Am 27.4.2016 hat die Europäische Union die Datenschutz-Grundverordnung (DSGVO) erlassen, die ab dem 25.5.2018 in sämtlichen Mitgliedstaaten der Europäischen Union zur Anwendung gelangen wird. Abweichende nationale Rechtsvorschriften dürfen nicht angewendet werden, sodass die nationalen Datenschutzgesetze zum Großteil abgelöst werden. Durch den Erlass der DSGVO soll dem Umstand Rechnung getragen werden, dass aufgrund des stetig wachsenden Binnenmarkts der unionsweite Austausch personenbezogener Daten stark zugenommen hat und der Datenschutz durch die rasche technologische Entwicklung und Globalisierung vor neue Herausforderungen gestellt wird, weshalb durch unionsweit geltende einheitliche Regelungen Rechtssicherheit geschaffen werden soll. Die wichtigsten Eckpunkte im Überblick:

Anwendungsbereich
Der räumliche Anwendungsbereich der DSGVO soll „globalisiert“ werden, sodass diese einerseits auf jede in der Europäischen Union erfolgte Verarbeitung personenbezogener Daten („Niederlassungsprinzip“) und andererseits auf jede wo auch immer erfolgte Verarbeitung personenbezogener Daten von in der Europäischen Union befindlichen Personen, die dem Anbieten von Waren, Dienstleistungen oder der Verhaltensbeobachtung (profiling) dient („Marktortprinzip“);

Auditierungspflicht
In einzelnen Fällen sollen Unternehmen sogenannten stichprobenartigen „Datenschutzaudits“ von unabhängigen Prüfern unterzogen werden, bei denen die korrekte geprüft werden;

Technischer Datenschutz
Einerseits sollen die Unternehmen ihre technischen Systeme und internen Betriebsabläufe so strukturieren, dass ein Höchstmaß an Datenschutz und ‑sicherheit gewährleistet wird (data privacy by design), andererseits soll verhindert werden, dass Daten versehentlich durch den jeweiligen Betroffenen selbst der Öffentlichkeit zugänglich gemacht werden. Diese Verpflichtung hat vorrangig soziale Netzwerke im Blick, bei denen die Benutzer künftig datenschutzfreundliche Voreinstellungen vorfinden sollen (data privacy by default);

Datenschutzbeauftragter
In besonderen Fällen (bspw Datenverarbeitung durch öffentliche Stellen, oder wenn Datenverarbeitungsvorgänge zur Kerntätigkeit des Verantwortlichen gehören), sind sogenannte Datenschutzbeauftragte zu ernennen, die sowohl Auftraggeber als auch Dienstleister, die personenbezogene Daten verarbeiten, unter anderem über ihre Pflichten nach der DSGVO unterrichten und beraten sowie deren Datenschutzstrategien überwachen;

Dokumentationspflichten
Während nach bislang herrschendem Datenschutzrecht in Österreich Genehmigungspflichten im Vorrang gestanden sind (Registrierung im Datenverarbeitungsregister [DVR]), stellt die DSGVO auf spezifische Dokumentationspflichten bei der Datenverarbeitung ab. Künftig ist die Führung eines Verzeichnisses von Verarbeitungstätigkeiten vorgesehen, worin sämtliche wesentlichen Informationen über die Datenverarbeitung (unter anderem Angaben zu Zweck, Beschreibung der Datenkategorien, der Empfänger oä) zusammenzufassen sind. Von der Führung eines derartigen Verarbeitungsverzeichnisses sind Unternehmen mit weniger als 250 Mitarbeitern ausgenommen, sofern deren Datenverarbeitung kein hohes Risiko für die Betroffenen birgt und keine sensiblen Daten verarbeitet werden;

Datenschutz-Folgenabschätzung
Anstelle der Meldung von Datenschutzanwendungen an die Datenschutzbehörde soll vor kritischen Datenverarbeitungen zunächst eine Folgenabschätzung durch das jeweilige Unternehmen selbst durchgeführt werden. Besteht ein hohes Risiko für die Rechte der Betroffenen, so ist die Aufsichtsbehörde zu konsultieren. Zudem soll eine Datenschutz-Folgenabschätzung bei Profiling-Datenverarbeitungen, bei der Verarbeitung sensibler Daten und der systematischen Überwachung öffentlich zugänglicher Bereiche durchgeführt werden. Die nationale Aufsichtsbehörde hat eine Liste mit jenen Datenanwendungen zu veröffentlichen, für die eine Folgenabschätzung vorzunehmen ist.

Fazit
Wesentliche Änderung zur bestehenden Rechtslage in Österreich ist der Wechsel von der Registrierungspflicht bei der Datenschutzbehörde (DVR-Nummer) zur einzelfallbezogenen Datenschutz-Folgenabschätzung. Tatsächlich sagt die Registrierung im Datenschutzverarbeitungsregister nichts über die Zulässigkeit der Datenverarbeitung aus. Vielmehr kann die Sicherheit natürlicher Personen bei der Verarbeitung deren personenbezogener Daten durch umfassende Informationspflichten und härtere Sanktionen gewährleistet werden.

Ob die neue Herangehensweise mittels Datenschutz-Folgenabschätzung sowie die Führung von Verzeichnissen über die Verarbeitungstätigkeiten durch die Unternehmen selbst zu einem höheren Maß an Datenschutz beitragen können, bleibt abzuwarten. Dies ist unseres Erachtens insbesondere dann der Fall, wenn die Unternehmen die Datenschutz-Folgenabschätzung als kontinuierlichen Prozess und die nationale Aufsichtsbehörde mehr als Beratungs- denn als Strafbehörde ansehen. Sicher ist jedenfalls, dass sich Unternehmen in den nächsten Monaten vermehrt mit dem Thema Datenschutz beschäftigen und neue Lösungen implementieren werden müssen.

16.08.2017, Autor: Sascha Jung, www.jankweiler.at

Datenschutz, Datenschutzrecht, Datenschutz-Grundverordnung (DSGVO)