Am unteren Ende der Seite finden sich "kritische Fragen" (auch über den letzten Punkt im Inhaltsverzeichnis erreichbar), mit denen Sie feststellen können, ob Sie für die Verordnung fit sind!

Update (29.6.2017):Die Datenschutznovelle wurde im Nationalrat beschlossen.

EU-Datenschutzgrundverordnung (DSGVO)

Die EU-Datenschutz-Grundverordnung ist ab dem 25. Mai 2018 gültig.

consult4value hat gemeinsam mit dem Partner INTAX Steuerberatung GmbH & Co KG die wesentlichen 20 Punkte zusammengefasst, die bei Inkrafttreten der EU-Datenschutzgrundverordnung (DS-GVO) im Mai 2018 zu berücksichtigen sein werden.

Zusätzlich zur EU Verordnung werden auch noch nationale österreichische Regelungen getroffen werden, welche einzelne Punkte der Verordnung ergänzen dürfen. Verweist die EU Verordnung auf nationale Vorschriften, ergibt sich der volle Sinn der Vorschrift erst dann, wenn auch die betreffende österreichische Regelung berücksichtig wird.

Die EU Verordnung gilt unmittelbar und setzt anderslautende österreichische Vorschriften außer Kraft.

Vorteil der EU-weiten Regelung: Viele Bestimmungen gelten in Österreich auch schon jetzt. Allerdings sind künftig die Konsequenzen bei Verstößen dramatisch: Strafen bis zu 20 Millionen (!!!) EUR können verhängt werden. Es lohnt sich daher, die Regeln ernst zu nehmen.

Die wichtigsten Punkte in Kürze:

Verpflichtende Maßnahmen zum Datenschutz

 

1. Geltungsbereich

Die DS-GVO gilt explizit auch für Anbieter/Unternehmen mit Sitz außerhalb der EU, soweit sie ihre Angebote an Bürger in der EU richten (wie etwa Facebook und Google). Der Ort der Datenverarbeitung spielt keine Rolle mehr.

Die Definition des Begriffs "personenbezogene Daten" ist dabei keineswegs auf Name, Anschrift oder Ausweisnummer beschränkt. Vielmehr besagt die Verordnung, dass selbst Unternehmen, die lediglich eine Social-Media-Adresse speichern, die sich auf einen EU-Bürger bezieht, unter die neue Regelung fallen können. Der Begriff personenbezogene Daten wird dabei definiert als "alle Informationen, die alleine oder in Verbindung mit anderen Daten genutzt werden könnten, um eine Person zu identifizieren".Lediglich anonyme Daten (Daten, deren personenbezogene Herkunft nicht mehr identifizierbar ist) sollen nicht mehr darunter fallen.


 

2. Einholen der Zustimmung zur Datennutzung

Unternehmen (auch Google und Facebook) müssen User zukünftig fragen, ob sie Daten verwenden dürfen. Somit stimmen die Nutzer selbst zu, dass ihre Daten ausgewertet werden. Dies beginnt zum Beispiel bereits beim Erhalt von Bewerbungsunterlagen eines potentiellen Mitarbeiters. Der Bewerber muss „aktiv“ zustimmen, dass diese Daten im Unternehmen verwendet und abgespeichert werden dürfen. Außerdem müssen Unternehmen ihre Produkte/Dienstleistungen datenschutzfreundlich gestalten.


 

3. Informationsrechte der Personen, deren Daten gespeichert werden

Die Betroffenen sind umfangreicher als bisher über die Datenverarbeitung und über ihre Rechte zu informieren. Dazu müssen beispielsweise Angaben über die Speicherdauer und Kontaktdaten des Datenschutzbeauftragten (sofern verpflichtend) veröffentlicht werden. Wenn als Rechtsgrundlage für die Speicherung der Daten die Interessensabwägung herangezogen wird, müssen auch die "berechtigten Interessen" aufgezählt werden.


 

4. Privacy by design und by default

Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Verordnung genügt und die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur die personenbezogenen Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.


 

5. Big-Data-Analysen nur noch mit Pseudonymisierung

Bei der massenhaften Auswertung von Daten zum Zweck von Forschung und Entwicklung ist durch Pseudonymisierung sicherzustellen, dass Nutzer dabei zwar unbekannt bleiben, ihre Daten aber trotzdem zur Verknüpfung und Auswertung genutzt werden können, um so die Privatsphäre der Nutzer zu schützen.


 

6. Einfacherer Zugang zu den eigenen Daten

Internetnutzer erhalten mehr Informationen darüber, wie ihre Daten verarbeitet und verwendet werden. Diese Informationen müssen klar und verständlich formuliert sein.


 

7. Recht auf Herausgabe, Löschen und Mitnahme von Daten

Aufgrund der Verordnung müssen Unternehmen Konzepte im Sinne des „Rechts auf Vergessen“ zum Löschen von Daten entwickeln, gegen deren Veröffentlichung es berechtigte Einwände gibt. Nutzer haben auch das Recht auf Herausgabe ihrer Daten.

Bereits bisher konnten User einmal im Jahr von Firmen Auskunft darüber verlangen, welche persönlichen Daten von ihnen verarbeitet werden. Die Neuregelung erlaubt Klein- und Mittelunternehmen (KMU), Gebühren zu verlangen, wenn Anträge offensichtlich unbegründet oder unverhältnismäßig sind.


 

8. Datenportabilität

Die EU will, dass User künftig ihre Daten einfach von einem Social Network zu einem anderen transferieren können, die dort dann auf Anfrage gelöscht werden. Voraussetzung dafür ist ein Standard, wie er bereits beim Facebook-Login vorhanden ist.


 

9. Datensicherheit und Datenschutz-Grundverordnung

Die neuen Vorgaben für die „Sicherheit der Verarbeitung“ finden sich hauptsächlich in Art. 5 Abs. 1 f) DSGVO sowie in Art. 32 DSGVO. Zudem normieren weitere Bestimmungen wie z.B. Art. 24, 25, 36 DSGVO die Datensicherheit.

Art. 32 DSGVO Absatz 1

„Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Sicherheitsmaßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten; diese Maßnahmen schließen unter anderem Folgendes ein:

  1. die Pseudonymisierung und Verschlüsselung personenbezogener Daten;
  2. die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen;
  3. die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen;
  4. ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

„angemessenes Schutzniveau“
Das Schutzniveau orientiert sich an der Schutzbedürftigkeit der einzelnen gespeicherten personenbezogenen Daten.
Der Begriff „angemessen“ orientiert sich an dem Stand der Technik, den Implementierungskosten, der Art und dem Umfang der Umstände, dem Zweck der Verarbeitung sowie an den unterschiedlichen Eintrittswahrscheinlichkeiten und der Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen.

"konkrete Maßnahmen"
Art. 32 Abs. 1 a) DSGVO erwähnt die Pseudonymisierung und die Verschlüsselung als Maßnahmen, die bei der Verarbeitung möglichst eingesetzt werden sollen.

"rasche Wiederherstellbarkeit nach einem physischen oder technischen Zwischenfall"
Laut Art. 32 Abs. 1 c) DSGVO sollen personenbezogene Daten rasch wiederhergestellt werden. Daher ist ein Notfallmanagement inkl. Notfallpläne oder entsprechende Leitfäden notwendig, wobei diese Pläne auch getestet werden müssen.
Schutzziele:

  • Vertraulichkeit: Daten sind für unberechtigte Dritte nicht zugänglich.
  • Integrität: Daten können nicht verfälscht werden.
  • Verfügbarkeit: Daten stehen zur Verfügung, wenn sie gebraucht werden.
  • „Belastbarkeit“ der Systeme und Dienste

"Nachweispflicht"
Nach Art. 5 Abs. 2 DSGVO ist die Einhaltung der Datensicherheit zu gewährleisten und nachweisen. Der Nachweispflicht wird der Verantwortliche wohl auch durch Zertifizierungen nachkommen können.


 

10. Risikoanalyse und Folgenabschätzung

Die bisherige Vorabkontrolle wird zu einer Risiko- und Folgenabschätzung ausgebaut, indem alle möglichen Bedrohungen und Schwachstellen mit ihrer jeweiligen Eintrittswahrscheinlichkeit und der potenziellen Schwere des Schadens für die Rechte und Freiheiten natürlicher Personen identifiziert werden. Die Pflicht zu regelmäßigen Audits soll das Risiko von Datenschutzverstößen minimieren.


 

11. Datenschutzverstöße, Meldung und Verständigung der User bei Datenlecks

Unternehmen sind nach der EU-DSGVO künftig verpflichtet, Verstöße unverzüglich zu melden. Eine lückenlose Überwachung des Datenschutzes gehört damit künftig zu den Aufgaben eines jeden Unternehmens. Sie müssen in der Lage sein, unerlaubte Zugriffe oder gar den Export von Daten schnell zu erkennen, ansonsten drohen empfindliche Bußgelder. Die Meldepflicht gilt für alle Datenschutzverletzungen, unabhängig von der Art der Daten, sofern ein Datenschutzrisiko besteht. Die Meldung muss innerhalb von 72 Stunden nach Kenntnis bei der Aufsichtsbehörde eingereicht werden. Auch die betroffenen User sind "ohne unangemessene Verzögerung" zu benachrichtigen. Dies soll den Usern die Möglichkeit geben, die notwendigen Maßnahmen ergreifen. Es müssen auch kleinere Verletzungen intern dokumentiert werden und jederzeit nachvollziehbar sein (Zugriffe müssen protokolliert werden, selbst wenn der CIO sich selber alle nötigen Rechte verleiht, Daten kopiert und nachher die Berechtigungen wieder löscht).


 

12. Grenzüberschreitende Datenverarbeitung

Sollten Daten außerhalb der EU übertragen werden, so muss das Schutzniveau dieser Verordnung jedenfalls eingehalten werden.


 

13. Verzeichnisführung

Verantwortliche und Auftragsverarbeiter müssen ein „Verzeichnis von Verarbeitungstätigkeiten“ führen: Der Inhalt ist ähnlich den derzeitigen DVR-Meldungen und hat insbesondere zu enthalten:

  • die eigenen Kontaktdaten,
  • die Zwecke der Verarbeitung,
  • eine Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen,
  • die Empfängerkategorien,
  • gegebenenfalls Übermittlungen von Daten in Drittländer,
  • wenn möglich die vorgesehenen Löschungsfristen
  • eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen

Die Pflicht zur Führung dieses Verzeichnisses gilt nicht für Unternehmen mit weniger als 250 Mitarbeitern, es sei denn, die von ihnen vorgenommene Verarbeitung birgt ein Risiko für die Rechte und Freiheiten der betroffenen Personen, die Verarbeitung erfolgt nicht nur gelegentlich oder es erfolgt eine Verarbeitung besonderer Datenkategorien bzw. die Verarbeitung von Daten über strafrechtliche Verurteilungen und Straftaten. Auf Grund der Ausnahme von der Ausnahme „die Verarbeitung erfolgt nicht nur gelegentlich“, werden die meisten Unternehmer ein Verzeichnis führen müssen. Es wird bei der Mehrzahl von Unternehmen mit weniger als 250 Mitarbeiter Datenverarbeitungsvorgänge geben, die eindeutig regelmäßig erfolgen. Dies bedeutet zusätzlichen bürokratischen Aufwand für Kleinstunternehmer, wie etwa Handwerker und kleine Gewerbetreibende, aber auch Arztpraxen und Apotheken.


 

14. Datenklassifizierung und Speicherfristen

Unternehmen müssen aufgrund der Beschränkung von Datenaufbewahrungsfristen künftig wissen, wo in ihrem System, wann und zu welchem Zweck persönliche Daten gespeichert werden. Dabei geht es auch um unstrukturierte Formate wie Präsentationen oder Tabellen. Denn nur wenn das Unternehmen weiß, wo die Daten gespeichert sind, kann es künftig Löschungsanträge von persönlichen Daten ausführen.

Persönliche Daten sind regelmäßig zu kontrollieren und zu prüfen, um über deren weitere Speicherung entscheiden zu können.


 

15. Datenschutzkonzept und Bußgelder

Jedes Unternehmen muss nachweisen können, dass es ein Gesamtkonzept zur Einhaltung des Datenschutzes besitzt ("Rechenschaftspflicht"). Dieses muss sie auch regelmäßig kontrollieren und weiterentwickeln. Regelmäßige Audits können den Nachweis erbringen, dass das Unternehmen seinen Verpflichtungen grundsätzlich nachkommt. Erfüllt das Unternehmen die Vorgaben der Verordnung nicht, sind heftige Bußgelder die Folge. So können bei Verstößen, die sich auf die Bereiche Kontrolle und Beherrschung beziehen, Bußgelder von bis zu 10 Millionen Euro oder 2 Prozent des Jahresumsatzes verhängt werden. Bei Verstößen im Bereich Rechte und Pflichten sieht es noch düsterer aus. Hier können bis zu 20 Millionen Euro oder 4 Prozent des Jahresumsatzes eingefordert werden. Dabei greift übrigens stets der jeweils höhere Betrag.


 

16. Corporate Governance

Die Governance beinhaltet Richtlinien, nach denen im Unternehmen klar definiert ist, welche Personen auf persönliche Daten im Dateisystem zugreifen dürfen und welche nicht. Dabei geht es vor allem darum, nur die Mitarbeiter zu benennen, die tatsächlich mit persönlichen Daten arbeiten müssen. Zudem sind regelmäßige Zugriffskontrollen zu empfehlen, insbesondere bei Stellenwechseln.


 

17. Datenschutz im Konzern

Ein Konzernprivileg gibt es weiterhin nicht, aber die Datenverarbeitung innerhalb von Unternehmensgruppen wird vereinfacht. Einerseits werden Übermittlungen für interne Verwaltungszwecke als "legitim" anerkannt. Andererseits können sich mehrere Stellen zusammenschließen, um Daten gemeinsamen zu verarbeiten – sie handeln und haften dann als gemeinsame Verantwortliche.


 

18. Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist grundsätzlich für öffentliche Stellen verpflichtend.

Darüber hinaus brauchen Unternehmen einen Datenschutzbeauftragten, deren Kerntätigkeit aus Datenverarbeitung besteht, die regelmäßige und systematische Kontrolle von Datenschutzobjekten beinhaltet oder solche, die sensible Datensätze in großer Zahl erfassen. Betroffen werden wohl Unternehmen sein, welche Profiling durchführen. Unternehmen, welche nur in einer untergeordneten Weise diese Kerntätigkeiten durchführen, sind nicht verpflichtet, einen Datenschutzbeauftragten zu bestellen.


 

19. Beweislastumkehr

Die Beweislast liegt grundsätzlich beim demjenigen, der für die Verarbeitung verantwortlich ist.


 

20. Aufsichtsbehörden

Für internationale Organisationen ist nur noch die Datenschutz-Aufsichtsbehörde an ihrem Hauptsitz in der EU zuständig ("federführende Aufsichtsbehörde"). Betroffene können sich an ihre jeweils nächstgelegene Aufsichtsbehörde wenden, die das Anliegen dann weiterleiten muss. Die Behörden müssen sich untereinander abstimmen.


 

Machen Sie Ihr Unternehmen fit für den Datenschutz!

 

Wir haben einige Fragen zusammengestellt, die Ihnen Hinweise geben, ob Ihr Unternehmen fit ist für den Datenschutz. Firmen, die ein gültiges Zertifikat nach ISO 9001 besitzen, werden wenig Nachholbedarf haben. Wer nach ISO 27001 zertifiziert ist, erfüllt schon jetzt mit großer Sicherheit alle künftigen Vorschriften (bei der Vorbereitung für die Zertifizierung - insbesondere nach ISO 9001 - unterstützen wir Sie gerne).

  • Verfügen sämtliche Bereiche, in denen personenbezogene Daten gesammelt und verarbeitet werden, auch über die entsprechenden Berechtigungen bzw. Zustimmungserklärungen der betroffenen Personen?
  • Welche Daten werden gespeichert? Welche Daten sind davon personenbezogen?
  • Stellen wir sicher, dass wir nur notwendige Daten speichern? Und dass wir sie nicht länger als nötig speichern?
  • Wie stellen wir sicher, dass Daten, die wir für einen spezifischen Zweck gespeichert haben, nicht für andere Zwecke genutzt werden?
  • Haben wir die notwendigen Prozesse, um im Falle eines Datenschutzverstoßes die betroffenen Personen und die Aufsichtsbehörden innerhalb von 72 Stunden zu informieren?
  • Können wir rasch feststellen, welcher Mitarbeiter Zugriff auf welche Daten hat?
  • Haben wir einen Prozess, um Personen Auskunft über ihre personengebundenen Daten zu geben?
  • Haben wir die gespeicherten personenbezogenen Daten ausreichend gegen Missbrauch geschützt?
  • Haben wir einen Prozess, um personenbezogene Daten auf Anforderung zu löschen?
  • Wissen wir, welche personenbezogene Daten wir trotz Aufforderung zur Löschung aufbewahren können bzw. auf Grund gesetzlicher Verpflichtungen aufbewahren müssen?
  • Versenden wir sensible personenbezogene Daten unverschlüsselt per E-Mail? Falls ja: wie können wir unsere Kommunikation sicherer machen?
  • Wie gehen wir mit Datentransfers im eigenen Unternehmen um?
  • Wie gehen wir mit grenzüberschreitenden Datentransfers um?
  • Speichern wir personenbezogene Daten im Auftrag anderer Organisationen? Falls ja: halten wir die damit verbundenen Verpflichtungen ein?
  • Lassen wir andere Organisationen unsere Daten speichern bzw. übermitteln wir anderen Organisationen Daten? Falls ja: halten wir die damit verbundenen Verpflichtungen ein und verfügen wir über die entsprechenden Zustimmungserklärungen?
  • Brauchen wir einen Datenschutzbeauftragten?
  • Planen wir Schulungen der Mitarbeiter?
  • Änderungen der Geschäftsbedingungen mit den Kunden/Nutzern/Subunternehmern?
  • Management für Datensicherheit oder Informationssicherheit vorhanden ?
  • Werden Dokumentationen und Nachweise geführt?
  • Nachweis der Einhaltung der Datensicherheit vorhanden?
  • Wissen wir, wie teuer die Nicht-Einhaltung der EU-Datenschutz-Grundverordnung für uns werden kann?
  • Macht eine entsprechende ISO Zertifizierung Sinn?

     

     

     


Update v. 29.6.2017

Mit dem heutigen Beschluss des Nationalrates ist auch die nationale Regelung zur Umsetzung der EU-DSGVO geschaffen. Jedenfalls ist eine zügige Vorbereitung in allen Unternehmen anzuraten.

Koalition beschloss Datenschutznovelle

Der Nationalrat hat eine von der EU vorgegebene Novellierung des Datenschutzgesetzes beschlossen. Zustimmung kam nur von der Koalition. Die Opposition beklagte vor allem die überstürzte Vorgangsweise, sei doch der Gesetzesentwurf schon eingebracht worden, als noch nicht einmal die Begutachtung zu Ende gegangen war.

Direkt in der Datenschutz-Grundverordnung geregelt sind etwa die Pflicht zur Ernennung eines Datenschutzbeauftragten und zur Durchführung von Datenschutz-Folgenabschätzungen, wobei die Bestimmungen sowohl die öffentliche Hand als auch den privaten Sektor betreffen.

Es müssen etwa öffentliche Behörden und Stellen, die Datenverarbeitungen durchführen, sowie Unternehmen, in denen Datenverarbeitungen zur Kerntätigkeit zählen, in jedem Fall einen Datenschutzbeauftragten benennen.

Hohe Strafen möglich

Was die Datenschutz-Folgenabschätzungen betrifft, kann die Datenschutzbehörde zur Unterstützung von Unternehmen Positiv- bzw. Negativlisten erstellen. Damit soll ersichtlich werden, bei welchen Datenverarbeitungen eine derartige Folgenabschätzung jedenfalls erforderlich ist und in welchen Fällen eine solche als nicht nötig erachtet wird.

Die Datenschutzbehörde wird künftig sowohl als Aufsichtsbehörde gemäß der EU-Datenschutz-Grundverordnung als auch als Aufsichtsbehörde gemäß der EU-Datenschutz-Richtlinie zur inneren Sicherheit fungieren. In diesem Sinn wird ihr auch die Einhebung von Geldbußen für Verstöße gegen die EU-Verordnung obliegen. Die Strafen für Unternehmen richten sich zum Teil nach dem Umsatz und können, je nach Schwere des Vergehens, bis zu mehreren Millionen Euro betragen.

Spezielle Verwaltungsstrafen sieht das Gesetz bei Verstößen gegen das Datengeheimnis sowie gegen die besonderen Bestimmungen zu Bildverarbeitungen und anderen spezifischen Datenverarbeitungen vor. Sie sollen dann zur Anwendung kommen, wenn die Datenschutz-Grundverordnung oder andere nationale Verwaltungsstrafbestimmungen nicht greifen.

Es drohen Personen, die sich vorsätzlich widerrechtlichen Zugang zu Daten verschaffen oder ihnen anvertraute Daten unberechtigt weiterleiten oder unzulässige Videoaufzeichnungen machen, Geldstrafen bis zu 50.000 Euro.

red, ORF.at/Agenturen

Link zur Originalmeldung:ORF.at