Datenschutz wurde bislang von vielen Unternehmen nicht übermäßig ernst genommen, was schon ein Blick ins Datenverarbeitungsregister (DVR) zeigt. Die Registrierung aller Datenanwendungen im DVR ist bereits seit Jahren verpflichtend, aber viele Unternehmen haben gar keine Registrierung oder es wurden lediglich sog. „Standardanwendungen“ (z. B. Kundenverkehr, Personalverwaltung) registriert – und damit in den meisten Fällen nicht alles, wofür Daten verwendet werden. Das ist zwar nicht rechtskonform, aber passiert ist nichts. Nun stehen massive Änderungen bevor. Die EU-Datenschutz-Grundverordnung (DSGVO) tritt am 25. Mai 2018 in Kraft und führt zu einer echten Revolution im Datenschutzrecht. Die neue Verordnung trifft jedes Unternehmen, die Größe des Betriebes spielt keine Rolle – sie gilt für One Man Shows genauso wie für multinationale Konzerne und sieht bei Verstößen drakonische Strafen vor – bis zu 20 Mio. Euro.
Datenschutz ist ein Grundrecht
Der Schutz personenbezogener Daten ist ein Grundrecht jedes EU-Bürgers und in der EU-Grundrechtecharta festgelegt – im Kapitel „Freiheiten“, wie auch das Recht auf Freiheit und Sicherheit, Religionsfreiheit und freie Meinungsäußerung. Dem Datenschutz wird also ein außerordentlich hoher Stellenwert beigemessen. Mit der DSGVO soll dieses Grundrecht – insbesondere im Hinblick auf die zunehmende Digitalisierung und Globalisierung des Datenaustausches – gewahrt werden. Das erklärt die Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verarbeiten, durch die Verordnung und die drastischen Strafandrohungen bei Verstößen.
Die Verordnung ist EU-weit in jedem Mitgliedstaat unmittelbar anwendbar – ohne weitere Gesetze in den einzelnen Ländern. Aber es gibt mehr als 60 „Öffnungsklauseln“, d. h., Bereiche, in denen die Mitgliedstaaten nationale Regeln erlassen können. In Österreich wurde dazu das Datenschutz-Anpassungsgesetz 2018 (DSG) beschlossen. Unternehmen aus Drittländern, die ihre Dienstleistungen in der EU anbieten, müssen die neue Verordnung ebenso anwenden, also auch Google, Amazon, Facebook etc.
Wesentliche Änderungen
Mit der DSGVO wird die Meldepflicht beim DVR abgeschafft. An ihre Stelle tritt die Eigenverantwortlichkeit der Unternehmen. Die Verordnung bezeichnet die Nutzer der Daten, also Unternehmen, auch folgerichtig als „Verantwortliche“.
Jedes Unternehmen muss ab Mai 2018 seine Datenverwendung selbst dokumentieren und bei der Datenschutzbehörde nachweisen können, dass die Verarbeitung aller Daten im Unternehmen rechtmäßig erfolgt – und dies jederzeit.
Die wichtigsten Punkte der DSGVO für Unternehmen sind:
- Sie müssen die Verordnung nicht nur einhalten, sondern auch jederzeit nachweisen können, dass Sie es tun – also brauchen Sie eine Dokumentation.
- Sie müssen ein Verzeichnis mit allen Datenverwendungen führen.
- Website, AGB und Newsletterversand werden Sie anpassen müssen.
- Sie haben Informationsverpflichtungen gegenüber Mitarbeitern, Kunden und Geschäftspartnern.
- Mit Dienstleistern müssen Sie datenschutzkonforme Verträge abschließen.
- Sie brauchen ein Sicherheitskonzept, wie Sie Ihre Daten schützen.
- Ihr IT-System müssen Sie datenschutzkonform machen.
- Eventuell brauchen Sie einen Datenschutzbeauftragten.
- Passiert eine Datenschutzverletzung, müssen Sie dies binnen 72 Stunden melden.
- Sie müssen innerhalb festgelegter Fristen jemandem über seine Daten Auskunft erteilen, diese richtigstellen oder löschen.
Erhöhtes Haftungsrisiko mit drakonischen Strafen
Die erstmalige Umsetzung der erforderlichen Maßnahmen ist zeit- und kostenintensiv. Dennoch muss sie schon aufgrund der drastischen Strafdrohungen der DSGVO unbedingt durchgeführt werden. Die Strafdrohung liegt je nach Verstoß bei bis zu
20 Mio. € oder bis zu 4 % des weltweiten Umsatzes – je nachdem, welcher Betrag höher ist. Zum Vergleich: Im österreichischen Datenschutzgesetz, das noch bis 25. Mai 2018 gelten wird, liegt die maximal angedrohte Geldstrafe bei 25.000 €.
Ein einfaches Beispiel verdeutlicht den Unterschied: Bereits nach dem geltenden österreichischen Datenschutzgesetz können Personen Auskunft darüber verlangen, welche Daten zu ihrer Person gespeichert sind. Kommt der Verantwortliche diesem Ersuchen nicht nach, so tritt mit 25. Mai 2018 anstelle der Strafdrohung von 500 € eine Strafdrohung von bis zu 20 Mio. € oder 4 % des Umsatzes.
Welche Strafen dann konkret verhängt werden, ist noch ungewiss, aber klar ist: Die Geldbußen sollen wirksam, verhältnismäßig und abschreckend sein, damit Datenschutz künftig ernst genommen wird. Bislang war nicht nur die mögliche Strafhöhe begrenzt, sondern auch das Risiko, dass eine Datenschutzverletzung überhaupt aufgegriffen wird. Die Datenschutzbehörde hatte geringe Kontrollmöglichkeiten. Auch das ändert sich.
Ein kleines Beispiel: Haben Sie schon einmal einen Newsletter versandt, in dem die Empfänger sichtbar sind? Das ist ein Datenschutzverstoß. Jeder der Empfänger kann Sie künftig belangen, denn „Betroffene“ – das sind die Personen, deren Daten Sie verwenden – können direkt Beschwerde bei der Datenschutzbehörde einbringen oder auf Schadenersatz klagen oder auch beides. Schadenersatz kann künftig nicht nur wegen materieller, sondern auch immaterieller Schäden geltend gemacht werden.
Es haftet der Verantwortliche, jedes Unternehmen ist hinsichtlich der verwendeten Daten „Verantwortlicher“ im Sinne der DSGVO. Geschäftsführer müssen sicherstellen, dass die Datenschutz-Bestimmungen der DSGVO eingehalten werden. Pflichtverletzungen, die zur Zahlung von Geldbußen oder zu Schadenersatz führen, können den Geschäftsführer ersatzpflichtig machen. Zwar haften Geschäftsführer grundsätzlich nur gegenüber der Gesellschaft und nicht direkt gegenüber Dritten, aber bei Verletzung von Schutzgesetzen ist auch eine direkte Haftung gegenüber den Geschädigten möglich.
Auch wenn ein freiwilliger interner Datenschutzbeauftragter bestellt wird, entfällt die Haftung des Geschäftsführers nicht, dies kann nur das Risiko einer Pflichtverletzung mindern.
Um welche Daten geht es?
© Europäische Kommission (verändert)
Im Fokus der DSGVO steht klar der Verbraucherschutz. Jeder soll künftig klare Informationen erhalten, wer zu welchem Zweck seine persönlichen Daten speichert und weiterverarbeitet und mehr Kontrolle über seine persönlichen Daten bekommen. Betroffen sind alle Daten, die ausreichend Informationen enthalten, damit eine Person identifiziert wird oder zumindest identifizierbar ist, also: Name, Adresse, Telefonnummer, Geburtsdatum, Bankdaten, SV-Nummer, IP-Adresse etc.
Der Begriff „Datenverarbeitung“ ist sehr weit gefasst und umfasst jede Art der Datenverwendung, wie Erhebung, Erfassung, Organisation, Speicherung, Änderung, Anpassen und Ordnung von Daten. Nicht relevant ist, ob die Datenverarbeitung automatisiert oder manuell mit Papierdokumenten erfolgt.
Wann dürfen Daten verwendet werden?
Es gilt der Grundsatz: Datenverarbeitung ist grundsätzlich verboten, außer es gibt eine ausdrückliche Erlaubnis. „Rechtmäßig“ ist eine Datenverarbeitung nur dann, wenn eine Einwilligung vorliegt (z. B. Unterschreiben einer Einwilligungserklärung, Anklicken eines Kästchens auf der Website), wenn sie für die Erfüllung eines Vertrages (z. B. Lieferung einer Kundenbestellung) oder einer rechtlichen Verpflichtung (z. B. Arbeitszeitaufzeichnungen) notwendig ist, lebenswichtige Interessen der betroffenen Person schützt oder – und hier wird es vage – die berechtigten Interessen des Unternehmens wahrt, wenn nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Personen überwiegen (Interessenabwägung).
Wichtig ist hier, dass als berechtigtes Interesse eines Unternehmens auch die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung angesehen werden kann. Aber Achtung: Für elektronische Kommunikation gelten spezielle Regeln, die „ePrivacy-Verordnung“ der EU soll gleichzeitig mit der DSGVO in Kraft treten, ist aber bislang noch nicht beschlossen.
