Sorgenkind DSGVO?


08.02.2018, Lesezeit: ~3min

Der 25. Mai 2018 rückt immer näher und mit ihm auch die Umstellung des Datenschutzrechts. Denn dann tritt die EU-weite DSGVO sowie das damit in Verbindung stehende nationale Datenschutz-Anpassungsgesetz endgültig in Kraft. Vielen bereiten diese Neuerungen Kopfzerbrechen und es herrscht breite Ratlosigkeit, ist es doch nicht immer einfach, sich in den neuen Bestimmungen zurechtzufinden. Wofür bedarf es der DSGVO und was ändert sich konkret für Unternehmen?

Daten sind zu einem lukrativen Geschäft geworden und das Interesse daran steigt stetig. Viele Unternehmen haben diesen neuen Bereich mit innovativen Tools bereits für sich erobern können, andere sammeln zwar Daten, wissen aber nichts damit anzufangen. Unkontrolliertes Arbeiten mit persönlichen Daten passiert nicht nur zum Nachteil von betroffenen Personen, es schafft auch ein unfaires Spielfeld für Unternehmen. Denn ohne effiziente Regeln werden jene Unternehmen, die sich um ein bewusstes Verwenden von Daten bemühen, benachteiligt und andere, die dies nicht tun, kommen dennoch schadlos davon.

Die EU hat sich dieses Problems angenommen und die Datenschutzgrundverordnung – kurz: DSGVO – geschaffen. Sie hat sich zur Aufgabe gemacht, das Datenschutzrecht europaweit zu harmonisieren und Unternehmen bei Nichteinhaltung strenger in die Pflicht zu nehmen. Nicht einsichtige Unternehmen werden mit hohen Geldstrafen rechnen müssen und zwar so hohen, dass diese ernsthaft veranlasst werden, die Datenschutzregeln genau zu studieren; so der Plan. In diesem Sinne soll das Ungleichgewicht zwischen Unternehmen und Verbrauchern weitgehend ausgeglichen werden. Denn Datenschutz ist ein Grundrecht und sollte demnach auch so behandelt werden.

Was bedeuten die neuen Regelungen der DSGVO nun konkret?

Zu den wichtigsten Änderungen zählen zum einen die bereits erwähnten hohen Geldstrafen (Geldbußen bis zu € 20 Millionen oder bis zu 4% des gesamten Jahresumsatzes des vorangegangenen Geschäftsjahres) und zum anderen die Eigenverantwortung von Unternehmen. Das noch bestehende österreichische Datenverarbeitungsregister (DVR), in das Datenverarbeitungen eines Unternehmens vorab eingetragen werden, wird es ab Mai 2018 nicht mehr geben. Vielmehr sind die Unternehmen selbst dafür verantwortlich, im Falle einer Kontrolle zu beweisen, dass das Bestmögliche unternommen wurde, um die Regelungen der DSGVO einzuhalten. Auf die Unternehmen kommt deshalb eine umfangreiche Dokumentations- und Nachweispflicht zu. Es sind Verarbeitungsverzeichnisse zu führen, Verarbeitungen von Daten sind zu begründen, Abläufe sind zu dokumentieren und allgemeine Datenschutzrichtlinien sind einzuführen. In einigen Fällen der Datenverarbeitung ist vorab eine sogenannte Datenschutz-Folgenabschätzung[1] vorzunehmen. Ob diese Vorgänge von einem/r Datenschutzbeauftragten übernommen werden müssen, ist abhängig davon, welchen Stellenwert die Datenverarbeitung im Unternehmen einnimmt.  Diese Forderungen machen es Unternehmen aber auch möglich, den Ist-Stand der bestehenden Datenverarbeitung zu ermitteln und gegebenenfalls zu optimieren. Das Einhalten der Richtlinien kann mittels standardisierter Zertifizierungen publiziert werden, wodurch KundInnen von einem verantwortungsbewussten Vorgehen eines Unternehmens überzeugt werden.

Ein weiterer wichtiger Punkt ist die Frage, wann eine Datenverarbeitung rechtmäßig ist? Prinzipiell gilt das sogenannte „Verbotsprinzip mit Erlaubnisvorbehalt“. Demnach ist die Verarbeitung von personenbezogenen Daten verboten, es sei denn, sie ist durch eine Ausnahmeregelung erlaubt. Die DSGVO gibt genaue Möglichkeiten vor, wann eine solche Datenverarbeitung rechtskonform ist. Die grundlegendste Form stellt die Einwilligung der betroffenen Person dar, die an gewisse Voraussetzungen geknüpft ist (ausdrückliche, eindeutige aktive Handlung). Des Weiteren ist die Verarbeitung erlaubt, wenn sie zur Erfüllung eines Vertrages notwendig ist, um lebenswichtige Interessen der betroffenen oder einer anderen Person zu schützen, um einer rechtlichen Verpflichtung (Bsp. Steuerrecht) nachzukommen oder wenn berechtigte Interessen des Unternehmens überwiegen. Diese Interessensabwägung[2] erfolgt streng nach rechtlichen, wirtschaftlichen und ideellen Gesichtspunkten, die keinesfalls die Interessen und die Grundrechte der betroffenen Person beeinträchtigen dürfen.

Abschließend sind in diesem Zusammenhang die Rechte der betroffenen Personen zu erwähnen. Diese werden dahingehend ergänzt, als das „Recht auf Vergessenwerden- sprich die Löschung sämtlicher Daten - ab Anfang nächsten Jahres rechtlich verankert sein wird.

Datenschutz erfreut sich in breiten Kreisen keiner großen Beliebtheit. Wie bei jedem Gesetz ist auch hier der Sinn, Rechtmäßigkeit zu schaffen. Betrachtet man die bald eintretenden Regelungen nicht als Feindbild, sondern sieht sie als Chance für Veränderung, kann daraus der eine oder andere Wettbewerbsvorteil gewonnen werden. Vieles ist noch nicht geschrieben und es liegt auch zum Teil in der Hand der Unternehmen, wie sie die DSGVO mit Leben füllen.

Weiterführende Links:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenschutz.html

[1] weitere Infos http://www.datenschutzbeauftra...

[2] https://www.datenschutzbeauftragter-info.de/datenschutz-grundverordnung-rechtmaessigkeit-der-datenverarbeitung/


Theresa Spindler

Rechtsanwaltsanwärterin

  • Teilen:

We keep you informed

Mit unserem Blog-Newsletter informieren wir Sie regelmäßig über Spannendes, Ungewöhnliches, Neues & Kommendes aus der IT-Welt.

Kontakt