EU-Datenschutz: Herausforderung für Unternehmen
Die Europäische Datenschutz-Grundverordnung (DSGVO) hat weitreichende Auswirkungen auf das Datenschutzrecht der EU-Mitgliedstaaten. Österreichische Unternehmen sollten sich frühzeitig rüsten.
Die Europäische Datenschutz-Grundverordnung (DSGVO) bringt eine weitgehende Vereinheitlichung des bisher durch die nationalen Datenschutzgesetze der 28 Mitgliedstaaten geregelten Datenschutzrechts. Nicht nur deshalb stand die Veranstaltung aber unter dem Titel "Paradigmenwechsel im Datenschutzrecht": "Geldbußen von bis zu 20 Millionen Euro - statt bislang 10.000 bis 25.000 Euro - oder vier Prozent des weltweiten Jahresumsatzes bei Datenschutzverletzungen: das sind die drohenden Konsequenzen, die eine rechtzeitige Auseinandersetzung mit dieser Thematik erfordern", sieht Roland Marko, Partner Wolf Theiss, Praxisgruppe IP/IT, Handlungsbedarf bei der heimischen Unternehmerschaft.
Betriebliche Organisation, Geschäftsprozesse und Verträge müssten bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 gesichtet und rechtzeitig an die neuen Rahmenbedingungen angepasst werden, erklärt Marko. Wie Judith Leschanz, Leitung National Data Privacy, A1 Telekom Austria AG, betont, sei der Aufbau eines Datenschutzmanagmentsystems besonders wichtig
Datenschutz-Folgenabschätzung
Unternehmen müssen künftig eine Datenschutz-Folgenabschätzung erstellen, wenn sie zum Beispiel neue Technologien einführen, die hohe Risiken für den Datenschutz natürlicher Personen zur Folge haben können. Bei einer Datenschutz-Folgenabschätzung sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet und geeignete technische und organisatorische Maßnahmen dagegen ergriffen werden.
Ernennung eines Datenschutzbeauftragten
Bis Mai 2018 sind jene Unternehmen verpflichtet, einen Datenschutzbeauftragten zu ernennen, deren "Kerntätigkeit" in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Beobachtung von Personen erforderlich machen (z.B. Unternehmen mit personalisierten Werbestrategien, Versicherungen, Auskunfteien, Detekteien) oder deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenhäuser, Labors, Beratungsstellen). Der Datenschutzbeauftragte muss über ein spezielles Fachwissen im Datenschutzrecht verfügen und kann entweder als Beschäftigter oder externer Dienstleister eingesetzt werden.
Dokumentations- statt Meldepflicht: größere Verantwortung für Unternehmen
"Die DSGVO wird Unternehmen stärker als bisher in die Eigenverantwortung nehmen. Statt der bisherigen Meldepflicht beim Datenverarbeitungsregister wird ab Mai 2018 auf interne Dokumentationspflichten gesetzt", erläutert Datenrechtsexperte Marko. Neben einem solchen "Verzeichnis der Verarbeitungstätigkeiten" muss Datenschutz künftig aber auch durch Technikgestaltung und Voreinstellungen gewährleistet werden. „Privacy by design" und "privacy by default“, das heißt datenschutzfreundliche Voreinstellungen, sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
