Das Kompendium zur DSGVO kann hier kostenlos heruntergeladen

EU Datenschutz-Grundverordnung
Regelungen, Analysen, Stimmungen, Auswirkungen
IT-Wirtschaft.net !
Datenschutz-Grundverordnung:
Die neuen europäischen Regelungen
Derzeit liest man einiges über die EU-Datenschutz-Grundverordnung (DSGVO), doch selten sind konkrete Inhalte dabei.
IT-Wirtschaft (HarCon Media & Consulting Holding GmbH) hat sich die Verordnung konkret
angesehen, Auswirkungen auf nationale und
internationale Gesetze analysiert und Expertenstimmen eingeholt.
Ein paar FAQs zum Start:
Die DSGVO heißt im konkreten Wortlaut:
„VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES
vom 27. April 2016 zum Schutz natürlicher
Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur
Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“.
Der Gegenstand und die Ziele der DSGVO:
•
Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten.
• Grundrechte und Grundfreiheiten natürlicher Personen sowie deren Recht auf
Schutz der personenbezogenen Daten sollen geschützt werden.
• Der freie Verkehr personenbezogener Daten in der EU darf (aus gründen des Schutzes o.g. Daten) nicht eingeschränkt oder
verboten werden.
Die Verordnung selbst kann als „Handbuch“
für die Überprüfung und Entwicklung des Datenschutzes in Unternehmen herangezogen
werden. Grundsätzlich sind alle Vorschriften
und der erlaubte Umgang mit Daten gut beschrieben. Jedoch gibt es einige Unklarheiten
und die „Kollision“ mit anderen Gesetzen und
Vorschriften auf nationaler Ebene ist weitgehend unberücksichtigt.
Die Zurückhaltung der ofﬁziellen Behörden
bezüglich konkreter Antworten lässt darauf
schließen, dass man in Österreich nicht auf
die DSGVO vorbereitet ist – obwohl die Verhandlungen darüber seit vielen Jahren laufen.
Auch jetzt, da die ﬁnale Verordnung im Wortlaut verfügbar ist, sehen viele Behörden noch
keinen Handlungsbedarf.
Umso mehr bedarf es der Zusammenarbeit
aller Datenschutz-, IT-, und Rechtsexperten,
damit die Unternehmen nicht in eine Falle laufen und die berechtigten Schutzinteressen der
Bürger gewahrt werden.
Wir hoffen, dass wir Ihnen mit dieser Broschüre einen kurzen Überblick über wichtige Veränderungen geben können und stehen Ihnen
für eine individuelle Beratung gerne zur Verfügung!
Die Grundsätze der DSGVO:
•
•
•
•
•
•
•
Rechtmäßigkeit, Verarbeitung nach Treu
und Glauben, Transparenz
Zweckbindung
Datenminimierung
Richtigkeit
Speicherbegrenzung
Integrität und Vertraulichkeit
Rechenschaftspﬂicht
2 | IT-Wirtschaft
Medienbetriebswirt
Constantin Wollenhaupt, M.A.
managing director HarCon Media & Consulting
Chefredakteur IT-Wirtschaft.net
Vor- und Nachteile
für Unternehmen und Konsumenten
Die DSGVO bietet neben einer Reihe von bürokratischen Vorgaben auch ganz konkrete
Vorteile und Nachteile, sowohl für Konsumenten als auch für Unternehmen. Hier geben wir
Ihnen einen kurzen Überblick einiger wesentlicher Punkte.
ständen „zu klein“ für nationale Regelungen
waren.
Vor- und Nachteile für Konsumenten:
Die Einführung und erstmalige Umsetzung
der Datenschutzrichtlinien ist zeitintensiv und
muss ab dem 25.05.2018 vollumfänglich den
Richtlinien der DSGVO entsprechen. Leider
werden die Unternehmen dabei aber noch im
Dunkeln gelassen, denn nach unserer Anfrage
aller betroffenen Ministerien und Behörden,
Für Konsumenten sind einige Normierungen
wie zum Beispiel das „Recht auf Vergessenwerden“ (Art. 17 DSGVO) von Vorteil.
Die Datenübertragbarkeit wird auch Erleichterungen bringen, wenn zum Beispiel der Mobilfunkanbieter gewechselt wird. Verbindliche
Schnittstellen zwischen den Technik-Anbietern
sorgen dann dafür, dass auch Anrufprotokolle
ganz einfach vom alten auf das neue Mobiltelefon übertragen werden können. Dann ist
man nicht mehr auf Apps angewiesen, deren
Umgang mit Daten unter Umständen äußerst
zweifelhaft sein kann.
Allerdings kann es zu einem Wildwuchs an
Videokameras kommen, denn in der DSGVO
gibt es keine Bestimmungen zur Videoüberwachung. Wird also bei der nationalen Gesetzgebung die bisherige dazu bestehende
Regelung im Datenschutzgesetz einfach mit
der EU-Verordnung „überschrieben“ – gibt es
keine Einschränkungen mehr bei der Videoüberwachung (dass dies ein echtes Problem
sein kann, siehe weiter unten).
Vor- und Nachteile für Unternehmen:
Unternehmen, die sich bereits jetzt mit Meldeund Genehmigungsverfahren mit der Datenschutzbehörde herum plagen, wird es keine
Mehrbelastungen geben, denn diese bisherigen Meldungen werden wegfallen. Viele Unternehmen haben allerdings bisher den Datenschutz und seine umfangreichen Pﬂichten
noch gar nicht am Radar, weil sie unter Um-
Für Jungunternehmen, Kleinst- und Kleinunternehmen ist daher nun höchste Eile geboten!
sahen sich die meisten Behörden nicht im
Stande, vor dem Stichtag 25.05.2018 vorbereitende Maßnahmen zu treffen (weder für die
eigene Behörde, noch in der Information und
Kommunikation an betroffene Unternehmen).
Bei der Stadt Wien hieß es, dass man sich damit erst nach Inkrafttreten der Verordnung beschäftigen würde, denn solange es nicht Bundesrecht ist, würde man – trotz dem Wissen,
was da kommen wird – die Regelungen als gegenstandslos ansehen. Eine äußerst kurzsichtige Strategie, die zu einigen Problemen führen
könnte.
IT-Wirtschaft | 3
Nationale Spielräume
werden leider unzureichend umgesetzt
Aufgrund der EU-DSGVO besteht auch in Österreich laut Bundeskanzleramt „ein erheblicher Anpassungsbedarf im österreichischen
Datenschutzrecht“, so der damalige Bundesminister Dr. Josef Ostermayr in einer Antwort
einer Nationalratsanfrage. Insbesondere sei
das Datenschutzgesetz 2000 (DSG2000) betroffen. Wobei Österreich hier plant, die DSVGO „unmittelbar anzuwenden“ und darüber
hinaus laut Bundeskanzleramt „nationale Umsetzungsregelungen weder erforderlich noch
zulässig“ seien.
Dem wird jedoch von der TÜV Austria widersprochen, denn: „In der DSGVO sind unzählige Öffnungsklauseln und zwei delegierte
Rechtsakte (Art. 12 Abs. 8, 43 Abs. 8 in Verbindung mit Art. 92 DSGVO) vorgesehen. Die
Öffnungsklauseln ermöglichen dem nationalen Gesetzgeber eigene datenschutzrechtliche
Normen zu erlassen“. Beispielsweise müsste
man auch wie im obigen Beispiel die Regelungen zur Videoüberwachung national in ein
neues Gesetz gießen.
Neben dem Datenschutzgesetz muss auch
der Arbeitnehmerschutz neu gestaltet werden, denn das Arbeitsverfassungsgesetz aus
1973 hält den modernen Anforderungen einer
4 | IT-Wirtschaft
digitalen Arbeitswelt nicht mehr stand. Auch
hierfür ist im Detail der Gesetzgeber zuständig
(Art. 88 Abs. 1 und Art. 89 DSGVO) und somit
bestehen entgegen der Aussage des zuständigen Ministers dann sehr wohl Spielräume für
die nationale Gesetzgebung in Österreich.
Laut TÜV Austria wären auch unzählige Bundes- und Landesgesetze betroffen, wie das
Waffengesetz, das Staatsbürgerschaftsgesetz,
das Hypothekar- und Immobilienkreditgesetz,
das Sicherheitspolizeigesetz etc. Denn Datenschutz ist eine Querschnittmaterie. Unter diesen Umständen ist es besonders interessant,
dass die zuständigen Ministerien keine Antworten auf die Anfragen der IT-Wirtschaft-Redaktion geben konnten.
Die Datenschutzbehörde in Österreich prüft
die Auswirkungen derzeit intern und beruft
sich ebenfalls auf die parlamentarische Anfragebeantwortung des damaligen Bundesministers Dr. Ostermayr.
Es bleibt also zu befürchten, dass die österreichischen Behörden die EU-Richtlinien - wie
so oft in Vergangenheit üblich - in vorauseilendem Gehorsam mit strengsten Regelungen
und einigem Mut zu Lücken umsetzt.
Risiken und Strafen
für Unternehmen sind extrem hoch
Strafen für Unternehmen sind empﬁndlich
hoch
Derzeit ist laut nationalem Datenschutzgesetz
ein Strafrahmen von bis zu 25.000 Euro festgesetzt, wenn die Gesetze nicht eingehalten
werden. Ab Inkrafttreten der DSGVO wird
der Strafrahmen auf bis zu 20 Millionen Euro
gesetzt (bzw. 4% vom weltweit erzielten Jahresumsatz des Unternehmens). Auch wettbewerbsrechtlich wird durch die Höhe des Strafrahmens einiges zu erwarten sein. Gerade
Unternehmen und auf Abmahnungen spezialisierte Kanzleien und Verbände (Verbraucherschutz, Unternehmensverbände, NGOs) könnten hier ein lukratives Geschäft wittern.
Unklare Pﬂichten für Unternehmen bringen
ein Haftungsrisiko
Die genauen Pﬂichten der Unternehmen sind
nicht ganz klar, das wurde unter anderem am
„12. Information-Security-Symposium, WIEN
2016“ herausgeﬁltert: So wurde etwa bei den
Informations- und Auskunftspﬂichten der Bußgeldrahmen zwar empﬁndlich erhöht, (von
500 Euro im österreichischen DSG auf bis zu
20 Mio. Euro) aber „gleichzeitig kommuniziert
die Verordnung nicht eindeutig, welche Infor-
mationen zwischen Transparenz und Betriebsgeheimnis konkret preis zu geben sind. Viele Erläuterungen und Ausnahmen bieten ein
weites Betätigungsfeld für Juristen“, meinte
der Wirtschaftsjurist und RA Dr. Markus Frank.
Solche Unklarheiten in Kombination mit hohen
Bußgeldern stelle ein Risiko dar, unbewusst
gegen die Vorschriften zu verstoßen.
DSGVO geht manchen nicht weit genug
Dass die Datenschutzverordnung ruhig noch
deutlich strenger ausfallen hätte können, betonte der Justiz- und Datenschutzsprecher der
Grünen, Albert Steinhauser:
„Die EU-Datenschutzgrundverordnung ist
leider nicht so weitreichend, wie wir uns erhofft haben, aber doch eine Verbesserung
gegenüber der bisherigen Rechtslage.“
Steinhauser erhofft sich, dass sich die vollständige Harmonisierung auf die länderübergreifende Netzgesellschaft positiv auswirkt. Die
Rechte der Bürger gegenüber internationalen
Konzernen seien nun gestärkt. Der Europaabgeordnete der Grünen, Jan-Philip Albrecht
hat im Vorfeld ganz wesentlich auf die DSGVO eingewirkt und einen starken Datenschutz
IT-Wirtschaft | 5
forciert. Wichtig war der grünen politischen
Organisation auch, dass Rechtsverstöße effektiver und höher bestraft werden.
Sich selbst sieht man allerdings nicht in der
Pﬂicht. Da die Partei ja kein Unternehmen
sei, müsse man sich selbst nicht an diese Regelungen halten. Dass eine Organisation sich
für stärkeren Datenschutz einsetzt, sich aber
selbst nicht daran halten möchte, ist zumindest kritikwürdig. Schließlich könnte man als
Vorbild voran gehen, wenn einem der Datenschutz derart wichtig ist – auch wenn man gesetzlich nicht zur Einhaltung der Regelungen
verpﬂichtet ist.
Eine stärkere Rechtsverfolgung von Verstößen wünscht sich auch die Arbeiterkammer
Die Verbandsklagebefugnis wäre laut der
AK wünschenswert, ist jedoch in der DSGVO
nur als Option enthalten. Das nationale Parlament müsste hier ein innerstaatliches Recht
schaffen. Dies ist eine der weiteren nationalen
Spielräume. Dass dies nicht geschehen wird
ist wahrscheinlich, denn wie schon oben angeführt, glauben die zuständigen Stellen nicht,
dass man einen nationalen Spielraum hätte.
Zumindest in diesem Punkt dürften Unternehmer mit der Untätigkeit nationaler Behörden
zufrieden sein.
Die AK hat sich über ihr Lobby-Büro in Brüssel
intensiv für den starken Datenschutz einge-
6 | IT-Wirtschaft
setzt, dennoch sieht die AK die Gefahr, dass
die Verordnung nicht alle Konﬂikte und Verwertungs- bzw. Geheimhaltungsinteressen im
Bezug auf die digitalen Daten lösen wird. Gerade das Proﬁling und Scoring von Personen,
dem „Internet der Dinge“, vernetzten Autos
usw. bestehe weiterhin Missbrauchsgefahr.
Zumindest sieht sich die Arbeiterkammer auch
selbst in der Pﬂicht. Denn vieles, was in der
DSGVO verlangt wird, gebe es in der AK bereits. Die restlichen Anforderungen möchte
man bis 2018 erfüllt haben, dazu gehört auch
ein eigener Datenschutzbeauftragter.
Zertiﬁzierung mindert Fahrlässigkeit
Als haftungsmindernder Nachweis für die Erfüllung der Datenschutzpﬂichten kann laut
DSGVO ausdrücklich eine anerkannte Zertiﬁzierung herangezogen werden. Im Rahmen
der ISO-Normen können hier die ISO 27001
für Informationssicherheit und die ISO 27018
für Datenschutz in der Cloud bedeutsam werden – welche Zertiﬁzierungen als „anerkannt“
gelten, wird in den kommenden Monaten
deﬁniert. Wichtig werden Zertiﬁzierungen im
Verhältnis zwischen Auftraggeber und Dienstleister sein, um „hinreichende Garantien für
die Einhaltung des Datenschutzes“ zu bieten.
Ebenso in Straf- und Schadenersatzverfahren,
da den Auftraggeber oder Dienstleister die
Beweislast trifft, werden Zertiﬁzierungen eine
große Rolle spielen.
Die ersten Schritte:
Was Unternehmen jetzt tun können
„Die neue Datenschutz-Grundverordnung wirft
für die Unternehmen derzeit mehr Fragen auf,
als sie Sicherheit gibt. Nationale Ausformungen und die Ausjudizierung bleiben abzuwarten. Jedenfalls werden Datenschutz-Zertiﬁzierungen als Sicherheitsnetz zu einem zentralen
Thema der kommenden Jahre“, lautet das Fazit von Wirtschaftsjurist RA Dr. Markus Frank.
Die Pläne zur Harmonisierung der digitalen
Wirtschaft und zum Datenschutz betreffen Unternehmen und bald schon die nationale Gesetzgebung. Eine rechtzeitige Anpassung ist
notwendig, damit die Wirtschaft in Österreich
eine erfolgreiche Zukunft hat.
Einige Punkte sind bereits jetzt von den Unternehmen für die Umsetzung (zum Stichtag 25.05.2018) vorzubereiten:
•
•
•
•
•
Die Pﬂicht, einen Datenschutzbeauftragten
einzusetzen (abhängig von einigen deﬁnierten Bereichen)
Umsetzung von vage formulierten Verordnungsvorgaben (etwa die Durchführung
einer Datenschutzfolgeabschätzung, Direktauskünfte für die interessierte Öffentlichkeit als Ersatz für das Datenverarbeitungsregister)
Einwilligungen für die Datenverarbeitung
Umfangreiche Informationspﬂichten (klar,
einfach und präzise gehalten)
Anbieterseitige Voreinstellungen bei Online-Diensten anpassen (Einwilligung in
AGB, Datenschutz, Direktwerbung usw. im
Sinne der Datenminimierung gestalten)
•
•
•
•
Expertise im Datenschutz aufbauen (das
kann zu Wettbewerbsvorteilen oder gar
neuen Geschäftsmodellen für Beratungsunternehmen und IT-Dienstleister werden)
Rechtmäßigkeit der aktuellen Datenverwendung anhand der DSGVO überprüfen,
da die Strafen empﬁndlich hoch ausfallen
können
Updates und IT-Entwicklungen bereits an
die DSGVO anpassen (Achtung, dabei das
bis dahin geltende Recht einhalten!)
Das Recht auf „Vergessenwerden“ in der
IT berücksichtigen (hier muss der gesamte
Datenﬂuss berücksichtigt werden: Von der
Erhebung über die Speicherung, Weiterverarbeitung und Weitergabe, Sicherungskopien, digitale Akten, Papierablagen,
e-mail Kommunikation etc.)
Eine besondere Herausforderung dürfte
auch die Kundenkommunikation via Messenger-Dienste werden!
Bei Messenger-Diensten haben die Unternehmen in der Regel keine Kontrolle über
die umfangreich erhobenen Daten. Dennoch
muss das Unternehmen, das solch eine Kundenkommunikationsform nutzt, seine Kunden
umfangreich und klar vorab über die Datenverwendung informieren und auch das Recht
auf „Vergessenwerden“ umsetzen können
oder über die aktuell gespeicherten Daten informieren etc. Das dürfte den meisten Unternehmen nicht gelingen und es ist zu erwarten,
dass hier die Gerichte um Klärung bemüht
werden.
IT-Wirtschaft | 7
Es ist gut, wenn im digitalen Umbruch der Datenschutz wichtig genommen
wird, denn einige Unternehmen übertreiben es mit der Datensammelwut. Allerdings wird in der DSGVO kaum ein grundsätzlicher Unterschied zwischen
„bösen Konzernen“ und „guten Kleinstunternehmen“ gemacht – und das
kann selbst für Ein-Personen-Unternehmen gefährlich werden: Denn dieser
Unternehmerkreis hat in der Regel keine Ahnung, welche umfangreichen Datenschutzverstöße er begeht. Auch wenn sich eine Nageldesignerin „nur eine
kleine Website“ anlegt und ein Kontaktformular samt Newsletteranmeldung
hinzufügt, muss sie im Kern ähnliche Datenschutzvorschriften beachten wie ein
internationaler Pharmakonzern – wenn auch mit geringerem Aufwand.
„Sowohl Start-ups als auch große Unternehmen müssen bei der Entwicklung
von Produkten und Dienstleistungen ganz nah an den EU-Plänen arbeiten! Wer
jetzt an den Plänen der EU „vorbei entwickelt“, der wird spätestens bei der
Umsetzung der EU-Vorgaben vor einem Scherbenhaufen stehen!“, so Constantin Wollenhaupt, M.A., zuständig für Digitalisierung im Beratungsunternehmen
HarCon Media & Consulting Holding GmbH mit Sitz in Wien zum notwendigen
Handlungsbedarf für die Unternehmen. Die Regierung ist zudem nun aufgefordert, sich im Sinne der österreichischen Unternehmen proaktiv in die Verhandlungen einzubringen statt abzuwarten und damit die österreichische Wirtschaft
zu gefährden.
IT-Wirtschaft.net - Sonderausgabe
Redaktion & Herausgeber:
HarCon Media & Consulting Holding GmbH
Maria Jacobi Gasse 1, A-1030 Wien
www.harcon.at | [email protected]
Telefon: +43 676 9669751
Herausgeber/Chefredaktion:
Medienbetriebswirt
Constantin Wollenhaupt, M.A.
Stand: Juli 2016
www.it-wirtschaft.net
Quellen: EU Kommission, AK Wien Kommunikation, Die Grünen Klub, TÜV Austria Unternehmensgruppe, Ständige
Vertretung Österreichs bei der EU (Abt. Bundeskanzleramt), PID Wien, Datenschutzbehörde, WKO, WKW. Es wurden
alle relevanten österreichischen Behörden, Ministerien und alle Parlamentsklubs im Nationalrat angefragt. Einige Stellungnahmen waren bis Redaktionsschluss noch nicht verfügbar oder es wurden keine Auskünfte gegeben. Fotonachweise: S.1: alphaspirit-Fotolia.com; S.3: Alliance-Fotolia.com; S.5: Photographee.eu-Fotolia.com; S.6: alphaspirit-Fotolia.com; S.7: MaxFrost-Fotolia.com; S.2, S.4: harcon.at
Diese Broschüre ist eine redaktionelle Sonderausgabe von IT-Wirtschaft.net und dient zur allgemeinen Information.
Sie kann keine Beratung durch Experten (fachkundige Personen wie Anwälte etc.) ersetzen und der Herausgeber
übernimmt keine Haftung für Entscheidungen, welche die Leser dieser Broschüre treffen. Die Inhalte dieser Broschüre
enthalten keine konkreten Empfehlungen oder fachliche Auskünfte, welche eine individuelle Beratung oder Prüfung
der Rechtslage ersetzen könnten. Für die Angaben in dieser Broschüre kann keine Haftung übernommen werden. Die
Angaben wurden mit bestem Wissen und Gewissen, allerdings ohne Gewähr auf Aktualität, Vollständigkeit, Richtigkeit
etc. erstellt. Ständig abrufbares Impressum: https://itwirtschaft.wordpress.com/impressum/

Download Report