Die Datenschutz-Grundverordnung - Viel Neues ab 2018

Nach jahrelangen Verhandlungen und Debatten wurde am 4. Mai 2016 im Amtsblatt der Europäischen Union die Verordnung des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung  personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (kurz. Datenschutz-Grundverordnung - DSGVO) veröffentlicht. Diese tritt nach fast 2 Jahren Übergangsfrist am 25. Mai 2018 in allen EU-Mitgliedsstaaten in Kraft.

Obwohl die DSGVO als EU-Vorordnung unmittelbar anwendbar ist enthält Sie zahlreiche Öffnungsklauseln. Diese Öffnungsklauseln lassen dem nationalen Gesetzgeber gewisse Spielräume um detailiertere oder abweichende Regeln zu definieren. Zu diesem Zweck gibt es "Datenschutz-Anpassungsgesetz 2018" das am 31. Juli 2017 im Bundesgesetzblatt kundgemacht wurde und ebenfalls am 25. Mai 2018 in Kraft tritt.

Wir haben die wesentlichsten Neuerungen, die auf Unternehmen zukommen zusammengefasst:

Dies wird dadurch begründet, weil die Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) wegfällt.

Prinzip des "privacy by design" und "privacy by default":

Es müssen geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) getroffen werden, die die Rechte von betroffenen Personen schützen. Außerdem muss bei datenschutzrechtlichen Voreinstellungen sichergestellt werden, dass grundsätzlich nur personenbezogene Daten verarbeitet werden die für den jeweiligen Verwendungszweck notwendig sind.

Führung eines Verzeichnisses von Verarbeitungstätigkeiten:

Dieses ersetzt die derzeitigen DVR-Meldungen und erhält die eigenen Kontaktdaten, die Verarbeitungszwecke, eine Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen, Empfängerkategorien, Übermittlungen von Daten in Drittländer, Löschungsfristen sowie eine allgemeine Beschreibung der technischen und organisatorischen Datenschutzmaßnahmen.

Meldungen von Datenschutzverletzungen:

Solche müssen binnen jedoch höchstens 72 Stunden nach der Entdeckung der nationalen Aufsichtsbehörde und der betroffenen Person gemeldet werden, außer die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten.

Pflicht zur Datenschutz-Folgenabschätzung:

Bei Verarbeitungsvorgängen die ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur folge haben. Dies ist vor allem bei Verwendung neuer Technologien und.

Vorherige Konsultation der Aufsichtsbehörde:

Diese ist dann notwendig, wenn aus der Datenschutz-Folgeabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko birgt, wenn keine Maßnahmen zu dessen Eindämmung getroffen werden.

Verpflichtender Datenschutzbeauftragter:

Diese Verpflichtung besteht insbesondere für Unternehmen deren Kerntätigkeit die umfassende, systematische oder regelmäßige Beobachtung von Personen oder die umfassende Verarbeitung von Daten über strafrechtlich relevante Aspekte ist. 

Die DSGVO sieht umfassende Informationspflichten und Betroffenenrechte vor. Diese Informationen müssen ohne Verzögerung jedoch höchstens innerhalb eines Monats erledigt werden.

Bei den Informationspflichten unterscheidet die Verordnung Information die bei der betroffenen Person selbst erhoben werden und jene die nicht direkt bei der betroffenen Person erhoben werden.

Direkt erhobene Personendaten wie Namen, Kontaktdaten, Verarbeitungszwecke, Rechtsgrundlagen, berechtigte Interessen, Empfänger der Daten, Speicherdauer sowie die Kriterien für die Festlegung dieser Dauer, Betroffenenrechte, Widerrufsmöglichkeit, Bestehen eines Beschwerderechtes, Information ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist, Informationen über das Bestehen automatisierter Entscheidungsfindung (Profiling) müssen der betroffener Person zum Zeitpunkt der Datenerhebung zur Verfügung gestellt werden.

Daten die nicht direkt beim Betroffenen erhoben werden müssen nach Erlangung der personenbezogenen Daten spätestens innerhalb eines Monats mitgeteilt werden, wenn die Daten zur Kommunikation verwendet werden, dann spätestens zum Zeitpunkt der ersten Mitteilung.

Wenn der Betroffene die Informationen bereits hat, oder die Daten dem Berufsgeheimnis oder einer Geheimhaltungspflicht unterliegen, müssen diese natürlich nicht bereitgestellt werden.

Die Informationen und Mitteilungen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form und in einer klaren und einfachen Sprache übermittelt werden.

Neben der Informationspflichten gibt es auch noch diverse Betroffenenrechte:

• Auskunftsrecht
• Recht auf Berichtigung
• Recht auf Löschung ("Recht auf Vergessenwerden")
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht

Wie schon bei den Informationspflichten gilt auch hier, dass die Informationen zu den Betroffenenrechten transparent, klar und präzise in einer leicht verständlichen und zugänglichen Form übermittelt werden müssen.

Die Übermittlung kann schriftlich oder elektronisch erfolgen, wobei auch eine mündliche Form, wenn es die betroffene Person verlangt, möglich ist. In diesem Fall ist es ratsam, sich zumindest den Empfang der Information schriftlich bestätigen zu lassen.

Nach dem noch geltenden Datenschutzgesetz ist es notwendig, dass der Betroffene bereits bei der Anfrage seine Identität offenlegen muss. Nach der neuen DSGVO muss dies der Betroffene nur noch wenn begründete Zweifel an seiner Identität (telefonische Anfrage oder Verwendung einer Fantasie-E-Mailadresse) bestehen.

Fristen

Die Informationen müssen dem Betroffenen unverzüglich, jedoch innerhalb eines Monats übermittelt werden, wobei aber diese um zwei auf insgesamt drei Monate verlängert werden kann. Eine solche Fristverlängerung muss dem Betroffenen aber zusammen mit den Gründen für die Verzögerung mitgeteilt werden. Auch über ein Nicht-Tätigwerden muss der Betroffene innerhalb eines Monats nach Eingang der Anfrage informiert werden.

Entgeltlichkeit

Informationen und alle Mitteilungen müssen unentgeltlich zur Verfügung gestellt werden. Bei offenkundig unbegründeten oder exzessiven Anträgen (häufige Anfragewiederholung) kann ein angemessenes Entgelt verlangt werden oder das Tätigwerden verweigert werden. Die Tatsache ob der Antrag offenkundig unbegründet oder exzessiv war muss der Auskunftsgeber beweisen.   

Eine wesentliche Neuerung der DSGVO ist der Ausbau und Erweiterung der Befugnisse der Datenschutzbehörden.

So können z.B. empfindliche Strafen und Geldbußen verhängt werden:

Nach der DSGVO sind bei besonders schwerwiegenden Verstößen (z.B. Verletzung der Informationspflichten und der Betroffenenrechte) Geldbußen von bis zu 20 Mio. EUR oder im Fall eines einzelnen Unternehmens bis zu 4% des weltweiten Jahresumsatzes im vorangegangen Geschäfgsjahr vorgesehen. In sonstigen Fällen beträgt diese Strafe bis 10 Mio. EUR bzw. 2% des Umsatzes.

Die hier veröffentlichen Informationen zur neuen EU-Datenschutz-Grundverordnung stellen nur einen kleinen Auszug zur komplexen Materie und soll einen kurzen Überblick geben.

Dennoch ersetzt dieser Blog-Artikel NICHT eine Beratung durch einen mit der Materie vertrauten Juristen oder der Interessenvertretung.

Da noch nicht alle rechtlichen Details geklärt sind, werden wir uns mit einem späteren Blogbeitrag mit dem Thema befassen welche konkreten Auswirkungen die Datenschutz-Grundverordnung auf den E-Commerce Bereich hat.

Die Inhalte dieses Blog-Artikels basieren auf Informationen der WKO Österreich:

• Informationen zur EU Datenschutzgrundverordnung
• Begriffsbestimmungen