<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=798965790221670&amp;ev=PageView&amp;noscript=1">
108x92_business_blog_logo_speechbubble.png

EU-Datenschutz-Grundverordnung: Was Unternehmen beachten müssen

Autor Marcel Henrich am 11.5.2017

In IT Sicherheit

EU-Datenschutz-Grundverordnung

Nach jahrelangen Verhandlungen haben sich EU-Parlament, Rat und Kommission auf eine Neuschreibung der europäischen Datenschutzgrundregeln geeinigt.

Die EU-Datenschutz-Grundverordnung (DSGVO), die am 25. Mai 2018 nach einer Übergangsfrist von zwei Jahren auch in Österreich in Kraft treten und im neuen Österreichischen DSG umgesetzt werden wird, betrifft weltweit alle Unternehmen und Organisationen, die personenbezogene Daten verarbeiten und ihre Dienstleistungen am Europäischen Markt anbieten.

Die DSGVO enthält viele neue Pflichten für Auftraggeber von Datenanwendungen und wird Unternehmen stärker in die eigenverantwortliche Pflicht nehmen. Mit der DSGVO ändern sich die Regeln zur Datensicherheit und somit auch die der technischen und organisatorischen Maßnahmen.

Das sind die wichtigsten Neuerungen und Verpflichtungen auf einen Blick:

  • Betroffenenrechte: Durch die neue EU-Datenschutz-Grundverordnung wird das bestehende Auskunftsrecht erweitert. Betroffenen Personen müssen Informationen zur Verfügung gestellt werden, welche Daten verarbeitet werden. Darüber hinaus hat die Person das Recht auf Berichtigung beziehungsweise Vervollständigung unvollständiger personenbezogener Daten. Zudem wird das Recht auf Ausübung der Löschung vereinfacht. Liegt ein in der DSGVO formulierter Löschgrund vor, muss gelöscht werden. Von dieser Löschpflicht gibt es jedoch Ausnahmen. Das Recht auf „Vergessenwerden“ kommt als Erweiterung des Anspruchs auf Löschung. Das Recht auf Vergessenwerden soll sicherstellen, dass digitale Informationen mit einem Personenbezug nicht dauerhaft zur Verfügung stehen. Unabhängig von den definierten Ausnahmen, kann eine betroffene Person zukünftig die Einschränkung der Verarbeitung der Daten verlangen oder unter Umständen auch gegen die Verarbeitung ihrer Daten Widerspruch erheben.

Webinar Aufzeichnung zur EU-Datenschutz-Grundverordnung - jetzt ansehen

  • Recht auf Datenübertragung: Betroffene Personen können mit der Neuregelung der DSGVO verlangen, dass ihnen der Verantwortliche jene personenbezogenen Daten, die sie selbst bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format überlässt. Betroffene Personen können auch verlangen, dass der Verantwortliche ihre Daten direkt an einen anderen Verantwortlichen übermittelt. Wie dieses Recht genau ausgestaltet sein wird, ist derzeit in Diskussion auf Europäischer Ebene.
  • Data Privacy Impact Assessment: Für neue Datenverarbeitungen ist eine sog. Datenschutz-Folgenabschätzung vom Verantwortlichen Datenverarbeiter durchzuführen. Kommt man bei dieser DFA zu dem Ergebnis, dass eine  neue Technologie ein hohes Risiko für die Rechte und Freiheiten einzelner Personen birgt, die der Verantwortliche mit eigenen Maßnahmen nicht verhindern kann, ist die Datenschutzbehörde vorab zu konsultieren. Die Behörde kannn dann Maßnahmen vorschreibenum die Risiken zu begrenzen, sie kann allerdings die Datenverarbeitung auch untersagen. Die Datenschutzbehörden können „White-„ und „Blacklists“ erstellen, für Verarbeitungen, für die kein DFA durchzuführen ist bzw. auf jedenfall benötigt wird. Wichtig ist, dass die Unternehmen dokumentieren, dass sie sich vor Aufnahme einer Verarbeitung Gedanken über die Zulässigkeit gemacht haben und diese Dokumente archiviert. 
  • Verzeichnis von Verarbeitungstätigkeiten: Eine weitere Dokumentationspflicht ist das interne Verarbeitungsverzeichnis. Mit der DSGVO muss künftig ein Verzeichnis aller Verarbeitungstätigkeiten von personenbezogenen Daten geführt werden und ersetzt dass heute verpflichtende Datenverarbeitungsregister (DVR) bei der österreichischen Datenschutzbehörde. Bei der Einhaltung der gesetzlichen Vorgaben wird das Verzeichnis eine tragende Rolle spielen, denn es enthält eine Dokumentation und Übersicht über alle eingesetzten Verfahren, bei denen personenbezogene Daten verarbeitet werden.
  • Datenschutzbeauftragter: Die DSGVO verpflichtet Unternehmen und Institutionen, abhängig von der Größe und Art der zu verarbeitenden Daten, einen internen oder externen Datenschutzbeauftragten zubestellen. Große Unternehmen und jene, deren Kerngeschäft in der Verarbeitung personenbezogener Daten liegt, werden ein jährliches Budget bereithalten müssen. Der Beauftragte muss weisungsunabhängig sein, über ausreichende finanzielle und zeitliche Mittel verfügen, einschlägige Fachkenntnis und Erfahrung vorweisen können und direkt dem Vorstand berichtspflichtig sein.

Maßnahmenkatalog

Um für die neuen Anforderungen gerüstet zu sein, sollten Unternehmen sich gründlich und frühzeitig vorbereiten. In Anlehnung an einen Vortrag des Rechtsanwalts Dr. Rainer Knyrim von der Kanzlei Preslmayr Rechtsanwälte könnte ein Maßnahmenkatalog etwa so aussehen:

  1. Datenschutzbeauftragter oder Projektverantwortlicher: Prüfen Sie ob ein Datenschutzbeauftragter notwendig ist. Definieren Sie interne/externe Stakeholder sowie den Projektumfang, das Budget und den Zeithorizont.
  2. Verfahrensverzeichnis und internationaler Datenverkehr: Erheben Sie den Status Quo und erstellen Sie eine Dokumentation über datenverarbeitende Prozesse, Datensicherheitsmaßnahmen und internationalen Datenverkehr.
  3. Zustimmung, Grundprinzipien und Rechtsgrundlagen: Prüfen Sie Zustimmungen, die Einhaltung von Grundprinzipien und die Rechtsgrundlage pro datenverarbeitende Anwendung.
  4. Dienstleister: Identifizieren Sie Auftragsverarbeiter und prüfen bzw. schließen Sie Verträge ab, die eine Verarbeitung im Einklang mit den Anforderungen der DSGVO sicherstellen.
  5. Policies: Überarbeiten Sie Ihre IT-Policies und prüfen Sie eventuell auch gleich bestehende Betriebsvereinbarungen.
  6. Informationspflicht und Betroffenenrechte: Bereiten Sie sich auf die Informationspflichten (Auskunftsrecht, Löschungsrecht, Datenportabilität, Verständigungspflichten) vor. Standardisierte Prozesse zur Auskunftserteilung verringern den Arbeitsaufwand.
  7. Datenmissbrauch: Bereiten Sie Ihr Unternehmen darauf vor: Checklisten, Musterschreiben, Notfallkontakte etc. und üben Sie den Ernstfall.
  8. Datenschutz durch Technik und Voreinstellungen: Unterscheiden Sie „data protection by design“ von „data protection by default“ und setzen Sie technische und organisatorische Maßnahmen um.
  9. Datenschutz-Folgenabschätzung: Prüfen Sie, ob eine Datenschutz-Folgenabschätzung erforderlich ist und führen Sie sie bei Bedarf durch.
  10. Schulung: Fördern Sie das Bewusstsein Ihrer Mitarbeiter für die Folgen der Datenschutz-Grundverordnung durch entsprechende Schulungen.

Checkbox für Unternehmen

Die Anwaltskanzlei DLA Piper hat anlässlich der bevorstehenden Herausforderungen durch die EU-Datenschutz-Grundverordnung ein Umfragetool, die sogenannte "Privacy Scorebox" gelauncht. Die Privacy Scorebox bietet Unternehmen die Möglichkeit ihren Status quo hinsichtlich der Umsetzung von Datenschutzvorschriften im Vergleich zum Branchendurchschnitt zu ermitteln. Die „Privacy Scorebox“ ist ein Online-Tool, worin eine Reihe von Fragen zu zwölf Bereichen des Datenschutzes gestellt werden, wie etwa zu Privacy Policies, Verwendung von Daten, Sicherheitsmaßnahmen und Betroffenenrechte. Die Teilnehmer an der Umfrage können mit einem Multiple Choice Verfahren die für sie jeweils passendste Antwort anklicken.

Fazit EU-Datenschutz-Grundverordnung: Verstöße können teuer werden

Unternehmen sollten die neuen Verpflichtungen und Richtlinien nicht auf die leichte Schulter nehmen. Die Strafen bei Verstößen gegen die DSGVO können künftig bis zu maximal 20 Millionen Euro – oder wenn höher – vier Prozent vom weltweiten Jahresumsatz betragen.

Das bedeutet auch, dass Datenschutz als Teil von Compliance zukünftig noch mehr eine Angelegenheit für die Geschäftsführung wird und zentral gesteuert werden muss. Wenn beispielsweise eine kleine, lokale Niederlassung je nach gewählter Rechtsform nicht datenschutzkonform agiert, wirkt sich das in einer ungünstigen Konstellation sogar auf die gesamte Unternehmensgruppe aus. Sobald Unternehmen Kenntnis von Datenmissbrauch oder -verlust erlangen, muss zukünftig innerhalb von 72 Stunden die zuständige Aufsichtsbehörde (in Österreich die Datenschutzbehörde) darüber informiert werden.

Webinar Aufzeichnung EU-Datenschutz-Grundverordnung

 

Disclaimer: Selbstverständlich ersetzt dieser redaktionelle Beitrag keine juristische Beratung. Er präsentiert lediglich den derzeitigen Meinungsstand und T-Mobile wird keine rechtlichen oder sonstigen Konsequenzen daraus tragen.