das grosse Zittern
Text
Sascha Harold
Ausgabe
06/2018
Ende Mai trat mit der Datenschutzgrundverordnung (DSGVO) ein europaweit einheitlicher Standard zum Schutz von personenbezogenen Daten in Kraft. Bei vielen Unternehmern sorgt die neue Verordnung für Kopfzerbrechen, bei Datenschützern für Jubel. Wird jetzt alles anders oder ist die Aufregung übertrieben?
Foto Valery Brozhinsky-Fotolia.com
Als „Monster“ und „Ungeheuer“ wurde die DSGVO stellenweise bezeichnet. Überbordende Bürokratie und existenzbedrohende Regeln kritisierten vor allem Unternehmer und wirtschaftsnahe Interessensvertretungen. Besonders in den letzten Wochen vor dem Inkrafttreten der Verordnung (siehe Infobox) gingen die medialen Wogen hoch. Die hohen Strafdrohungen von bis zu 20 Millionen Euro, die mit der DSGVO möglich sind, gaben Anlass zu Beunruhigung. Dabei sind die Bestimmungen der Verordnung bereits seit 2016 klar – damals wurde sie nämlich auf europäischer Ebene verabschiedet. Zwei Jahre gab man den Mitgliedsstaaten Zeit, um sich auf die Änderungen vorzubereiten, seit 25. Mai 2018 gilt die DSGVO nun. Vonseiten der Wirtschaftskammer reagierte man mit einer umfangreichen Informationskampagne. In Niederösterreich wurden Kammermitglieder zu kostenlosen Informationsveranstaltungen eingeladen, die vom WIFI durchgeführt wurden. Referatsleiter Andreas Satzinger über die Informationsoffensive: „Die Workshops wurden gut angenommen, bis Ende Mai haben wir rund 150 Veranstaltungen durchgeführt und damit weit über 5.000 Unternehmen erreicht.“ Der angesprochene Basisworkshop zielte dabei auf Bereiche ab, die für alle Unternehmen gleich sind. Vereinzelt gebe es noch Unsicherheiten, wie Details der Verordnung umgesetzt werden, in diesen Fällen werden auch individuelle Beratungen über den Basisworkshop hinaus angeboten.
Gerade die kurz vor Ende der Umsetzungsfrist verabschiedeten Anpassungen der Bundesregierung sorgten bei vielen für Überraschung und führten zu Ärger bei Datenschützern und Freude bei Unternehmern. In mehreren Anpassungen wurde unter anderem für Österreich festgehalten, dass die Datenschutzbehörde erst verwarnen soll bevor gestraft wird. Ob die Anpassungen allerdings rechtlich im Einklang mit der Verordnung stehen ist unklar. Umsetzungsaufwand bedeutet die Verordnung jedenfalls unabhängig davon, ob nun sofort gestraft wird oder nicht.
Gerade die kurz vor Ende der Umsetzungsfrist verabschiedeten Anpassungen der Bundesregierung sorgten bei vielen für Überraschung und führten zu Ärger bei Datenschützern und Freude bei Unternehmern. In mehreren Anpassungen wurde unter anderem für Österreich festgehalten, dass die Datenschutzbehörde erst verwarnen soll bevor gestraft wird. Ob die Anpassungen allerdings rechtlich im Einklang mit der Verordnung stehen ist unklar. Umsetzungsaufwand bedeutet die Verordnung jedenfalls unabhängig davon, ob nun sofort gestraft wird oder nicht.
Foto Sascha Harold
Umsetzungsaufwand
Wie hoch dieser Aufwand ist, hängt stark vom jeweiligen Unternehmen ab. Wurden die bisher geltenden Bestimmungen genau eingehalten, ist er überschaubar – denn rechtlich ändert sich durch die DSGVO nicht viel (siehe Interview Seite 20).
Aufwand bedeuten vor allem IT-technische Umstellungen. Pierre Voak, Webmaster und frisch gebackener Datenschutzbeauftragter der NXP Veranstaltungsbetriebs GmbH, präzisiert: „Im Mai war ich nur mit dem Thema Datenschutz beschäftigt. Wenn das System im Laufen ist, gibt es keinen Mehraufwand, aber die Umstellung war sicher ein Mehraufwand von einem Monat.“ Man nütze jedenfalls die Gelegenheit und bereite das technische System auch gleich auf mögliche weitere Verschärfungen wie ein Double Opt-In Verfahren vor. Grundsätzlich ändere sich im Umgang mit Daten für ihn nicht viel: „Wir haben nie Daten weitergegeben, nie zweckentfremdet und wir sammeln keine Daten, wie das vielleicht andere machen.“
Auch die Grundsätze der Datenverarbeitung (Recht auf Löschung, Auskunft und Zweckbindung der Datenerhebung) bleiben weitgehend gleich. Aus User-Sicht sieht Voak die Änderungen auch durchaus erfreulich: „Für den Konsumenten wird es sicher besser. Bisher fehlte der Überblick, wo die eigenen Daten überall hinkommen, Datenverkauf ist künftig nicht mehr so einfach möglich, das Auskunftsrecht ist wichtig.“
"Der Datenschutz kriegt mit der DSGVO eindeutig Zähne in Europa." THOMAS LOHNINGER
Privatsphäre im Netz
Ähnlich sieht das Thomas Lohninger, Geschäftsführer von epicenter.works, einem gemeinnützigen Verein, der sich um die Durchsetzung von Grund- und Menschenrechten im Internet bemüht. Die DSGVO sieht er als Erfolg: „Der Datenschutz kriegt mit der DSGVO eindeutig Zähne in Europa – die Strafen sind empfindlich hoch und wir sind zum ersten Mal in der Lage, den Großen wie Google und Facebook etwas entgegen zu setzen.“
Mit dem Verein will er bezwecken, dass sich Technik am Menschen ausrichtet und nicht an Profit- und Kontrollbestrebungen einzelner Akteure. Die Änderungen der österreichischen Regierung an der DSGVO sieht er sehr kritisch. Hier sei klar gegen Unionsrecht verstoßen worden, derzeit überlege man, ein Verfahren wegen Vertragsverletzung einzubringen. „Es ist ein Gesetz, das in schlimmster Art und Weise gemacht wurde, nämlich in letzter Sekunde, bevor die Verordnung in Kraft trat“, kritisiert Lohninger. Dabei sei es wichtig, dass das europäische Gesetz, das er als großen Erfolg sieht, auch so umgesetzt werde, um nicht als totes Recht zu enden.
Die Aufregung, die in den letzten Wochen und Monaten laut geworden ist, versteht er. „Ja, das Gesetz ist sehr bürokratisch geworden, das bestreitet auch niemand. Die Absicht ist aber trotzdem eine sehr gute. Wir brauchen dieses Gesetz und es ist gut, dass sich jetzt einmal alle, die Daten verarbeiten, auch mit Datenschutz befassen“, ist er überzeugt.
Wie hoch dieser Aufwand ist, hängt stark vom jeweiligen Unternehmen ab. Wurden die bisher geltenden Bestimmungen genau eingehalten, ist er überschaubar – denn rechtlich ändert sich durch die DSGVO nicht viel (siehe Interview Seite 20).
Aufwand bedeuten vor allem IT-technische Umstellungen. Pierre Voak, Webmaster und frisch gebackener Datenschutzbeauftragter der NXP Veranstaltungsbetriebs GmbH, präzisiert: „Im Mai war ich nur mit dem Thema Datenschutz beschäftigt. Wenn das System im Laufen ist, gibt es keinen Mehraufwand, aber die Umstellung war sicher ein Mehraufwand von einem Monat.“ Man nütze jedenfalls die Gelegenheit und bereite das technische System auch gleich auf mögliche weitere Verschärfungen wie ein Double Opt-In Verfahren vor. Grundsätzlich ändere sich im Umgang mit Daten für ihn nicht viel: „Wir haben nie Daten weitergegeben, nie zweckentfremdet und wir sammeln keine Daten, wie das vielleicht andere machen.“
Auch die Grundsätze der Datenverarbeitung (Recht auf Löschung, Auskunft und Zweckbindung der Datenerhebung) bleiben weitgehend gleich. Aus User-Sicht sieht Voak die Änderungen auch durchaus erfreulich: „Für den Konsumenten wird es sicher besser. Bisher fehlte der Überblick, wo die eigenen Daten überall hinkommen, Datenverkauf ist künftig nicht mehr so einfach möglich, das Auskunftsrecht ist wichtig.“
"Der Datenschutz kriegt mit der DSGVO eindeutig Zähne in Europa." THOMAS LOHNINGER
Privatsphäre im Netz
Ähnlich sieht das Thomas Lohninger, Geschäftsführer von epicenter.works, einem gemeinnützigen Verein, der sich um die Durchsetzung von Grund- und Menschenrechten im Internet bemüht. Die DSGVO sieht er als Erfolg: „Der Datenschutz kriegt mit der DSGVO eindeutig Zähne in Europa – die Strafen sind empfindlich hoch und wir sind zum ersten Mal in der Lage, den Großen wie Google und Facebook etwas entgegen zu setzen.“
Mit dem Verein will er bezwecken, dass sich Technik am Menschen ausrichtet und nicht an Profit- und Kontrollbestrebungen einzelner Akteure. Die Änderungen der österreichischen Regierung an der DSGVO sieht er sehr kritisch. Hier sei klar gegen Unionsrecht verstoßen worden, derzeit überlege man, ein Verfahren wegen Vertragsverletzung einzubringen. „Es ist ein Gesetz, das in schlimmster Art und Weise gemacht wurde, nämlich in letzter Sekunde, bevor die Verordnung in Kraft trat“, kritisiert Lohninger. Dabei sei es wichtig, dass das europäische Gesetz, das er als großen Erfolg sieht, auch so umgesetzt werde, um nicht als totes Recht zu enden.
Die Aufregung, die in den letzten Wochen und Monaten laut geworden ist, versteht er. „Ja, das Gesetz ist sehr bürokratisch geworden, das bestreitet auch niemand. Die Absicht ist aber trotzdem eine sehr gute. Wir brauchen dieses Gesetz und es ist gut, dass sich jetzt einmal alle, die Daten verarbeiten, auch mit Datenschutz befassen“, ist er überzeugt.
Foto zVg
Demokratie & Freiheit?
Gerade die Berichte um den Datenskandal von Cambridge Analytica und Facebook haben gezeigt, dass es rechtlich Nachbesserungsbedarf beim Datenschutz braucht. Das sieht auch Lohninger so: „Gerade anhand solcher Missbrauchsskandale wird klar, wie gravierend die negativen Konsequenzen durch zu große Datensammlungen sind. Man muss sich fragen, was die Kosten für uns alle sind, nämlich auch für unsere Demokratie und unsere Freiheit, wenn zu große Datenprofile über uns gesammelt werden.“ Die europäische Initiative wird jedenfalls weltweit beobachtet und kann derzeit als Standard in Sachen Datenschutz gelten. Angesichts der sehr hohen Strafrahmen wird klar, dass die DSGVO vor allem auf große, weltweit agierende Konzerne abzielt. Vereinzelt kommt das Gefühl auf, dass dabei auf die Bedürfnisse von kleinen und mittelständischen Unternehmen zu wenig eingegangen wurde. Als klarer Erfolg kann jedoch klar der verbindliche und einheitliche Standard im Datenschutz sowie ein neu entstandenes Bewusstsein für den Umgang mit personenbezogenen Daten gesehen werden.
„Der Zweck der Datenverarbeitung ist das Um und Auf“
Franz Lippe ist Rechtsanwalt in der Wiener Kanzlei Preslmayer Anwälte. Er spezialisiert sich unter anderem auf Datenschutzrecht.
Was sind die größten Änderungen der neuen EU-weiten Datenschutzgrundverordnung (DSGVO)?
Grundsätzlich ändert sich, was die Rechte und Pflichten der Unternehmen betrifft, nicht wahnsinnig viel. Was sich jedoch ändert ist die Transparenz gegenüber den vom Datenschutzrecht Betroffenen.
In vielen Fällen ist es gar nicht so schlimm, was ich mit den Daten meiner User mache, sondern es geht mehr darum ihnen zu sagen, was mit ihren Daten gemacht wird. Das heißt: Welche Daten verarbeite ich, wie verarbeite ich sie, wie lange speichere ich sie und, sofern notwendig, habe ich die benötigte Zustimmung eingeholt.
Gerade die Berichte um den Datenskandal von Cambridge Analytica und Facebook haben gezeigt, dass es rechtlich Nachbesserungsbedarf beim Datenschutz braucht. Das sieht auch Lohninger so: „Gerade anhand solcher Missbrauchsskandale wird klar, wie gravierend die negativen Konsequenzen durch zu große Datensammlungen sind. Man muss sich fragen, was die Kosten für uns alle sind, nämlich auch für unsere Demokratie und unsere Freiheit, wenn zu große Datenprofile über uns gesammelt werden.“ Die europäische Initiative wird jedenfalls weltweit beobachtet und kann derzeit als Standard in Sachen Datenschutz gelten. Angesichts der sehr hohen Strafrahmen wird klar, dass die DSGVO vor allem auf große, weltweit agierende Konzerne abzielt. Vereinzelt kommt das Gefühl auf, dass dabei auf die Bedürfnisse von kleinen und mittelständischen Unternehmen zu wenig eingegangen wurde. Als klarer Erfolg kann jedoch klar der verbindliche und einheitliche Standard im Datenschutz sowie ein neu entstandenes Bewusstsein für den Umgang mit personenbezogenen Daten gesehen werden.
„Der Zweck der Datenverarbeitung ist das Um und Auf“
Franz Lippe ist Rechtsanwalt in der Wiener Kanzlei Preslmayer Anwälte. Er spezialisiert sich unter anderem auf Datenschutzrecht.
Was sind die größten Änderungen der neuen EU-weiten Datenschutzgrundverordnung (DSGVO)?
Grundsätzlich ändert sich, was die Rechte und Pflichten der Unternehmen betrifft, nicht wahnsinnig viel. Was sich jedoch ändert ist die Transparenz gegenüber den vom Datenschutzrecht Betroffenen.
In vielen Fällen ist es gar nicht so schlimm, was ich mit den Daten meiner User mache, sondern es geht mehr darum ihnen zu sagen, was mit ihren Daten gemacht wird. Das heißt: Welche Daten verarbeite ich, wie verarbeite ich sie, wie lange speichere ich sie und, sofern notwendig, habe ich die benötigte Zustimmung eingeholt.
Welche Fragen beschäftigen die Unternehmer besonders?
Es wird sehr oft die Frage gestellt, wie das mit den Einwilligungen zur Datenverarbeitung in der Praxis ausschaut. Das Thema ist ein extrem überbewertetes, weil für das Gros aller Datenverarbeitungsvorgänge keine Einwilligung benötigt wird. Das Thema wird allerdings immer dann interessant, wenn es etwa um Marktforschung oder Werbemaßnahmen geht. Grob kann man sagen, dass alles, was mit der eigentlichen Geschäftstätigkeit des Unternehmens im Zusammenhang steht, grundsätzlich keiner Einwilligung bedarf.
Ändert sich an der Gestaltung der Belehrungen etwas?
Die Informationen in dieser Datenschutzrichtlinie werden künftig jedenfalls handfester. Wenn man sich hier die bisherigen Richtlinien, gerade von massiv datenverarbeitenden Unternehmen wie sozialen Netzwerken ansieht, dann stellt man fest, dass dort sehr blumig geschrieben wird und Hard Facts meistens ausgespart bleiben. Die DSGVO versucht hier, dem User diese Informationen verständlich beizubringen. Das betrifft vor allem den Zweck der Datenverarbeitung, der im Datenschutzrecht das Um und Auf ist. Es geht darum, wozu die Daten der Betroffenen verarbeitet werden. Diese Frage nach dem Wozu bestimmt in den meisten Fällen auch die Frage, ob die Verarbeitung erlaubt ist oder nicht.
Welche Arten der Datenverarbeitungen werden durch die neue DSGVO überhaupt problematisch?
Ein Problem, das die meisten beschäftigt, ist die Verwendung von personenbezogenen Daten für Werbezwecke. Geändert hat sich dabei vor allem die Konsequenz bei Verstößen – nämlich hohe Strafdrohungen mit einem Strafrahmen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes. Was es in Österreich bisher so nicht gab, ist das sogenannte Koppelungsverbot, das mit der DSGVO in Kraft tritt. Immer dann also, wenn eine datenschutzrechtliche Einwilligung an einen Vertrag gekoppelt wird, ohne dass sie für den Abschluss wesentlich ist, dann ist das künftig verboten.
Welche Anpassungen müssen Unternehmer jetzt vornehmen?
Die Änderungen sind grundsätzlich nicht so groß – wenn dem Datenschutzgesetz 2000 schon entsprochen wurde. Bisher hat es das sogenannte Datenverarbeitungsregister (DVR) gegeben, an das alle Unternehmen ihre Datenverarbeitungsprozesse gemeldet haben. Viele haben aber keine Meldung gemacht – einerseits aus Unwissenheit, andererseits weil die wirtschaftlichen Konsequenzen möglicherweise nicht abschreckend genug waren. Gewisse Datenanwendungen waren von der Meldepflicht auch ausgenommen.
Mit der DSGVO wird das anders, weil das zentrale DVR abgeschafft wird und stattdessen jedes Unternehmen bei sich ein solches Register führen muss. Das muss alle Datenverarbeitungstätigkeiten beinhalten, auch solche, die bisher von der Meldepflicht befreit waren.
Sind die Unternehmen gut auf die Änderungen vorbereitet?
Es war schon ein deutlicher Beratungsanstieg zu bemerken, je näher es an den 28. Mai gegangen ist. Es gibt Unternehmen, die sich schon Mitte 2016 sehr intensiv mit dem Thema befasst haben. Andere haben erst auf den letzten Drücker begonnen, sich über notwendige Änderungen zu informieren. Jedenfalls ist aber zu beobachten, dass das Thema sehr ernst genommen wird – wohl auch wegen den hohen Strafdrohungen. Damit hat die DSGVO ihr Ziel, nämlich dass sich Unternehmen aktiv mit dem Thema Datenschutz beschäftigen, schon erreicht.
Es wird sehr oft die Frage gestellt, wie das mit den Einwilligungen zur Datenverarbeitung in der Praxis ausschaut. Das Thema ist ein extrem überbewertetes, weil für das Gros aller Datenverarbeitungsvorgänge keine Einwilligung benötigt wird. Das Thema wird allerdings immer dann interessant, wenn es etwa um Marktforschung oder Werbemaßnahmen geht. Grob kann man sagen, dass alles, was mit der eigentlichen Geschäftstätigkeit des Unternehmens im Zusammenhang steht, grundsätzlich keiner Einwilligung bedarf.
Ändert sich an der Gestaltung der Belehrungen etwas?
Die Informationen in dieser Datenschutzrichtlinie werden künftig jedenfalls handfester. Wenn man sich hier die bisherigen Richtlinien, gerade von massiv datenverarbeitenden Unternehmen wie sozialen Netzwerken ansieht, dann stellt man fest, dass dort sehr blumig geschrieben wird und Hard Facts meistens ausgespart bleiben. Die DSGVO versucht hier, dem User diese Informationen verständlich beizubringen. Das betrifft vor allem den Zweck der Datenverarbeitung, der im Datenschutzrecht das Um und Auf ist. Es geht darum, wozu die Daten der Betroffenen verarbeitet werden. Diese Frage nach dem Wozu bestimmt in den meisten Fällen auch die Frage, ob die Verarbeitung erlaubt ist oder nicht.
Welche Arten der Datenverarbeitungen werden durch die neue DSGVO überhaupt problematisch?
Ein Problem, das die meisten beschäftigt, ist die Verwendung von personenbezogenen Daten für Werbezwecke. Geändert hat sich dabei vor allem die Konsequenz bei Verstößen – nämlich hohe Strafdrohungen mit einem Strafrahmen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes. Was es in Österreich bisher so nicht gab, ist das sogenannte Koppelungsverbot, das mit der DSGVO in Kraft tritt. Immer dann also, wenn eine datenschutzrechtliche Einwilligung an einen Vertrag gekoppelt wird, ohne dass sie für den Abschluss wesentlich ist, dann ist das künftig verboten.
Welche Anpassungen müssen Unternehmer jetzt vornehmen?
Die Änderungen sind grundsätzlich nicht so groß – wenn dem Datenschutzgesetz 2000 schon entsprochen wurde. Bisher hat es das sogenannte Datenverarbeitungsregister (DVR) gegeben, an das alle Unternehmen ihre Datenverarbeitungsprozesse gemeldet haben. Viele haben aber keine Meldung gemacht – einerseits aus Unwissenheit, andererseits weil die wirtschaftlichen Konsequenzen möglicherweise nicht abschreckend genug waren. Gewisse Datenanwendungen waren von der Meldepflicht auch ausgenommen.
Mit der DSGVO wird das anders, weil das zentrale DVR abgeschafft wird und stattdessen jedes Unternehmen bei sich ein solches Register führen muss. Das muss alle Datenverarbeitungstätigkeiten beinhalten, auch solche, die bisher von der Meldepflicht befreit waren.
Sind die Unternehmen gut auf die Änderungen vorbereitet?
Es war schon ein deutlicher Beratungsanstieg zu bemerken, je näher es an den 28. Mai gegangen ist. Es gibt Unternehmen, die sich schon Mitte 2016 sehr intensiv mit dem Thema befasst haben. Andere haben erst auf den letzten Drücker begonnen, sich über notwendige Änderungen zu informieren. Jedenfalls ist aber zu beobachten, dass das Thema sehr ernst genommen wird – wohl auch wegen den hohen Strafdrohungen. Damit hat die DSGVO ihr Ziel, nämlich dass sich Unternehmen aktiv mit dem Thema Datenschutz beschäftigen, schon erreicht.
Wie schätzen Sie den Umsetzungsaufwand ein?
Zusammenfassend kann man sagen: Wer sich bisher schon um das Thema Datenschutz gekümmert und geschaut hat, dass er rechtskonforme Einwilligungen hat und das Datenverarbeitungsregister mit seinen Daten befüllt hat, der wird wenig Umsetzungsaufwand haben.
Was ist neu im Datenschutz
Die Datenschutzgrundverordnung (DSGVO) wurde bereits 2016 auf europäischer Ebene beschlossen, der zweijährige Umsetzungszeitraum endete am 25. Mai 2018. Für Österreich neu ist beispielsweise der Wegfall des zentralen Datenverarbeitungsregisters. Stattdessen sind die Unternehmen selbst verpflichtet ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ bei sich zu führen. Unter gewissen Umständen, etwa wenn die Kerntätigkeit eines Unternehmens die Datenverarbeitung ist, oder besonders sensible Daten verarbeitet werden, ist verpflichtend ein Datenschutzbeauftragter zu bestellen. Neu ist auch der hohe Strafrahmen, Geldbußen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes sind künftig möglich.
Zusammenfassend kann man sagen: Wer sich bisher schon um das Thema Datenschutz gekümmert und geschaut hat, dass er rechtskonforme Einwilligungen hat und das Datenverarbeitungsregister mit seinen Daten befüllt hat, der wird wenig Umsetzungsaufwand haben.
Was ist neu im Datenschutz
Die Datenschutzgrundverordnung (DSGVO) wurde bereits 2016 auf europäischer Ebene beschlossen, der zweijährige Umsetzungszeitraum endete am 25. Mai 2018. Für Österreich neu ist beispielsweise der Wegfall des zentralen Datenverarbeitungsregisters. Stattdessen sind die Unternehmen selbst verpflichtet ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ bei sich zu führen. Unter gewissen Umständen, etwa wenn die Kerntätigkeit eines Unternehmens die Datenverarbeitung ist, oder besonders sensible Daten verarbeitet werden, ist verpflichtend ein Datenschutzbeauftragter zu bestellen. Neu ist auch der hohe Strafrahmen, Geldbußen bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes sind künftig möglich.
Aktuelle Ausgabe