Datenschutzrecht - Die neue EU-Grundverordnung und was diese für Sie bedeutet

Die EU hat mit einer neuen Grundverordnung die Basis für ein einheitliches europäisches Datenschutzrecht gelegt und die rechtlichen Rahmenbedingungen an die technischen Gegebenheiten unserer Zeit anpasst. Was für Unternehmen dabei zu beachten ist, zeigen die Experten der O.P.P. – Beratungsgruppe beim Confare „Update Datenschutzrecht“ am 28. Juni – Im Blog Interview Siegfried Gruber über die Neuerungen, die Ziele und die Auswirkungen der Grundverordnung.

Was sind die 3 wichtigsten Handlungsfelder im Unternehmen, wenn es um Datenschutz geht?
Ich möchte das Thema „Datenschutz“ einmal von der rein juristischen Perspektive lösen. Denn dass das Gesetz zu befolgen ist, steht wohl außer Zweifel.

Auf der Sicht des Unternehmens ist Datenschutz zugleich der Schutz von Informationen. Daher geht es zuallererst darum, schützenswerte Informationen zu identifizieren und entsprechende Prozesse aufzusetzen, um den Schutzbedarf, allfällige Bedrohungen und wirksame Gegenmaßnahmen (oder allenfalls andere Strategien zur Risikobehandlung) zu definieren.
In weiterer Folge müssen diese Prozesse und die damit verbundenen Risiken laufend beobachtet und die Wirksamkeit der ergriffenen Maßnahmen überprüft werden.
Die Prüfung der Wirksamkeit der ergriffenen Schutzmaßnahmen ist zudem eine konkrete (und meines Erachtens in der Praxis extrem relevante) Forderung der Datenschutzgrundverordnung.

Welchen Zielen folgt die neue EU Grundverordnung zum Datenschutzrecht? Welche Interessen stehen dahinter?
Die Änderung des EU-Datenschutzrechts von einer Richtlinie zur Verordnung hat zwei grundlegende Aspekte:
1.       Die Richtlinie und deren Grundlagen stammen aus den 70er und 80er Jahren des letzten Jahrhunderts und haben somit ein nicht mehr der Realität entsprechendes Bild der Verwendung personenbezogener Daten. Zu diesem Zeitpunkt war weder vom Internet, noch von der Cloud, geschweige denn von Big-Data auch nur die geringste Vorstellung vorhanden. Die EU Datenschutzgrundverordnung ist ein Versuch (obwohl technologieneutral formuliert), diese und andere Verarbeitungsformen, von denen wir heute noch nichts wissen, mit zu berücksichtigen und den Schutz personenbezogener Daten im ausreichenden Ausmaß zu gewährleisten.
2.       Aufgrund der doch teilweise sehr unterschiedlichen Umsetzung der Datenschutz-Richtlinie in den Mitgliedstaaten ergab sich (wie der Fall Europe vs Facebook zeigt) ein von Mitgliedsstaat zu Mitgliedsstaat doch sehr unterschiedliches Rechtsschutzniveau. Hier soll durch eine Vielzahl konkreter Bestimmungen gewährleistet werden, dass ein wirksamer Rechtsschutz nicht davon abhängt, in welchem Mitgliedstaat sich der Betroffene oder aber auch der für die Verarbeitung Verantwortliche jeweils befindet.

Was sind die wichtigsten Neuerungen?
Die konkret wichtigste Neuerung ist, dass es sich bei der DSGVO um unmittelbar anwendbares Unionsrecht handelt (das interessiert aber vielfach nur uns Juristen 😉).
Aus meiner Sicht besonders wichtig ist das Thema der „Zustimmung“ durch die betroffene Person. Hier hat sich gegenüber den bisherigen Voraussetzungen doch einiges geändert, was durchaus Auswirkungen auf die Rechtmäßigkeit bereits bestehender Datenverwendungen haben kann.
Zudem gibt es einige konkrete Bestimmungen, die einen besonderen Schutz für die Verwendung von Daten von Kindern bieten sollen.
Ganz neu ist auch das Thema „Profiling“. Hier gibt es für bestehende Datenanwendungen wohl Bedarf an Nachbesserung.
Wurde das Thema „Datenschutz“ bisher vielfach als Nebenschauplatz abgetan, was nicht zuletzt mit der geringen Gefahr „spürbarer“ Sanktionen zusammenhing, so hat sich hier Wesentliches getan. Bisher lag die Maximalstrafe bei € 25.000, --, die neuen Strafrahmen sehen Beträge von bis zu € 20 Mio. oder 4% des weltweiten Umsatzes von Unternehmen vor.

Welche Änderungen betreffen österreichische Unternehmen?
Aus der Sicht der Unternehmen ergibt sich (je nach Größe der Unternehmen bzw. Art der verwendeten Daten und damit verbundenen Risiken) eine Vielfalt an Neuerungen. Dies beginnt bei der Dokumentationspflicht, der Pflicht zur Datenschutz-Folgenabschätzung, besondere Bestimmungen im Zusammenhang mit der verpflichtenden Meldung von Verletzungen des Datenschutzes (Data Breach Notification Duty), Überprüfung der Wirksamkeit von Datensicherheitsmaßnahmen etc.

Für manche Unternehmen ergibt sich auch eine gesetzliche Pflicht zur Bestellung eines Datenschutzbeauftragten.
Für alle Unternehmen, die personenbezogene Daten verwenden, ergibt sich jedenfalls die Aufgabe, sich mit den neuen gesetzlichen Bestimmungen zu befassen und allfälligen Handlungsbedarf zu prüfen.

Anmeldung und Details zum Update Datenschutzrecht finden Sie hier: http://www.confare.at/13429_DE-7419_Datenschutz_Praxisnah_-_Die_neue_EU_Grundverordnung-Programm_und_Referenten.htm