“Datenschutz neu” braucht Vorbereitung

Am 4. Mai 2016 wurde die EU-Datenschutz-Grundverordnung („DSGVO“) verlautbart. Auch wenn sie erst am 25. Mai 2018 anwendbar sein wird, sollten sich Unternehmen schon jetzt vorbereiten. Andernfalls drohen empfindliche Strafen von bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes, wie Rechtsanwalt Georg Huber warnt.

Die bisherige Datenschutzrichtlinie von 1995 stammt aus einer Zeit, zu der es Cloud Computing und Unternehmen wie Facebook, Google oder WhatsApp noch nicht gab. Das Datenschutzrecht bedurfte daher einer Modernisierung. Außerdem wollte man den Datenschutz einheitlicher gestalten, da die Richtlinie unterschiedlich umgesetzt worden war.

Die DSGVO gilt für Verarbeitungen personenbezogener Daten in der EU. Sie gilt auch für Unternehmen aus dem EU-Ausland, die in der EU tätig sind. Datenverarbeitungen zu persönlichen Zwecken und behördliche Datenverarbeitungen im Rahmen der öffentlichen Sicherheit sind ausgenommen.

Ausgedehnte Rechte für betroffene Bürger

Die bisherigen Grundpfeiler des Datenschutzes wurden beibehalten. Nach wie vor gelten daher die Prinzipien der Zweckmäßigkeit, Transparenz und Datensparsamkeit. Die Rechte betroffener Bürger wurden jedoch erweitert:

  • Informationsrechte: Unternehmen haben proaktiv in verständlicher Sprache Informationen (z.B. Verarbeitungszweck, Speicherdauer) zu erteilen.
  • Auskunfts- und Berichtigungsrecht: Diese bisher schon bestehenden Rechte wurden ausgeweitet.
  • Recht auf Löschung und „Vergessenwerden“: Neben dem Recht auf Löschung unrichtiger Daten hat ein Verantwortlicher, der Daten veröffentlicht hat (z.B. in Sozialen Netzwerken), auch Dritte von der Löschpflicht zu informieren.
  • Datenportabilität: Auf Verlangen sind Datensätze in maschinenlesbarem Format an Dritte zu übertragen (z.B. Wechsel des Stromanbieters)
  • Profiling: Das sind Datenverarbeitungen zur Bewertung persönlicher Aspekte (z.B. Vorlieben beim Online-Shopping). Hier bestehen erweiterte Informationspflichten, etwa über die involvierte Programmlogik.
  • Widerspruchsrecht: Bei Direktmarketingaktivitäten und einem damit zusammenhängenden Profiling gibt es auch bei rechtmäßiger Datenverarbeitung ein Widerspruchsrecht.

Mehr Pflichten für Unternehmer

Den Unternehmen werden neue, umfangreiche Verpflichtungen auferlegt. Sie haben selbstständig und eigenverantwortlich geeignete technische und organisatorische Maßnahmen zu treffen, um den Anforderungen gerecht zu werden. Datenschutzanmeldungen und das Datenschutzverarbeitungsregister (Stichwort: DVR-Nummer) gehören der Vergangenheit an. Was heißt das nun konkret:

  • Zulässigkeit: Eine Datenverarbeitung ist nur zulässig, wenn die DSGVO dafür eine Grundlage vorsieht (z.B. Einwilligung, Vertragserfüllung).
  • Technischer und organisatorischer Datenschutz: Ein dem Risiko angemessenes Schutzniveau der Datenverarbeitung ist mit technischen und organisatorischen Maßnahmen einzuhalten (privacy by design). Der Anonymisierung und Pseudonymisierung von Daten wird daher vermehrt Bedeutung zukommen. Voreinstellungen, z.B in Sozialen Netzwerken, sind datenschutzfreundlich zu gestalten (privacy by default).
  • Führung eines Verfahrensverzeichnisses: Unternehmen haben ein Verzeichnis der Verarbeitungstätigkeiten zu führen, in dem bestimmte Aspekte (z.B. Zweck, Daten, Empfänger) beschrieben werden. Ausgenommen sind Unternehmen mit weniger als 250 Mitarbeitern, außer sie verarbeiten sensible Daten oder es besteht ein erhöhtes Risiko.
  • Datenschutz-Folgenabschätzung: Birgt eine Datenverarbeitung ein erhöhtes Risiko für die Betroffenen (z.B. beim Profiling), ist eine Abschätzung der Folgen vorzunehmen. Kann dem Risiko nicht durch technische und organisatorische Maßnahmen begegnet werden, ist die Aufsichtsbehörde zu informieren.
  • Datenschutzbeauftragter: Unternehmen mit mehr als 250 Mitarbeitern sowie spezialisierte Datenverarbeitungs-Unternehmen müssen einen Datenschutzbeauftragten bestellen.
  • Meldungen: Schwere Verstöße gegen den Datenschutz sind den Aufsichtsbehörden binnen 72 Stunden zu melden (z.B. Datendiebstahl durch Hacker).

Verschärfte Saktionen

Massiv verschärft wurden die Sanktionen und Strafen bei Datenschutzvergehen. Bußgelder von bis zu vier Prozent des Konzern-Jahresumsatzes oder bis zu 20 Millionen Euro, je nachdem welcher Wert höher ist, sind möglich. Diese Strafdrohungen sind durchaus ernst zu nehmen.

Unternehmen sollten sich schon jetzt mit der EU-Datenschutz-Grundverordnung befassen und entsprechende Umsetzungsarbeiten angehen. Die Maßnahmen benötigen Zeit, die Strafen sind hoch. Ab 25. Mai 2018 ist es zu spät.

Autor: Georg Huber

Dr. Georg Huber, LL.M. ist Rechtsanwalt in der Innsbrucker Kanzlei Greiter Pegger Kofler & Partner und u.a. Lehrbeauftragter der Studiengänge "Management & Recht", "Wirtschaft & Management" sowie "Tourismus" am MCI Management Center Innsbruck.

Diesen Post teilen
X

Ihre Anmeldung für aktuelle Tiroler Wirtschaftsnews – Fast geschafft!

Bitte überprüfen Sie Ihren E-Mail-Eingang. Sie erhalten in Kürze unter der angegebenen E-Mail-Adresse eine Nachricht mit einem Bestätigungslink.
Ein Klick auf den Bestätigungslink schließt die Anmeldung ab.

Sehen Sie gegebenenfalls unter „Werbung“ oder „Spamverdacht“ nach, sollten Sie die E-Mail nicht in Ihrem normalen Posteingang finden.

Jetzt Newsletter abonnieren und regelmäßig personalisierte Tiroler Wirtschaftsnews erhalten!
(Ihre Daten werden vertraulich behandelt und nicht an Dritte weitergegeben)

Bitte warten, Sie werden angemeldet!
Bitte füllen Sie alle Felder aus!