Im Aufschub verbirgt sich Gefahr
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist bis zum 25. Mai 2018 von Österreich umzusetzen. Arbeitsweise und Organisation des Betriebs sind anzupassen.
Schon heute gilt in Österreich ein strenges Datenschutzgesetz (DSG 2000), das Regelungen der EU Verordnung teilweise vorweggenommen hat. Außer den s.g. „Standard-Datenanwendungen“ muss jede Anwendung vorab an die Datenschutzbehörde gemeldet werden. An Stelle der bisherigen Meldepflicht tritt künftig eine Dokumentationspflicht. Jedes Unternehmen ist zum Führen eines „Verzeichnisses der Verarbeitungstätigkeiten“ verpflichtet und muss es auf Anfrage der Aufsichtsbehörde bereitstellen. Neu ist auch, dass die DSGVO eine vorherige Konsultation der Behörde bei „hohem Risiko“ vorsieht. Ein solches Risiko ist beispielsweise die Verarbeitung von sensiblen Daten.
Zustimmung der Betroffenen erforderlich
Weiterhin darf jegliche Verarbeitung von Daten nur nach ausdrücklicher Einwilligung der betroffenen Person erfolgen. Werden Daten gespeichert und verarbeitet muss es also eine schlüssige oder ausdrückliche Zustimmung gegeben. Auf Webformularen darf die Checkbox, mit der man der Datenverarbeitung zustimmt, nicht per Default angehakt sein. In den Allgemeinen Geschäftsbedingungen (AGB) muss in verständlicher und leicht zugänglicher Form, und in einer Sprache die klar und einfach ist
auf den Datenschutz und die Form der Datenverarbeitung hingewiesen werden. Die entsprechenden Klauseln dürfen nicht irgendwo versteckt werden, sondern müssen von den anderen Regelungen klar zu unterscheiden sein.
Datenschutzbeauftragter bei sensiblen Daten
Das österreichische Datenschutzgesetz sieht aktuell keinen betrieblichen Datenschutzbeauftragten vor. Die EU Verordnung hingegen enthält eine grundsätzliche Bestellpflicht. Hier bleibt abzuwarten, wie der heimische Gesetzgeber in diesem Punkt entscheidet. Bei der Anpassung heimischer Gesetze dürfen die Regeln der Verordnung weder abgeschwächt noch verstärkt werden. Der nationale Spielraum ist auf 69 s.g. Öffnungsklauseln beschränkt. Für Unternehmen, deren Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten ist, gilt laut Verordnung sogar eine europaweite Verpflichtung zur Bestellung eines Datenschutzbeauftragten. Selbst wenn Österreich letztlich auf den Beauftragten „verzichten“ würde, ist es vor allem in größeren Unternehmen bereits heute üblich eine bestimmte Person mit Agenden des Datenschutzrechts zu befassen. Dieser Mitarbeiter kümmert sich etwa um die Einhaltung der Melde- und Genehmigungspflichten, Anfragen für Auskünfte und ist oft „Schnittstelle“ zum Betriebsrat in Fragen der Personaldatenverarbeitung.
Anmeldung der Datenverarbeitung
Nach der DSGVO müssen im öffentlichen Verzeichnis zumindest der Namen und die Kontaktdaten des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten aufscheinen. Weiter anzugeben sind
- der Verarbeitungszweck,
- die Kategorie der betroffenen Personen,
- Informationen zur Datenübermittlung in Drittländer,
- die Speicherdauer und
- die Datensicherheitsmaßnahmen.
Durch die immer weiter verbreitete Nutzung von Cloud-Angeboten und die Zusammenarbeit im Unternehmensverbund samt der damit verbunden Weitergaben von Daten wird die exakte Erfassung aller Anwendungen zur komplexen Aufgabe.
Neu für Österreich ist, dass erstmals auch die private Rechtsdurchsetzung durch NGOs möglich wird. So dürfen beispielsweise Verbände und andere Nichtregierungsorganisationen auch im Namen von Betroffenen klagen, unabhängig (!) davon, ob diese sie beauftragt haben. Bei dieser Bestimmung darf man auf die konkrete Ausformulierung durch den Gesetzgeber gespannt sein. Der neue Strafrahmen für Verstöße ist mit bis zu 20 Millionen Euro oder 4 Prozent des jährlichen Umsatzes heftig ausgefallen. Bei der Bemessung der Strafe ist der weltweite Umsatz maßgeblich. Strafen können auch über die Konzernmutter verhängt werden.
Auch wenn wir noch auf österreichspezifische Ausformulierungen bei den Öffnungsklauseln warten: Bis zum 25. Mai 2018 müssen KMU´s und Konzerne die Bestimmungen der DSGVO umsetzen und die relevanten Mitarbeiter schulen.
So können wir Sie unterstützen
- Analyse relevanter Prozesse und Abläufe (IST)
- Abgleich mit DSGVO und DSG2000 (SOLL)
- System- und IT Beratung (Hard- und Software)
- AGB, Datenfluss, Sicherheitsmaßnahmen
- Anwenderschulung und -begleitung