Die Zeit läuft | KPMG | AT

Die Zeit läuft

Die Zeit läuft

Die neue EU-Datenschutzgrundverordnung: Handlungsbedarf für Unternehmen

Verwandte Inhalte

Die Zeit läuft

Nach über drei Jahren Verhandlungen wurde im April 2016 durch das EU-Parlament eine neue Datenschutzregelung verabschiedet. Die EU-Datenschutzgrundverordnung („EU-DSGVO“) tritt mit 25. Mai 2018 in Kraft und löst die bisher geltende Datenschutzrichtlinie, die in Österreich durch das Datenschutzgesetz 2000 (DSG 2000) umgesetzt wurde, ab.

Ziel der DSGVO war es, den Standard in Sachen Datenschutz europaweit zu vereinheitlichen. Dabei ist der Anwendungsbereich der DSGVO weit. So haben in der EU ansässigen Unternehmen aller Branchen und Größen, die in irgendeiner Art und Weise personenbezogene Daten erfassen oder verarbeiten, die neuen Bestimmungen einzuhalten. Neu ist das sogenannte Marktortprinzip. Demnach fallen zukünftig nicht nur Unternehmen mit Sitz in Europa, sondern auch Konzerne, die am europäischen Markt aktiv sind, in den Anwendungsbereich. Die Erlassung in Form einer Verordnung bedeutet nun eine direkte Anwendbarkeit in sämtlichen Mitgliedsstaaten der EU. Somit bedarf es keiner zusätzlichen Umsetzung in nationales Recht. 

Allerdings finden sich in unterschiedlichen Bereichen Öffnungsklauseln, die eine separate Regelung auf nationaler Ebene erfordern bzw ermöglichen und dadurch gewisse Bestimmungen konkretisieren oder verschärfen können. Im Juni 2017 verabschiedete deshalb der österreichische Nationalrat das Datenschutz-Anpassungsgesetz 2018, mit dem das alte DSG 2000 großteils an die neuen Bestimmungen angepasst wurde. 

Im Kern erweitert die DSGVO die schon bisher geltenden Grundprinzipien des Datenschutzrechts. So normiert sie bspw die Grundsätze der „Zweckbindung“, der „Datenminimierung und -sparsamkeit“ sowie der „Transparenz“. Auch das „Verbot mit Erlaubnisvorbehalt“, wonach personenbezogene Daten nur rechtmäßig verarbeitet werden dürfen, wenn eine gültige Rechtsgrundlage (zB die Verarbeitung ist für die Erfüllung eines Vertrages erforderlich oder die betroffene Person hat gültig in die Verarbeitung eingewilligt) vorliegt, findet sich in der DSGVO wieder.

Die großen Gewinner der neuen datenschutzrechtlichen Regelungen sind in vielen Punkten die Betroffenen. Ihre Rechte und Rechtsbehelfe wurden massiv aufgewertet, so wurden bspw die Vorgaben für eine zulässige Einwilligung verschärft. Gesetzlich verankert ist auch das „Recht auf Vergessenwerden“, das zukünftig erweiterte Löschungsansprüche des einzelnen Betroffenen normiert. Neu ist außerdem das „Recht auf Datenportabilität“, wonach der betroffenen Person das Recht eingeräumt wird, ihre Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Mit Blick auf die ab Stichtag 25. Mai 2018 geltenden Sanktionen wird deutlich, warum dieses Thema seit einiger Zeit so brisant und hochaktuell ist. Für Verstöße gegen die neue Verordnung drohen drakonische Strafen, die existenzgefährdende Ausmaße annehmen können. Bei Nichteinhaltung drohen Bußgelder von bis zu 20 Millionen EUR bzw bis 4 Prozent des weltweiten Vorjahresumsatzes. Sanktioniert wird nicht nur der Datenschutzverstoß als solcher, sondern insbesondere auch die Nichteinhaltung DSGVO-konformer Prozesse und Maßnahmen. Darunter fallen zum Beispiel die mangelnde Durchführung der Datenschutz-Folgenabschätzung, die fehlende Umsetzung von Privacy by Design und Privacy by Default, inkorrekt eingeholte Einwilligungserklärungen, die Nichteinhaltung von Fristen bei Informations- und Auskunftsprozessen oder eine fehlende bzw verspätete Meldung bei Datenschutzverletzungen.

Von großer Bedeutung wird zukünftig auch die explizit geregelte Rechenschaftspflicht sein. Demnach muss ein Unternehmen in der Lage sein, die Einhaltung der in der DSGVO normierten Grundsätze und Pflichten nachweisen zu können. Hier kommt es de facto zu einer Beweislastumkehr, die Unternehmen möglicherweise vor IT- und prozesstechnische sowie organisatorische Herausforderungen stellt. Risikoanalyse, Dokumentation und Transparenz sollten wichtige Eckpfeiler bei der Konzeption und Implementierung eines Datenschutz-Management- Systems sein. Ferner werden in diesem Zusammenhang voraussichtlich auch genehmigte Verhaltensregeln und Zertifizierungsverfahren massiv an Bedeutung erlangen.

Selbstverständlich sind auch branchenspezifische Unterschiede nicht von der Hand zu weisen. Wer besonders viele oder besonders sensible Daten verarbeitet oder in besonderem Maße neue Technologien einsetzt, wird einen größeren Aufwand betreiben müssen als andere Unternehmen. Nichtsdestotrotz gilt unabhängig von der Branche für alle Unternehmen, bisherige Verarbeitungen, Zuständigkeiten, Prozesse und Maßnahmen neu zu bewerten, nachzujustieren und neue Elemente der DSGVO sinnvoll mit einer etwaigen bestehenden Datenschutzorganisation zu verknüpfen.

Fazit Die DSGVO ändert – nicht zuletzt aufgrund ihrer hohen Bußgelddrohungen – den bisherigen Stellenwert von Datenschutz und macht die Implementierung eines effektiven Datenschutz-Management-Systems für nahezu alle Unternehmen essentiell. Sie bringt eine Fülle an Neuerungen in prozessualer, organisatorischer und technischer Hinsicht mit sich und bildet die Basis für die zukünftige Datenschutzorganisation eines Unternehmens. Dabei drängt langsam die Zeit, denn am 25. Mai 2018 müssen die neuen Vorgaben bereits zur Gänze umgesetzt sein!

So kontaktieren Sie uns

 

Angebotsanfrage (RFP)

 

Absenden