EU Datenschutz Grundverordnung – Österreich, Teil 1

GASTBEITRAG – Walter Wratschko ist DSGVO-Scout und kennt sich mit der EU Datenschutz Grundverordung bestens aus. In seinem ersten Beitrag für Entdeckt die Welt widmet er sich der Rechenschaftspflicht des Verantwortlichen und des Auftragsverarbeiters von personenbezogenen Daten.

Walter Wratschko

DSGVO-Scout Walter Wratschko

Walter Wratschko – Heute werde ich vor allem die Rechenschaftspflicht des Verantwortlichen und des Auftragsverarbeiters, inklusive der daraus folgenden detaillierten Dokumentationspflichten, als auch die erweiterten Pflichten beim Umgang mit personenbezogenen Daten näher betrachten.

Das ist neu durch die DSGVO

Die am 25.5.2018 in Kraft tretende EU Datenschutz Grundverordnung (DSGVO) enthält einige Neuheiten für Unternehmer.

Neuheiten im Umgang mit personenbezogenen Daten sind:

  • Beziehungen zu externen Datenschutz-Verantwortlichen und zu Auftragsverarbeitern im EU-Inland und EU-Ausland

  • Neue Regeln für die Zustimmungserklärungen und über die Informationspflicht an die betroffenen Personen

  • “Recht auf Vergessen” = Löschungsrecht und Recht auf Daten-Übertragbarkeit

  • Das Register der Verarbeitungstätigkeiten

  • Der Umgang mit Datenschutzverletzungen – Data breach notification

Neuheiten in der Einbeziehung der Datensicherheit in die Datenschutzgesetzgebung sind:

  • “Datenschutz by Design” und “Datenschutz by Default”

  • Datenschutz- und Datensicherheitsfolgenabschätzung

  • Die Einsetzung eines Datenschutzbeauftragten sowie deren Ausbildung und Unterweisung

 

Verarbeiten von Daten

Das VVT ersetzt das DVR

Mit “Verarbeitung von Daten” ist

  • das Erheben,
  • das Erfassen,
  • die Organisation,
  • das Ordnen,
  • die Speicherung,
  • die Anpassung oder Veränderung,
  • das Auslesen,
  • das Abfragen,
  • die Verwendung,
  • die Offenlegung durch Übermittlung,
  • Verbreitung oder eine andere Form der Bereitstellung,
  • der Abgleich oder
  • die Verknüpfung,
  • die Einschränkung,
  • das Löschen oder
  • die Vernichtung der Datensätze gemeint.

Das Verzeichnis der Verarbeitungstätigkeiten (VVT) löst das bisherige Datenverarbeitungsregister (DVR) ab. Nun hat der Verantwortliche und auch der Auftragsverarbeiter ein Verzeichnis der gesamten Verarbeitungstätigkeiten, die personenbezogene Daten betreffend, zu führen.

Es muss der Aufsichtsbehörde auf Anfrage zur Verfügung gestellt werden. ACHTUNG: nicht mehr der Datenschutzbeauftragte ist für die Führung der Verzeichnisse verantwortlich, sondern der für die Verarbeitung Verantwortliche!

Verpflichtende Inhalte des VVT

Verpflichtende Inhalte eines solchen Verzeichnisses der Verarbeitungstätigkeiten sind:

  • Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, ggf. des Vertreters des Verantwortlichen (wenn keine Niederlassung in der EU vorhanden)
  • Namen und die Kontaktdaten des Datenschutzbeauftragten, wenn es einen gibt.
  • Zwecke der Verarbeitung
  • Kategorien betroffener Personen = betroffene Personengruppen
  • Kategorien personenbezogener Daten / Datenkategorien
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen
  • wenn möglich, die vorgesehenen Fristen für die Löschung je Datenkategorie
  • wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherung der Verarbeitung
  • Angaben zur Beurteilung der Angemessenheit getroffener Sicherheitsmaßnahmen = die Risikoanalyse

Was bedeutet die Rechenschaftspflicht in der Praxis? Sie bedeutet, dass der europäische Gesetzgeber nicht mehr sagt, was zu tun ist, sondern er gibt die Prinzipien vor, welche anzuwenden sind. Im Streitfall hat nun der Richter/die Richterin zu beurteilen, ob Sie als Unternehmen die Grundsätze der Datenschutzgrundverordnung, ohne fahrlässige Mängel, nach Stand der Technik, effizient und effektiv umgesetzt haben.

Neuigkeiten bei der Einwilligungserklärung

Die für die potentiell betroffenen Personen, also allen 512 Mio. EU-BürgerInnen, angenehmsten Neuerungen der DSGVO sind die neuen, verschärften Regeln bei der Generierung und dem Umgang mit den persönlichen Einwilligungserklärungen. Sprich: Wenn jemand die persönlichen Daten jemand Drittem weitergibt (Newsletter Abo).

Die detaillierten Rechenschafts-, Informations- und Löschungspflichten der Datenverarbeiter sind aus Konsumentenschutz-Sicht wichtig und richtig, stellen aber die Prozessverantwortlichen vor große Herausforderungen.

Anforderungen gegenüber der Einwilligung deutlich verschärft

Freiwilligkeit

  • Kein Koppelgeschäft = keine Erfüllung eines Vertrages oder keine Erbringung einer Dienstleistung wird von der Einwilligung abhängig gemacht.
  • Widerrufbarkeit (muss so einfach wie die Erteilung sein)
  • ohne Unterbrechung des Dienstes (Erwägungsgrund 32)

Bestimmtheit

  • Für verschiedene Zwecke / Verarbeitungsvorgänge müssen separate Einwilligungen abgegeben werden.

Informiertheit

  • Über Zweck und Umfang der Verarbeitung
  • Über den Verantwortlichen
  • Über das Widerrufsrecht, insbesondere auch Folgen der Verweigerung und des Widerrufs der Einwilligung

Unmissverständlichkeit

  • In einer (schriftlichen) Erklärung oder einer sonstigen aktiven, eindeutig bestätigenden Handlung, z.B. durch Anklicken eines Kästchens oder Auswahl entsprechender Einstellungen
  • kann auch mündlich oder elektronisch geschehen

Nachweisbarkeit

  • Die Einwilligung muss auch nach Jahren noch nachweisbar sein, was insbesondere bei mündlichen Erklärungen schwierig sein dürfte.
  • In verständlicher und leicht zugänglicher Form / klare, einfache Sprache
  • Bei Minderjährigen bis 16 Jahren nur mit Zustimmung des Erziehungsberechtigten

Gesetzestreue nachweisen

Die Verordnung enthält auch eine Reihe von Verarbeitungsgrundsätzen. Die betroffenen Unternehmen müssen nachweisen können, dass sie die Grundsätze einhalten:

Personenbezogene Daten müssen auf rechtmäßige Weise, nach dem Grundsatz von Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.

Diese Grundsätze sind:

  • Zweckbindung: Personenbezogene Daten sollen für festgelegte, eindeutige und rechtmäßige Zwecke verarbeitet werden und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.

Personenbezogene Daten für ein Gewinnspiel einsammeln und diese Daten danach für den Email-Newsletter verwenden, ist unzulässig.

  • Datenminimierung: Personenbezogene Daten sollen für die Zwecke ihrer Verarbeitung angemessen und sachlich relevant sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.

Für ein Newsletter-Abo benötigen Sie nur die Email-Adresse. Aber keine Geburtsdaten oder gar die Wohnadresse.

  • Richtigkeit: Personenbezogene Daten sollen richtig sein und erforderlichenfalls auf den neusten Stand gebracht werden.

Es gibt Programme, die eine Falschschreibung beispielsweise von Adressen, Postleitzahlen oder Telefonnummern automatisch korrigieren. So kann sich die Person, die solche Daten hergibt, nicht verschreiben. Und Sie haben einen sauberen Datenbestand. Arbeiten Sie nicht mit solchen Programmen, dann müssen Sie Ihren Datenbestand bereinigen.

  • Speicherbegrenzung: Die Identifizierung der betroffenen Personen soll nur solange möglich sein, wie sie zum Zweck der Speicherung erforderlich ist.

Beispielsweise dürfen Sie personenbezogene Daten für ein Vertragsgeschäft nur solange speichern, bis das Vertragsgeschäft abgewickelt wurde. Kundendaten auf einem Kaufvertrag dürfen nicht für spätere Newsletter- oder Produktzusendungen gespeichert werden.

  • Integrität und Vertraulichkeit: Bei der Verarbeitung personenbezogener Daten ist ein angemessener Schutz zu gewährleisten. Die Verordnung spezifiziert diese Anforderung durch konkrete Anforderungen an die Datensicherheit (Artikel 32). Es sind geeignete technische und organisatorische Maßnahmen zu treffen. Dabei sind der Stand der Technik, die Implementierungskosten sowie Art, Umfang, Umstände, Zweck und Risiko der Verarbeitung zu berücksichtigen. Bei der Verarbeitung von reinen Adressen sind die Anforderungen damit geringer als bei der Verarbeitung von Adressen mit umfangreichen und sensiblen Selektionskriterien.

Zusammenfassung der EU Datenschutz Grundverordnung

All diese Maßnahmen sind mit einer ordentlichen Erhöhung der Haftungen sanktionierbar, sowohl ZIVILRECHTLICH (es verändert sich die Haftungsregelung bei Schäden durch die Verarbeitung personenbezogener Daten um den Tatbestand der immateriellen Schäden) als auch STRAFRECHTLICH.

Für Verletzungen des Datenschutzes bzw. der Datensicherheit ist ein Strafrahmen bis zu 10 Mio EURO oder sogar bis zu 4 % des weltweiten Jahresumsatzes, wenn höher.

Für Verletzungen der Persönlichkeitsrechte sind Strafen bis zu einer Höhe von 20 Mio EURO möglich oder sogar bis zu 4 % des weltweiten Jahresumsatzes, wenn höher.

 

Um es noch einmal erwähnt zu haben: Die Deadline (oder vielleicht doch besser gesagt: die Startlinie!) für die Umsetzung und vollständige Anwendung der DSGVO ist am 25. Mai 2018 also zum Zeitpunkt des Erscheinens des Artikels in 199 Tagen.


Walter Wratschko berät Unternehmen und Organisationen bei deren Umsetzung der EU Datenschutz Grundverordnung.

 

Beitrag redaktionell bearbeitet von Angelika Wohofsky, ENTDECKT DIE WELT.

Beitragsbild von pixabay CC0 Creative Commons License.

 

<p>Socialmedia Marketer | Content Marketer und Reisende aus Leidenschaft. Liebt Road-Trips, das Fahren steht im Vordergrund. Bevorzugte Reiselektüre: Thriller auf einsamen Übernachtungsplätzen lesen. Bevorzugte Destinationen: Küstenlandschaften und Weltkulturerbe.<br />
Aktuell schreibe ich an einer Masterthesis über Socialmedia Strategie aus Sicht der Millenials.</p>
<p>Du hast fragen?<br />
Nur zu, ich freue mich auf deine Email:<br />
angelika@entdecktdiewelt.com</p>

FacebookTwitterLinkedInGoogle+YouTubeXing

Kommentar verfassen