anwendung der EU-DSGVO. Ist der einzige Zusammenhang zwischen dem Onlineshop und der EU jedoch nur ein Cowboyhut mit einer EU-Flagge, sind die Daten eines österreichischen Käufers nur durch texanisches Datenschutzrecht geschützt.

 

Das Verhalten von Personen wird beobachtet, wenn ihre Internetaktivitäten nachvollzogen werden können und durch diese Aktivitäten anschließend von der Person ein Profil erstellt wird, anhand dessen ihre persönlichen Vorlieben, Verhaltensweisen oder Gepflogenheiten analysiert und vorausgesagt werden.

Beispiel

Ein Österreicher nutzt auf seinem Smartphone eine kostenlose App. Diese App speichert und analysiert seine Standortdaten, die Marke seines Handys, die Häufigkeit der Nutzung etc. Anhand dieser Daten schließt der Betreiber auf die soziale Herkunft, die Bildung und das Einkommen des Nutzers und bietet dementsprechende Werbung an.

Ergebnis

Für die Anwendung europäischen Datenschutzrechts kommt es bald nicht mehr nur auf den Ort der Niederlassung an, sondern auch auf den Ort, wo sich der Betroffene aufhält (Marktortprinzip). Ist dieser Ort innerhalb der Europäischen Union, wird die EU-DSGVO angewendet, selbst wenn die Person australischer Staatsbürger ist. Hält sich das datenverarbeitende Unternehmen nicht an die Regeln, drohen europaweit einheitliche Strafen.

EUR 20 Millionen Strafdrohung als Turbo für EU-US Privacy Shield

am von Alix Frank Rechtsanwälte GmbHin Allgemein, privacy shield

Von Franz J. Heidinger / Laurin Maran – Ab heute (01.08.2016) können sich US-Unternehmen beim amerikanischen Handelsministerium in die Privacy Shield Liste eintragen und sich so bescheinigen lassen, dass sie die von der EU-Kommission und Vertretern aus der USA festgelegten datenschutzrechtlichen Prinzipien einhalten.

Als der Gerichtshof der Europäischen Union (GHEU) am 06.10.2015 feststellte, dass das Safe-Harbor-Abkommen keinen angemessenen Datenschutz in den USA gewährleistet, entzog er unzähligen Unternehmen die rechtliche Grundlage für den transatlantischen Datenverkehr. Grundsätzlich bedarf nämlich jeglicher Datentransfer in ein Land außerhalb des europäischen Wirtschaftsraumes der Genehmigung der Datenschutzbehörde. Safe-Harbor war bis zur Entscheidung des GHEU sozusagen die pauschale Genehmigung der EU-Kommission, personenbezogene Daten an zertifizierte US-Unternehmen zu übermitteln.

Nach Monaten der rechtlichen Ungewissheit gibt es nun Ersatz für Safe-Harbor, womit vorerst Rechtsicherheit und eine Grundlage für die genehmigungsfreie Übertragung von personenbezogenen Daten aus der EU in die USA für wirtschaftliche Zwecke geschaffen wurde.

In den USA versteht man die Aufregung in Europa um den Datenschutz eher weniger, hat man dort ja ein völlig anderes Verständnis vom Umgang mit Daten. Natürlich gibt es dort auch Datenschutzgesetze, allerdings werden hauptsächlich sensible Daten, wie zum Beispiel Gesundheitsdaten, geschützt. Da viele US-Unternehmen jedoch ihr Geld mit europäischen Daten verdienen, müssen Sie die europäischen Standards wohl zähneknirschend hinnehmen. Und die Sanktionsdrohung von EUR 20 Millionen oder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs als Geldbuße für Verstöße ist durchaus abschreckend.

US-Unternehmen, die in den Genuss des Privacy Shields kommen möchten, müssen sich lediglich beim US-Handelsministerium registrieren und eine Datenschutzerklärung veröffentlichen, die auf den sieben Prinzipien des Privacy Shields beruht. Um nicht wieder von der Liste gelöscht zu werden, müssen sie sich natürlich auch an die Regeln halten, was deutlich komplizierter ist.

So müssen Unternehmen beispielsweise geeignete technische und organisatorische Sicherheitsmaßnahmen zum Schutz von Daten implementieren. Daten dürfen nur richtig und vollständig verarbeitet werden und der jeweilige Zweck der Verarbeitung muss gewahrt bleiben. Für die Weiterleitung der Daten an ein anderes Unternehmen muss sichergestellt werden, dass auch der Empfänger die datenschutzrechtlichen Bestimmungen einhält. Bürger haben ein Auskunftsrecht bezüglich der über sie gespeicherten Daten und können sich bei der Datenschutzbehörde ihres Heimatstaates beschweren, die dann in Zusammenarbeit mit der US Federal Trade Commission der Beschwerde nachgehen muss.

Das Hauptproblem von Safe-Harbor war das massenhafte und unbegrenzte Sammeln von Daten der EU-Bürger durch US-Behörden. Die Regierung der Vereinigten Staaten hat zwar versprochen, diese „bulk collection“ in Zukunft nur auf bestimmte Fälle zu begrenzen, zum Beispiel wenn die Überwachung eines Einzelnen nicht möglich ist, und die Daten nur zu verwenden, wenn es um die nationale Sicherheit der USA geht, aber Kritiker gehen davon aus, dass sich trotz dessen nichts an der Überwachungspraxis ändern und das Privacy Shield vom Gerichtshof der EU ebenso für ungültig erklärt werden wird.

Für europäische Unternehmen, die sich bei der Datenübertragung in die USA nur auf das Privacy Shield verlassen, birgt das natürlich die Gefahr, bald wieder in die Rechtswidrigkeit zu rutschen. Daher ist es empfehlenswert, sich zusätzlich oder alternativ mit den Standardvertragsklauseln der EU-Kommission oder Binding Corporate Rules abzusichern.

Standardvertragsklauseln bieten die Garantien für die Übermittlung personenbezogener Daten von der EU in Drittländer, deren Datenschutzniveau nicht als angemessen anerkannt ist, wie eben die USA. Dafür müssen das Unternehmen in der EU und das Unternehmen, das die Daten empfangen soll, einen Vertrag mit den passenden Standardvertragsklauseln abschließen und die darin enthaltenen Bestimmungen befolgen.

Binding Corporate Rules sind verbindliche und durchsetzbare interne Datenschutzvorschriften, die es multinationalen Konzernen oder Firmengruppen erlauben, innerhalb des Konzerns personenbezogene Daten in Drittstaaten zu transferieren. Binding Corporate Rules müssen jedoch von mehreren europäischen Datenschutzbehörden geprüft und anerkannt werden, was längere Zeit in Anspruch nehmen kann.

Die wohl am einfachsten zu bekommende rechtliche Grundlage für die Übermittlung von Daten ins Ausland ist das Einverständnis der Person, deren Daten übermittelt werden soll. Der Datenverkehr ins Ausland ist nämlich genehmigungsfrei, wenn der Betroffene ohne jeden Zweifel seine Zustimmung dazu gegeben hat.

Die EU-DSGVO: Der Grundstein für ein einheitliches europäisches Datenschutzrecht ist gelegt

am von Alix Frank Rechtsanwälte GmbHin AllgemeinHinterlasse einen Kommentar

Von Franz J. Heidinger / Laurin Maran – Das Triumvirat aus EU-Kommission, EU-Parlament und EU-Ministerrat einigten sich nach vier Jahren Verhandlungen auf eine Reform des Datenschutzrechts. Ab 25. Mai 2018 gilt in allen 28 Mitgliedsstaaten unmittelbar die „Verordnung des Europäischen Parlaments und des Rates zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr“ (EU-DSGVO). Die Bedeutung des neuen Gesetzes kann nicht überschätzt werden, betrifft es doch nahezu jedes Unternehmen. Sie sollten daher rechtzeitig beginnen, ihre Datenschutzstrategie anzupassen, denn der Bußgeldkatalog für Verstöße hat es in sich: Es drohen Strafen von bis zu EUR 20 Millionen oder 4% des globalen Konzernumsatzes.cropped-20160916_1114211.jpg

Das aktuelle österreichische Datenschutzgesetz basiert auf der EU-Datenschutzrichtlinie aus dem Jahr 1995. Zum Vergleich: 1995 verkaufte Amazon sein erstes Buch auf seiner Internetplattform, Facebook ging 2004 online und das iPhone war „Erfindung des Jahres 2007“. Selbst Google ist zwei Jahre jünger als die Richtlinie. Es war also höchste Zeit, das Datenschutzgesetz an die neuen digitalen Herausforderungen anzupassen. Im Folgenden liefern wir einen ersten Überblick, worauf sich Unternehmen einstellen müssen.

Anwendungsbereich: Für wen gilt die EU-DSGVO? Was wird geschützt?

Gemäß Art. 3 Abs. 1 DSGVO findet die Verordnung Anwendung „auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftraggebers in der Union erfolgt“. Somit betrifft das Gesetz jedes Unternehmen mit Sitz in der EU, das Kunden- oder Mitarbeiterdaten verarbeitet. Darüber hinaus müssen sich auch Unternehmer, die zwar nicht in der EU niedergelassen sind, aber Waren oder Dienstleistungen innerhalb der EU anbieten oder das Verhalten von natürlichen Personen in der EU beobachten, an die neuen Bestimmungen halten.

Wie schon heute werden auch unter der EU-DSGVO personenbezogene Daten geschützt. Darunter versteht man alle Informationen, die direkt oder indirekt einer bestimmten natürlichen Person zugeordnet werden können. Es sind selbst pseudonymisierte Daten geschützt, wenn sie durch Heranziehung zusätzlicher Informationen einer bestimmten Person zugeordnet werden könnten, womit auch IP-Adresse und Cookies erfasst sind. Die Daten von juristischen Personen, also Unternehmen, werden in Zukunft nicht mehr durch das Datenschutzrecht geschützt sein. Wird beispielsweise einem Unternehmen ein Bankkredit verwehrt, konnte es sich bislang auf sein Auskunftsrecht nach § 27DSG 2000 berufen und erfahren, auf Grund welcher Informationen die Bank ihre Entscheidung getroffen hat. Die Möglichkeit wird es ab 2018 nicht mehr geben. Unternehmensdaten werden auch in Zukunft geschützt sein, allerdings über das Berufs- und Geschäftsgeheimnis.

Rechte für Betroffene – Pflichten für Unternehmen

Die Verordnung sieht zum Teil aus dem österreichischen Datenschutzgesetz bekannte, aber auch neue Rechte für Betroffenen vor. So sind Unternehmen zum Beispiel verpflichtet, Personen kostenlos eine Kopie der von ihnen gespeicherten Daten zur Verfügung zu stellen. Außerdem wurde das „Recht auf Vergessenwerden“ gesetzlich verankert: Auf Antrag sind Daten über Betroffene unverzüglich zu löschen, wenn sie nicht mehr notwendig sind, die Person ihre Einwilligung widerruft oder die Daten unrechtmäßig verarbeitet wurden. Wurden die Daten bereits öffentlich gemacht, hat der Verantwortliche aktiv Dritte, die die Daten nutzen, über das Begehren zu informieren.

Ganz neu ist das Recht auf Datenübertragbarkeit. Erfolgt die Verarbeitung der Daten mithilfe automatisierter Verfahren, so sind sie dem Betroffenen in einem strukturierten, gängigen und maschinenlesbaren Format zur Verfügungzu stellen. Er kann sogar verlangen, dass der Auftraggeber diese Daten direkt auf einen anderen Auftraggeber überträgt. Ein denkbarer Anwendungsfall wäre zum Beispiel der Wechsel des Strom- oder Mobilfunkanbieters.

Unternehmen drohen bei Verletzungen nicht nur die Strafen der Aufsichtsbehörden, sondern sie haften auch für materielle und immaterielle Schäden der Betroffenen, die aus einem Verstoß entstanden sind.

Technischer Datenschutz und IT-Sicherheit

Unter Berücksichtigung des Stands der Technik und abhängig vom jeweiligen Schutzbedarf sind Sicherheitsmaßnahmen zu implementieren, die ein angemessenes Schutzniveau gewährleisten. Dies erstreckt sich über die Pseudonymisierung und Verschlüsselung der Daten, über Maßnahmen, die es bei Zwischenfällen ermöglichen, die Daten schnell wieder herzustellen bis hin zur Entwicklung eines Verfahrens, mit dem die Sicherheit der Verarbeitung regelmäßig geprüft wird.

Die Grundsätze des Datenschutzes müssen schon bei der Entwicklung von Produkten und Dienstleistungen berücksichtigt werden (Privacy by design). Durch datenschutzfreundliche Voreinstellungen soll sichergestellt werden, dass nur solche Daten verarbeitet werden, die für den jeweiligen Zweck erforderlich sind (Privacy by default).

Datenschutz-Folgeabschätzung und Datenschutzbeauftragter

Die Datenschutz-Folgeabschätzung könnte besonders mittelständische Unternehmen vor Herausforderungen stellen. Die EU-DSGVO sieht vor, dass im voraus eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge stattfinden muss, insbesondere bei der Verwendung neuer Technologien und wenn die Art, der Umfang oder der Zweck der Verarbeitung eine potentielle Gefährdung von Rechten und Freiheiten von Betroffenen mit sich bringt. Geht aus der Abschätzung hervor, dass die Verarbeitung ein hohes Risiko zur Folge hätte, ist die Datenschutzbehörde zu kontaktieren.

Liegt die Kerntätigkeit des Unternehmens in der Durchführung von Verarbeitungsvorgängen, die eine umfangreiche und systematische Überwachung von Betroffenen erforderlich macht oder in der Verarbeitung von sensiblen Daten, ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten zu verpflichten. Der Beauftragte muss kein Beschäftigter des Unternehmens sein, aber auf Grundlage seiner beruflichen Qualifikation und seines Fachwissens im Bereich des Datenschutzrechts bestellt werden.

Meldepflichten

Kommt es zu einer Verletzung des Schutzes personenbezogener Daten, ist binnen 72 Stunden ab Kenntnis die Datenschutzbehörde zu informieren. Hat die Verletzung ein hohes Risiko für die Rechte natürlicher Personen zur Folge, so sind auch diese unverzüglich zu benachrichtigen. Wäre dies mit einem unverhältnismäßigen Aufwand verbunden, hat stattdessen eine öffentliche Bekanntmachung zu erfolgen.

Fazit

Bei den künftigen Bußgelddrohungen macht es durchaus Sinn, sich frühzeitig mit den neuen Regeln auseinanderzusetzen und die neuen Anforderungen umzusetzen.