Recht
06.02.2017
Artikel drucken

Datenschutzrecht neu

Bedeutung des neuen Regelwerks
Die „digitale Revolution“, „Internet of Things“, „Industrie 4.0“ – allesamt knackige Begriffe. Im Vergleich dazu klingt „Datenschutzgrundverordnung“ doch eher mäßig spannend und altbacken. Zu Unrecht! Denn eines ist allen gemeinsam: Sie werden die IT-Branche über die nächsten Jahre und Jahrzehnte prägen.

Die Datenschutzgrundverordnung (kurz „DSGVO“) wird das bestehende Datenschutzrecht EU-weit umkrempeln und damit die europäische Entwicklung von IoT und Industrie 4.0 wesentlich beeinflussen. Die Auswirkungen sind  enorm – und dementsprechend auch die Bedeutung einer vorausschauenden Vorbereitung auf die kommenden Neuerungen. Entscheidend ist die Grundeinstellung: Die DSGVO-Anpassung und Umsetzung künftiger Projekte wird weder eine reine Angelegenheit der Rechtsabteilung noch eine IT-interne sein – Datenschutz wird Managementsache.

Hintergrund und Einordnung im Überblick
Nach knapp sechsjährigen Verhandlungen wurde die Datenschutzgrundverordnung Mitte April 2016 vom EU-Parlament beschlossen. Sie wird ab 25. Mai 2018 in Geltung sein.

Als EU-Verordnung gilt sie unmittelbar in allen Mitgliedstaaten, sodass sie 28 nationale Datenschutzgesetze durch ein (großteils) einheitliches Regelwerk ersetzt. Österreichisches Datenschutzrecht – das DSG 2000 – wird dann nicht mehr gelten. Der (weitgehende) Wegfall nationaler Gesetzgebung bewirkt gleichzeitig, dass höchstgerichtliche nationale Rechtsprechung durch das Monopol des Europäischen Gerichtshofes (EuGH) ersetzt wird. Darüber hinaus soll die Anwendung des neuen Datenschutzrechts einheitlich und durch europaweit zusammenarbeitende Aufsichtsbehörden erfolgen. Im Hinblick auf die vielen schwammigen Formulierungen der DSGVO darf man darauf gespannt sein.

Ziel ist eine Aktualisierung und Modernisierung des Datenschutzrechts. Inhaltlich baut die DSGVO auf der bisherigen Datenschutz-Richtlinie auf. Das Rad wurde also nicht neu erfunden – die Neuerungen haben es aber in sich:

Die wichtigsten Neuerungen
  • Die DSGVO schafft weitgehend einheitliche Datenschutzregeln für die gesamte EU. Damit gelten gleiche Bedingungen für alle EU- und Nicht-EU-Unternehmen, die Waren und Dienstleistungen in der EU anbieten. Dadurch sollen Wettbewerbsvorteile durch großzügigere Datenschutzvorschriften in einzelnen Mitgliedstaaten ausgeschaltet werden.
  • Neue Terminologie: Aus „Auftraggeber“ wird „für die Verarbeitung Verantwortlicher“ (engl. schlicht „controller“). Aus „Dienstleister“ wird „Auftragsverarbeiter“. Der einheitliche Begriff der „Verarbeitung“ fasst nun die bisherigen Differenzierungen „Verarbeitung“, „Verwendung“ sowie „Überlassung“ und „Übermittlung“ zusammen. Sensible Daten werden zu „besonderen Kategorien“ personenbezogener Daten und umfassen neben den bisher bekannten Arten sensibler Daten (z.B.: Gesundheit, Religion, Sexualleben, Gewerkschaftszugehörigkeit) nunmehr auch „genetische Daten“ und „biometrische Daten“. Die Verarbeitung derartiger Daten ist besonderen Beschränkungen unterworfen.
  • Ob Personenbezug – Identifizierbarkeit – vorliegt und die DSGVO anwendbar ist, hängt von den Identifizierungsmöglichkeiten des Verantwortlichen ab: Abgestellt wird auf „wahrscheinlich genutzte Mittel“, verfügbare Technologien und den erforderlichen Kosten- & Zeitaufwand. Die DSGVO ist ausdrücklich auch auf IP-Adressen, Cookies und Logfiles anwendbar.
  • Es drohen erhebliche Strafen von bis zu EUR 20 Millionen oder 4% des konzernweiten Jahresumsatzes, wobei der jeweils höhere Wert gilt und fast alle DSGVO-Pflichten strafbewehrt sind. Sanktionen gelten für „Verantwortliche“ und für „Auftragsverarbeiter“! Selten erwähnt, aber ebenso relevant sind die zahlreichen „gelinderen“ Untersuchungs- und Abhilfebefugnisse der Behörden: Einsichtnahme vor Ort, Anweisungen, Beschränkung und Aussetzung von Datentransfers, Berichtigung und Löschung von Daten.
  • Einwilligung: Voraussetzungen für wirksame Zustimmungserklärungen wurden verschärft. Das gilt vor allem, wenn die Zustimmung auch für die Verarbeitung von solchen Daten gegeben wird, die nicht zur Vertragserfüllung notwendig sind. Die Praxis muss mit neuen Zustimmungserklärungen reagieren oder die Verarbeitungen selbst umgestalten – es gilt: Die Einwilligung ist kein „Allheilmittel” mehr.
  • Die Neuerungen (samt aller Sanktionsmöglichkeiten) gelten für alle Unternehmen, nicht nur für die digitale Wirtschaft. Es gibt keine Ausnahmen für KMU.
  • Wesentliche Erweiterungen der Betroffenenrechte, unter anderem:
    • Massiv erweiterte Informationspflichten: Der „Verantwortliche“ hat die Betroffenen proaktiv und detailliert zu informieren über die von ihm verarbeiteten Daten des Betroffenen, deren Zwecke, Speicherdauer, Empfänger und Rechtsgrundlagen.
    • „Privacy by Default“: Verpflichtung zu datenschutzfreundlichen Voreinstellungen (Stichwort soziale Netzwerke). Der „Verantwortliche“ ist zusätzlich verpflichtet sicherzustellen, dass nur so viele Daten, wie für die Zweckerreichung erforderlich sind, verarbeitet werden.
    • „Privacy by Design“: Datenschutz soll von Beginn der Systementwicklung an „mitgedacht“ und durch geeignete technische und organisatorische Maßnahmen implementiert werden. Hauptziel: Datenminimierung, z.B. durch Pseudonymisierung.
    • „Data Breach Notification“: Bei Datenmissbrauch oder -verlust muss spätestens 72 Stunden nach Kenntnis die Datenschutzbehörde informiert werden. Diese Information muss bereits umfangreiche und detaillierte Informationen über Art und Tragweite des Data Breach enthalten! Teilweise kommt eine unmittelbare Verständigungspflicht an Betroffene hinzu.
  • Risikobasierter Ansatz: Pflicht des „Verantwortlichen“, geeignete Sicherheitsmaßnahmen zu treffen, die dem Risiko entsprechen, das mit den Datenverarbeitungsvorgängen verbunden ist. Neue Verpflichtungen in diesem Zusammenhang:
    • Verpflichtende Bestellung eines Datenschutzbeauftragten bei Verarbeitung durch öffentliche Einrichtungen, sowie für Unternehmen, die sensible Daten in großem Umfang verarbeiten oder Massendatenverarbeitung durchführen. Dies gilt unabhängig von der Größe des Unternehmens, also auch für Klein- und Mittelbetriebe, wenn sie derartige Verarbeitungen durchführen.
    • „Datenschutz-Folgeabschätzung“ („Data Protection Impact Assessment“, kurz „DPIA“) bei besonders heiklem Anwendungsbereich und Technologieeinsatz von Datenverarbeitungen – betrifft v.a. Profiling und Verarbeitung von sensiblen Daten, ohne vorab erfolgter Bestandaufnahme, nicht möglich.
  • One-Stop-Verfahren als Erleichterung für international operierende Unternehmen: Verpflichtungen in Bezug auf Datenverarbeitungen in unterschiedlichen Mitgliedstaaten durch mehrere Konzernunternehmen können bei der Datenschutzbehörde der Konzernhauptniederlassung erfüllt werden.
  • Internationaler Datentransfer: Wie bisher kompliziert – neu hinzugekommene Möglichkeiten: Standardvertragsklauseln, die von nationalen Datenschutzbehörden genehmigt und der EU-Kommission akzeptiert wurden; einmal genehmigte Verhaltensregeln („Code of Conduct“) und Zertifizierungsmechanismen. Bestehende Genehmigungen nationaler Datenschutzbehörden bleiben gültig – Vorarbeit ist also möglich (und ratsam).

ADV-Rechtstag 2017
Im Rahmen des ADV-Rechtstags 2017 wird Herr Mag. Jakob Geyer (aringer herbst winklbauer rechtsanwälte) diese Fülle an Neuerungen näher beleuchten. Im Fokus steht dabei ein Aspekt, der fast alle Datenverarbeitungen betreffen wird: Die gängige Einwilligungs-Praxis wird auf den Kopf gestellt. Unter der DSGVO wird ein bloßes „Weitermachen wie bisher“ rechtswidrig sein; dann drohen die erwähnten, empfindlich erhöhten Geldstrafen und Abhilfemaßnahmen. In dem Vortrag erfahren Sie, worauf Unternehmer besonders achten müssen um rechtskonform Daten zu verarbeiten und welche Möglichkeiten es zur praxistauglichen Umsetzung gibt.

Der diesjährige ADV-Rechtstag findet am 30.03.2017 im Euro Plaza, Gebäude G, Am Euro Platz 2, 1120 Wien statt. Auch heuer präsentieren wieder hochqualifizierte ReferentInnen einen breiten Mix der aktuell heißesten IKT-Rechtsthemen. Ich lade Sie ein, an den spannenden Diskussionen und am regen Erfahrungsaustausch teilzunehmen.

Nähere Informationen entnehmen Sie unserer Website unter: www.adv.at/events.

Wir freuen uns auf Ihr Kommen!
ADV auf Xing
ADV auf Facebook
© 2015, ADV Arbeitsgemeinschaft für Datenverarbeitung