Meine Masterarbeit behandelt die Themen ISO 27001 und Datenschutz-Grundverordnung und wie eine Prozessumstellungen nach diesen beiden Regelwerken ausschauen könnte. Ich werde in der nächsten Zeit ausgewählte Kapitel daraus hier vorstellen. Diesmal die EU-Datenschutz-Grundverordnung.

Am 25. Mai 2018 tritt die Europäische Datenschutzgrundverordnung (General Data protection Regulation, GDPR) oder kurz EUDSGVO in Kraft. Die EU-DSGVO ist eine Verordnung und keine Direktive, wie die bisherige europäische „Directive 95/46/EC“ zum Schutz von Personen, bezüglich der Verarbeitung der persönlichen Daten und der freien Weitergabe solcher Informationen. Während eine Direktive nur Vorgaben für die Umsetzung in nationales Recht umfasst, steht eine Verordnung über nationalem Recht und wird unmittelbar wirksam. Die Umsetzung der Direktive aus 1995 ist das Datenschutzgesetz 2000 (DSG 2000), welches in seiner derzeitigen Form Anwendung findet.

Die Zielsetzungen der EU-DSGVO nach[1] sind ein einheitlicher Rechtsschutz für alle Betroffenen sowie einheitliche Regeln für die Datenverarbeitung innerhalb der EU mit der Gewährleistung eines starken und einheitlichen Vollzuges. Jedem nationalen Gesetzgeber steht es aber frei, eine der zahlreichen Öffnungsklauseln zu benutzen, um bestimmte Angelegenheiten gesetzlich näher zu definieren. Österreich hat dies im Juni 2017 mit dem „Datenschutz-Anpassungsgesetz 2018“, einer Novelle des DSG 2000 beschlossen. Daher wird es auch in Zukunft neben der EU-DSGVO ein nationales Datenschutzgesetz (künftig: DSG) geben, in welchem beispielsweise (noch) festgelegt ist, dass auch juristische Personen und Personengesellschaften unter das Datenschutzgesetz fallen[2] – ein Novum in der EU, das vermutlich einer Entscheidung des EuGH bedarf, um zu klären, ob die DSGVO in dieser Hinsicht vorgeht oder ob nationale Gesetze den Datenschutz eigenständig auslegen/festlegen dürfen. Weiters werden zusätzliche Verwaltungsstrafen bis zu einer Höhe von 50.000 Euro angedroht, die von der Datenschutzbehörde verhängt werden können, wenn sich jemand beispielsweise widerrechtlichen Zugang zu einer Datenanwendung verschafft oder eine Bildverarbeitung entgegen den gesetzlichen Bestimmungen betreibt[3].

Neuerungen im Datenschutz

Die EU-DSGVO enthält eine Vielzahl von Veränderungen im Vergleich zur bisherigen Direktive. Nachstehend sind die wichtigsten Neuerungen aufgeführt, auch wird – neben einer kurzen Beschreibung – auf die entsprechenden Artikel in der Richtlinie verwiesen[4]. Im Zuge der Ausarbeitung des Rahmenwerks wird später noch eingehender auf alle relevanten Punkte Bezug genommen.

  • Formale Begriffe (Artikel 4)
    Der „Betroffene“ bleibt auch in der neuen Regelung gleichlautend und ist derjenige, dessen Daten verwendet bzw. verarbeitet werden. Der „Auftraggeber“ wird zum „Verantwortlichen“, da er für den gesamten Datenverarbeitungsvorgang verantwortlich ist. Zusätzlich muss er auch noch den Nachweis erbringen, dass sämtliche Pflichten erfüllt wurden, außerdem fungiert er als direkter Ansprechpartner für den „Betroffenen“. Der „Dienstleister“ wird zum „Auftragsverarbeiter“ und wird vom „Verantwortlichen“ mit der Daten(weiter-)verarbeitung beauftragt.
  • Informationspflichten und Betroffenenrechte
    Das derzeit mögliche Auskunftsrecht (Artikel 15) wird erweitert und beinhaltet nun neben dem Zweck und Empfänger auch die Dauer der Datenspeicherung und die Informationen darüber, aus welcher Quelle die gespeicherten Daten stammen. Neu ist das Informationsrecht (Artikel 13 und 14), in dem klargestellt wird, dass der Betroffene aktiv informiert werden muss, wenn die Daten nicht bei der betroffenen Person selbst erhoben werden. Der Verantwortliche hat 30 Tage Zeit um u. a. die Quelle der Daten, den Zweck und die Dauer der Datenspeicherung anzugeben und auch, ob die Daten an ein Drittland oder eine internationale Organisation übermittelt werden.
  • Verpflichtender Datenschutzbeauftragter (Artikel 37ff.)
    Sobald die Kerntätigkeit eines Unternehmen in der Verarbeitung personenbezogener (pb) Daten liegt oder Daten aus besonders sensiblen Kategorien verarbeitet werden, wie Gesundheitsdaten oder wenn ein Rückschluss auf die ethnische Herkunft möglich ist, ist das Unternehmen verpflichtet, einen Datenschutzbeauftragten zu benennen. Dieser ist mit eigenen Aufgaben, Rechten und Pflichten für Datenschutzfragen im Unternehmen die erste Anlaufstelle.
  • Datenschutz-Folgeabschätzung (Artikel 35)
    Mit dieser Regelung sollen Unternehmen, deren Verarbeitungsvorgänge voraussichtlich ein besonders hohes Risiko für die Rechte und Freiheiten „natürlicher Personen“ darstellen, dazu angehalten werden, bereits in der Konzeptionsphase alle datenschutzrechtlichen Prinzipien zu prüfen und einzuhalten. Dies wird auch eine Aufgabe eines allenfalls bestellten  Datenschutzbeauftragten sein.
  • Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Artikel 25)
    Diese zwei Anforderungen dienen dazu, bestimmte Datenschutzgrundsätze wie Datenminimierung bereits in einer frühen Entstehungsphase zu adressieren. Mit ersteren soll auf der technischen Ebene sichergestellt werden, dass geeignete technische und organisatorische Maßnahmen (TOM) bereits bei der Implementierung von Softwareprodukten vorgesehen werden. Die datenschutzfreundlichen Voreinstellungen sorgen dafür, dass bereits beim Entwurf von Organisationsprozessen die Verwendungen von personenbezogenen Daten auf ein Minimum reduziert werden bzw. durch entsprechende Vorgaben im Bereich der Anonymisierung und Pseudonymisierung gänzlich vermieden werden können.
  • Führung eines Verarbeitsverzeichnisses (Artikel 30)
    Es entfällt die verpflichtende Meldung an die Datenschutzbehörde, die bisher ein Datenverarbeitungsregister geführt hat. Stattdessen werden mit der neuen Regelung die Verantwortlichen und deren Auftragsverarbeiter verpflichtet, ein Verzeichnis über die Verarbeitung der Daten zu führen. Dieses muss auf Anfrage der Datenschutzbehörde vorgelegt werden.
  • Meldungen von Verletzungen des Schutzes personenbezogener Daten
    Sobald eine Datenschutzverletzung zu einem Risiko für die persönlichen Freiheiten und Rechte des Einzelnen werden, muss das betroffene Unternehmen dies binnen einer Frist von 72 Stunden an die Datenschutzbehörde melden (Artikel 33 und 34). Eine Datenschutzverletzung kann der vielbeschworene Hackerangriff sein, aber auch ein verlorener USB-Stick mit Personendaten. Die Datenschutzbehörde übernimmt dann die Verständigung der betroffenen Personen, damit ein physischer, materieller oder immaterieller Schaden minimiert oder sogar abgewendet werden kann.
  • Hohe Strafen (Artikel 83)
    War das DSG 2000 aufgrund der geringen Strafandrohungen eher als lasch zu bewerten (§ 52 des DSG 2000 sieht Geldstrafen zwischen 500 und 25.000 Euro bei datenschutzrechtlichen Verwaltungsübertretungen vor), hat der Europäische Rat mit der neuen Richtlinie dafür Sorge getragen, dass die Geldbußen für Verstöße nach Artikel 83 der Richtlinie[4] „in jedem Einzelfall wirksam, verhältnismäßig und abschreckend sein sollen.“ Jede Person, die wegen eines Verstoßes gegen die DSGVO einen materiellen oder immateriellen Schaden erlitten hat, kann bei dem zuständigen Landesgericht Schadensersatz geltend machen. Die Strafsätze gelten pro Fall bzw. pro Tag, je nachdem, welche Summe größer ist. So sind etwa bis zu EUR 10 Mio oder 2 % des Jahres-Brutto-Konzernumsatzes vorgesehen, wenn ein Unternehmen keinen Datenschutzbeauftragten bestellt hat oder kein Verarbeitungsverzeichnis führt. Genauso teuer wird es, wenn auf die Datenschutz-Folgeabschätzung verzichtet wurde. Bis zu EUR 20 Mio oder 4 % des Jahres-Brutto-Konzernumsatz drohen, wenn die Verarbeitungsgrundsätze oder die Betroffenenrechte verletzt oder gegen Anordnungen der Aufsichtsbehörde verstoßen wurden.

Umsetzung der Richtlinie

Die Umsetzung der neuen Datenschutzbestimmungen stellt viele Unternehmen vor eine große Herausforderung. Obwohl seit 2016 eine zweijährige Übergangsfrist läuft, liegt noch vieles im Unklaren, da erst mit Inkrafttreten der Verordnung die Judikatur die Regelungen so schärfen kann, dass eine Rechtssicherheit hergestellt ist. Einer der derzeit noch meistdiskutierten Bereiche der DSGVO ist die Vorgabe zum Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen[5]. Diese Prinzipien sind noch wenig beschrieben und lassen klare Vorgaben vermissen, was zu einem relativ großen Interpretationsspielraum führen kann. Dennoch lässt das Regelwerk auch Platz für positive Aspekte. Zum einen gilt der Grundsatz, dass die DSGVO für alle Unternehmen in der EU gilt, unabhängig von Größe oder Umsatz. Zum anderen sei an dieser
Stelle nochmals hervorgehoben, dass die veränderten Anforderungen an die Zustimmung zur Nutzung personenbezogener Daten dazu beitragen können, das Vertrauen der Kunden zu den Unternehmen zu verbessern, da diese personenbezogenen Daten tatsächlich nur mehr zweckgebunden verwendet werden können. Es hat zwar jeder Mitgliedsstaat die Möglichkeit, sogenannte Öffnungsklauseln in Anspruch zu nehmen, aber an den beschlossenen Grundsätzen kann und darf sich nichts mehr ändern. Österreich hat dies mit dem Datenschutz-Anpassungsgesetz 2018 (kurz DSG) getan und dies am 31. Juli 2017 im Nationalrat beschlossen[6].

[1]: Dr. Matthias Schmidl. Leitfaden zur Verordnung (EU) 2016/679. Juli 2017.  https://www.dsb.gv.at/documents/22758/116802/DSGVO_2016_679_Leitfaden.pdf/5d8caa5e-ab18-490d-a3a2-f5ba994e70f7

[2]: Allgemeine Informationen DSG 2000. Okt. 2017. https://www.help.gv.at/Portal.Node/hlpd/public/content/244/Seite.2440300.html

[3]: Wirtschaftskammer Österreich. Das Datenschutz-Anpassungsgesetz 2018. 2017.
https ://www.wko.at /service/wirtschaftsrecht – gewerberecht /eu- dsgvo- dat
enschutz-anpassungsgesetz-2018.html

[4]: Verordnung 2016/679 des Europäische Parlaments und des Rates). Okt. 2017.
http://eur – lex .europa.eu/legal- content /DE/TXT/HTML/?uri=CELEX:3
2016R0679&from=DE

[5]: Martin Kuppinger. „Die Europäische Datenschutz-Grundverordnung – was Unternehmen ändern müssen“. iX Extra 9 (September 2017), S. IX–X

[6]: Republik Österreich. Datenschutz-Anpassungsgesetz 2018. 2017. https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdfsig

Photo by Frederic Köberl on Unsplash