Happy Birthday zu fünf Jahren DSGVO

In diesem Kapitel des Tagebuchs wird der fünfte Geburtstag der DSGVO gefeiert. [...]

Tagebuch eines Datenschutz-Beauftragten (c) ITW

Bereits 2016 wurde die DSGVO erlassen, mit 25.05.2018 ist sie in Kraft getreten. Wie hat die DSGVO den Umgang mit Personen-bezogenen Daten verändert? Welche Bescheide haben die Aufsichtsbehörden erlassen und was haben die Verwaltungsgerichte bzw. der EuGH entschieden? Spannende Fragen – deshalb haben wir befreundete Juristen gebeten, ein kurzes Statement zum Geburtstag abzugeben.

Kurzstatement Dr. Kraska

RA Dr. Sebastian Kraska

IITR Datenschutz GmbH, Geschäftsführer

Marienplatz 2, 80331 München

(Foto: IITR Datenschutz GmbH)

„Der 25. Mai 2023 markiert die 5-jährige Geltung der DSGVO. Seit ihrer Implementierung hat sie signifikante Änderungen in der Datenverarbeitung von Unternehmen in Europa und seinen Handelspartnern bewirkt. Während sie zum Schutz der persönlichen Daten von Bürgern beigetragen hat, birgt ihre Anwendung weiterhin große Herausforderungen.

So wurde zwar eine Stärkung des Datenschutzes geschaffen, die Datenschutz-Regeln in Europa vereinheitlicht und das Bewusstsein für das Thema gestärkt. Allerdings verbleibt auf Seiten der Unternehmen ein hoher Verwaltungsaufwand, Rechtsunsicherheiten durch Interpretationsspielräume und unterschiedliches Durchsetzungsniveau sowie Vorbehalte hinsichtlich potenzieller Hemmnisse für technische Innovationen.“

Kurzstatement Dr. Trieb

RA Dr. Gerald Trieb

Knyrim Trieb Rechtsanwälte OG

Mariahilfer Straße 89a, A-1060 Wien

(Foto: Oliver Hirtenfelder)

„Als schon seit knapp einem Jahrzehnt auf das Datenschutzrecht spezialisiertem Rechtsanwalt war die gestiegene Bedeutung von Datenschutzfragen in Unternehmen angesichts des Ingeltungtretens der DSGVO zum 25.5.2018 unübersehbar. Auch wenn schon zuvor zahlreiche Projekte zu betreuen waren, gab die DSGVO dem Thema den letzten Kick, um auf höchster Managementebene anzukommen.

Auch wenn der Peak 2018 erreicht war, zeigt sich seither eine deutlich erhöhte Sensibilität der Unternehmen in Bezug auf datenschutzrechtliche Themen. Die Anforderungen daran werden durch Judikatur und Leitlinien von Behörden und Gerichten laufend angezogen, sodass datenschutzrelevante Sachverhalte stetig neu evaluiert und bewertet werden müssen.

Nicht zuletzt wird vor dem Hintergrund des immer wichtiger werdenden Grundsatzes der Rechenschaftspflicht der datenschutzrechtlichen Zertifizierung nach DSGVO hohe Aufmerksamkeit geschenkt werden, da gerade diese den bei dessen Einhaltung unterstützt.

Dies ist aber nur eine von vielen Entwicklungen, die es im Datenschutzbereich in den nächsten Jahren zu beobachten und zu beachten gilt.“

Kurzstatement Mag. Kröpfl

RAA Mag. Maximilian Kröpfl

E+H Rechtsanwälte GmbH

Wienerbergstraße 11, 1100 Wien

(Foto: E+H Rechtsanwälte GmbH)

Seit Jahren vertrauen uns nationale und internationale Konzerne sowie Hidden-Champions bei der Implementierung und Aufrechterhaltung des Datenschutzes. Wir begleiten komplexe Projekte, unterstützen bei der Standardisierung durch Binding-Corporate-Rules, Verhaltensregeln und Zertifizierungen, stehen unseren Mandanten beim Privacy Incident Management auch kurzfristig zur Seite und begeben uns im Falle der Privacy Litigation in die Auseinandersetzung mit der Datenschutzbehörde, den Staatsanwaltschaften und mit privaten Klägern.

Unser aller tägliche Arbeit wurde durch die DSGVO sowohl erleichtert als auch erschwert. Durch die unionsweite Anwendbarkeit der DSGVO wurde ein konsistenter Datenschutzrahmen geschaffen. Die Interpretation und Auslegung der Bestimmungen erfolgt jedoch durch Behörden und Gerichte der Mitgliedstaaten. Nur vereinzelt wird der EuGH um Vorabentscheidung gebeten. Verhältnismäßig oft aus Österreich. Die Leitlinien des Europäischen Datenschutzausschusses bieten zwar gewisse Hilfestellungen, allerdings selten detaillierte Anleitungen. Abgesehen von einer teilweisen Ergebnisdivergenz zwischen den einzelnen Mitgliedstaaten beurteilen etwa auch die Datenschutzbehörde und das Bundesverwaltungsgericht in Österreich manche Sachverhalte anders als die Zivilgerichte. Aufgrund der Vielzahl an neuartigen Fragestellungen in der Praxis wird es also noch etwas Zeit brauchen, bis wir uns auf eine einigermaßen gefestigte und einheitliche Spruchpraxis stützen können.

In dieser Situation am Ball zu bleiben, ist wahrscheinlich die größte Herausforderung für Datenschutzbeauftragte und –verantwortliche. Denn es drohen nicht nur massive Strafen der Aufsichtsbehörden, sondern auch Schadenersatzforderungen privater Kläger, die immer häufiger in Form von „Sammelklagen“ geltend gemacht werden.

Es wäre wünschenswert, wenn sich neben dem Europäischen Datenschutzausschuss und den Aufsichtsbehörden auch die nationalen und europäischen Interessenvertretungen und Verbände stärker um die Ausarbeitung klarer Vorgaben für Unternehmen engagieren würden – beispielsweise durch datenschutzrechtliche Verhaltensregeln. Das spart Kosten, bringt Rechtssicherheit und schafft freie Ressourcen, um sich den laufend hinzukommenden neuen Fragestellungen im Zusammenhang mit Datenschutz und Compliance widmen zu können.

Kurzstatement der DSGVO-zt GmbH

Die DSGVO-zt GmbH wurde als Ziviltechnikergesellschaft im „Geburtsjahr“ der DSGVO im Jahr 2018 gegründet. Seither bietet sie ausschließlich Datenschutz-Dienstleistungen an. Neben DSGVO-Audits, Gutachten, Compliance Checks und Soforthilfe mit forensischer Unterstützung, bieten wir die Rolle eines externen Datenschutzbeauftragten bei zahlreichen Unternehmen und Kammern an. Den Schwerpunkt bilden dabei Unternehmen mit „sensiblen Daten“, wie bspw. Ambulatorien und (Röntgen-) Institute.

Über unsere bisherigen Tätigkeiten haben wir die folgende Statistik zusammengestellt:

Vorkommnisse in %
Auskunft – 5
Löschantrag – 90
Datenklau – 2
Ransomware – 2
Datenträgerverlust – 1
(Grafik: DSGVO-ZT GmbH)

Der hohe Anteil an Löschanträgen ist dem Umstand geschuldet, dass viele Abos eines Verlages gekündigt wurden. Rund die Hälfte der Löschanträge wurde tatsächlich durchgeführt. Die andere Hälfte wurde auf Grund von Aufbewahrungsfristen anonymisiert und zur Löschung vorgemerkt.

Weiters ist die DSGVO-zt GmbH akkreditierte Überwachungsstelle gemäß Art. 40/41 DSGVO und ist als erste  DSGVO-Zertifizierungsstelle Österreichs gemäß Art. 42/43 akkreditiert.

Kurzstatement der DSGVO-zt GmbH Teil 2

Es klingt fast wie ein Geburtstagsgeschenk! Die Aktivitäten von Max Schrems haben die irische Aufsichtsbehörde dazu veranlasst, ein Bußgeld von 1,2 Mrd. € gegenüber META (Facebook) auszusprechen.

Das ist ein Strafausmaß, das auch internationale Konzerne spüren. Es ist davon auszugehen, dass META auf Sicht gesehen, keine Personen-bezogenen Daten mehr in die USA transferieren wird und damit die US-Geheimdienste keinen Zugang mehr zu diesen Daten haben werden.

Autoren

Die Autoren der Stellungnahmen sind namentlich erwähnt. Das Tagebuch wird zur Verfügung gestellt von:

DSGVO-ZT GmbH

www.dsgvo-zt.at


Mehr Artikel

Gregor Schmid, Projektcenterleiter bei Kumavision, über die Digitalisierung im Mittelstand und die Chancen durch Künstliche Intelligenz. (c) timeline/Rudi Handl
Interview

„Die Zukunft ist modular, flexibel und KI-gestützt“

Im Gespräch mit der ITWELT.at verdeutlicht Gregor Schmid, Projektcenterleiter bei Kumavision, wie sehr sich die Anforderungen an ERP-Systeme und die digitale Transformation in den letzten Jahren verändert haben und verweist dabei auf den Trend zu modularen Lösungen, die Bedeutung der Cloud und die Rolle von Künstlicher Intelligenz (KI) in der Unternehmenspraxis. […]

News

Richtlinien für sichere KI-Entwicklung

Die „Guidelines for Secure Development and Deployment of AI Systems“ von Kaspersky behandeln zentrale Aspekte der Entwicklung, Bereitstellung und des Betriebs von KI-Systemen, einschließlich Design, bewährter Sicherheitspraktiken und Integration, ohne sich auf die Entwicklung grundlegender Modelle zu fokussieren. […]

News

Datensilos blockieren Abwehrkräfte von generativer KI

Damit KI eine Rolle in der Cyberabwehr spielen kann, ist sie auf leicht zugängliche Echtzeitdaten angewiesen. Das heißt, die zunehmende Leistungsfähigkeit von GenAI kann nur dann wirksam werden, wenn die KI Zugriff auf einwandfreie, validierte, standardisierte und vor allem hochverfügbare Daten in allen Anwendungen und Systemen sowie für alle Nutzer hat. Dies setzt allerdings voraus, dass Unternehmen in der Lage sind, ihre Datensilos aufzulösen. […]

Be the first to comment

Leave a Reply

Your email address will not be published.


*