Gastkommentar: Die DS-GVO und ihre harten Folgen für Unternehmen. [...]
Nach langen Verhandlungen haben sich EU-Parlament, Rat und Kommission politisch auf eine Neuschreibung der europäischen Datenschutzgrundregeln geeinigt. Die Europäische Datenschutzgrundverordnung (DS-GVO), die am 25. Mai 2018 nach einer Übergangsfrist von zwei Jahren auch in Österreich in Kraft treten wird, betrifft alle, die personenbezogene Daten verarbeiten. Obgleich es gewisse „Regelungsspielräume“ für nationale Gesetzgeber gibt, soll die DS-GVO zur Harmonisierung des Datenschutzes in der Europäischen Union führen. EU-Mitglied-staaten dürfen zukünftig keine rechtlichen Regelungen mehr erlassen, die gegen diese Verordnung verstoßen. Ein großes Ziel ist aber auch die Stärkung der Rechte der betroffenen Personen, welches auch durch die Verschärfung der Auflagen erreicht werden soll.
Die DS-GVO enthält viele neue Pflichten für Auftraggeber von Datenanwendungen und wird Unternehmen stärker in die eigenverantwortliche Pflicht nehmen. Mit der DS-GVO ändern sich die Regeln zur Datensicherheit und somit auch die der technischen und organisatorischen Maßnahmen. Es gilt in Zukunft die Prämisse, dass die Datenschutzanwendung so designt sein muss, dass sie immer dem Gesetz entspricht, z.B. durch Pseudonymisierung. Standardeinstellungen sind datenschutzfreundlich voreinzustellen, d.h. standardmäßig sollten nur jene Daten verarbeitet werden, welche für den konkreten Anwendungsfall notwendig sind.
Sobald man Kenntnis von Datenmissbrauch oder -verlust erlangt, muss man zukünftig innerhalb von 72 Stunden die zuständige Datenschutzbehörde darüber informieren werden, außer der Vorfall birgt voraussichtlich kein Risiko für die Rechte und Freiheiten der Betroffenen. Falls durch den Vorfall voraussichtlich auch ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen besteht, sind auch diese zu benachrichtigen. Die Meldung muss für die zudem inhaltlich ausgeführt werden, d.h. Art und Umfang der Datenverletzung, Ansprechperson, mögliche Folgen, Gegenmaßnahmen sind anzuführen. Meist passieren Attacken außerhalb der regulären Öffnungszeiten. Ohne Notfallplan bzw. einen Probealarm laufen Unternehmen in ein sanktionsbewährtes Desaster. Außerdem darf das signifikant steigende Risiko von Reputationsschäden nicht außer Acht gelassen werden.
Jobprofil: Datenschutzbeauftragter
Die DS-GVO wird erstmals auch in Österreich zu einem verpflichteten Datenschutzbeauftragten führen, der intern oder extern bestellt werden kann. So werden vor allem große Unternehmen und jene, deren Kerngeschäft in der Verarbeitung personenbezogener Daten liegt, hier auch jährlich Budget bereithalten müssen. Der Beauftragte muss unabhängig sein, über ausreichende finanzielle Mittel verfügen, einschlägige Fachkenntnis und Erfahrung vorweisen können und direkt dem Vorstand berichtspflichtig sein. Ebenso sind Unternehmen, die sensible oder strafrechtlich relevante Daten in großer Anzahl verarbeiten oder öffentliche Stellen wie Krankenhäuser, Gemeinden etc. von dieser Verpflichtung betroffen.
Hohe Bußgelder
Die Strafen bei Verstößen gegen die DS-GVO können künftig bis zu maximal 20 Millionen Euro – oder wenn höher – 4 Prozent vom global erwirtschafteten Jahresumsatz betragen. Die Strafzahlung eines Konzerns könnte bei einem Datenskandal schnell einige hundert Millionen Euro ausmachen. Das heißt, dass Datenschutz als Teil von Compliance zukünftig noch mehr eine Vorstandsangelegenheit wird und zentral gesteuert werden muss. Denn wenn beispielsweise eine kleine, lokale Niederlassung nicht datenschutzkonform agiert, wirkt sich das auf die gesamte Unternehmensgruppe aus.
Ohne professionelle Beratung chancenlos
Aufgrund der Vielzahl an Neuerungen und zusätzlichen Richtlinien mit IT-Bezug, darunter die ePrivacy-Richtlinie, die NIS-Richtlinie und die Trade-Secret-Directive, sowie der hohen Strafdrohung, ist es jedem Unternehmen nur dringend zu raten, sich rasch mit der DS-GVO vertraut zu machen und die Konformität der Verarbeitung von Kunden- und Mitarbeiterdaten sicherzustellen. Ich bin davon überzeugt, dass es ohne externe Beratung extrem schwierig wird, die Neuerungen ordnungsgemäß umzusetzen. Denn wer hat schon einmal ein Verfahrensverzeichnis gemacht oder weiß, wie lange man die Bewerberdaten aufheben darf oder wie eine „Datenschutz-Folgeabschätzung“ aussieht?
* Der Autor Peter Lohberger ist General Counsel Legal, Compliance & Privacy bei ACP Österreich.
Be the first to comment