DSGVO - Was Sie über die europäische Datenschutzgrundverordnung wissen sollten!

Am 25.5.2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Die DSGVO, welche oft als GDPR (General Data Protection Regulation) bezeichnet wird, stellt den europäischen Datenschutz auf neue Beine. Die für Entscheidungsträger wohl wichtigste Änderung: der Strafrahmen für Verstöße gegen das Datenschutzrecht erhöht sich von derzeit maximal EUR 25.000,00,- auf maximal zwanzig Millionen Euro oder 2 % des weltweiten Jahresumsatzes. Dadurch soll das Thema Datenschutz insbesondere auch von internationalen Großkonzernen ernst genommen werden, bei denen die derzeitigen Strafdrohungen oftmals dazu führten, dass notwendige datenschutzrechtliche Maßnahmen auf Grund des geringen wirtschaftlichen Risikos nicht oder nur zum Teil umgesetzt worden sind.

Ein Artikel von Mag. Gerold Pawelka-Schmidt, CMC

Was verändert sich durch die DSGVO?

Die datenschutzrechtlichen Grundsätze ändern sich nur im Detail. Auch in Zukunft dürfen personenbezogene Daten, also alle Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen, nur rechtmäßig, nach Treu und Glauben, für festgelegte Zwecke („Zweckbindungsprinzip“) und im angemessenen und notwendigen Umfang („Prinzip der Datenminimierung“) verarbeitet werden. Darüber hinaus müssen Auftraggeber, welche in Zukunft als „Verantwortliche“ bezeichnet werden, die Integrität und Vertraulichkeit der von ihnen verarbeiteten personenbezogenen Daten sicherstellen, d.h. wie bisher Datensicherheitsmaßnahmen einhalten.
In anderen Bereichen kommt es aber zu deutlichen Änderungen. Insbesondere wird ein Datenschutzbeauftragter (zum Teil verpflichtend) eingeführt, das öffentliche Datenverarbeitungsregister - in dem Auftraggeber grundsätzlich alle von ihnen betriebenen Datenanwendungen eintragen mussten - wird durch ein intern zu führendes Verfahrensverzeichnis ersetzt und bei kritischen Datenverarbeitungen ist eine datenschutzrechtliche Folgeabschätzung durchzuführen bzw. allenfalls sogar die Datenschutzbehörde zu konsultieren.

Was bedeutet das im Detail?

 Der Datenschutzbeauftragte:

Bislang war der Datenschutzbeauftrage in Österreich rechtlich nicht geregelt. Es war lediglich möglich, die verwaltungsstrafrechtliche Verantwortlichkeit für verwaltungsrechtliche Verstöße ‑ und damit auch für Verstöße gegen das Datenschutzrecht ‑ auf verwaltungsstrafrechtlich „verantwortliche Beauftrage“ zu übertragen (§ 9 Abs. 2 Verwaltungsstrafgesetz 1991). Die Datenschutzgrundverordnung definiert nun die Aufgaben sowie die Rechte und Pflichten des Datenschutzbeauftragten. Der Datenschutzbeauftrage kann freiwillig bestellt werden, er ist aber für Behörden und öffentliche Stellen (auch für die Justizverwaltung, nicht aber für Gerichte im Rahmen ihrer richterlichen Tätigkeit) verpflichtend.

Ebenso verpflichtend ist er für all jene Verantwortliche, deren Kerntätigkeit darin besteht, entweder Verarbeitungsvorgänge durchzuführen, eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erfordert, oder umfangreich besondere Kategorien von Daten (bislang sensible Daten) oder personenbezogene Daten über strafrechtliche Verurteilungen und Straftaten zu verarbeiten. Zu denken ist dabei beispielsweise an Detekteien und private Gesundheitsdienstanbieter.

Als Datenschutzbeauftrage kommen sowohl Mitarbeiter als auch externe Dienstleister in Frage. Sie können grundsätzlich auch gemeinsam für mehrere Behörden oder für mehrere Unternehmen einer Unternehmensgruppe bestellt werden. Datenschutzbeauftragte sind in ihrer Tätigkeit weisungsfrei, berichten der obersten Managementebene, müssen fachlich geeignet sein, mit den erforderlichen Ressourcen ausgestattet werden und die für ihre Tätigkeit erforderlichen Informationen erhalten.

Da es die Einführung der Datenschutzgrundverordnung für Verantwortliche erforderlich macht, ihre datenschutzrechtlichen Prozesse (wohl im Zuge eines Datenschutzprojekts) zu evaluieren, empfiehlt es sich, in dabei einem ersten Schritt festzustellen, ob ein Datenschutzbeauftragter erforderlich ist und allenfalls ihn bereits mit der Projektplanung und Abwicklung zu betrauen.

 Das interne Verfahrensverzeichnis

Die zum Teil langwierigen Registrierungen von Datenanwendungen, man denke nur an die zum Teil mehrmonatigen Wartezeiten bei der Registrierung von vorabkontrollpflichtigen Datenanwendungen, sind mit in Kraft treten der Datenschutzgrundverordnung Geschichte. Sie werden durch interne Verfahrensverzeichnisse ersetzt, die aber nicht nur von Verantwortlichen, sondern auch von Auftragsverarbeitern (derzeit Dienstleister) zu führen sind. Der Inhalt der Verfahrensverzeichnisse entspricht dabei im Wesentlichen dem Inhalt der bisherigen Meldungen an die Datenschutzbehörde. Anzuführen sind der Name des Verantwortlichen, der Zweck der Verarbeitung, eine Beschreibung der Kategorien der betroffenen Personen und personenbezogenen Daten, die Übermittlungsempfänger, Informationen zu etwaigen internationalen Datenexporten und eine allgemeine Beschreibung der technischen und organisatorischen Sicherheitsmaßnahmen. Neu hinzu kommt die Verpflichtung, die vorgesehenen Fristen für die Löschung der einzelnen Datenkategorien zu dokumentieren.

 

Die Einführung der Verfahrensverzeichnisse reduziert zwar den Verwaltungsaufwand der Verantwortlichen und der Behörde, da aber die Behörde die einzelnen Datenverwendungen nicht mehr prüft, steigt somit auch das Risiko der Verantwortlichen, unrichtige oder unvollständige Angaben zu ihren Datenanwendungen zu machen. In Verbindung mit den hohen Strafdrohungen wird Verantwortlichen dazu geraten, ihre Verfahrensverzeichnisse besonders sorgfältig zu prüfen.

 Die Datenschutzfolgeabschätzung

Stellt eine Verarbeitung personenbezogener Daten voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen dar, haben Verantwortliche vorab eine Abschätzung der Folgen der Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen (Datenschutz-Folgeabschätzung). Die Datenschutzbehörde kann dabei eine Liste von Verarbeitungsvorgängen erstellen, für die dann eine Datenschutz-Folgeabschätzung vorgenommen werden muss. Datenschutz-Folgeabschätzungen haben unter anderem eine Bewertung der Risiken und eine Aufstellung der zur Bewältigung dieser Risiken geplanten Abhilfemaßnahmen zu enthalten. Bestätigt sich die Annahme des hohen Risikos, hat der Verantwortliche vor der Verarbeitung die Datenschutzbehörde zu konsultieren. Bei besonderes kritischen Datenanwendungen bleibt daher - über den Umweg der Datenschutz-Folgeabschätzung - die bisherige Vorabkontrolle von Datenanwendungen erhalten. Auch in Zukunft muss daher bei der Einführung von neuen kritischen Datenverarbeitungen die durch die Einschaltung der Behörde bedingte zeitliche Verzögerung berücksichtigt werden.

 
Fazit

Auch wenn sich die Grundsätze des Datenschutzrechts nicht wesentlich ändern, gibt es für Verantwortliche bis zum 25.5.2018 einiges zu tun. Alle Datenverarbeitungen sind (auch von Auftragsverarbeitern / Dienstleistern) neu zu evaluieren und zum Teil inhaltlich und/oder formell anzupassen. Für Unternehmen die sich bereits bislang mit Datenschutz beschäftigt haben, wird sich der Aufwand in Grenzen halten, weil sie auf den größten Teil der bisherigen Arbeit zurückgreifen können. Für Verantwortliche die sich bislang noch kaum oder unzureichend mit Datenschutz beschäftigt haben, wird die Zeit allerdings bereits sehr knapp, weil – wie unsere Erfahrung zeigt - die größte (zeitliche) Herausforderung gerade darin besteht, herauszufinden, wo, welche Daten, in welcher Form und aus welchem Grund verarbeitet werden.

Wien, 20.12.2016

Sie suchen nach einem effizienten Produkt, dass Sie bei der Umsetzung der DSGVO unterstützt? 

Wir beraten Sie gerne, vergleichen unterschiedliche Hersteller-Angebote und finden die beste Lösung für Ihr Unternehmen!

Vereinbaren Sie einen unverbindlichen Termin mit:

Raphael Krappen

Fachvertrieb

Bleiben Sie informiert!

Folgen Sie COMPAREX für regelmäßige Updates und Artikel!

 Folgen Sie uns auf LinkedIn

 Folgen Sie uns bei Xing

Mehr zum Autor

Mag. Gerold Pawelka-Schmidt, CMC ist Rechtsanwalt und Partner bei Preslmayr Rechtanwälte OG und hat sich unter anderem auf Datenschutzrecht fokussiert.