Die EU-Datenschutzgrundverordnung ist derzeit in aller Munde. Es handelt sich dabei um eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der EU vereinheitlicht wird. Die Verordnung gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten und die Bestimmungen betreffen alle Unternehmen, die Daten von EU-BürgerInnen verarbeiten. [...]
Hierbei gibt es keine Eingrenzungen in Bezug auf Unternehmensbranche oder Größe. Die Verordnung hebt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr auf. Die konkrete Umsetzung der Anforderungen erfolgt in Österreich durch das Datenschutzanpassungsgesetz. Die Anforderungen der Verordnung gehen über die derzeitigen Anforderungen des Datenschutzgesetzes hinaus. Die dabei zu bewältigenden Herausforderungen sind gerade für UnternehmerInnen umfassend und aus heutiger Sicht noch mit schwer kalkulierbaren Kosten verbunden. Neben dem erhöhten Bußgeldrahmen von bis zu 20 Mio. Euro oder von bis zu vier Prozent des gesamten, weltweiten Jahresumsatzes eines Unternehmens sind vor allem die folgenden sechs Aspekte von zentraler Bedeutung.
1. Marktortprinzip
Die Verordnung gilt für in der EU ansässige Unternehmen ebenso wie für Unternehmen, die Produkte und Dienstleistungen in der Union anbieten, aber Daten gegebenenfalls außereuropäisch verarbeiten.
Die Verordnung gilt für in der EU ansässige Unternehmen ebenso wie für Unternehmen, die Produkte und Dienstleistungen in der Union anbieten, aber Daten gegebenenfalls außereuropäisch verarbeiten.
2. Informationspflichten
Allen Betroffenen – KundInnen, WerbeempfängerInnen, MitarbeiterInnen, BewerberInnen – müssen umfangreiche Auskünfte über die Herkunft ihrer Daten, die Art der Verarbeitung und die geplante Weitergabe an Dritte gegeben werden.
Allen Betroffenen – KundInnen, WerbeempfängerInnen, MitarbeiterInnen, BewerberInnen – müssen umfangreiche Auskünfte über die Herkunft ihrer Daten, die Art der Verarbeitung und die geplante Weitergabe an Dritte gegeben werden.
3. Privacy by Design & Privacy by Default
Datenschutzanforderungen müssen bereits bei der Entwicklung von Produkten und Dienstleistungen nachweisbar berücksichtigt werden. Außerdem sind die Standardeinstellungen der Systeme stets so zu wählen, dass die geringstmögliche Datenmenge erfasst wird und sie als datenschutzfreundlich zu verstehen sind.
Datenschutzanforderungen müssen bereits bei der Entwicklung von Produkten und Dienstleistungen nachweisbar berücksichtigt werden. Außerdem sind die Standardeinstellungen der Systeme stets so zu wählen, dass die geringstmögliche Datenmenge erfasst wird und sie als datenschutzfreundlich zu verstehen sind.
4. Privacy Impact Assessment
Alle Datenverarbeitungen mit erhöhtem Risiko müssen vorab einer formellen und dokumentierten Abwägung von Zweck, Notwendigkeit, Risiken und Verhältnismäßigkeit unterzogen werden. Das Ergebnis des Assessments kann eine zwingende Konsultation der Datenschutzbehörde zur Folge haben.
Alle Datenverarbeitungen mit erhöhtem Risiko müssen vorab einer formellen und dokumentierten Abwägung von Zweck, Notwendigkeit, Risiken und Verhältnismäßigkeit unterzogen werden. Das Ergebnis des Assessments kann eine zwingende Konsultation der Datenschutzbehörde zur Folge haben.
5. Benachrichtigung von Datenschutzvorfällen
Sollte es beim Verarbeiter zu einem Datenschutzvorfall kommen, so ist dieser innerhalb von 72 Stunden sowohl an die Aufsichtsbehörden als auch an den Betroffenen zu melden. Die Meldung hat neben einer Beschreibung des Vorfalls auch voraussichtliche Konsequenzen und Maßnahmen zur Wiedergutmachung zu beinhalten.
Sollte es beim Verarbeiter zu einem Datenschutzvorfall kommen, so ist dieser innerhalb von 72 Stunden sowohl an die Aufsichtsbehörden als auch an den Betroffenen zu melden. Die Meldung hat neben einer Beschreibung des Vorfalls auch voraussichtliche Konsequenzen und Maßnahmen zur Wiedergutmachung zu beinhalten.
6. Dokumentationspflicht
Alle VerarbeiterInnen sind verpflichtet, die Einhaltung der Bestimmungen zu dokumentieren und auf Verlangen der Aufsicht nachzuweisen.
Alle VerarbeiterInnen sind verpflichtet, die Einhaltung der Bestimmungen zu dokumentieren und auf Verlangen der Aufsicht nachzuweisen.
Resultierende Auswirkungen auf Unternehmen
Unternehmen müssen durch die Implementierung von Prozessen sicherstellen, dass nur solche personenbezogenen Daten genutzt werden, für die eine Einwilligung oder eine Rechtsgrundlage vorliegt.
Unternehmen müssen durch die Implementierung von Prozessen sicherstellen, dass nur solche personenbezogenen Daten genutzt werden, für die eine Einwilligung oder eine Rechtsgrundlage vorliegt.
Zusätzlich ist technisch sicherzustellen, dass alle personenbezogenen Daten identifiziert, bewertet und strukturiert oder im Anlassfall gelöscht werden. Dies kann sich in der Praxis schwierig gestalten. Ein möglicher Ansatz, um den Anforderungen der EU DSGVO zu entsprechen, ist die Einführung eines Datenschutz-Management-System (DSMS).
Dabei werden in einem ersten Schritt die Unternehmensdaten, unabhängig davon ob diese strukturiert (zum Beispiel in Datenbanken) oder unstrukturiert (zum Beispiel am Fileserver) gespeichert sind, analysiert und klassifiziert. Sollten bei der Analyse personenbezogene Daten (gemäß Definition der EU DSGVO) identifiziert werden, sind diese von den Anforderungen der EU DSGVO betroffen. Die Verarbeitung ist dann ausschließlich unter Einhaltung der Anforderungen durchzuführen und durch regelmäßig wiederkehrende Audits zu überwachen.
Unternehmen ist zu empfehlen die kommenden 11 Monate bis zur Anwendbarkeit der EU DSGVO effizient zu nutzen. Auf Basis einer strukturierten Analyse sollten Prozesse systematisch und in Hinblick auf die jeweiligen Anforderungen überprüft, angepasst und wenn nötig zeitnah neu eingeführt werden. Die rechtzeitige strukturierte Befassung mit dem Thema ermöglicht eine ressourcenschonende Anpassung.
Außerdem kann dies zum Anlass genommen werden, um Systeme und Prozesse auch hinsichtlich verwandter Anforderungen – Stichworte sind das E-Commerce-Gesetz sowie das Mediengesetz – zu evaluieren.
*Andreas Niederbacher ist Senior Manager Risk Advisory bei Deloitte Österreich.
*Andreas Niederbacher ist Senior Manager Risk Advisory bei Deloitte Österreich.
Be the first to comment