DEUTSCH
ENGLISH

NEWS

< Marmorplatten: Wer zahlt die Sanierung?
06.07.2017 13:19 Alter: 7 yrs
Kategorie: LEGAL NEWS

Neuheiten der Datenschutz – Grundverordnung (DSGVO)

Die Datenschutz-Grundverordnung (DSGVO) trat am 24.05.2016 in Kraft und wird ab 25.05.2018 auch in Österreich unmittelbar anwendbar sein. Bis dahin ist das derzeit geltende Datenschutzgesetz (DSG 2000) weiterhin anzuwenden.

1. Geltung & Zielsetzung

Durch die DSGVO soll das Datenschutzrecht der EU-Mitgliedsstaaten harmonisiert werden. Gleichzeitig räumt sie den Mitgliedsstaaten in bestimmten Punkten Regelungsspielräume ein. Dazu enthält die DSGVO sogenannte Öffnungsklauseln, wodurch die nationalen Gesetzgeber die Möglichkeit erhalten, die Vorgaben der Verordnung zu konkretisieren bzw. teilweise sogar Sondervorschriften vorzusehen.

Es ist daher damit zu rechnen, dass nationale Gesetze die Einführung der DSGVO in den österreichischen Rechtsbestand begleiten bzw. näher ausgestalten werden. Solche Gesetze liegen derzeit noch nicht vor. Ein Entwurf des „Datenschutz-Anpassungsgesetzes“ befindet sich derzeit in Begutachtung. Das in Zukunft zu beachtende Datenschutzrecht ist daher im Ergebnis noch nicht bis ins letzte Detail bekannt.

Nachdem die DSGVO in wesentlichen Punkten jedoch Mindeststandards festlegt und als EU-Recht nationalem Recht grundsätzlich vorgeht, ist nicht mit einem grundlegenden Abweichen von der DSGVO zu rechnen, sodass mit dem durch die DSGVO notwendig gewordenen Umstellungsprozess bereits jetzt begonnen werden kann bzw. sogar begonnen werden muss.

Schutzgegenstand der DSGVO sind weiterhin personenbezogene Daten. Das sind nach der DSGVO alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.

Einige wichtige Neuerungen der DSGVO sollen im Folgenden kurz dargestellt werden.

2. Höhere Strafen

Einen Grund, warum die DSGVO derzeit in aller Munde ist, stellen mit Sicherheit deren Sanktionsbestimmungen dar. Die DSGVO sieht Geldstrafen vor, die sich ihrer Höhe nach deutlich von jenen, die nach derzeit geltender Rechtslage verhängt werden können, abheben.

Bestimmte Verstöße können mit Geldbußen von bis zu EUR 20 Mio oder im Fall eines Unternehmens von bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs geahndet werden (Artikel 83 Abs 5 DSGVO). Andere Verstöße können mit Geldstrafen von bis zu EUR 10 Mio oder 2% des gesamten weltweit erzielten Jahresumsatzes sanktioniert werden.

Dabei hat vor allem für Konzerne der Unternehmensbegriff der DSGVO weittragende Bedeutung: Unternehmen im Sinn der DSGVO sind grundsätzlich sämtliche Einheiten, die eine wirtschaftliche Tätigkeit im weitesten Sinn ausüben. Eine Muttergesellschaft kann zum Beispiel gemeinsam mit ihrer Tochtergesellschaft eine solche wirtschaftliche Einheit bilden. Für einen Datenschutzverstoß der Tochtergesellschaft könnte dann auch die Muttergesellschaft haftbar gemacht werden und deren (weltweiter) Jahresumsatz der Strafhöhe zugrunde gelegt werden. Für Konzernunternehmen besteht demnach ein erhebliches Risiko, aufgrund einer Datenschutzverletzung einer Tochtergesellschaft, eine exorbitant hohe Geldbuße bezahlen zu müssen.

Hinzutritt, dass im österreichischen Verwaltungsstrafrecht das Kumulationsprinzip gilt. Danach werden Strafen für jede Tat nebeneinander verhängt und somit addiert. Dies gilt auch, wenn durch eine Tat mehrere Bestimmungen übertreten wurden. Im schlimmsten Fall droht daher eine Gesamtstrafe, die die genannten Strafsätze deutlich übersteigt.

Die DSGVO normiert zwar grundsätzlich eine Behördenzuständigkeit für die Verhängung dieser Strafen. Angesichts der Strafhöhe ist jedoch fraglich, ob nicht der österreichische Gesetzgeber eine Gerichtszuständigkeit im Zusammenhang mit der Sanktionierung von Datenschutzverstößen vorsehen sollte. Verfassungsrechtliche Erwägungen sprechen jedenfalls dafür.

3. Erweiterte Betroffenenrechte

Nach der Zielsetzung der DSGVO sollen betroffene Person über die Existenz des Verarbeitungsvorgangs und dessen Zwecke informiert werden. Eine faire und transparente Datenverarbeitung ist vom Verantwortlichen zu gewährleisten. Dies soll insbesondere durch folgende Vorgaben gewährleistet werden:

  • Informationspflichten: Den für eine Datenverarbeitung Verantwortlichen treffen gegenüber den Betroffenen Informationspflichten, die im Vergleich zur derzeitigen Rechtslage erheblich erweitert wurden. Diese variieren abhängig davon, ob die personenbezogenen Daten direkt beim Betroffenen eingehoben werden oder ob diese von anderer Seite stammen. Danach richtet sich auch der Zeitpunkt, bis zu welchem den Informationspflichten entsprochen werden muss. Informationspflichten bestehen insbesondere bei der Erhebung von Daten aber auch beim Erhalt oder der Weitergabe von Daten.
  • Auskunftsrecht: Der Betroffene hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihn betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, hat er ein Recht auf Auskunft, um welche personenbezogenen Daten es sich dabei handelt. Ein Auskunftsbegehren ist unverzüglich zu beantworten, spätestens aber innerhalb eines Monats. Im Verweigerungsfall besteht ein Beschwerderecht des Betroffenen bei der Datenschutzbehörde. Eine Auskunftsverweigerung ist nur unter bestimmten Umständen zulässig.
  • Recht auf Löschung („Recht auf Vergessenwerden“): Betroffenen kommen erweiterte Rechte zu, die Löschung (sowie die Berichtigung) sie betreffender personenbezogener Daten zu fordern. Einem Löschungsanspruch haben Verantwortliche unverzüglich zu entsprechen. Für Verantwortliche kann damit ein erheblicher (administrativer) Mehraufwand verbunden sein, als im Löschungsfall eine Verpflichtung bestehen kann, andere diese Daten verarbeitende Verantwortliche über das Löschungsbegehren zu informieren.

Verstöße gegen die Betroffenenrechte können mit der oben genannten Maximalstrafe (Geldbußen von bis zu EUR 20 Mio oder bis zu 4% des weltweiten Jahresumsatzes) geahndet werden. Datenschutzrechtliche Compliance sollte daher (auch) in diesen Punkten höchste Priorität haben!

4. Verpflichtender Datenschutzbeauftragter?

Eine generelle Verpflichtung zur Bestellung eines Datenschutzbeauftragten sieht die DSGVO nicht vor; nur in bestimmten Fällen besteht eine Verpflichtung dazu: Unternehmen haben einen Datenschutzbeauftragten zu benennen, wenn ihre Kerntätigkeit in der Durchführung bestimmter Verarbeitungsvorgänge liegt. Wann von einer solchen Kerntätigkeit auszugehen ist, normiert die DSGVO nicht. Im Einzelfall können sich daher schwierige Abgrenzungsfragen stellen. Eine Klärung ist jedoch wesentlich: Bei Verstößen gegen die Bestimmungen der DSGVO über den Datenschutzbeauftragten können Geldbußen von bis zu EUR 10 Mio oder bis zu 2% des weltweiten erzielten Jahresumsatzes verhängt werden.

Ein Datenschutzbeauftragter ist nicht verantwortlicher Beauftragter im Sinne des Verwaltungsstrafgesetzes. Somit kann es trotz Bestellung eines Datenschutzbeauftragten zur (persönlichen) Haftung der nach außen vertretungsbefugten Organe (etwa: Geschäftsführer, Vorstand) für Datenschutzverletzungen kommen.

5. Datenschutz durch Technik („Privacy by design“) / Datensicherheit

Durch geeignete technische und organisatorische Maßnahmen ist sicherzustellen, dass nur so viele Daten verarbeitet werden, wie es der konkrete Verarbeitungszweck erfordert; zu denken ist etwa an die Pseudonymisierung oder Verschlüsselung von personenbezogenen Daten, datenschutzfreundliche Voreinstellungen von Programmen, laufende Sicherheitsupdates, insbesondere aber auch das Minimieren von Datenverarbeitungen überhaupt. Datenverwendungen sind auf das notwendige Ausmaß zu reduzieren! Ebenso ist ein angemessenes Niveau an Datensicherheit zu gewährleisten. Diese Vorgaben werden bereits bei der Planung einer Datenverarbeitung bzw. bei der Produktentwicklung - auch in (IT)-technischer Hinsicht - zu berücksichtigen sein.

Verstöße gegen diese Vorgaben können mit Geldbußen von bis zu EUR 10. Mio bzw. bis zu 2% des gesamten weltweit erzielten Jahresumsatzes bestraft werden. Wurden technische und organisatorische Maßnahmen im obigen Sinn getroffen, kann dies bei einer dennoch verhängten Geldbuße strafmildernd in Anschlag gebracht werden, sodass auch vor diesem Hintergrund der Umsetzung von privacy by design und Datensicherheitsmaßnahmen wesentliche Bedeutung zukommt.

6. Pflichten bei einem Datenmissbrauch

Kommt es zu einer Datenpanne (Data Breach), die den Schutz personenbezogener Daten gefährdet, ist dieser Umstand unverzüglich, aber möglichst innerhalb von 72 Stunden nach Bekanntwerden der Datenschutzbehörde zu melden. Die Meldung hat bestimmten inhaltlichen Erfordernissen zu entsprechen. Unter Umständen ist davon auch der Betroffene zu informieren.

Fehler bei der Umsetzung dieser Melde- und Benachrichtigungspflichten können mit Geldbußen von bis zu EUR 10. Mio bzw. bis zu 2% des gesamten weltweit erzielten Jahresumsatzes geahndet werden. Deswegen sowie vor allem auch aufgrund des engen Zeitfensters scheint eine Vorbereitung auf den Ernstfall einer Datenpanne notwendig. Die Erstellung eines Musters einer Meldung könnte hilfreich sein.

7. Datenschutz - Folgenabschätzung

Gänzlich neu ist die Verpflichtung zur Vornahme einer Datenschutz-Folgeabschätzung. Eine solche ist dann erforderlich, wenn eine Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt. Ein solches Risiko soll insbesondere bei der Verarbeitung sensibler oder strafrechtlich relevanter Daten sowie beim Profiling bestehen; als riskant wird ferner auch der Einsatz neuartiger Technologien eingestuft.

Die Folgenabschätzung ist vorab durchzuführen und kann die Konsultation der Datenschutzbehörde erforderlich machen. Sie dient der Bewertung von Risiken und der möglichen Folgen für die persönlichen Rechte und Freiheiten der Betroffenen.

Auch hier besteht eine Sanktionsmöglichkeit von bis zu EUR 10. Mio bzw. bis zu 2% des gesamten weltweit erzielten Jahresumsatzes.

8. Aufzeichnungspflichten

Neu ist weiters die Verpflichtung des Verantwortlichen (und des Auftragsverarbeiters), ein Verzeichnis über alle Datenverarbeitungstätigkeiten zu führen. Bisher waren Datenverarbeitungen dem Datenverarbeitungsregister (DVR) zu melden. Diese Verpflichtung zur externen Meldung entfällt. Die DSGVO bringt die Verpflichtung einer internen Aufzeichnungspflicht ("Verzeichnis von Verarbeitungstätigkeiten"). Inhaltlich orientiert sich die Aufzeichnungspflicht aber weitestgehend an der DVR-Meldung.

DVR-Meldungen, welche vor Gültigkeit der DSGVO bei der Datenschutzbehörde eingebracht werden, entbinden den für die Verarbeitung Verantwortlichen nicht von der Verpflichtung zum Führen einer internen Liste seiner Datenanwendungen.

Bei Verstößen gegen die Aufzeichnungspflicht sind Strafen von bis zu EUR 10 Mio bzw. 2% des weltweit erzielten Jahresumsatzes möglich.

9. Verträge mit Auftragsverarbeiter

Wird ein Auftragsverarbeiter (derzeit noch: Dienstleister) mit der Datenverarbeitung beauftragt, wird dafür zukünftig ein schriftlich oder elektronisch abgefasster Vertrag notwendig sein; derzeit ist dies nur bei der Beauftragung von Dienstleistern außerhalb Österreichs notwendig.

Der Vertrag muss einen bestimmten Mindestinhalt aufweisen und mitunter auch vorsehen, dass der Auftragsverarbeiter die Daten nur auf Weisung des Verantwortlichen verarbeitet. Der Vertragsinhalt kann grundsätzlich individuell ausgestaltet werden.

Der Strafrahmen im Verstoßfall beträgt bis zu EUR 10 Mio oder 2% des weltweiten Jahresumsatzes.

Es empfiehlt sich daher sicherzustellen, dass schriftliche Verträge auch mit österreichischen Auftragsverarbeitern bestehen und diese den notwendigen Mindestinhalt aufweisen. Bestehende Dienstleisterverträge sollten überprüft und notwendigenfalls an die Vorgaben der DSGVO angepasst werden.

10. Zulässigkeit der Datenverarbeitung / Erweiterte Haftung

Ausgangslage der DSGVO ist, dass - wie bisher - die Verarbeitung personenbezogener Daten grundsätzlich verboten ist. Eine Verarbeitung ist nur zulässig wenn eine Einwilligung des Betroffenen oder ein sonstiger in der Verordnung genannter Erlaubnistatbestand vorliegt. Eine nicht derart von der DSGVO gedeckte Datenverarbeitung kann nicht nur zu einer Geldbuße führen, sondern auch eine zivilrechtliche Haftung des Verantwortlichen und des Auftragsverarbeiters führen. Auch in diesem Zusammenhang bringt die DSGVO Verschärfungen. So sind bei Verstößen gegen die Verordnung materielle und auch immaterielle Schäden zu ersetzen. Das bisherige Datenschutzrecht sah eine solche Ersatzpflicht für immaterielle Schäden nur unter bestimmten - sehr engen - Voraussetzungen vor. Auch hinsichtlich der möglichen Entschädigungshöhe kommt es zu einer Verschärfung. Der bisherige Maximalbetrag von EUR 20.000 wird nicht beibehalten. Gerichte könnten unter der DSGVO zum Ausgleich immaterieller Schäden auch (weit) höhere Ersatzbeträge zusprechen.

11. Ausblick

Die Vorgaben der DSGVO sind umfangreich. Ebenso führt die DSGVO zu zahlreichen, grundlegenden Änderungen gegenüber der bisherigen Rechtslage. Der Änderungsbedarf ist daher gravierend. In vielen Punkten wird wohl eine grundsätzliche Adaptierung bzw. Umgestaltung der unternehmensinternen Abläufe vorzunehmen sein. Es muss davon abgeraten werden, damit bis zum 25.05.2018 zuzuwarten; dies nicht zuletzt in Anbetracht der Höhe der in der DSGVO vorgesehenen Strafen. Zusätzlich drohen bei Datenschutzverletzungen zivilrechtliche Ansprüche der Geschädigten sowie massive Imageverluste infolge medialer Aufarbeitung eines datenschutzwidrigen Verhaltens.


BLS Rechtsanwälte berät Sie gerne in allen Fragen des Datenschutzrechts und steht Ihnen insbesondere auch bei der Vorbereitung auf die Herausforderungen der DSGVO unterstützend zur Seite.

 

 

Ansprechpartner:

Philipp Scheuba

Stefan Humer

 

 

 

06.07.2017
<- Zurück zu: Archiv Liste

BLS Rechtsanwälte | Kärntner Straße 10, 1010 Wien, Austria | T +43 1 512 14 27 | F +43 1 513 86 04 | office@bls4law.com
Impressum | Disclaimer | Sitemap | AGB | Cookie-Richtlinie | Datenschutzerklärung

Webdesign & Programmierung: köhrer webdesign&support

Cookie Einstellungen

Essentielle Cookies sind notwendig für Grundfunktionen der Website.
Cookies für Analyse und Marketing helfen uns, diese Website zu verbessern und unser Angebot noch nutzerfreundlicher zu gestalten.

Mehr über die genutzten Cookies erfahren
Cookie optin by Olli machts