Jetzt wird es ernst: Im April wird der EU-Ministerrat über die Datenschutz-Grundverordnung abstimmen, die Geldstrafen bis zu 20 Millionen Euro vorsieht. Durch Big Data und Cloud gewinnt das Thema zusätzlich an Brisanz. [...]
Die Europäische Union meint es jetzt offenbar ernst. Aus dem „zahnlosen Datenschutz-Papiertiger“ wird mit der neuen EU-Datenschutzgrundverordnung (EU-DSVGO) eine ernstzunehmende Bedrohung für Datenschutz-Sünder – mit Geldbußen bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes. Daneben drohen Schadenersatzpflichten und diverse Zwangsmaßnahmen bis hin zum Verbot der Datenverarbeitung. Angesichts aktueller Mega-Trends wie Big Data oder Cloud Computing gewinnt die neue EU-DSGVO zusätzlich an Brisanz. Der derzeit veröffentlichte Entwurf (Dok. 15321/15) wurde von den relevanten Ausschüssen des Ministerrats und Parlaments bereits genehmigt. Im April soll dieser – nach einigen derzeit noch offenen Anpassungen – zur endgültigen Abstimmung in den EU-Ministerrat und danach in das Europäische Parlament, sodass die Verordnung ab Mitte 2018 zur Anwendung kommen kann.
UNMITTELBARE WIRKUNG
Die EU-DSGVO soll unmittelbare Wirkung in den Mitgliedsstaaten haben und bedarf keiner weiteren nationalen Vorschrift. Allerdings können die Mitgliedsstaaten manche Regeln der Verordnung abändern, etwa zum Schutz der öffentlichen Sicherheit oder wirtschaftlicher Interessen, auch im Währungs- oder Steuerbereich.
Die Verordnungsentwurf sieht gegenüber dem bereits hohen Datenschutzniveau in Österreich zahlreiche neue oder neu geregelte Pflichten vor. Wichtige Neuerungen finden sich gleich zu Beginn, unter den „Grundsätzen der Verarbeitung personenbezogener Daten“ in Kapital 2: Der Zweck der Datenverarbeitung ist nach wie vor zu definieren, aber bei Zweckänderungen sind eine angemessene Verschlüsselung oder Pseudonymisierung als Schutzmaßnahme zu prüfen. Sensible Daten von Mitarbeitern dürfen im Arbeitsverhältnis nur mehr durch spezielles Fachpersonal unter Geheimhaltung verarbeitet werden. Ein Konzernprivileg soll die Datenübermittlung im Konzern erleichtern.
WICHTIGE NEUERUNGEN
In „Rechte der Betroffenen“ in Kapitel 3 stehen das Recht auf Vergessenwerden und detaillierte Auskunfts- und Widerspruchsrechte – präzisiert durch noch detailliertere Informations- und Mitteilungspflichten der Auftraggeber und Dienstleister. Kinder werden besonders geschützt. Herausgabe von Daten in elektronischer Form und Übertragung an andere Auftraggeber kann gefordert werden. Profiling in Zusammenhang mit sensiblen Daten ist grundsätzlich unzulässig. Statt Löschung von Daten ist die Einschränkung der Verarbeitung möglich. Besonders Kapitel 3 bietet den Mitgliedsstaaten Änderungsmöglichkeiten.
„Rechte und Pflichten der Auftraggeber und Dienstleister“ regelt Kapitel 4. Datenschutzbeauftragte sind zu bestellen bei umfangreicher Beobachtung von Betroffenen und umfangreicher Verarbeitung sensibler Daten – auch genetische und biometrische Daten gelten als sensibel. Behörden müssen jedenfalls Datenschutzbeauftragte bestellen, Gerichte sind davon allerdings nicht betroffen. Datenschutzbeauftragte können Angestellte oder auch externe Konsulenten sein. Sie sind nicht weisungsgebunden, berichten direkt dem obersten Management, überwachen die Einhaltung der Datenschutzvorschriften innerhalb der Organisation und schulen die Mitarbeiter.
Eine Risikoabschätzung hinsichtlich der persönlichen Rechte und Freiheiten Betroffener ist vorgeschrieben, ebenso der Einsatz geeigneter technischer und organisatorischer Schutzmaßnahmen, welche kontinuierlich überprüft und entsprechend optimiert werden müssen. Bei hohem Risikopotenzial ist darüber hinaus eine „Datenschutz-Folgeabschätzung“ durchzuführen – etwa bei Profiling, Verarbeitung von Gesundheits- oder Strafregisterdaten sowie auch bei der Überwachung öffentlicher Räume. Bei hohem Risiko und unzureichendem Schutz ist die Datenschutzbehörde vor Verarbeitungsbeginn zu konsultieren.
ZERTIFIZIERUNG ALS NACHWEIS
Als Nachweis für die Erfüllung der Schutzpflichten kann ausdrücklich eine anerkannte Zertifizierung herangezogen werden. Im Rahmen der ISO-Normen kann hier der ISO 27001 für Informationssicherheit und der ISO 27018 für Datenschutz in der Cloud zentrale Bedeutung zukommen. Etwa in Anmeldungs- und Überprüfungsverfahren, wenn der Auftraggeber nachweisen muss, dass sein Dienstleister die „hinreichenden Garantien für die Einhaltung des Datenschutzes“ bietet. Ebenso in Straf- und Schadenersatzverfahren, da nicht der Geschädigte den Nachweis mangelnder Schutzmaßnahmen erbringen muss, sondern den Auftraggeber oder Dienstleister die Beweislast trifft, dass er „in keinerlei Hinsicht für den Umstand, durch den der Schaden eingetreten ist, verantwortlich ist.“
HOHER SCHADEN
Geldbußen bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes können bei Verstoß gegen Betroffenenrechte, gegen Übermittlungsvorschriften oder gegen die Verarbeitungsgrundsätze verhängt werden. Bis zu zehn Mio. Euro oder zwei Prozent des Umsatzes drohen bei anderen Verletzungen, etwa in Zusammenhang mit der Risiko- und Folgeabschätzung. Geldbußen sollen „verhältnismäßig und abschreckend“ sein. Als ein Kriterium für die Strafhöhe nennt die EU-DSGVO den „Grad der Verantwortung des Auftraggebers oder Dienstleisters unter Berücksichtigung der technischen und organisatorischen Schutzmaßnahmen“. Hier werden anerkannte Zertifikate besonders hilfreich sein. Spannend werden die ersten Jahre der Anwendung des neuen Datenschutzrechts und seine Ausjudizierung. Dann wird sich die tatsächliche Schärfe der neuen Verordnung zeigen.
Markus Frank |CIS
Be the first to comment