Die DSGVO wird ab dem 25. August 2018 unmittelbar anwendbar sein und die bisherige Datenschutz-Richtlinie 95/46/EG und damit auch das Datenschutzgesetz 2000 („DSG 2000“), das die Datenschutz-Richtlinie in innerstaatliches Recht umgesetzt hatte, ersetzen. Trotz ihrer unmittelbaren Geltung sind nationale Durchführungsbestimmungen notwendig, die der österreichische Gesetzgeber vorwiegend im Datenschutz-Anpassungsgesetz (BGBl I 120/2017) abgebildet hat.

Materiell regelt die DSGVO die Voraussetzungen für die Verarbeitung personenbezogener Daten durch öffentliche Einrichtungen und Unternehmen. Die DSGVO bringt neben einer Änderung in der Terminologie (aus dem datenschutzrechtlichen „Auftraggeber“ wird der „Verantwortliche“ und der „Dienstleister“ wird zum „Auftragsverarbeiter“) zahlreiche Neuerungen:

Der örtliche Anwendungsbereich erstreckt sich in Zukunft auch auf die Datenverarbeitung im Rahmen der Niederlassung eines Verantwortlichen oder Auftragsverarbeiters („Datenverarbeiter“) in der Union, unabhängig davon, wo die Datenverarbeitung stattfindet (Art 3 Abs 1 DSGVO). Darüber hinaus gilt die DSGVO auch für Datenverarbeiter, die zwar keine Niederlassung in der Union haben, aber Waren oder Dienstleistungen in der Union anbieten oder das Verhalten von Betroffenen beobachten (Marktortprinzip gemäß Art 3 Abs 2 DSGVO). Dadurch müssen künftig große US-Anbieter, wie zB Google, das europäische Datenschutzrecht beachten.

Die grundsätzliche Meldepflicht an die Datenschutzbehörde gemäß §§ 16 ff DSG 2000 hat sich aufgrund zahlreicher Ausnahmebestimmungen (insbesondere für Standardanwendungen) als verwaltungsintensiv und ineffektiv erwiesen. An ihre Stelle sind in der DSGVO die Pflicht zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten (Art 30 DSGVO), die Datenschutz-Folgenabschätzung (Art 35 DSGVO) sowie die Bestellung eines Datenschutzbeauftragen (Art 37 DSGVO) getreten:

1. Im Verarbeitungsverzeichnis müssen Datenverarbeiter eine interne Übersicht über ihre Datenanwendungen führen. Der Inhalt des Verzeichnisses entspricht weitgehend jenem der bisherigen Meldungen an das Datenverarbeitungsregister (zB Angabe der Kategorien betroffener Personen und personenbezogener Daten). Das Verarbeitungsverzeichnis ist für Unternehmen mit weniger als 250 Angestellten nur zu führen, wenn besondere Risikoelemente vorliegen (zB wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen birgt oder bei Verarbeitung sensibler Daten).

2. Die Datenschutz-Folgenabschätzung dient der Einschätzung möglicher Folgen einer Datenverarbeitung und ist durchzuführen, wenn die geplante Form der Verarbeitung „voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge [hat]“. Dies ist insbesondere beim Profiling (Erstellung persönlicher Profile) oder der Verarbeitung sensibler Daten der Fall.

3. Mit dem Datenschutzbeauftragten wird ein Ansprechpartner für die Aufsichtsbehörden geschaffen, der Datenverarbeitern zur Seite steht und die Einhaltung datenschutzrechtlicher Vorschriften prüft. Die Bestellung eines Datenschutzbeauftragten ist verpflichtend, wenn die Kerntätigkeit in der Überwachung von Personen oder der Verarbeitung sensibler Daten liegt (Einzelfallprüfung aufgrund des risikobasierten Ansatzes). Dies trifft insbesondere auf Gesundheitseinrichtungen, Auskunfteien und Personalvermittlungen zu.

Technische und organisatorische Compliance-Maßnahmen gewinnen durch die DSGVO an Bedeutung (Privacy by Design). Dadurch soll im Sinne der Datenminimierung sichergestellt werden, dass nur jene Daten verarbeitet werden, die für den Verarbeitungszweck erforderlich sind. Dieser Grundsatz ist insbesondere bei der Erstellung von Datenbanken zu beachten.

Darüber hinaus erweitert die DSGVO bereits bestehende Pflichten (zB proaktive Melde- und Informationspflichten an die Datenschutzbehörde und Betroffene). Für die Implementierung dieser Sorgfaltspflichten ist angesichts der drastischen Strafverschärfungen ein Maßnahmenkatalog zu empfehlen, denn je nach Art und Gravität des Verstoßes sind Geldbußen bis EUR 20 Mio oder 4 % des konzernweiten Umsatzes vorgesehen (Art 83 DSGVO).

Korrespondierend zu den Pflichten der Datenverarbeiter werden die Rechte der Betroffenen verstärkt. Das „Recht auf Vergessenwerden“ wird dahingehend erweitert, dass Datenverarbeiter, die Daten öffentlich gemacht haben, die verantwortlichen Empfänger über das Löschungsbegehren (Entfernung von Links, Kopien oder Replikationen) informieren müssen (Art 17 DSGVO). Neu sind das Recht auf Einschränkung der Verarbeitung und das Recht auf Datenübertragbarkeit (Art 18 und 20 DSGVO). Letzteres soll den Anbieterwechsel (zB bei sozialen Netzwerken, Kreditkarten- oder Energielieferverträgen) erleichtern.

Für die Implementierung der Vorgaben der DSGVO bleibt auf Unternehmerseite weniger als ein Jahr Zeit.

8.9.2017, Autorin: Dr. Tanja Melber, LL.M., www.fwp.at

 

EU-DSGVO – Änderungen für Unternehmen und Verbraucher.
Kostenloses eBook zum Download!
www.datenschutz.org

 

 

 

 

 

 

 

download direkt