Die ab Mai 2018 innerhalb der Europäischen Union in Kraft tretende Datenschutzgrundverordnung wird Unternehmer zukünftig hinsichtlich ihrer datenschutzrechtlichen Vorkehrungen in Bezug auf die Verarbeitung personenbezogener Daten natürlicher Personen stärker in die Pflicht nehmen. Die Selbstverantwortung bei der Einhaltung der gesetzlichen Bestimmungen steigt. Damit einhergehend werden Unternehmern vermehrt Berichts- und Auskunftspflichten auferlegt. In diesem Artikel verschaffen wir Ihnen einen Überblick über die wichtigsten Punkte der Verordnung, die als Unternehmer beachtet werden sollten.
Der europäische Gesetzgeber hat nach einem mehrjährigen Prozess – mit dem Ziel, ein unionsweit einheitliches Datenschutzniveau zu schaffen – die EU-Datenschutzgrundverordnung (DSGVO) erlassen. Diese tritt am 25. Mai 2018 in Geltung. Die Umsetzung in nationales Recht hat der Nationalrat mit dem Datenschutz-Anpassungsgesetz 2018 am 29. Juni 2017 beschlossen. Dieses tritt ebenso wie die DSGVO am 25. Mai 2018 in Kraft und ersetzt das bisher geltende DSG 2000. Bis zum 25. Mai 2018 muss daher die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten an die neue Rechtslage angepasst werden. Eine manuelle Datenverarbeitung ist von der Verordnung nur dann umfasst, wenn es sich um strukturiert angelegte Daten handelt (z.B. Kundenkartei).
Unter personenbezogenen Daten versteht die DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen wie beispielsweise Name, Geburtsdatum, Standortdaten, sonstige besondere Merkmale etc.. Besonders geschützt sind ferner sensible Daten, zu denen unter anderem genetische und gesundheitsbezogene Daten gehören.
Nicht zuletzt deshalb, weil bei künftigen Datenschutzverletzungen hohe Strafen von bis zu € 20 Mio oder alternativ 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres drohen, werden in der Folge die wesentlichen Änderungen überblicksmäßig dargestellt.
Die DVR-Meldepflicht entfällt. Bisher mussten meldepflichtige Datenanwendungen vor Inbetriebnahme der Anwendung an das Datenverarbeitungsregister (DVR) gemeldet werden. Diese Meldepflicht bei der Datenschutzbehörde wird es zukünftig nicht mehr geben. Stattdessen müssen Unternehmer selbst sicherstellen, dass die gesetzlichen Vorschriften erfüllt werden. Dadurch sind Sie künftig grundsätzlich – bis auf einige wenige Ausnahmen – verpflichtet, selbst ein Verzeichnis über Datenverarbeitungstätigkeiten zu führen. Unternehmen mit 250 oder mehr Mitarbeitern müssen in jedem Fall ein Verzeichnis über ihre Verarbeitungstätigkeiten führen. Der Inhalt entspricht weitgehend den derzeitigen DVR-Meldungen, jedoch trägt die Verantwortung für die Führung dieses Verzeichnisses künftig der Unternehmer. Auf Anfrage der Behörde ist dieses Verzeichnis vorzulegen.
Bei besonders kritischen Datenanwendungen – wenn die Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Pflichten von natürlichen Personen mit sich bringt – ist vor Inbetriebnahme der Anwendung eine Datenschutz-Folgenabschätzung vorzunehmen.
Wenn die Kerntätigkeit des Unternehmens eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht (Profiling), oder diese in der umfangreichen Verarbeitung von sensiblen Daten besteht, so ist die Bestellung eines Datenschutzbeauftragten verpflichtend. Der Datenschutzbeauftragte kann entweder eine unternehmensinterne oder eine unternehmensexterne Person sein, die jedoch bei der Erfüllung ihrer Aufgaben als Datenschutzbeauftragter an keine Weisungen gebunden sein darf.
Zudem sind Unternehmer verpflichtet, geeignete technische und organisatorische Maßnahmen zu ergreifen, um bei der Verarbeitung personenbezogener Daten die Rechte von betroffenen Personen zu schützen (Datenschutz durch Technik und datenschutzfreundliche Voreinstellungen). Darunter fallen zB die Pseudonymisierung oder die Sicherung von personenbezogenen Daten durch Backup-Programme. Es muss auch die Vertraulichkeit der Daten gewährleistet werden. Darunter ist beispielsweise zu verstehen, dass nur jene Personen Zugang zu personenbezogenen Daten bekommen, die diese in Ausführung ihres Auftrages zur Verarbeitung unbedingt benötigen („Auftragsprinzip“).
Bei Verletzungen des Schutzes personenbezogener Daten ist binnen 72 Stunden eine Meldung an die Datenschutzbehörde zu erstatten. Ebenso muss die betroffene Person unter Umständen über die Datenschutzverletzung in Kenntnis gesetzt werden.
Durch die DSGVO werden auch die bisher eher schwach ausgestalteten Betroffenenrechte gestärkt. Betroffene Personen erhalten dadurch ein umfassenderes Auskunftsrecht, sowie ein verschärftes Recht auf Berichtigung, Löschung und Einschränkung der Verarbeitung personenbezogener Daten. Betroffene sind auf deren Verlangen binnen einem Monat darüber zu informieren, von wem, auf welcher Rechtsgrundlage und zu welchem Zweck ihre Daten verarbeitet und an wen sie übermittelt werden. Die Informationspflichten dienen unter anderem dem Zweck, Betroffenen die Möglichkeit zu verschaffen, ihre Rechte entsprechend ausüben zu können. Die Verordnung sieht zudem auch ein Recht auf Schadenersatz bei Datenschutzverletzungen vor.
Unternehmen stehen nunmehr vor der Herausforderung, bis zum Inkrafttreten des neuen Datenschutzrechtes eine umfassende Datenschutz-Compliance durchzuführen. Die gesamten Datenverarbeitungsvorgänge sind zu erheben und auf deren Gesetzeskonformität zu prüfen. Ferner sind Prozessabläufe zur Wahrung der Betroffenenrechte festzulegen und ein Krisenmanagement für den Fall von Datenschutzverletzungen zu erarbeiten. Darüber hinaus werden die gesetzlichen Grundlagen für die Datenverarbeitung zu prüfen sein, da unter Umständen neue Zustimmungserklärungen eingeholt werden müssen. Vertragsgrundlagen und allfällige AGBs sind ebenfalls auf die neue Rechtslage anzupassen. Auch technische und organisatorische Vorkehrungen zum Schutz der Betroffenen sind zu treffen. Schließlich sollten bestehende Versicherungspolizzen auf ausreichende Deckung hinsichtlich Cyberschutz überprüft werden.
Kontakt