Wer hat Angst vor Datenschutz? Nicht davonlaufen, sondern nachrüsten!

201730.06.

Mit 25. Mai 2018 treten sowohl die europäische Datenschutz-Grundverordnung („DSGVO“) als auch das österreichische Datenschutz-Anpassungsgesetz 2018 („DSAG 2018“) in Kraft. Die Neuerungen bringen neue Grundsätze − privacy by design, privacy by default und erweiterte Rechte der betroffenen Person auf Berichtigung, Löschung, Einschränkung der Verarbeitung und Datenübertragbarkeit, aber auch neue Pflichten für Unternehmer zur Führung eines Verarbeitungsverzeichnisses, Datenschutz-Folgenabschätzung und Bestellung eines Datenschutzbeauftragten.

Was das alles in der Praxis bedeuten kann und welche Maßnahmen Sie schon jetzt treffen sollten, um den – ebenfalls neuen – hohen Strafen von bis zu 20 Mio EUR oder bis zu 4% des weltweiten Jahresumsatzes zu entgehen, lesen Sie hier.

Artikel

 Anmerkung: Sofern in diesem Beitrag Artikelnummern ohne weitere Angabe zitiert werden, betreffen sie die EU-Datenschutzgrundverordnung.

Wen und was betrifft die DSGVO?

Der Anwendungsbereich ist weit: Die DSGVO betrifft jede "Verarbeitung" von "personenbezogenen Daten", die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Ausgenommen sind lediglich Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen, Verarbeitung durch Mitgliedsstaaten selbst unter bestimmten Voraussetzungen und Verarbeitung durch natürliche Personen zu persönlichen oder familiären Zwecken.

Unter "Verarbeitung" versteht man im Prinzip alles, was man mit Daten anstellen kann: das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung (Art 4 Z 2).

"Personenbezogen" sind Daten dann, wenn sie sich auf identifizierte oder identifizierbare natürliche Personen beziehen, also direkt oder indirekt so miteinander verknüpft sind, dass sie durch Zuordnung zu einem Namen, einer Kennnummer, Standortdaten, Online-Kennung oder physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Merkmalen einer individuellen natürlichen Person zugewiesen werden können (Art 4 Z 1).

Jemand, der über die Zwecke und Mittel der Verarbeitung personenbezogener Daten entscheidet, ist ein "Verantwortlicher" (Art 4 Z 7). Auf ihn ist die DSGVO mit all ihren Informations- und sonstigen Pflichten anwendbar, sofern (i) er eine Zweigniederlassung in der EU hat oder (ii) die Verarbeitung personenbezogener Daten Personen betrifft, die sich in der EU befinden, und entweder dazu dient, (a) diesen Personen Waren und Dienstleistungen anzubieten oder (b) deren Verhalten in der EU zu beobachten (Art 3).

Wer Daten im Auftrag eines Verantwortlichen verarbeitet, ist ein "Auftragsverarbeiter" (alter Begriff: "Dienstleister"). Für ihn gelten dieselben Vorschriften wie für Verantwortliche.

Pflichten für Unternehmer

  1. Informationspflicht bei Erhebung personenbezogener Daten (Art 13, 14)

Die umfassende Erweiterung von Informationspflichten bei jeder Erhebung personenbezogener Daten durch den Verantwortlichen nach der DSGVO erfordert eine Überprüfung und allenfalls Anpassung von Vertragsmustern, Formularen, AGB, Datenschutzbestimmungen und Webseiten. Es ist jedenfalls dafür zu sorgen, dass Informationen immer klar und verständlich vor der Datenverarbeitung erteilt werden.

  1. Auskunftspflicht / Auskunftsrecht der betroffenen Person (Art 15)

Das Recht betroffener Personen, jederzeit Auskunft darüber, welche personenbezogenen Daten zu welchem Zweck verarbeitet werden sowie woher diese Daten kommen, zu verlangen, kann in Zukunft formlos geltend gemacht werden. Die Auskunft muss spätestens binnen eines Monats (in komplexen Fällen binnen zwei Monaten) erteilt werden. Um diesen Anforderungen rechtzeitig nachkommen zu können, ist dafür Sorge zu tragen, dass in Zukunft personenbezogene Daten in einer Form abgespeichert werden, die es jederzeit möglich macht, eine Kompilation aller eine bestimmte Person betreffenden Daten ohne größeren Aufwand herzustellen und dem Betroffenen auszuhändigen. Die Auskunft darf nur in eingeschränkten Fällen verweigert werden.

  1. Recht der betroffenen Person zu Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit (Art 16-20)

Betroffene Personen haben weiters in bestimmten Fällen das Recht, die Löschung (Art 17), Einschränkung (Art 18) oder Aushändigung (in einem strukturierten, maschinenlesbaren Format) (Art 20) ihrer Daten zu verlangen. Daten müssen daher in einer Form gespeichert und ihre Verarbeitung (Weitergabe an Dritte) auf eine Art und Weise dokumentiert werden, die es ermöglicht, einerseits zu überprüfen, ob die Voraussetzungen für das von der betroffenen Person eingeforderte Recht vorliegen, andererseits um diesem Recht zu entsprechen. Außerdem soll sichergestellt werden, dass betroffene Personen einen Ansprechpartner im Unternehmen haben. Im Fall der Einschränkung der Verarbeitung von Daten dürfen diese nur noch in speziellen Fällen (wie zur Rechtsdurchsetzung) verwendet werden. Dabei sind alle Empfänger von der Einschränkung zu unterrichten. Das erfordert wiederum ein System, das eine Kenntlichmachung von eingeschränkten Daten möglich macht, um nicht aus Versehen Daten unzulässig weiterzuverarbeiten. Im Fall einer Prüfung durch die Aufsichtsbehörde sollte die Implementierung ausreichender technischer Standards sowie ein Nachweis über vorgenommene Löschungen oder Einschränkungen möglich sein.

  1. Privacy by Design (Art 25)

Schon im Zeitpunkt der Festlegung der Mittel für die Verarbeitung, als auch zum Zeitpunkt der eigentlichen Verarbeitung sind unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art, des Umfangs, der Umstände und dem Zweck der Verarbeitung und den damit verbundenen Risiken Maßnahmen zu treffen, die die Datenschutzgrundsätze wirksam umsetzen und die notwendigen Garantien in die Verarbeitung aufzunehmen, um den Anforderungen der DSGVO zu genügen. Es soll nach Möglichkeit immer die technisch sicherste und bestentwickelte Form der Datenverarbeitung zum Einsatz kommen (Software, Verschlüsselung, etc), wobei Kosten und Praktikabilität allerdings nicht vollkommen außer Acht gelassen werden. Dabei gilt es den Grundsatz der Datenminimierung zu beachten und personenbezogene Daten zu löschen oder zu pseudonymisieren, sofern sie für den erhobenen Zweck nicht mehr benötigt werden und eine Zustimmung zur weiteren Speicherung nicht vorliegt. Die verwendeten Programme sollten höchsten Sicherheitsstandards entsprechen, die Mitarbeiter entsprechend geschult und zur Vertraulichkeit verpflichtet werden.

  1. Privacy by Default (Art 25 Abs 2)

Technische Voreinstellungen sollen die Verarbeitung personenbezogener Daten erst nach aktivem Handeln der betroffenen Person und nur für den generierten Zweck ermöglichen. Privatsphäre-Einstellungen sind so zu gestalten, dass die Grundeinstellung immer lautet "keine Verarbeitung personenbezogener Daten gestattet". Die Einhaltung der Grundsätze des Datenschutzes muss im Fall des Falls nachgewiesen werden können; hierfür gilt es, Strategien festzulegen und Maßnahmen zur Gewährleistung der Grundsätze (Transparenz schaffen, Datenverarbeitung minimieren, Daten pseudonymisieren …) zu implementieren.

  1. Verzeichnis von Verarbeitungstätigkeiten (Art 30)

Zum Nachweis der Einhaltung der DSGVO trifft jedenfalls Unternehmen,

  • die mindestens 250 Mitarbeiter beschäftigen, oder
  • in denen die Datenverarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Person darstellt, oder
  • in denen die Verarbeitung nicht nur gelegentlich erfolgt, oder
  • in denen die Verarbeitung sensibler Daten (rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person) bzw Daten über strafrechtliche Verurteilungen beinhaltet,

eine Aufzeichnungspflicht über alle Verarbeitungsvorgänge. Auf Anfrage der Aufsichtsbehörde muss das schriftlich zu führende Verzeichnis vorgelegt werden und hat die in Art 30 Abs 1 aufgezählten Informationen zu enthalten. Dabei muss zunächst erfasst werden, in welchen Situationen personenbezogene Daten erhoben werden, in einem weiteren Schritt, was mit ihnen geschieht, wo sie gespeichert und wie sie verwendet werden. Interne Prozesse müssen so angepasst werden, dass jede Datenverarbeitung im Verzeichnis erfasst wird.

Da Personalverwaltung, Kundendatenbanken und Finanzverwaltung üblicherweise über "nur gelegentliche" Datenverarbeitung hinausgehen, ist ein solches Verzeichnis auch für Unternehmen mit weniger als 250 Mitarbeitern zu empfehlen. Insbesondere wird jedes Unternehmen, das Dienstnehmer beschäftigt und Lohnverrechnungen durchführt, meistens auch sensible Daten erheben. Zudem dient das Verzeichnis gleichzeitig der Erfüllung der oben genannten Verpflichtungen.

  1. Meldung an die Aufsichtsbehörde und Benachrichtigung der betroffenen Person bei einer Verletzung des Schutzes personenbezogener Daten (Art 33 und 34)

Kommt es zu einem Datenleck, Hackerangriff oder ähnlichem, ist jeder Verantwortliche verpflichtet, dies binnen 72 Stunden ab Bekanntwerden der Verletzung an die Aufsichtsbehörde zu melden, es sei denn das Ereignis führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Die Meldung hat die in Art 33 Abs 3 näher konkretisierten Angaben zu enthalten. In Einzelfällen ist der Betroffene selbst ebenfalls zu informieren. Für Unternehmen bedeutet das, geeignete technische Einrichtungen für eine kontinuierliche Überwachung der Datensicherheit im Unternehmen zu implementieren, um im Fall einer Verletzung sofortige Maßnahmen setzen zu können.

  1. Datenschutz-Folgenabschätzung (Art 35)

Hat eine Datenverarbeitung aufgrund der Art, ihres Umfangs oder der Umstände und des Zwecks der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen, so hat eine Datenschutz-Folgenabschätzung zu erfolgen. Verarbeitungen sind daher in einem ersten Schritt immer auf allfällige Risiken zu prüfen: Können Daten unabsichtlich verloren gehen, öffentlich gemacht werden, unrechtmäßig verarbeitet werden, verfälscht oder sonst beeinträchtigt werden? Besteht ein Risiko für Schäden bei Betroffenen? Sind betraute Mitarbeiter zur Vertraulichkeit verpflichtet und entsprechend geschult? In der Praxis häufig riskante Verarbeitungsvorgänge sind in der Regel: systematisches Profiling natürlicher Personen, das als Grundlage für Entscheidungen dient, die Rechtswirkungen gegenüber diesen Personen entfalten; umfangreiche Verarbeitung besonderer Kategorien personenbezogener Daten (religiöses Bekenntnis, sexuelle Orientierung, Gewerkschaftszugehörigkeit etc) und die systematische Überwachung öffentlich zugänglicher Bereiche.

Die Folgenabschätzung ist nachweislich vorzunehmen und hat insbesondere geplante Verarbeitungsvorgänge, Umfang, Zweck, Notwendigkeit, Risikobewertung und geplante Sicherheitsvorkehrungen zu enthalten. Bei ermitteltem hohem Risiko besteht die Verpflichtung, die Aufsichtsbehörde zu verständigen und ihre Empfehlungen zu befolgen. Es ist anzuraten, für diesen Fall einen Plan vorzusehen und Mitarbeiter entsprechend zu schulen.

  1. Bestellung eines Datenschutzbeauftragten?

Ein Datenschutzbeauftragter ist nach Art 37 neben der jederzeit freiwilligen Bestellung jedenfalls zu bestellen, wenn

  • zur Kerntätigkeit des Unternehmens Verarbeitungsvorgänge gehören, die aufgrund ihrer Art, ihres Umfanges und/oder Zwecks eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder
  • die Kerntätigkeit die umfangreiche Verarbeitung sensibler Daten oder strafrechtliche Daten erforderlich macht.

Der Datenschutzbeauftragte ist weisungsfrei, zur Geheimhaltung verpflichtet und hat die Aufgaben,

  • das Unternehmen und seine Mitarbeiter über deren Pflichten aufzuklären,
  • die Einhaltung der Datenschutzvorschriften zu überwachen,
  • eine Strategie für den Schutz der generierten Daten zu entwickeln, und
  • mit der Aufsichtsbehörde zusammenzuarbeiten.

Der Datenschutzbeauftragte kann grundsätzlich innerhalb des Unternehmens oder in einem externen Unternehmen angestellt sein. Innerhalb eines Konzerns ist ein gemeinsamer Datenschutzbeauftragter möglich, sofern dieser von jeder Konzerngesellschaft aus leicht erreicht werden kann. Bei vertikal integrierten Unternehmen ("VIU"), die energierechtliche Entflechtungsbestimmungen zu beachten haben, ist zusätzlich zu beachten, dass der gemeinsame Datenschutzbeauftragte bei keinem anderen Teil des VIU als beim Verteilernetzbetreiber angestellt sein darf, da sonst die Vertraulichkeitsverpflichtung, das Diskriminierungsverbot und das Verbot der Datenweitergabe nicht gewahrt werden können. Besonders kritisch ist eine Anstellung beim Energielieferanten zu sehen. Zudem darf es über den Datenschutzbeauftragten weder zur Weitergabe wirtschaftlich sensibler Daten an andere Teile des VIU kommen, noch darf in der Öffentlichkeit der Eindruck entstehen, es handle sich bei Teilen des VIU um ein einheitliches Unternehmen, weil für Datenschutzfragen ein und dieselbe Anlaufstelle besteht.

Verfahren und Strafen

Im Fall von Pflichtverletzungen drohen schwere Strafen: Die DSGVO unterscheidet dabei zwischen Strafen von bis zu 10 Mio EUR bzw 2 % des Gesamtjahresumsatzes (je nachdem, welcher Betrag höher ist) ua bei Verletzungen im Bereich der unter Punkt 4, 5, 6, 7 und 8 ausgeführten Verpflichtungen und Strafen von bis zu 20 Mio EUR bzw 4% des Jahresumsatzes ua bei Verletzung der unter Punkt 3 angeführten Verpflichtungen. Daneben drohen auch Schadenersatzansprüche, Beschwerden der Verletzten, Bußgelder und gegebenenfalls Ansprüche nach UWG.