Nun stehen massive Änderungen bevor. Die EU-Datenschutz-Grundverordnung (DSGVO) tritt am25. Mai 2018 in Kraft und führt zu einer echten Revolution im Datenschutzrecht. Die neue Verordnung trifft jedes Unternehmen, die Größe des Unternehmens spielt keine Rolle – sie gilt für One-Man-Shows genauso wie für multinationale Konzerne und sieht bei Verstößen drakonische Strafen vor – bis zu 20 Mio. Euro.
Datenschutz ist ein Grundrecht
Die Verordnung ist EU-weit in jedem Mitgliedstaat unmittelbar anwendbar, ohne weitere Gesetze in den einzelnen Ländern. Aber es gibt mehr als 60 „Öffnungsklauseln“, d.h., Bereiche, in denen die Mitgliedstaaten nationale Regeln erlassen können. In Österreich wurde dazu das Datenschutz-Anpassungsgesetz 2018 (DSG) beschlossen. Unternehmen aus Drittländern, die ihre Dienstleistungen in der EU anbieten, müssen die neue Verordnung ebenso anwenden, also auch Google, Amazon, Facebook etc.
Wesentliche Änderungen
Die wichtigsten Punkte der DSGVO für Unternehmen sind:
Sie müssen die Verordnung nicht nur einhalten, sondern auch jederzeit nachweisen können, dass Sie es tun – also brauchen Sie eine Dokumentation.
- Sie müssen ein Verzeichnis mit allen Datenverwendungen führen.
- Website, AGB und Newsletterversand werden Sie anpassen müssen.
- Sie haben Informationsverpflichtungen gegenüber Mitarbeitern, Kunden und Geschäftspartnern.
- Mit Dienstleistern müssen Sie datenschutzkonforme Verträge abschließen.
- Sie brauchen ein Sicherheitskonzept, wie Sie Ihre Daten schützen.
- Ihr IT-System müssen Sie datenschutzkonform machen.
- Eventuell brauchen Sie einen Datenschutzbeauftragten.
- Passiert eine Datenschutzverletzung, müssen Sie dies binnen 72 Stunden melden.
- Sie müssen innerhalb festgelegter Fristen jemandem über seine Daten Auskunft erteilen, diese richtig stellen oder löschen.
Erhöhtes Haftungsrisiko mit drakonischen Strafen
Ein einfaches Beispiel verdeutlicht den Unterschied: Bereits nach dem geltenden österreichischen Datenschutzgesetz können Personen Auskunft darüber verlangen, welche Daten zu ihrer Person gespeichert sind. Kommt der Verantwortliche diesem Ersuchen nicht nach, so tritt mit 25. Mai 2018 anstelle der Strafdrohung von 500€ eine Strafdrohung von bis zu 20 Mio. € oder 4% des Umsatzes.
Welche Strafen dann konkret verhängt werden, ist noch ungewiss, aber klar ist: Die Geldbußen sollen wirksam, verhältnismäßig und abschreckend sein, damit Datenschutz künftig ernst genommen wird.
Bislang war nicht nur die mögliche Strafhöhe begrenzt, sondern auch das Risiko, dass eine Datenschutzverletzung überhaupt aufgegriffen wird. Die Datenschutzbehörde hatte geringe Kontrollmöglichkeiten. Auch das ändert sich.
Ein kleines Beispiel: Haben Sie schon einmal einen Newsletter versendet, in dem die Empfänger sichtbar sind? Das ist ein Datenschutzverstoß. Jeder der Empfänger kann Sie künftig belangen, denn „Betroffene“ – das sind die Personen, deren Daten Sie verwenden – können direkt Beschwerde bei der Datenschutzbehörde einbringen oder auf Schadenersatz klagen oder auch beides. Schadenersatz kann künftig nicht nur wegen materieller Schäden, sondern auch wegen immaterieller Schäden geltend gemacht werden.
Es haftet der Verantwortliche, jedes Unternehmen ist hinsichtlich der verwendeten Daten „Verantwortlicher“ im Sinne der DSGVO. Geschäftsführer müssen sicherstellen, dass
die Datenschutz-Bestimmungen der DSGVO eingehalten werden. Pflichtverletzungen, die zur Zahlung von Geldbußen oder zu Schadenersatz führen, können den Geschäftsführer ersatzpflichtig machen. Zwar haften Geschäftsführer grundsätzlich nur gegenüber der Gesellschaft und nicht direkt gegenüber Dritten, aber bei Verletzung von Schutzgesetzen ist auch eine direkte Haftung gegenüber den Geschädigten möglich. Auch wenn ein freiwilliger interner Datenschutzbeauftragter bestellt wird, entfällt die Haftung des Geschäftsführers nicht, dies kann nur das Risiko einer Pflichtverletzung mindern.
Um welche Daten geht es?
Der Begriff „Datenverarbeitung“ ist sehr weit gefasst und umfasst jede Art der Datenverwendung, wie Erhebung, Erfassung, Organisation, Speicherung, Änderung, Anpassen und Ordnen von Daten. Nicht relevant ist, ob die Datenverarbeitung automatisiert oder manuell mit Papierdokumenten erfolgt.
Wann dürfen Daten verwendet werden?
Wichtig ist hier, dass als berechtigtes Interesse eines Unternehmens auch die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung angesehen werden kann. Aber Achtung: Für elektronische Kommunikation gelten spezielle Regeln, die „e-Privacy-Verordnung“ der EU soll gleichzeitig mit der DSGVO in Kraft treten, ist aber bislang noch nicht beschlossen.
Neben der Rechtmäßigkeit der Verarbeitung sind die Grundsätze der Datenverarbeitung einzuhalten:
- Verarbeitung nach Treu und Glauben, Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit
- Speicherbegrenzung
- Integrität und Vertraulichkeit
Ein ganz wesentlicher Grundsatz ist die Zweckbindung: Jede Datenverarbeitung muss für einen im Vorhinein festgelegten Zweck erfolgen. Dabei ist die Datenverarbeitung immer nur für diesen bestimmten Zweck zulässig. Wenn Sie die Adressdaten eines Kunden für eine Lieferung benötigen (Erfüllung einer vertraglichen Verpflichtung), heißt das noch nicht, dass Sie ihm auch einen Newsletter per E-Mail senden dürfen, dazu brauchen Sie seine Einwilligung.
Umfangreiche Dokumentationspflichten
Vor allem muss dokumentiert werden, über welche personenbezogenen Daten Sie verfügen, woher sie kommen, wozu Sie benötigt werden und mit wem Sie sie teilen. Die Pflicht, ein solches Verzeichnis der Verarbeitungstätigkeiten zu führen, gilt für Unternehmen mit weniger als 250 Mitarbeitern dann nicht, wenn die Verarbeitung nur gelegentlich erfolgt, kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt und keine Verarbeitung besonderer Datenkategorien (sensible Daten) umfasst. Eine Ausnahme wird wohl nur auf wenige Unternehmen zutreffen.
Das Verarbeitungsverzeichnis muss folgende Informationen zwingend enthalten:
- Name und Kontaktdaten des Verantwortlichen – also Ihres Unternehmens
- Beschreibung der Datenverarbeitung und der mit ihr verfolgte Zweck
- Beschreibung der betroffenen Personenkategorien: Kunden, Lieferanten, Vertriebspartner, Mitarbeiter etc.
- Welche personenbezogenen Daten werden genutzt, z.B. Namen, Adressen, Telefonnummern, E-Mail-Adresse, Sozialversicherungsnummern
- Kategorien von Empfängern (intern und extern): Buchhaltung, Steuerberater, Marketingagentur, Vertriebspartner, Sozialversicherungsträger etc.
Es gibt bereits verschiedene IT-Anwendungen, mit denen ein Verzeichnis generiert werden kann, oder Add-Ons zu bestehenden Programmen, aber ebenso kann eine Excel-Tabelle verwendet werden. Tab. 1 zeigt ein einfaches Beispiel, andere Gliederungen sind natürlich möglich, etwa die Einteilung nach Personenkategorien.
Datenschutzbeauftragter (DSB)
Ein Datenschutzbeauftragter ist dann zu bestellen, wenn die Haupttätigkeit des Unternehmens in der umfangreichen, systematischen und regelmäßigen Überwachung und Verarbeitung von personenbezogenen (sensiblen) Daten liegt. Damit wird für viele Unternehmen kein Datenschutzbeauftragter nötig sein, eine freiwillige Bestellung eines internen oder auch externen DSB ist aber immer möglich.
Datenschutzfolgeabschätzung (DSFA)
Unabhängig von der Unternehmensgröße ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenverarbeitung für die Rechte von Personen voraussichtlich ein hohes Risiko in sich birgt. Ein solches Risiko wird vermutet, wenn neuartige Technologien zur Datenverarbeitung genutzt werden. Neben dieser sehr vagen Formulierung wird in der DSGVO auch die „systematische und umfassende Überwachung öffentlich zugänglicher Bereiche“ angeführt. Darunter versteht man z.B. Überwachung des Firmengebäudes und seiner Umgebung durch Videokameras. Vom Inhalt her verlangt die Datenschutz-Folgeabschätzung vor allem Angaben über die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung sowie eine Bewertung der Risiken und eine Beschreibung der Maßnahmen zur Risikominimierung.
Datenschutz durch Datensicherheit
Risiken für die Sicherheit von Daten können organisatorischer oder technischer Natur sein: Netzwerkausfälle, Fehlfunktionen der Software, Störungen der Stromversorgung oder Klimatisierung, Brand- und Wasserschäden, Bedienungs- und Wartungsmängel, fehlende Schulungen, ungeklärte Zuständigkeiten, Nichtbeachtung von Sicherheitsmaßnahmen, Datendiebstahl, Hacking etc.
Die Sicherheit von Daten – insbesondere die IT-Sicherheit – erhält durch die DSGVO einen sehr hohen Stellenwert. Die Pflicht, geeignete technische und organisatorische Maßnahmen für die Datensicherheit zu treffen, ist ein Grundsatz der DSGVO. Dazu gehören der Datenschutz durch Technik (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default).
„Default“ bezieht sich auf Standardeinstellungen. „Privacy by Default“ heißt, dass z.B. eine Website standardmäßig so eingestellt ist, dass ein Setzen von Cookies nur mit Zustimmung des Nutzers möglich ist.
„Privacy by Design“ heißt, dass bereits bei der Planung und bei der Datenverarbeitung geeignete technische und organisatorische Maßnahmen gesetzt werden, um den Datenschutz zu gewährleisten. Dazu gehören:
- Zutrittskontrolle (z.B. Gebäudesicherung und Raumsicherung: Sicherheitsschlösser, Chipkarten, Alarmanlagen)
- Zugriffskontrolle (z.B. Berechtigungskonzept, Benutzerkennung mit Passwort, gesicherte Schnittstellen wie USB, Netzwerk)
- Eingabe- und Weitergabekontrolle (Benutzeridentifikation, Protokollierung, VPN, Firewall)
- Schutz gegen Zerstörung oder Verlust (Brandschutz, unterbrechungsfreie Stromversorgung, Klimaanlage, Datensicherung, Backup-Konzept, Virenschutz, Schutz vor Diebstahl)
- Pseudonymisierung und Verschlüsselung der Daten
Externe Dienstleister – datenschutzkonforme Verträge
Es dürfen nur solche Auftragsverarbeiter herangezogen werden, die ausreichende Garantie dafür bieten, dass sie DSGVO-konforme technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben. Es muss ein schriftlicher Vertrag abgeschlossen werden. Im Vertrag müssen Gegenstand, Dauer, Art und Zweck der Verarbeitung der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein. Der Auftragsverarbeiter muss zur Vertraulichkeit verpflichtet sein, muss Weisungen des Verantwortlichen befolgen, alle erforderlichen Sicherheitsmaßnahmen ergreifen und darf ohne Genehmigung die Datenverarbeitung nicht weitergeben. Auch der Auftragsverarbeiter muss alle Informationen zum Nachweis der Einhaltung seiner Verpflichtungen und zur Einhaltung der Bestimmungen der DSGVO nachweisen können und sie dem Auftraggeber bei Bedarf (z.B. bei Prüfungen) zur Verfügung stellen.
Bisherige Dienstleisterverträge, die nur den Mindestinhalt nach dem bislang geltenden österreichischen Datenschutzgesetz enthalten, entsprechen nicht dem Mindestinhalt nach der DSGVO. Sie müssen daher bis 25. Mai 2018 neu abgeschlossen werden, denn auch hier werden Missstände mit hohen Strafen sanktioniert.
Website, AGB & Newsletter
Auf allen Websites muss eine Datenschutzerklärung eingerichtet werden, in der klar und transparent beschrieben wird, welche Daten für welche Zwecke gespeichert werden und was damit gemacht wird. Diese Information betrifft nicht nur die Datenverwendung durch Ihr Unternehmen (z.B. durch ein Kontaktformular auf der Website), sondern auch Dienste Dritter, die genutzt werden: etwa ein Social-Media-Plugin mit Verlinkung auf Ihre Facebook-Seite. Darunter fällt auch die Nutzung von Cookies, durch die das Surfverhalten gespeichert und analysiert wird, etwa wenn „Google Analytics“ genutzt wird. Google und andere Anbieter stellen den Nutzern vorgefertigte Datenschutzerklärungen unter Anführung aller durch diese Art von Cookies durchgeführten Datenverarbeitungen zur Verfügung. Auch bei Cookies darf zukünftig die Erhebung von Daten erst dann stattfinden, wenn der Homepage-Besucher in die Verwendung von Cookies einwilligt – bis dahin muss die Homepage so konzipiert sein, dass sie zum einen keine Daten erhebt und zum anderen keine gravierenden Nachteile in der grundlegenden Funktionalität aufgrund der Verweigerung der Einwilligung mit sich bringt.
Ein E-Mail-Newsletter ist nach der neuen Rechtslage nur noch dann zulässig, wenn der Empfänger im Vorhinein eingewilligt hat, ein sog. „Opt-in“. Abgelöst wurden dadurch – nun unzulässige – „Opt-outs“, in der eine Kontaktaufnahme grundsätzlich so lange zulässig war, bis man dieser widersprach. Im Bereich von E-Mail-Newslettern besteht darüber hinaus die Besonderheit, dass ein „Double Opt-in“ notwendig ist: Nicht nur der zukünftigen Kontaktaufnahme über die Newsletter muss zugestimmt werden, auch die Aufnahme in eine Abonnentenliste bedarf in einem zweiten Schritt der Zustimmung. Dies kann beispielsweise durch ein separates E-Mail erfolgen, in dem mittels Anklicken eines Buttons die Bestätigung der Einwilligung gegeben wird (DOI- oder auch Checkmail).
Auch Ihre AGB müssen Sie anpassen und durch eine rechtskonforme Datenschutzerklärung ergänzen.
Erweiterte Rechte für EU-Bürger
- Auskunftsrecht (welche Daten werden verarbeitet, geplante Speicherdauer)
- Recht auf Berichtigung der Daten
- Recht auf Löschung (inklusive Recht auf „Vergessenwerden“ bei veröffentlichten Daten)
- Recht auf Einschränkung der Verarbeitung (d.h., Sie dürfen die Daten nur mehr speichern, aber keine Verarbeitungsschritte setzen)
- Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger, denen Sie die Daten weitergeleitet haben
- Recht auf Datenübertragbarkeit
- Widerspruchsrecht
- Regelungen betreffend Profiling
Informationserteilung und Durchführung sind unverzüglich und grundsätzlich spätestens innerhalb eines Monats zu erledigen. Kommen Sie dem nicht nach, kann eine betroffene Person eine Beschwerde bei der Datenschutzbehörde einreichen.
Fazit
Heute ist es ein Zeichen von Kompetenz und ein Pluspunkt im Vergleich zu Mitbewerbern, wenn Sie auf der Website oder in Ihren Newslettern Kunden und Interessenten transparent und verständlich erklären, wie Sie mit ihren persönlichen Daten umgehen. Durch die neue Verordnung wird das Bewusstsein über den Schutz von persönlichen Daten steigen, alle Unternehmen müssen nachziehen und künftig wird mangelnder Datenschutz ein negatives Unterscheidungsmerkmal am Markt sein.
Der Aufwand und die benötigte Zeit für die Umsetzung der DSGVO sollten nicht unterschätzt werden. Wenn Sie noch nicht begonnen haben, tun Sie es rasch, damit Sie ab 25. Mai 2018 die gesetzlichen Anforderungen erfüllen können. Es kann sonst richtig teuer werden.
Die Autorin
Für die bevorstehenden Änderungen im Datenschutz hat die Kanzlei eine „Task Force DSGVO 2018“ eingerichtet und stellt auch Informationen auf einer Website zur Verfügung: