Österreich
Secure Your Business
 

EU-Datenschutz „ante portas“

 

Ab Mai 2018 gilt die neue EU-DSGVO in allen Mitgliedsstaaten. Die wichtigsten Neuerungen im Überblick von Dr. Markus Frank.

 

CIS-Newsletter Juni 2016 - Die Europäische Union meint es jetzt offensichtlich ernst. Aus dem „zahnlosen Datenschutz-Papiertiger“ wurde mit der neuen EU-Datenschutzgrundverordnung (EU-DSVGO) eine ernstzunehmende Bedrohung für Datenschutz-Sünder – mit Geldbußen bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes! Daneben drohen Schadenersatzpflichten und diverse Zwangsmaßnahmen bis hin zum Verbot der Datenverarbeitung. Angesichts aktueller Mega-Trends wie Big Data oder Cloud Computing gewinnt die neue EU-DSGVO zusätzlich an Brisanz.


Nationale Änderungen
Die EU-DSGVO wird mit 25. Mai 2018 unmittelbare Wirkung in den Mitgliedsstaaten haben und bedarf daher keiner weiteren nationalen Vorschrift. Allerdings können die Mitgliedsstaaten mit einer nationalen Vorschrift manche Regeln der EU-DSGVO abändern, etwa zum Schutz der öffentlichen Sicherheit oder wegen wirtschaftlicher Interessen (auch im Währungs- oder Steuer-Bereich). Mit Spannung können solche Änderungen in den einzelnen Mitgliedsstaaten erwartet werden; ebenso die Rechtsprechung zur Auslegung einiger undeutlicher Formulierungen in der EU-DSGVO. Dann wird sich die tatsächliche Schärfe der Datenschutzgrundverordnung zeigen.02_Waage


Wichtige Neuerungen im Überblick
Der Entwurf sieht gegenüber der bisherigen Österreichischen Rechtslage zahlreiche neue oder neu geregelte Pflichten vor, von denen nur hier einige wichtige hervorgehoben werden können: Die EU-DSGVO dient dem Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Wichtige Neuerungen finden sich gleich zu Beginn, unter GRUNDSÄTZE der Verarbeitung personen-bezogener Daten in Kapital 2 der Verordnung: Der Zweck der Datenverarbeitung ist zu definieren und im Falle von Änderungen sind eine angemessene Verschlüsselung oder Pseudonymisierung als Schutzmaßnahme zu prüfen. Sensible Daten von Mitarbeitern dürfen im Arbeitsverhältnis nur mehr durch spezielles Fachpersonal unter besonderer Geheimhaltungspflicht verarbeitet werden. Auch genetische und biometrische Daten gelten künftig als sensible Daten.


Unter RECHTE DER BETROFFENEN (Kapitel 3) werden deren Auskunfts- und Widerspruchsrechte (gegen Profiling, Direktwerbung etc.) gestärkt und ein Recht auf Vergessenwerden geregelt. Auch kann die Herausgabe von Daten in elektronischer Form und die Übertragung auf andere Auftraggeber gefordert werden. Kinder erhalten besonderen Schutz, u.a. im Verkehr mit Diensten der Informationsgesellschaft. Alternativ zur Löschung von Daten ist eine Einschränkung der Verarbeitung möglich. Profiling in Zusammenhang mit sensiblen Daten ist grundsätzlich unzulässig, was vor allem auch für Big-Data-Anwendungen wichtig ist. Sehr detailliert sind die Informations- und Mitteilungspflichten der Auftraggeber und Dienstleister - mit zahlreichen Ausnahmeregelungen. Besonders Kapitel 3 bietet umfangreiche Änderungsmöglichkeiten für Mitgliedsstaaten.


Die RECHTE UND PFLICHTEN DER AUFTRAGGEBER UND DIENSTLEISTER regelt Kapitel 4. Daten-schutzbeauftragte sind zu bestellen, wenn die Kerntätigkeit eine umfangreiche Beobachtung von Betroffenen erfordert oder bei umfangreicher Verarbeitung sensibler Daten. Behörden (ausgenommen Gerichte) müssen jedenfalls Datenschutzbeauftragte bestellen. Der Datenschutzbeauftragte kann Angestellter oder extern Beauftragter sein. Er ist nicht weisungsgebunden, berichtet direkt dem höchsten Management, schult Mitarbeiter, überwacht die Einhaltung der Datenschutzvorschriften und genießt speziellen Kündigungsschutz. Eine Risikoabschätzung hinsichtlich der persönlichen Rechte und Freiheiten Betroffener ist vorge-schrieben, ebenso der Einsatz geeigneter technischer und organisatorischer Schutzmaßnahmen, welche überprüft und optimiert werden müssen. Bei hohem Risikopotenzial ist eine Datenschutz-Folgeabschätzung vorgeschrieben – etwa bei Profiling, Verarbeitung von Gesundheits- oder Strafre-gisterdaten, Überwachung öffentlicher Räume. Bei hohem Risiko mit unzureichendem Schutz ist die Datenschutzbehörde vor Beginn der Verarbeitung zu konsultieren.


Nachweise in Anmelde- und Überprüfungsverfahren
Eine besondere Bedeutung für den Datenschutz werden anerkannte Zertifizierungen erlangen. Denn nicht die Behörden müssen Mängel oder Fehler nachweisen. Vielmehr müssen die Auftraggeber oder Dienstleister in Anmelde- und Überprüfungsverfahren ausreichende Schutzmaßnahmen nachweisen. Als Nachweis für die angemessene Erfüllung der Schutzpflichten kann ausdrücklich ein genehmigtes Zertifizierungsverfahren herangezogen werden. Welche Zertifizierungen – auch im Rahmen der ISO-Normen – als anerkannt gelten, 01_27001_voll_smallwird in den kommenden Monaten definiert. Der Auftraggeber darf demnach nur solche Dienstleister beauftragen, die hinreichende Garantien für die Einhaltung des Datenschutzes bieten.

Zum Nachweis dieser hinreichenden Garantien können wiederrum die genehmigten Zertifizierungsverfahren herangezogen werden (siehe Art. 26, 2aa). Vereinfachungen sind dadurch unter anderem für die Datenübermittlung ins Ausland und die Datenüberlassung an ausländische Dienstleister zu erwarten. Daneben sollen praxisbezogene Verhaltensregeln genehmigt werden.


Geldbußen in Millionenhöhe
Geldbußen bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Jahresumsatzes können verhängt werden bei Verstoß gegen Betroffenenrechte, gegen Übermittlungsvorschriften oder gegen die Grundsätze der Verarbeitung personenbezogener Daten. Bis zu 10 Mio. Euro oder 2 Prozent des weltweiten Jahresumsatzes drohen bei Verletzung anderer Pflichten der Auftraggeber und Dienstleister, etwa in Zusammenhang mit der Risiko- und Folgeabschätzung. Geldbußen sollen verhältnismäßig und abschreckend sein. Als ein Kriterium für die Verhängung einer Geldbuße und deren Höhe nennt die Verordnung u.a. den „Grad der Verantwortung des Auftraggebers oder Dienstleisters unter Berück-sichtigung der von Ihnen getroffenen technischen und organisatorischen Schutzmaßnahmen.“
Für den Ersatz materieller oder moralischer Schäden von Betroffenen haften Auftraggeber und Dienstleister. Von mehreren Schädigern haftet jeder für den gesamten Schaden. Von der Schadener-satzhaftung muss man sich gemäß Beweislastumkehr freibeweisen, nämlich dass man in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist. Besondere Rele-vanz wird den genehmigten Zertifizierungsverfahren daher auch in Strafverfahren und in Schadenersatzprozessen gegen Auftraggeber und Dienstleister zukommen.

 

Rechtsanwalt Dr. Markus Frank, LLM, fungiert im Rahmen einer Spezialisierung im Datenschutzrecht u.a. als Beirat der Zertifizierungsorganisation CIS sowie als Trainer für die ISO-27001-Lehrgänge.

 

_____________________________________
Für Inhalte im CIS-Newsletter verantwortlich:
CIS - Certification & Information Security Services GmbH, T +43 (0)1 532 98 90, office@cis-cert.com
 

 
 
CIS - Certification & Information Security Services GmbH T +43 (0)1 532 98 90 office@cis-cert.com Impressum

AGB