Was bringt die Datenschutzgrundverordnung DSGVO ?

Datenschutz und Compliance

Mit der Anwendbarkeit der Datenschutzgrundverordnung ("DSGVO") ab Mai 2018 werden zahlreiche datenschutzrechliche Bestimmungen - vor allem auch die Strafandrohungen - wesentlich verschärft. Die DSGVO ist bereits seit 25.5.2016 "in Kraft", die Anwendbarkeit ist für 25.5.2018 normiert. Gewisse Vorwirkungen sind daher nicht ausgeschlossen.

 

Die Einhaltung der datenschutzrechtlichen Compliance ist somit bereits jetzt wichtig, um 2018 einen reibungsloser Übergang unter die neuen Regelungen zu ermöglichen und nicht mit einer potentiellen Rechtsverletzung zu "starten".

 

Obwohl die DSGVO unmittelbar EU-weit anwendbar ist, werden nationale Umsetzungsgesetze notwendig sein. Für März 2017 wird ein erster österreichischer Gesetzesvorschlag zur Umsetzung der Datenschutzgrundverordnung erwartet. In Deutschland wird ein Vorschlag bereits diskutiert (siehe Artikel auf Heise Online).

 

Die Erfassung, Prüfung und Meldung von datenschutzrechtlich relevanten Datenverarbeitungen (inkl. Übermittlungen) ist ein mitunter zeitaufwändiger Prozess, der  auch Änderungen in firmeninternen Abläufen und Vertragsunterlagen (AGB etc). notwendig machen kann.

 

2018 wird die Meldepflicht einer Pflicht zur Führung von Verzeichnissen der Datenverarbeitungen weichen (wobei weitreichende Ausnahmen und Gegenausnahmen bestehen).

 

Bereits jetzt ist es daher wichtig, ein umfassendes Audit der datenschutzrechtlichen Gesamtsituation im Unternehmen durchzuführen, um 2018 für die notwendigen Erweiterungen gerüstet zu sein.

  

Wichtige Eckpunkte für die nächsten Jahre sind:

 

-Bis 2018 sind Datenverarbeitungen bei der Datenschutzbehörde zu melden, außer die Datenverarbeitungen überschreiten iW nicht das Ausmaß der Datenverarbeitungen, die in der Standard- und Musterverordnung definiert sind. Die Beurteilung ist eine technisch-rechtliche. Die Standard- und Musterverordnung definiert abschließend sowohl Datenarten, als auch Übermittlungsempfänger und Verarbeitungszwecke. Etwa die Standardanwendung "Personalverwaltung" wird in vielen Unternehmen schon durch z.B. Systeme zur Evidenz von Mitarbeiterbewertungen oä überschritten.

 

Ab 2018 entfällt zwar die Meldepflicht von Datenverarbeitungen, allerdings sind den jetzigen Meldungen äquivalente Datenverarbeitungsübersichten In-House im Unternehmen vorzuhalten und jederzeit der Behörde bei Verlangen vorzulegen.

 

-Datenübermittlungen außerhalb der EU: Aufgrund der drakonischen Strafdrohung der Datenschutzgrundverordnung ist es außerordentlich wichtig, nur rechtskonforme Datenübermittlungen durchzuführen. Hier kommt es auch darauf an, "versteckte" Datenübermittlungen nicht zu übersehen:

 

Zu prüfen sind z.B.:

  • Server - Standorte von Cloud Dienstleistern - Wo überall befinden sich die Server Ihrer Cloud Dienstleister? Ist in den AGB evtl. enthalten, dass diese weltweit verteilt werden können? Sind die Server nur in "sicheren Drittländern" gelegen?
  • Wo ist Ihr E-Mail Provider ansässig, wo unterhält er seine Server?
  • Haben Sie datenschutzrechtskonforme Dienstleisterverträge mit sämtlichen externen Administratoren und sämtlichen anderen IT-Dienstleistern, wie Backup-Services uä, Cloud Anbietern etc?
  • Werden alle datenschutzrechtlichen Informationspflichten / Zustimmungserfordernisse erfüllt? Erfolgt dies in AGB und werden dabei die Transparenzgebote u.a. Erfordernisse eingehalten? Hierzu existiert bereits strenge Rechtsprechung v.a. des Obersten Gerichtshof zu den Anforderungen an Zustimmungserklärungen bez. Inhalts- und Formerfordernissen.
  • Wartungsklauseln in Hosting- und Cloudverträgen: Ist evtl. in ihren Dienstleisterverträgen enthalten, dass Wartungstechniker aus "nicht sicheren Drittstaaten" zu Wartungszwecken Zugriff auf Ihre Cloud-Daten gewährt wird?
  • Sind Ihre Datenübermittlungen in Länder außerhalb der EU genehmigungspflichtig? Sind Ihre jetzt nicht genehmigungspflichtigen Datenübermittlungen in die USA überhaupt genehmigungsfähig? Das könnte wesentlich werden, sollte etwa der EuGH dem "Privacy Shield" die Gültigkeit absprechen, wie es für die Vorgängerregelung - Safe Harbour - bereits der Fall war.

 

Die maximale Strafdrohung der DSGVO beträgt bis zu 2%-4%des gesamten weltweit erzielten Jahresumsatzes eines Unternehmen (oder 20 Mio EUR).

 

 

Kontakt:

p.miller@kwlaw.at

Mag. Philipp Miller

Kontaktformular