So genau weiß das eigentlich niemand. Aber werfen wir einfach mal einen Blick auf dieses Thema …
Quelle: Verordnung (EU) 2016/679 auf EUR-Lex
Die Intention der EU mit dieser Verordnung ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten – so zumindest sieht es die Datenschutzbehörde der Republik Österreich.
Was sind nun aus meiner Sicht die wichtigsten Eckpunkte der DSGVO?
- Dokumentation von Prozessen, die personenbezogene Daten verarbeiten
- Erweiterung der Betroffenenrechte
- Datenverkehr mit Drittländern
- Haftung und Sanktionen
ad 1) Aus der Notwendigkeit der Dokumentation von Zwecken, die personenbezogene Daten verarbeiten, sollten mehrere Arten von Dokumenten entstehen. Das sind
- Records of Data Processing Activities (=Verfahrensverzeichnis)
- Data Processing Agreements (=DPAs)
- Privacy Impact Assessments (=PIAs)
- Data Protection Impact Assessments (=DPIAs)
- Technical and Organisational Measures (=TOMs)
Im Verfahrensverzeichnis sind alle Verarbeitungszwecke aufzulisten, die personenbezogene Daten verwenden. Das beginnt bei den verantwortlichen Personen, geht über die Zwecke und die Implementierung der Betroffenenrechte der Verarbeitung und endet bei den beteiligten IT-Systemen.
Diese Dokumentation betrifft übrigens nicht nur mittels IT automatisierte Prozesse wie zB in CRM-Systemen, sondern auch manuelle Prozesse, wo von Personen beliebige Verzeichnisse (egal ob elektronisch oder zB auf Papier) mit personenbezogenen Daten angelegt werden (zB auch irgendwelche Excel-Listen und ihre Ausdrucke etc.).
Die DPAs decken die Datenaustausche mit Lieferanten des Unternehmens ab. DPAs sind als separate Verträge zu betrachten, in denen festgelegt wird, wie der Datenaustausch DSGVO-konform abgewickelt wird, wer welche Maßnahmen trifft und für deren Einhaltung verantwortlich ist.
Die sogenannten PIAs stellen eine Risikobewertung der Datenflüsse zwischen Systemen/Applikationen sowie der Speicherpunkte der Daten dar, die in den einzelnen Verfahrenszwecken als beteiligt angeführt werden. Es sind hierbei Fragen wie nach Häufigkeit, Transparenz, Zugriff und Schadenspotential des Verarbeitungsprozesses zu klären. Eine Kategorisierung in Risikoklassen mit der Dokumentation von Maßnahmen für die Verringerung des Risikos falls erforderlich ist vorzunehmen.
Die DPIAs sind eine Erweiterung der PIAs. Für PIAs mit einem sehr hohen Risiko sind in der Folge DPIAs zu erstellen. Diese Analysen gehen wesentlich weiter und dringen tiefer in den risikobehafteten Verarbeitungszweck ein. Es gibt allerdings auch einige Situationen, für die ein DPIA zwingend erforderlich ist – Big Data Anwendungen und automatisierte Entscheidungen zB bei Bonitätsprüfungen seien hier stellvertretend angeführt.
Die TOMs stellen eine Dokumentation der Kontrolle von Aktivitäten mit Daten dar. Hierbei geht es um Kontrolle von Zugängen, Zugriffen, Datenträgern, Transporten, Übertragungen und Eingaben sowie um Service Continuity im Katastrophenfall.
(D)PIAs und TOMs stellen somit im Gegensatz zum Verfahrensverzeichnis und den DPAs die technisch orientierte Sicht auf die Verarbeitungszwecke dar.
Alleine aus der groben Beschreibung der zu erstellenden Dokumente ergibt sich für größere Organisationen ein durchaus erheblicher Aufwand!
ad 2) Mit der DSGVO kommt auch eine Erweiterung der Betroffenenrechte auf alle zu – auf Organisationen, weil sie diesen nachkommen müssen und auf den einzelnen Bürger, weil er diese den Organisationen gegenüber in Anspruch nehmen kann.
Bisher waren die Rechte auf
- Auskunft (Art. 15)
- Berichtigung (Art. 16)
- Löschung (Art. 17)
- Widerspruch (Art. 21)
bekannt und in den einschlägigen Gesetzen implementiert.
Neu kommen hinzu
- Recht auf Einschränkung der Verarbeitung (Art. 18) und
- Recht auf Datenübertragbarkeit (Art. 20).
ad 3) Die DSGVO regelt auch den Datenverkehr mit Drittländern. Das Ziel dahinter ist, diesen Datenverkehr unter den gleichen Schutz wie innerhalb der EU zu stellen. Ein derartiger Datenverkehr ist nur dann zulässig, wenn folgende Dinge gegeben sind:
- Angemessenheitsbeschluss der Europäischen Kommission (Art. 45)
- geeignete Garantien (Art. 46)
- verbindliche unternehmensinterne Vorschriften (Art. 47)
Weiters sind im Art. 49 sieben Ausnahmen für bestimmte Fällen definiert.
ad 4) Haftung und Sanktionen werden mit der DSGVO massiv verstärkt und erreichen mit 20 Mio EUR oder 4% des weltweiten Jahresumsatzes (je nachdem, welcher Betrag höher ist) Höhen, die selbst großen Unternehmen Schmerzen bereiten können. Dabei handelt es sich um Verwaltungsstrafen. Derzeit ist es in Österreich jedoch so, dass juristische Personen nach dem Verwaltungsstrafrecht nicht bestraft werden können. Hier wird es also über kurz oder lang Anpassungen im Verwaltungsstrafrecht geben.
Conclusio
Die DSGVO (oder in englisch GDPR) wurde im April 2016 verabschiedet. In Kraft tritt sie mit 25.05.2018. Das heißt aber auch, dass alle Organisationen, die davon betroffen sind, zwei Jahre Zeit hatten, sich mit diesem Thema auseinander zu setzen. Angesichts des Umfangs, den Projekte annehmen, die eine DSGVO ernsthaft in Unternehmen umsetzen, erscheint es mir daher ziemlich fahrlässig erst jetzt damit zu beginnen. Das Problem liegt aber nicht nur bei den Unternehmen selbst. Auch diverse Anwaltskanzleien, die versuchen in diesem Themenbereich Beratungsauftrage zu lukrieren, kommen zu spät. Die Beratungsangebote sind zwar gut gemeint, aber bei größeren Unternehmen ist meiner Meinung nach der Zug bereits abgefahren. Aufgrund dieser Situation bleibt abzuwarten, wie sich die Gerichte im Ernstfall verhalten.
Weiters gibt es mehrere Elemente der DSGVO, die anderen österreichischen Gesetzen widersprechen (zB Aufbewahrungsfristen im Unternehmensrecht). Grundsätzlich ist EU-Recht gegenüber nationalem Recht zwar vorrangig, aber ganz so klar war das auch bisher nicht immer. Auch hier bleibt also abzuwarten, wie erste richterliche Entscheidungen ausfallen.
Ein anderes Spezifikum der österreichischen Gesetzeslage ist die Tatsache, dass juristische Personen (Unternehmen, Vereine, etc.) in diesem Bereich gleich zu behandeln sind wie natürliche. Dagegen intervenieren bereits wirtschaftsnahe Lobbyisten, da auch dieser Umstand erhebliche Probleme für Unternehmen mit sich bringt und ihre Wettbewerbsfähigkeit auf den Märkten durchaus einschränkt.
Die DSGVO ist der Versuch, die Daten-Privatsphäre von Bürgern der EU zu schützen. Das ist im Grunde begrüßenswert. Nimmt man diese EU-Verordnung allerdings ernst, dann generiert sie in Unternehmen Projekte mit erheblichem Aufwand – und das vor dem Hintergrund nicht ausjudizierter und teilweise unscharfer Bestimmungen. Die nächsten ein bis zwei Jahre werden diesbezüglich also spannend.