In diesem Kapitel des Tagebuchs wird der fünfte Geburtstag der DSGVO gefeiert. [...]
Bereits 2016 wurde die DSGVO erlassen, mit 25.05.2018 ist sie in Kraft getreten. Wie hat die DSGVO den Umgang mit Personen-bezogenen Daten verändert? Welche Bescheide haben die Aufsichtsbehörden erlassen und was haben die Verwaltungsgerichte bzw. der EuGH entschieden? Spannende Fragen – deshalb haben wir befreundete Juristen gebeten, ein kurzes Statement zum Geburtstag abzugeben.
Kurzstatement Dr. Kraska
RA Dr. Sebastian Kraska
IITR Datenschutz GmbH, Geschäftsführer
Marienplatz 2, 80331 München
(Foto: IITR Datenschutz GmbH)
„Der 25. Mai 2023 markiert die 5-jährige Geltung der DSGVO. Seit ihrer Implementierung hat sie signifikante Änderungen in der Datenverarbeitung von Unternehmen in Europa und seinen Handelspartnern bewirkt. Während sie zum Schutz der persönlichen Daten von Bürgern beigetragen hat, birgt ihre Anwendung weiterhin große Herausforderungen.
So wurde zwar eine Stärkung des Datenschutzes geschaffen, die Datenschutz-Regeln in Europa vereinheitlicht und das Bewusstsein für das Thema gestärkt. Allerdings verbleibt auf Seiten der Unternehmen ein hoher Verwaltungsaufwand, Rechtsunsicherheiten durch Interpretationsspielräume und unterschiedliches Durchsetzungsniveau sowie Vorbehalte hinsichtlich potenzieller Hemmnisse für technische Innovationen.“
Kurzstatement Dr. Trieb
RA Dr. Gerald Trieb
Knyrim Trieb Rechtsanwälte OG
Mariahilfer Straße 89a, A-1060 Wien
(Foto: Oliver Hirtenfelder)
„Als schon seit knapp einem Jahrzehnt auf das Datenschutzrecht spezialisiertem Rechtsanwalt war die gestiegene Bedeutung von Datenschutzfragen in Unternehmen angesichts des Ingeltungtretens der DSGVO zum 25.5.2018 unübersehbar. Auch wenn schon zuvor zahlreiche Projekte zu betreuen waren, gab die DSGVO dem Thema den letzten Kick, um auf höchster Managementebene anzukommen.
Auch wenn der Peak 2018 erreicht war, zeigt sich seither eine deutlich erhöhte Sensibilität der Unternehmen in Bezug auf datenschutzrechtliche Themen. Die Anforderungen daran werden durch Judikatur und Leitlinien von Behörden und Gerichten laufend angezogen, sodass datenschutzrelevante Sachverhalte stetig neu evaluiert und bewertet werden müssen.
Nicht zuletzt wird vor dem Hintergrund des immer wichtiger werdenden Grundsatzes der Rechenschaftspflicht der datenschutzrechtlichen Zertifizierung nach DSGVO hohe Aufmerksamkeit geschenkt werden, da gerade diese den bei dessen Einhaltung unterstützt.
Dies ist aber nur eine von vielen Entwicklungen, die es im Datenschutzbereich in den nächsten Jahren zu beobachten und zu beachten gilt.“
Kurzstatement Mag. Kröpfl
RAA Mag. Maximilian Kröpfl
E+H Rechtsanwälte GmbH
Wienerbergstraße 11, 1100 Wien
(Foto: E+H Rechtsanwälte GmbH)
Seit Jahren vertrauen uns nationale und internationale Konzerne sowie Hidden-Champions bei der Implementierung und Aufrechterhaltung des Datenschutzes. Wir begleiten komplexe Projekte, unterstützen bei der Standardisierung durch Binding-Corporate-Rules, Verhaltensregeln und Zertifizierungen, stehen unseren Mandanten beim Privacy Incident Management auch kurzfristig zur Seite und begeben uns im Falle der Privacy Litigation in die Auseinandersetzung mit der Datenschutzbehörde, den Staatsanwaltschaften und mit privaten Klägern.
Unser aller tägliche Arbeit wurde durch die DSGVO sowohl erleichtert als auch erschwert. Durch die unionsweite Anwendbarkeit der DSGVO wurde ein konsistenter Datenschutzrahmen geschaffen. Die Interpretation und Auslegung der Bestimmungen erfolgt jedoch durch Behörden und Gerichte der Mitgliedstaaten. Nur vereinzelt wird der EuGH um Vorabentscheidung gebeten. Verhältnismäßig oft aus Österreich. Die Leitlinien des Europäischen Datenschutzausschusses bieten zwar gewisse Hilfestellungen, allerdings selten detaillierte Anleitungen. Abgesehen von einer teilweisen Ergebnisdivergenz zwischen den einzelnen Mitgliedstaaten beurteilen etwa auch die Datenschutzbehörde und das Bundesverwaltungsgericht in Österreich manche Sachverhalte anders als die Zivilgerichte. Aufgrund der Vielzahl an neuartigen Fragestellungen in der Praxis wird es also noch etwas Zeit brauchen, bis wir uns auf eine einigermaßen gefestigte und einheitliche Spruchpraxis stützen können.
In dieser Situation am Ball zu bleiben, ist wahrscheinlich die größte Herausforderung für Datenschutzbeauftragte und –verantwortliche. Denn es drohen nicht nur massive Strafen der Aufsichtsbehörden, sondern auch Schadenersatzforderungen privater Kläger, die immer häufiger in Form von „Sammelklagen“ geltend gemacht werden.
Es wäre wünschenswert, wenn sich neben dem Europäischen Datenschutzausschuss und den Aufsichtsbehörden auch die nationalen und europäischen Interessenvertretungen und Verbände stärker um die Ausarbeitung klarer Vorgaben für Unternehmen engagieren würden – beispielsweise durch datenschutzrechtliche Verhaltensregeln. Das spart Kosten, bringt Rechtssicherheit und schafft freie Ressourcen, um sich den laufend hinzukommenden neuen Fragestellungen im Zusammenhang mit Datenschutz und Compliance widmen zu können.
Kurzstatement der DSGVO-zt GmbH
Die DSGVO-zt GmbH wurde als Ziviltechnikergesellschaft im „Geburtsjahr“ der DSGVO im Jahr 2018 gegründet. Seither bietet sie ausschließlich Datenschutz-Dienstleistungen an. Neben DSGVO-Audits, Gutachten, Compliance Checks und Soforthilfe mit forensischer Unterstützung, bieten wir die Rolle eines externen Datenschutzbeauftragten bei zahlreichen Unternehmen und Kammern an. Den Schwerpunkt bilden dabei Unternehmen mit „sensiblen Daten“, wie bspw. Ambulatorien und (Röntgen-) Institute.
Über unsere bisherigen Tätigkeiten haben wir die folgende Statistik zusammengestellt:
| Vorkommnisse in % |
| Auskunft – 5 |
| Löschantrag – 90 |
| Datenklau – 2 |
| Ransomware – 2 |
| Datenträgerverlust – 1 |
Der hohe Anteil an Löschanträgen ist dem Umstand geschuldet, dass viele Abos eines Verlages gekündigt wurden. Rund die Hälfte der Löschanträge wurde tatsächlich durchgeführt. Die andere Hälfte wurde auf Grund von Aufbewahrungsfristen anonymisiert und zur Löschung vorgemerkt.
Weiters ist die DSGVO-zt GmbH akkreditierte Überwachungsstelle gemäß Art. 40/41 DSGVO und ist als erste DSGVO-Zertifizierungsstelle Österreichs gemäß Art. 42/43 akkreditiert.
Kurzstatement der DSGVO-zt GmbH Teil 2
Es klingt fast wie ein Geburtstagsgeschenk! Die Aktivitäten von Max Schrems haben die irische Aufsichtsbehörde dazu veranlasst, ein Bußgeld von 1,2 Mrd. € gegenüber META (Facebook) auszusprechen.
Das ist ein Strafausmaß, das auch internationale Konzerne spüren. Es ist davon auszugehen, dass META auf Sicht gesehen, keine Personen-bezogenen Daten mehr in die USA transferieren wird und damit die US-Geheimdienste keinen Zugang mehr zu diesen Daten haben werden.
Autoren
Die Autoren der Stellungnahmen sind namentlich erwähnt. Das Tagebuch wird zur Verfügung gestellt von:
DSGVO-ZT GmbH
Be the first to comment