EU Datenschutz-Grundverordnung

Transkript

1 EU Datenschutz-Grundverordnung Regelungen, Analysen, Stimmungen, Auswirkungen IT-Wirtschaft.net!

2 Datenschutz-Grundverordnung: Die neuen europäischen Regelungen Derzeit liest man einiges über die EU-Datenschutz-Grundverordnung (DSGVO), doch selten sind konkrete Inhalte dabei. IT-Wirtschaft (HarCon Media & Consulting Holding GmbH) hat sich die Verordnung konkret angesehen, Auswirkungen auf nationale und internationale Gesetze analysiert und Expertenstimmen eingeholt. Ein paar FAQs zum Start: Die DSGVO heißt im konkreten Wortlaut: VERORDNUNG (EU) 2016/679 DES EURO- PÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung). Der Gegenstand und die Ziele der DSGVO: Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Grundrechte und Grundfreiheiten natürlicher Personen sowie deren Recht auf Schutz der personenbezogenen Daten sollen geschützt werden. Der freie Verkehr personenbezogener Daten in der EU darf (aus gründen des Schutzes o.g. Daten) nicht eingeschränkt oder verboten werden. Die Verordnung selbst kann als Handbuch für die Überprüfung und Entwicklung des Datenschutzes in Unternehmen herangezogen werden. Grundsätzlich sind alle Vorschriften und der erlaubte Umgang mit Daten gut beschrieben. Jedoch gibt es einige Unklarheiten und die Kollision mit anderen Gesetzen und Vorschriften auf nationaler Ebene ist weitgehend unberücksichtigt. Die Zurückhaltung der offiziellen Behörden bezüglich konkreter Antworten lässt darauf schließen, dass man in Österreich nicht auf die DSGVO vorbereitet ist obwohl die Verhandlungen darüber seit vielen Jahren laufen. Auch jetzt, da die finale Verordnung im Wortlaut verfügbar ist, sehen viele Behörden noch keinen Handlungsbedarf. Umso mehr bedarf es der Zusammenarbeit aller Datenschutz-, IT-, und Rechtsexperten, damit die Unternehmen nicht in eine Falle laufen und die berechtigten Schutzinteressen der Bürger gewahrt werden. Wir hoffen, dass wir Ihnen mit dieser Broschüre einen kurzen Überblick über wichtige Veränderungen geben können und stehen Ihnen für eine individuelle Beratung gerne zur Verfügung! Die Grundsätze der DSGVO: Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz Zweckbindung Datenminimierung Richtigkeit Speicherbegrenzung Integrität und Vertraulichkeit Rechenschaftspflicht Medienbetriebswirt Constantin Wollenhaupt, M.A. managing director HarCon Media & Consulting Chefredakteur IT-Wirtschaft.net 2 IT-Wirtschaft

3 Vor- und Nachteile für Unternehmen und Konsumenten Die DSGVO bietet neben einer Reihe von bürokratischen Vorgaben auch ganz konkrete Vorteile und Nachteile, sowohl für Konsumenten als auch für Unternehmen. Hier geben wir Ihnen einen kurzen Überblick einiger wesentlicher Punkte. Vor- und Nachteile für Konsumenten: Für Konsumenten sind einige Normierungen wie zum Beispiel das Recht auf Vergessenwerden (Art. 17 DSGVO) von Vorteil. Die Datenübertragbarkeit wird auch Erleichterungen bringen, wenn zum Beispiel der Mobilfunkanbieter gewechselt wird. Verbindliche Schnittstellen zwischen den Technik-Anbietern sorgen dann dafür, dass auch Anrufprotokolle ganz einfach vom alten auf das neue Mobiltelefon übertragen werden können. Dann ist man nicht mehr auf Apps angewiesen, deren Umgang mit Daten unter Umständen äußerst zweifelhaft sein kann. Allerdings kann es zu einem Wildwuchs an Videokameras kommen, denn in der DSGVO gibt es keine Bestimmungen zur Videoüberwachung. Wird also bei der nationalen Gesetzgebung die bisherige dazu bestehende Regelung im Datenschutzgesetz einfach mit der EU-Verordnung überschrieben gibt es keine Einschränkungen mehr bei der Videoüberwachung (dass dies ein echtes Problem sein kann, siehe weiter unten). Vor- und Nachteile für Unternehmen: Unternehmen, die sich bereits jetzt mit Meldeund Genehmigungsverfahren mit der Datenschutzbehörde herum plagen, wird es keine Mehrbelastungen geben, denn diese bisherigen Meldungen werden wegfallen. Viele Unternehmen haben allerdings bisher den Datenschutz und seine umfangreichen Pflichten noch gar nicht am Radar, weil sie unter Um- ständen zu klein für nationale Regelungen waren. Für Jungunternehmen, Kleinst- und Kleinunternehmen ist daher nun höchste Eile geboten! Die Einführung und erstmalige Umsetzung der Datenschutzrichtlinien ist zeitintensiv und muss ab dem vollumfänglich den Richtlinien der DSGVO entsprechen. Leider werden die Unternehmen dabei aber noch im Dunkeln gelassen, denn nach unserer Anfrage aller betroffenen Ministerien und Behörden, sahen sich die meisten Behörden nicht im Stande, vor dem Stichtag vorbereitende Maßnahmen zu treffen (weder für die eigene Behörde, noch in der Information und Kommunikation an betroffene Unternehmen). Bei der Stadt Wien hieß es, dass man sich damit erst nach Inkrafttreten der Verordnung beschäftigen würde, denn solange es nicht Bundesrecht ist, würde man trotz dem Wissen, was da kommen wird die Regelungen als gegenstandslos ansehen. Eine äußerst kurzsichtige Strategie, die zu einigen Problemen führen könnte. IT-Wirtschaft 3

4 Nationale Spielräume werden leider unzureichend umgesetzt Aufgrund der EU-DSGVO besteht auch in Österreich laut Bundeskanzleramt ein erheblicher Anpassungsbedarf im österreichischen Datenschutzrecht, so der damalige Bundesminister Dr. Josef Ostermayr in einer Antwort einer Nationalratsanfrage. Insbesondere sei das Datenschutzgesetz 2000 (DSG2000) betroffen. Wobei Österreich hier plant, die DSVGO unmittelbar anzuwenden und darüber hinaus laut Bundeskanzleramt nationale Umsetzungsregelungen weder erforderlich noch zulässig seien. Dem wird jedoch von der TÜV Austria widersprochen, denn: In der DSGVO sind unzählige Öffnungsklauseln und zwei delegierte Rechtsakte (Art. 12 Abs. 8, 43 Abs. 8 in Verbindung mit Art. 92 DSGVO) vorgesehen. Die Öffnungsklauseln ermöglichen dem nationalen Gesetzgeber eigene datenschutzrechtliche Normen zu erlassen. Beispielsweise müsste man auch wie im obigen Beispiel die Regelungen zur Videoüberwachung national in ein neues Gesetz gießen. Neben dem Datenschutzgesetz muss auch der Arbeitnehmerschutz neu gestaltet werden, denn das Arbeitsverfassungsgesetz aus 1973 hält den modernen Anforderungen einer 4 IT-Wirtschaft digitalen Arbeitswelt nicht mehr stand. Auch hierfür ist im Detail der Gesetzgeber zuständig (Art. 88 Abs. 1 und Art. 89 DSGVO) und somit bestehen entgegen der Aussage des zuständigen Ministers dann sehr wohl Spielräume für die nationale Gesetzgebung in Österreich. Laut TÜV Austria wären auch unzählige Bundes- und Landesgesetze betroffen, wie das Waffengesetz, das Staatsbürgerschaftsgesetz, das Hypothekar- und Immobilienkreditgesetz, das Sicherheitspolizeigesetz etc. Denn Datenschutz ist eine Querschnittmaterie. Unter diesen Umständen ist es besonders interessant, dass die zuständigen Ministerien keine Antworten auf die Anfragen der IT-Wirtschaft-Redaktion geben konnten. Die Datenschutzbehörde in Österreich prüft die Auswirkungen derzeit intern und beruft sich ebenfalls auf die parlamentarische Anfragebeantwortung des damaligen Bundesministers Dr. Ostermayr. Es bleibt also zu befürchten, dass die österreichischen Behörden die EU-Richtlinien - wie so oft in Vergangenheit üblich - in vorauseilendem Gehorsam mit strengsten Regelungen und einigem Mut zu Lücken umsetzt.

5 Risiken und Strafen für Unternehmen sind extrem hoch Strafen für Unternehmen sind empfindlich hoch Derzeit ist laut nationalem Datenschutzgesetz ein Strafrahmen von bis zu Euro festgesetzt, wenn die Gesetze nicht eingehalten werden. Ab Inkrafttreten der DSGVO wird der Strafrahmen auf bis zu 20 Millionen Euro gesetzt (bzw. 4% vom weltweit erzielten Jahresumsatz des Unternehmens). Auch wettbewerbsrechtlich wird durch die Höhe des Strafrahmens einiges zu erwarten sein. Gerade Unternehmen und auf Abmahnungen spezialisierte Kanzleien und Verbände (Verbraucherschutz, Unternehmensverbände, NGOs) könnten hier ein lukratives Geschäft wittern. Unklare Pflichten für Unternehmen bringen ein Haftungsrisiko Die genauen Pflichten der Unternehmen sind nicht ganz klar, das wurde unter anderem am 12. Information-Security-Symposium, WIEN 2016 herausgefiltert: So wurde etwa bei den Informations- und Auskunftspflichten der Bußgeldrahmen zwar empfindlich erhöht, (von 500 Euro im österreichischen DSG auf bis zu 20 Mio. Euro) aber gleichzeitig kommuniziert die Verordnung nicht eindeutig, welche Infor- mationen zwischen Transparenz und geheimnis konkret preis zu geben sind. Vie- Betriebsle Erläuterungen und Ausnahmen bieten ein weites Betätigungsfeld für Juristen, meinte der Wirtschaftsjurist und RA Dr. Markus Frank. Solche Unklarheiten in Kombination mit hohen Bußgeldern stelle ein Risiko dar, unbewusst gegen die Vorschriften zu verstoßen. DSGVO geht manchen nicht weit genug Dass die Datenschutzverordnung ruhig noch deutlich strenger ausfallen hätte können, betonte der Justiz- und Datenschutzsprecher der Grünen, Albert Steinhauser: Die EU-Datenschutzgrundverordnung ist leider nicht so weitreichend, wie wir uns erhofft haben, aber doch eine Verbesserung gegenüber der bisherigen Rechtslage. Steinhauser erhofft sich, dass sich die vollständige Harmonisierung auf die länderübergreifende Netzgesellschaft positiv auswirkt. Die Rechte der Bürger gegenüber internationalen Konzernen seien nun gestärkt. Der Europaabgeordnete der Grünen, Jan-Philip Albrecht hat im Vorfeld ganz wesentlich auf die DSG- VO eingewirkt und einen starken Datenschutz IT-Wirtschaft 5

6 forciert. Wichtig war der grünen politischen Organisation auch, dass Rechtsverstöße effektiver und höher bestraft werden. Sich selbst sieht man allerdings nicht in der Pflicht. Da die Partei ja kein Unternehmen sei, müsse man sich selbst nicht an diese Regelungen halten. Dass eine Organisation sich für stärkeren Datenschutz einsetzt, sich aber selbst nicht daran halten möchte, ist zumindest kritikwürdig. Schließlich könnte man als Vorbild voran gehen, wenn einem der Datenschutz derart wichtig ist auch wenn man gesetzlich nicht zur Einhaltung der Regelungen verpflichtet ist. Eine stärkere Rechtsverfolgung von Verstößen wünscht sich auch die Arbeiterkammer Die Verbandsklagebefugnis wäre laut der AK wünschenswert, ist jedoch in der DSGVO nur als Option enthalten. Das nationale Parlament müsste hier ein innerstaatliches Recht schaffen. Dies ist eine der weiteren nationalen Spielräume. Dass dies nicht geschehen wird ist wahrscheinlich, denn wie schon oben angeführt, glauben die zuständigen Stellen nicht, dass man einen nationalen Spielraum hätte. Zumindest in diesem Punkt dürften Unternehmer mit der Untätigkeit nationaler Behörden zufrieden sein. Die AK hat sich über ihr Lobby-Büro in Brüssel intensiv für den starken Datenschutz eingesetzt, dennoch sieht die AK die Gefahr, dass die Verordnung nicht alle Konflikte und Verwertungs- bzw. Geheimhaltungsinteressen im Bezug auf die digitalen Daten lösen wird. Gerade das Profiling und Scoring von Personen, dem Internet der Dinge, vernetzten Autos usw. bestehe weiterhin Missbrauchsgefahr. Zumindest sieht sich die Arbeiterkammer auch selbst in der Pflicht. Denn vieles, was in der DSGVO verlangt wird, gebe es in der AK bereits. Die restlichen Anforderungen möchte man bis 2018 erfüllt haben, dazu gehört auch ein eigener Datenschutzbeauftragter. Zertifizierung mindert Fahrlässigkeit Als haftungsmindernder Nachweis für die Erfüllung der Datenschutzpflichten kann laut DSGVO ausdrücklich eine anerkannte Zertifizierung herangezogen werden. Im Rahmen der ISO-Normen können hier die ISO für Informationssicherheit und die ISO für Datenschutz in der Cloud bedeutsam werden welche Zertifizierungen als anerkannt gelten, wird in den kommenden Monaten definiert. Wichtig werden Zertifizierungen im Verhältnis zwischen Auftraggeber und Dienstleister sein, um hinreichende Garantien für die Einhaltung des Datenschutzes zu bieten. Ebenso in Straf- und Schadenersatzverfahren, da den Auftraggeber oder Dienstleister die Beweislast trifft, werden Zertifizierungen eine große Rolle spielen. 6 IT-Wirtschaft

7 Die ersten Schritte: Was Unternehmen jetzt tun können Die neue Datenschutz-Grundverordnung wirft für die Unternehmen derzeit mehr Fragen auf, als sie Sicherheit gibt. Nationale Ausformungen und die Ausjudizierung bleiben abzuwarten. Jedenfalls werden Datenschutz-Zertifizierungen als Sicherheitsnetz zu einem zentralen Thema der kommenden Jahre, lautet das Fazit von Wirtschaftsjurist RA Dr. Markus Frank. Die Pläne zur Harmonisierung der digitalen Wirtschaft und zum Datenschutz betreffen Unternehmen und bald schon die nationale Gesetzgebung. Eine rechtzeitige Anpassung ist notwendig, damit die Wirtschaft in Österreich eine erfolgreiche Zukunft hat. Einige Punkte sind bereits jetzt von den Unternehmen für die Umsetzung (zum Stichtag ) vorzubereiten: Die Pflicht, einen Datenschutzbeauftragten einzusetzen (abhängig von einigen definierten Bereichen) Umsetzung von vage formulierten Verordnungsvorgaben (etwa die Durchführung einer Datenschutzfolgeabschätzung, Direktauskünfte für die interessierte Öffentlichkeit als Ersatz für das Datenverarbeitungsregister) Einwilligungen für die Datenverarbeitung Umfangreiche Informationspflichten (klar, einfach und präzise gehalten) Anbieterseitige Voreinstellungen bei Online-Diensten anpassen (Einwilligung in AGB, Datenschutz, Direktwerbung usw. im Sinne der Datenminimierung gestalten) Expertise im Datenschutz aufbauen (das kann zu Wettbewerbsvorteilen oder gar neuen Geschäftsmodellen für Beratungsunternehmen und IT-Dienstleister werden) Rechtmäßigkeit der aktuellen Datenverwendung anhand der DSGVO überprüfen, da die Strafen empfindlich hoch ausfallen können Updates und IT-Entwicklungen bereits an die DSGVO anpassen (Achtung, dabei das bis dahin geltende Recht einhalten!) Das Recht auf Vergessenwerden in der IT berücksichtigen (hier muss der gesamte Datenfluss berücksichtigt werden: Von der Erhebung über die Speicherung, Weiterverarbeitung und Weitergabe, Sicherungskopien, digitale Akten, Papierablagen, Kommunikation etc.) Eine besondere Herausforderung dürfte auch die Kundenkommunikation via Messenger-Dienste werden! Bei Messenger-Diensten haben die Unternehmen in der Regel keine Kontrolle über die umfangreich erhobenen Daten. Dennoch muss das Unternehmen, das solch eine Kundenkommunikationsform nutzt, seine Kunden umfangreich und klar vorab über die Datenverwendung informieren und auch das Recht auf Vergessenwerden umsetzen können oder über die aktuell gespeicherten Daten informieren etc. Das dürfte den meisten Unternehmen nicht gelingen und es ist zu erwarten, dass hier die Gerichte um Klärung bemüht werden. IT-Wirtschaft 7

8 Es ist gut, wenn im digitalen Umbruch der Datenschutz wichtig genommen wird, denn einige Unternehmen übertreiben es mit der Datensammelwut. Allerdings wird in der DSGVO kaum ein grundsätzlicher Unterschied zwischen bösen Konzernen und guten Kleinstunternehmen gemacht und das kann selbst für Ein-Personen-Unternehmen gefährlich werden: Denn dieser Unternehmerkreis hat in der Regel keine Ahnung, welche umfangreichen Datenschutzverstöße er begeht. Auch wenn sich eine Nageldesignerin nur eine kleine Website anlegt und ein Kontaktformular samt Newsletteranmeldung hinzufügt, muss sie im Kern ähnliche Datenschutzvorschriften beachten wie ein internationaler Pharmakonzern wenn auch mit geringerem Aufwand. Sowohl Start-ups als auch große Unternehmen müssen bei der Entwicklung von Produkten und Dienstleistungen ganz nah an den EU-Plänen arbeiten! Wer jetzt an den Plänen der EU vorbei entwickelt, der wird spätestens bei der Umsetzung der EU-Vorgaben vor einem Scherbenhaufen stehen!, so Constantin Wollenhaupt, M.A., zuständig für Digitalisierung im Beratungsunternehmen HarCon Media & Consulting Holding GmbH mit Sitz in Wien zum notwendigen Handlungsbedarf für die Unternehmen. Die Regierung ist zudem nun aufgefordert, sich im Sinne der österreichischen Unternehmen proaktiv in die Verhandlungen einzubringen statt abzuwarten und damit die österreichische Wirtschaft zu gefährden. IT-Wirtschaft.net - Sonderausgabe Redaktion & Herausgeber: HarCon Media & Consulting Holding GmbH Maria Jacobi Gasse 1, A-1030 Wien news@harcon.at Telefon: Herausgeber/Chefredaktion: Medienbetriebswirt Constantin Wollenhaupt, M.A. Stand: Juli Quellen: EU Kommission, AK Wien Kommunikation, Die Grünen Klub, TÜV Austria Unternehmensgruppe, Ständige Vertretung Österreichs bei der EU (Abt. Bundeskanzleramt), PID Wien, Datenschutzbehörde, WKO, WKW. Es wurden alle relevanten österreichischen Behörden, Ministerien und alle Parlamentsklubs im Nationalrat angefragt. Einige Stellungnahmen waren bis Redaktionsschluss noch nicht verfügbar oder es wurden keine Auskünfte gegeben. Fotonachweise: S.1: alphaspirit-fotolia.com; S.3: Alliance-Fotolia.com; S.5: Photographee.eu-Fotolia.com; S.6: alphaspirit-fotolia.com; S.7: MaxFrost-Fotolia.com; S.2, S.4: harcon.at Diese Broschüre ist eine redaktionelle Sonderausgabe von IT-Wirtschaft.net und dient zur allgemeinen Information. Sie kann keine Beratung durch Experten (fachkundige Personen wie Anwälte etc.) ersetzen und der Herausgeber übernimmt keine Haftung für Entscheidungen, welche die Leser dieser Broschüre treffen. Die Inhalte dieser Broschüre enthalten keine konkreten Empfehlungen oder fachliche Auskünfte, welche eine individuelle Beratung oder Prüfung der Rechtslage ersetzen könnten. Für die Angaben in dieser Broschüre kann keine Haftung übernommen werden. Die Angaben wurden mit bestem Wissen und Gewissen, allerdings ohne Gewähr auf Aktualität, Vollständigkeit, Richtigkeit etc. erstellt. Ständig abrufbares Impressum: