Datenschutz Reloaded – Die neue Datenschutzgrundverordnung als Chance und Risiko
Datenschutz Reloaded – Die neue Datenschutzgrundverordnung als Chance und Risiko
Im ersten Moment möchte man meinen, dass 24 Monate ein langer Zeitraum sind, um neue Regeln in einem Unternehmen zu implementieren. Dabei handelt es sich jedoch um einen Irrtum. Unternehmensprozesse innerhalb von 24 Monaten gänzlich zu ändern ist eine Hercules Aufgabe. Was ist passiert? Nach jahrelangem zähem Ringen auf höchster politischer Ebene konnte sich die Europäische Union im Mai 2016 auf eine neue Datenschutzgrundverordnung einigen. Diese ist am 24.5. – weitestgehend unbemerkt – in Kraft getreten. Das „Unbemerktsein“ ist darauf zurückzuführen, dass eine Übergangsfrist von zwei Jahren, nämlich bis zum 25.5.2018 besteht und die neuen Regeln erst zu diesem Zeitpunkt angewendet werden müssen. Nachdem zahlreiche Unternehmen die letzen Jahre ungenutzt verstreichen haben lassen, erkannten sie Anfang 2018, dass zahlreiche Prozesse in den Unternehmen an die neuen Gegebenheiten angepasst werden müssen.
Wen betrifft eigentlich die neue Datenschutzgrundverordnung? Grundsätzlich muss die Datenschutzgrundverordnung von jeder natürlichen oder juristischen Person, Behörde, Einrichtung oder anderen Stelle, die personenbezogene Daten verarbeitet, eingehalten werden. Personenbezogene Daten liegen vor, wenn eine natürliche Person identifiziert oder identifizierbar ist. Identifizierbar ist eine natürliche Person dann, wenn sie aufgrund einer Kennung, Standortdaten, einer Online-Kennung oder anderen Merkmalen identifiziert werden kann. Zusammengefasst bedeutet das, dass faktisch jedes Unternehmen die Datenschutzgrundverordnung anwenden muss, da faktisch jedes Unternehmen Daten über natürliche Personen verarbeitet.
Schon bisher war es so, dass personenbezogene Daten nur verarbeitet werden dürfen (dazu gehört auch bereits das Erheben und Speichern der Daten), wenn die Verarbeitung für einen konkreten legitimen Zweck erfolgt. Diese Regeln, welche auf der ursprünglichen Richtlinie aus dem Jahr 1995 gegolten haben (Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr). Neben diesem konkreten Zweck der Datenverarbeitung müssen auch noch andere Qualitätsgrundsätze eingehalten werden. Bisher war es ausreichend, dass die Verarbeitung nach Treu und Glauben, für einen gewissen Zweck, in möglichst geringem Umfang, richtig, für einen begrenzten Zeitraum und sicher erfolgt. Nunmehr muss die Verarbeitung auch transparent erfolgen. Das bedeutet, dass die jeweils betroffene Person über den Verarbeitungsvorgang vom jeweiligen Verantwortlichen (demjenigen, der entscheidet, dass und wie die Daten verarbeitet werden) gegenüber dem Betroffenen offenlegen muss, wie er die Daten verarbeitet. Bereits diese Änderung der rechtlichen Grundlagen führt dazu, dass Unternehmen ihre Prozesse an die neuen rechtlichen Gegebenheiten anpassen müssen. Es geht jedoch noch weiter. Schon bisher war es für eine wirksame Zustimmung notwendig, dass der jeweilige Betroffene die Erklärung gültig, ohne Zwang und in Kenntnis der Sachlage erklärt hat, dass seine Daten verarbeitet werden dürfen. Diese – schon bisher sehr strengen – Kriterien werden durch die Datenschutzgrundverordnung weiter verschärft. Nunmehr ist es auch zwingend notwendig, dass der Verantwortliche einen Nachweis erbringt, dass er tatsächlich eine wirksame Zustimmungserklärung eingeholt hat.
Darüber hinaus wird in Zukunft auch die Verarbeitung von besonderen Kategorien von Daten (früher: sensible Daten) verschärft. Bei besonderen Kategorien von Daten handelt es sich um Informationen, die besonders schutzwürdig sind. Dabei handelt es sich um Informationen über die rassische und ethnische Herkunft, politische Meinung, religiöse und weltanschauliche Überzeugung, die Gewerkschaftszugehörigkeit, Gesundheitsdaten sowie Daten zum Sexualleben. Neu ist, dass auch genetische und biometrische Daten nunmehr unter die besonderen Kategorien von Daten fallen. Die Verarbeitung von besonderen Kategorien von Daten ist nur zulässig, wenn der Betroffene in die Verarbeitung eingewilligt hat oder eine gesetzliche Verpflichtung zur Verarbeitung der Daten vorliegt.
Zudem sind strafrechtlich relevante Daten abzugrenzen. Dabei handelt es sich um personenbezogene Daten über strafrechtliche Verurteilungen sowie Straftaten oder damit zusammenhängende Sicherungsmaßregeln. Die Verarbeitung von strafrechtlich relevanten Daten darf nur unter behördlicher Aufsicht vorgenommen werden oder wenn dies nach dem Unionsrecht oder dem Recht des jeweiligen Mitgliedstaats zulässig ist.
Schon bisher gab es ein Auskunftsrecht des jeweiligen Betroffenen, mit dem er bei Verantwortlichen erfragen konnte, welche Daten über ihn verarbeitet werden. Wie schon bisher ist diese Auskunft einmal im Jahr kostenlos. Neu ist, dass die Frist von acht Wochen auf ein Monat verkürzt wurde. Sollte es sich um eine umfangreiche und komplexe Auskunft handeln, kann der Verantwortliche im Einzelfall die Frist zur Beauskunftung einmalig um weitere zwei Monate verlängern, der Verantwortliche wird dies unter Nennung der Gründe dem Betroffenen binnen eines Monats mitteilen. Eine große Änderung ergibt sich für Unternehmen auch im Zusammenhang mit der Aktualisierung von Daten. Wenn ein Verantwortlicher Daten an einen Dritten weitergibt, ist er verpflichtet den Dritten auch über Änderungen der Daten zu informieren. So soll sichergestellt werden, dass die Datenbestände immer korrekt sind. Noch gravierender wiegt der Umstand, dass der Empfänger der Daten auch über den Umstand informiert werden muss, dass die Daten gelöscht wurden.
Großer Änderungsbedarf bei den Unternehmen herrscht auch im Rahmen der technischen Rahmenbedingungen. So sind die Unternehmer nunmehr verpflichtet, eine Datenübertragbarkeit zu gewährleisten. Der jeweilige Betroffene muss die Möglichkeit haben, die Daten von einem Verantwortlichen zu einem anderen Verantwortlichen mitzunehmen. Dazu muss der jeweilige Verantwortliche technische Schnittstellen implementieren, die die Übertragbarkeit ermöglichen. Datenschutzkonforme Grundeinstellungen runden das Bild ab. Die Datenerhebung muss den Prinzipien privacy by default und privacy by design folgen. Das bedeutet, dass die technische Verarbeitung sowie die Vorgabewerte (Defaultwerte) datenschutzfreundlich gestaltet sein müssen. Beispielsweise darf eine Datensammlung erst beginnen, wenn die betroffene Person eine aktive Handlung setzt. Dies kann etwa durch das Setzen eines Häkchens geschehen. Die Verarbeitung der Daten muss darüber hinaus datenschutzfreundlich sein. Personenbezüge müssen, sofern nicht unbedingt notwendig, gelöscht werden (Pseudonymisierung).
Technische Maßnahmen verpflichten den jeweiligen Verantwortlichen, nicht nur vor unrechtmäßigem Zugriff zu schützen, sondern sie müssen auch sicherstellen, dass die Daten immer verfügbar sind.
Auf der organisatorischen Seite sind die Änderungen nicht weniger gravierend. Früher musste der Verantwortliche die Datenverarbeitung bei der Datenschutzbehörde melden. Nunmehr gibt es eine Selbstverpflichtung. Der Verantwortliche muss dokumentieren, welche Verarbeitungsvorgänge im Rahmen seines Unternehmens erfolgen. Dazu muss er nicht nur konkret angeben, wo die Daten herkommen, was mit den Daten passiert und wie lange die Daten gespeichert werden, er muss auch zu den einzelnen Datenverarbeitungsvorgängen klar darlegen, welche organisatorischen und technischen Maßnahmen er zum Schutz ergriffen hat. Unangenehm sind die Folgen, wenn „etwas schief geht“. Die Datenschutzgrundverordnung definiert nicht nur sehr genau, wann eine Verletzung stattgefunden hat (bereits dann, wenn ein Dritter theoretisch Zugriff haben konnte), die Konsequenzen, die den jeweiligen Verantwortlichen treffen, sind drakonisch. Nicht nur, dass der jeweilige Verantwortliche binnen 72 Stunden die Behörde über die Verletzung informieren muss, der Verantwortliche muss auch einen Prozess implementiert haben, die jeweiligen Betroffenen über die Verletzung zu informieren. Sollte der Aufwand den einzelnen Betroffen zu informieren zu hoch sein, ist der Verantwortliche verpflichtet, die Verletzung zu veröffentlichen.
Wenn der Verantwortliche besonders viele Daten verarbeitet und ein großes Gefährdungspotenzial für die Betroffenen besteht, muss der Verantwortliche auch eine sogenannte Datenschutzfolgeabschätzung erstellen.
Kontrolliert wird das bei den Verantwortlichen auf zweierlei Arten: Einerseits ist der Verantwortliche selbst verpflichtet – unter gewissen Voraussetzungen – einen Datenschutzbeauftragten zu bestellen, der intern die korrekte Verarbeitung von Daten prüft. Andererseits hat die jeweilige Aufsichtsbehörde ein umfangreiches Recht, nicht nur die ordnungsgemäße Einhaltung zu prüfen, sondern auch jeden Verstoß zu strafen. Die Strafdrohung ist dabei wahrlich gewaltig, sie beträgt im schlimmsten Fall bis zu EUR 20.000.000,00 oder 4% des weltweiten Jahresumsatzes. Zwar ist für die Zukunft zu erwarten, dass die zuständigen Datenschutzbehörden einen Strafenkatalog erlassen, in dem die jeweiligen Strafen auf die jeweilige Unternehmensgröße angepasst werden, da das Gesetz jedoch vorsieht, dass die Strafen „abschreckend“ sein sollen, liegt es wohl im Interesse der Unternehmen, die Datenschutzgrundverordnung ernst zu nehmen.
All diese Änderungen führen dazu, dass zwar der datenschutzrechtliche Aufwand im Unternehmen größer wird, es ist jedoch auch eine Chance. Unternehmen haben mit den neuen Regeln die einmalige Gelegenheit, Arbeitsabläufe innerhalb des Unternehmens zu bereinigen und in einer nachvollziehbaren Art und Weise zu definieren.
Ob die Unternehmen diese Chance wahrnehmen, wird die Zukunft weisen.
The General Data Protection Regulation (GDPR) was approved by the EU Parliament on 14th April 2016 and has to be enforced until 25th May 2018 by every natural or legal person, authority or institution processing and holding the personal data of data subjects. The main changes are sharply higher penalties along with new conditions for consent, stricter accountability including records of data processing, data protection impact assesments, data protection by design and for certain companies the appointment of a data protection officer. Besides the GDPR introduces data breach notification, with the obligation to report any data breach within 72 hours. Further a level of security appropriate to the risk has to be ensured, hence specific technical and organisational measures have to be implemented.
Autor: Mag. Markus Dörfler, Rechtsanwalt, Partner bei Höhne, In der Maur & Partner Rechtsanwälte