Ausgangssituation

Schon bisher hatte Österreich eines der schärfsten Datenschutzgesetze Europas. Die Umsetzung war jedoch bisher relativ zahnlos, insbesonders auch wegen der fehlenden finanziellen Ausstattung der Datenschutzbehörde. Die Datenschutz-Grundverordnung ändert das nunmehr grundlegend.

Datenschutz SymbolbildAm 4. Mai 2016 wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung)“ kund gemacht.

Die Datenschutz-Grundverordnung ist als Verordnung in jedem Mitgliedsland unmittelbar gültig, ohne in nationales Recht übernommen werden zu müssen. Der Gesetzgeber lässt jedoch den lokalen Regierungen Spielräume, die es notwendig machten, das bisherige Datenschutzgesetz aus dem Jahre 2000 zu novellieren. Das Datenschutz-Anpassungsgesetz 2018 wurde im Nationalrat beschlossen und tritt mit 25. Mai 2018 gemeinsam mit der DSGVO in Kraft.

Pfusch in der Umsetzung

Am 12.05.2017 wurde in einem Ministerialentwurf das Datenschutz-Anpassungsgesetz 2018 veröffentlicht und ein Begutachtungsverfahren eingeleitet. Stellungnahmen konnten bis zum 23.6.2017 abgegeben werden.

Die Regierung hat aber aufgrund der am 15.10.2017 stattfindenden Neuwahlen die Begutachtungsfrist nicht abgewartet und bereits am 7.6. den Entwurf als Regierungsvorlage dem Nationalrat vorgelegt. Das Gesetz wurde dann auch so beschlossen.

Die über 100 Stellungnahmen zum Entwurf wurden so in der Gesetzwerdung nicht berücksichtigt.

Aufgrund der Wichtigkeit der Materie hat sich die Digital Society gemeinsam mit der ISPA und anderen Verbänden in einem offenen Brief auch an Bundespräsident Van der Bellen gewandt.

Wesentliche Neuerungen der Datenschutz-Grundverordnung

  • Keine Meldepflicht mehr an das Datenverarbeitungsregister (DVR)
  • Weitreichende Neuregelung der Pflichten für Datenverarbeiter:
    • Privacy by default:
      Durch technische und organisatorische Maßnahmen und Voreinstellungen ist sicherzustellen, dass nur personenbezogene Daten verarbeitet werden, die auch tatsächlich benötigt werden und Rechte der verarbeitenden Personen geschützt werden.
    • Verzeichnis für Verarbeitungstätigkeiten:
      Die Verarbeitungstätigkeiten müssen detailliert beschrieben und in einem Verzeichnis von Verantwortlichen und Verarbeitern dokumentiert werden. Dieses Verzeichnis entspricht in etwa den früheren Meldungen an das DVR.
      Das Verzeichnis muss von Unternehmen unter 250 Mitarbeitern nur dann nicht geführt werden, wenn die Verarbeitung nachweislich kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt. Eine diesbezügliche Analyse ist daher auf jeden Fall zu erstellen.
    • Security BreachMeldung von Verletzungen des Schutzes personenbezogener Daten:
      Etwaige Verletzungen, Dateneinbrüche etc. müssen den lokalen Behörden unumgänglich – bis spätestens innerhalb 72 Stunden nach der Verletzung – gemeldet werden.
    • Pflicht zur Datenschutz-Folgenabschätzung:
      Beim Einsatz neuer Technologien ist eine Datenschutz-Folgeabschätzung zu erstellen, wenn ein hohes Risiko für Rechte und Freiheiten natürlicher Personen besteht und Verpflichtung zur Konsultation der Aufsichtsbehörde, wenn davon ausgegangen werden kann, dass ein hohes Risiko besteht.
    • Verpflichtender Datenschutzbeauftragter:
      Erfolgt eine umfangreiche, regemäßige und systematische Beobachtung von Personen oder werden besondere Kategorien von Daten verarbeitet, so muss ein verantwortlicher Datenschutzbeauftragter bestellt werden.
  • Rechte für Betroffene:
    • Betroffene sind innerhalb eines Monats zu informieren
    • Auskunftsrechte
    • Recht auf Berichtigung
    • Recht auf Löschung
    • Recht auf Einschränkung der Verarbeitung
    • Recht auf Datenübertragbarkeit
    • Widerspruchsrecht
  • Befugnisse der Behörde:
    • Die Befugnisse der Aufsichtsbehörden werden erweitert.
    • Bei Vergehen gegen die DSGVO drohen extrem hohe Strafen. Während bei administrativen Verstößen bis zu zehn Millionen Euro (oder zwei Prozent des globalen Umsatzes) fällig werden, können bei grundsätzlichen ethischen Vergehen Strafen bis zu zwanzig Millionen Euro (oder vier Prozent des globalen Umsatzes) verhängt werden.

Was ist bei der Datenschutz-Grundverordnung zu beachten?

Folgende Punkte zeigen beispielhaft, welche Dinge mit der neuen Datenschutz-Grundverordnung beachtet werden müssen. Es gibt keinen Anspruch auf Vollständigkeit:

  • Cloud-Dienste
    Wo befinden sich die Serverstandorte ihrer Dienstebetreiber? Ist in den Beschreibungen des Cloud-Dienstebetreibers eventuell eine Klausel enthalten, dass die Daten (z.B. bei Ausfällen oder generell) weltweit verteilt werden dürfen und können?
  • E-Mail-Dienste
    Wo befinden sich die Server ihres E-Mail Providers? Achtung: Auch Österreichische / Europäische Diensteanbieter vertreiben teilweise Serverdienste nichteuropäischer Anbieter!
  • Informationspflichten
    Kommen Sie allen datenschutzrechtlichen Informationspflichten (z.B. durch Ihre AGB oder Datenschutzerklärung) nach und werden alle Zustimmungserfordernisse erfüllt? Wie dokumentieren Sie die Einholung der Zustimmung?
  • Dienstleistungsverträge
    Sind ihre Dienstleistungsverträge mit IT Dienstleistern datenschutzkonform? Verwenden Sie Backupdienste oder Cloud-Laufwerke, die ebenfalls diesen Anfordernissen entsprechen müssen?
  • Backup
    Wie erfüllen sie die Anforderungen nach vollständiger Löschung der Daten (das betrifft auch die Löschung dieser Daten in allen Backups)?
  • Zugriff durch Techniker
    Wie stellen Sie sicher, dass keine Techniker aus “nicht sicheren Drittstaaten” nicht auf Ihre personenbezogenen Daten zugreifen können (z.B. IT-Techniker, die über Remote-Zugriff Support leisten)?
  • Datenübermittlung
    Sind Ihre Datenübermittlungen in Länder außerhalb der EU genehmigungspflichtig?

 

 

Wie hilft die Digital Society?

 

  • Digital Society Business NetworkWir informieren mit unseren regelmäßigen Veranstaltungen wie dem Digital Society Business Network oder unseren Digitalks über neue Erkenntnisse und praktische Probleme.
  • Das Digital Society Team DSGVO vernetzt Spezialisten und Betroffene und erarbeitet Lösungsmöglichkeiten.
  • Wir setzen uns für die Klärung der offenen Fragen durch die überhastete Implementierung des Datenschutz Anpassungsgesetzes 2018 ein.
  • Wir arbeiten in Arbeitsgruppe der Austrian Standards zum Thema mit.
  • Wir bieten Seminare zum Thema.
  • Wir bieten künftig einen Online-DSGVO-Check für KMU’s.
  • Wir bieten in Zusammenarbeit mit Partnern eine von der Wirtschaftskammer geförderte DSGVO-Beratung.