Download

05-2017:
Datenschutz – neue Grundverordnung beschlossen

Beschreibung

Liebe Klientinnen und Klienten!

Vor 20 Jahren steckten Internet und digitale Vernetzung noch weitgehend in den Kinderschuhen. Heute sind sie nicht mehr wegzudenken. Gleiches gilt für Facebook, Smartphones und Industrie 4.0 oder insbesondere auch das Internet der Dinge.

Das Datenschutzrecht konnte mit dieser rasanten Entwicklung nicht ganz Schritt halten und beruht großteils noch auf der Datenschutzrichtlinie aus 1995 (RL 95/46/EG). Aus diesem Grund hat der Unionsgesetzgeber am 27. April 2016 die Datenschutz-Grundverordnung (DS-GVO) beschlossen, die ein neues, zeitgemäßes und weitgehend einheitliches europäisches Datenschutzrecht enthält. Die neuen Regelungen treten bereits mit 25. Mai 2018 in Kraft. Die DS-GVO ist in der gesamten Union unmittelbar anwendbar und tritt an Stelle nationaler Datenschutzgesetze.
Normadressaten sind nunmehr die „Verantwortlichen“ anstelle der „Auftraggeber“ (Art Art 4 Z 7). Darunter fällt jede natürliche oder juristische Person, Behörde oder andere Stelle, die allein oder gemeinsam mit anderen über Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Neben altbekannten Rechten Betroffener (z.B.: Auskunfts-, Informations- und Widerspruchsrechte) sieht die VO, als Fingerzeig für Suchmaschinen und soziale Netzwerke, ein „Recht auf Vergessenwerden“ vor. Damit können Betroffene in bestimmten Fällen die Löschung personenbezogener Daten fordern (Art 17 DSG-VO). Mit Inkrafttreten der DSGVO wird auch das Datenverarbeitungsregister entfallen.

Neu ist hingegen die (fallweise) zwingende Bestellung eines Datenschutzbeauftragten, etwa bei Vornahme besonders riskanter Datenverarbeitungen (Art 37 ff). Bislang erfolgte dessen Bestellung freiwillig als Compliance-Maßnahme. Verstöße von Verantwortlichen könnten künftig außerordentlich teuer werden, weil Geldbußen von bis zu 20 Millionen Euro bzw. bei Unternehmen alternativ von bis zu 4 Prozent des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres, je nachdem, ob dieser Betrag höher ist als die 20 Millionen Euro, verhängt werden können.

Obwohl das Inkrafttreten naht, ist eine abschließende Beurteilung der DSG-VO und ihrer Auswirkungen leider noch nicht möglich. Denn anders als sein deutsches Pendant, hat unser Gesetzgeber noch keinen Entwurf zur Anpassung unseres Datenschutzgesetzes an die Regelungen der DSG-VO vorgelegt. Das ist aber notwendig, weil die Verordnung 69 „Öffnungsklauseln“ enthält, die den Mitgliedstaaten punktuelle Gestaltungsspielräume belassen (zB Löschungsverpflichtungen und Ausnahmen, Speicherpflicht für Auftragsverarbeiter). Da nicht absehbar ist, wann der Gesetzesentwurf in Begutachtung geht, sollten Unternehmer schon jetzt anhand der DSG-VO evaluieren, ob datenschutzrechtliche Adaptierungen nötig sind. Dass jedes Unternehmen Anpassungen vornehmen muss, steht fest. Die Zeit bis zum Inkrafttreten könnte aber knapp werden, wenn nicht bereits jetzt Überlegungen angestellt werden.

(Mag. Birgit Lindner)