DATENSCHUTZ NEU – DIE ZEIT LÄUFT (AB)

Mit der in knapp einem Jahr, am 25.05.2018, in Kraft tretenden, direkt anwendbaren, europäischen Datenschutz-Grundverordnung (DSGVO) wird die gesamte Landschaft des Datenschutzrechts umfassend geändert. Die Neuerungen treffen jedes Unternehmen jeder Branche und machen es notwendig, dass diese in nur kurzer Zeit ihre Datenanwendungen und alle Prozesse im gesamten Bereich des Datenschutzes überprüfen und anpassen müssen. Erschwert wird die Vorbereitung durch den Umstand, dass die Verordnung über 50 „Öffnungsklauseln“ enthält die, trotz direkter Anwendbarkeit, dem nationalen Gesetzgeber gewisse Spielräume für die Detailgestaltung einräumen. Der am 15.05.2017 präsentierte Entwurf dafür und die Einbettung in bzw. die Adaption des DSG müssen sich noch im Begutachtungsverfahren bewähren, weshalb die genaue Rechtslage noch nicht mit abschließender Rechtssicherheit bekannt ist. Dennoch kann jedes Unternehmen bereits jetzt umfangreiche Vorbereitungsmaßnahmen treffen, die ein rechtzeitiges Erfüllen der neuen Regelungen erleichtern werden. Es gilt existierende Prozesse, Templates, Checklisten und Vertragsdokumente in ihrer Gesamtheit zu überprüfen und gezielt zu überarbeiten.

Der erste Schritt ist eine umfassende Erhebung des Ist-Standes im eigenen Unternehmen.

Dabei gilt es zu erfassen wo und zu welchem Zweck im Unternehmen bzw. im Konzern personenbezogene Daten (z.B. Name, Adresse, Geburtsdatum, Bankdaten, etc.) gesammelt sowie über welchen Zeitraum gespeichert und verwendet werden. Insbesondere gilt es bestehende Datenanwendungen, sowohl aktuell im Datenverarbeitungsregister registrierte, als auch der bisher nicht registrierungspflichtigen Standardanwendungen (vgl. Standard- und Muster-Verordnung 2004, BGBl. II Nr. 312/2004 idgF) zu erfassen. Im nächsten Schritt ist die jeweilige Rechtsgrundlage für die Datenanwendung zu identifizieren und auf ihre Aktualität nach den neuen Regelungen zu prüfen. Diese liegt oft in einer Einwilligung durch die betroffene Person oder in der Notwendigkeit zur Erfüllung einer vertraglichen Verpflichtung. Wichtig wird auch sein, ob ein Datentransfer oder eine Datenspeicherung im EU Ausland erfolgt.

In Zukunft wird die Verpflichtung zur Registrierung von Datenanwendungen bei der Datenschutzbehörde durch ein intern zu führendes Register ersetzt, welches insbesondere bei nicht nur gelegentlicher Datenverarbeitung – also z.B. bei laufender Lohnverrechnung – erforderlich ist. Besondere Regeln gelten künftig für das „Profiling“, also jede Art der automatisierten Verarbeitung personenbezogener Daten, die dazu dient bestimmte persönliche Aspekte einer natürlichen Person zu bewerten, analysieren oder vorherzusagen (z.B: Bonitätsprüfungen).-

Im juristischen Fokus liegt auch die umfassende Beurteilung der AGB, laufenden Verträge, die Prüfung von Dienstverträgen, Betriebsvereinbarungen, Dienstordnungen und internen wie auch im Einsatz mit Kunden verwendeten Datenschutzerklärungen, sowie die Prüfung von sämtlichen Website-Funktionen, -Voreinstellungen und Inhalten. Ebenso sind bestehende Verträge mit Datendienstleistern zu prüfen.
< In einem weiteren Schritt sind die Ergebnisse mit den neuen Anforderungen der DSGVO in Einklang zu bringen. Es gilt die Informationspflichten und Betroffenenrechte (Auskunftsrecht, Recht auf Richtigstellung, Widerspruchsrecht, Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit und Recht auf Vergessenwerden) zu wahren und geeignete interne Prozesse dafür aufzusetzen. Dabei ist unter anderem zu unterscheiden, ob die Daten bei Betroffenen direkt erhoben werden oder nicht. Außerdem müssen die Herausforderungen der neuen Grundsätze erfolgreich umgesetzt werden, wie z.B. die „Datenschutz-Folgenabschätzung“ (impact assessment) samt möglicherweise erforderlicher Vorabkonsultation der Aufsichtsbehörde, oder ob der Datenschutz durch das technische Design der IT Systeme und die getroffenen Voreinstellungen (data protection by design and default) in Verbindung mit den organisatorischen Maßnahmen wirksam ist. Ergänzt werden muss das durch umfassende Unternehmensrichtlinien zu Datensicherheitsmaßnahmen und definierten Prozessen zur Vermeidung und nötigenfalls zur Meldung von Datenschutzverletzungen. Zudem gilt es zu klären, ob ein Datenschutzbeauftragter erforderlich sein wird (Achtung: dieser ist kein verantwortlicher Beauftragter nach § 9 Abs 2 VStG, sodass die Verantwortung bei der Geschäftsleitung verbleibt). Fangen Sie jetzt an den bereits absehbaren Änderungsbedarf zu identifizieren und planen Sie die erforderlichen Projekte rechtzeitig. Insbesondere die Änderungen an IT Systemen benötigen einen längeren Zeitraum, aber auch die Anpassung von Geschäftsabläufen. Bedenken Sie außerdem die frühzeitige Involvierung aller wichtigen Beteiligten, wie die Aufsichtsbehörde, den Betriebsrat, externe Unterstützung, etc. Ferner müssen die Maßnahmen in allen Auslandsgesellschaften implementiert werden und dem gleichen Schutzniveau entsprechen. „Ergänzt werden müssen diese Maßnahmen durch umfassende Anpassungen und Ergänzungen in den Unternehmensrichtlinien zu den Thematiken des Datenschutzes“ führt Frau Bolek-Fügl, Senior Manager bei der BDO Austria in Wien aus. „Es muss ein juristisch fundiertes Gesamtkonzept erstellt werden, das nicht nur alle Datenverarbeitungsprozesse, sondern auch alle Verträge, insbesondere auch den Auftritt gegenüber dem Kunden (etwa Webshops) und Mitarbeiterschulungen, umfasst. Dies stellt eine große Herausforderung dar.“ pflichtet Johannes Duy, Partner der Duy Rechtsanwalt GmbH, bei. Der nicht zu unterschätzende Aufwand rechtfertigt sich insbesondere durch einen Blick auf die massiven Ausmaße des Strafrahmens für Verstöße gegen die Datenschutz-Grundverordnung. Mit einer Höchstgrenze von 20 Millionen Euro bzw. 4% des konzernweiten Jahresumsatzes (wobei der jeweils höhere Betrag greift), ist dieses Gesetzt auch Anlass für grundlegende Fragen zur Reform des österreichischen Verwaltungsstrafrechts. Die Frage nach dem Recht auf einen gesetzlichen Richter, der Wegfall des Kumulationsprinzips sowie das Prinzip der Verschuldensvermutung sind nur 3 Beispiele dafür. Zusammenfassend zeigt dies, dass das Thema einen besonders hohen Einflußfaktor auch über den rein datenschutzrechtlichen Bereich hinaus auf ein Unternehmen hat und erhöhte Sensibilität erfordert. Ein ehest mögliches befassen mit den soeben veröffentlichten österreichischen Entwürfen und den Vorgaben der DSGVO ist auf jeden Fall zu empfehlen.