Datenschutz neu – Was muss ich wissen, welche Maßnahmen muss ich setzen!
Das Jahr 2018 nähert sich mit großen Schritten und die unternehmerische Planung von Maßnahmen, die auf Grund des Datenschutz-Anpassungsgesetzes 2018 erforderlich sind, muss gut vorbereitet sein. Im Hinblick auf den näher rückenden Zeitpunkt des In-Kraft-Tretens der DSGVO (25.05.2018) ist eine rechtzeitige (und damit jetzt beginnende) Vorbereitung unumgänglich, da die Evaluierung und Umsetzung Vorlaufzeit benötig.
In diesem Beitrag finden Sie zuerst einen Überblick über die wichtigsten Änderungen und die dadurch bedingten umzusetzenden Maßnahmen sowie einen ersten Fahrplan dazu und im Anschluss daran die Details (Verweise auf die Details in Punkt C. finden sie jeweils im Klammerausdruck).
Grundsätzlich besteht in Österreich bereits ein relativ hohes Datenschutzniveau. Wesentlich und deswegen besonders „schmerzhaft“ für einen Unternehmer ist die drastische Erhöhung der Geldstrafen für den Fall der Nichteinhaltung der Vorschriften des Datenschutzgesetzes (bis zu EUR 20 Millionen!). Um diese zu vermeiden, müssen die vom Gesetzgeber aufgestellten Spielregeln eingehalten werden.
Unsere Kanzlei unterstützt sie gerne bei der Umsetzung der Maßnahmen und bei Fragen im Zusammenhang mit dem Umgang mit dem neuen Datenschutzgesetz. Wir bieten Ihnen auch gerne auf Anfrage Einführungs-Schulungen für Sie und Ihre Mitarbeiter/Innen an.
A. Die wesentlichsten Änderungen
1. Abkehr von Melde- und Genehmigungspflichten hin zu mehr Eigenverantwortung (die der Kontrolle der Datenschutzbehörde unterliegt!)
2. Erhöhte Rechenschaftspflichten
3. Normierung von „Privacy by design“ und „Privacy by default“
4. Anhebung Geldbußen von bisher maximal EUR 25.000,00 auf zukünftig maximal EUR 20 Millionen oder 4% des globalen Umsatzes (je nachdem welche Zahl höher ist)
5. Änderung der Begrifflichkeiten von bisher Auftraggeber auf Verantwortlicher und bisher Dienstleister auf Auftragsverarbeiter
B. Umzusetzende Massnahmen
1. Führung eines Verzeichnisses über die Verarbeitungstätigkeiten (siehe C.2.1.) und damit verbundene Risikobeurteilung und Datenschutz-Folgeabschätzung (siehe C.2.2.)
2. Erforderlichkeit der Bestellung eines Datenschutzbeauftragten (siehe C.2.3.) abklären und wenn notwendig einen Datenschutzbeauftragten bestellen
3. Schriftliche Dokumentation der jeweiligen Verarbeitungsprozesse und den dahinterstehenden Entscheidungen samt Rechtsgrundlage, auch als Grundlage für die Informationspflichten an Betroffene (siehe C.1., C.3.1.)
4. Abschluss und/oder Überarbeitung von (bestehenden) Verträgen mit Auftragsverarbeitern, da mit der Gesetzesänderung auch strengere Anforderungen an Verträge einhergehen (siehe C.3.2.)
5. rasche Meldung von Verletzungen an die Betroffenen und die Datenschutzbehörde (siehe C.4.2.)
6. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (siehe C.4.1.)
B.1. Fahrplan zur Umsetzung/ „Inventarisierung“:
a) Evaluierung, welche Datenverarbeitungen erfolgen (als Basis können z.B. die bisherigen Meldungen bei der Datenschutzbehörde dienen, deren Inhalt sich oft mit den nunmehr zu erhebenden Daten für ein Verzeichnis von Verarbeitungstätigkeiten deckt). Aber Achtung! Neben den gemeldeten Anwendungen sind auch die Standardanwendungen (bisher z.B.: Personalverwaltung) in diese Verzeichnisse aufzunehmen.
b) Überprüfung aller eingeholten Zustimmungen, ob diese den Anforderungen an die Einwilligung gemäß der DSGVO entsprechen und daher weiter genutzt werden können
c) „Inventar“ aller Dienstleister und den entsprechenden Verträgen erstellen, diese überprüfen bzw. allenfalls „fehlende“ Verträge abschließen
d) Evaluierung bereits vorhandener interner IT-Policies. Dies gilt auch für Betriebsvereinbarungen hinsichtlich Datenverarbeitungen (z.B.: engmaschiges Zutrittskontrollsystem).
d) Muster für die vorab zu erteilenden Informationen an Betroffene (siehe C.3.1.) als auch die Abläufe bei Anfragen vorbereiten, um im Akutfall (Frist 1 Monat!) rasch reagieren zu können
e) Abläufe bei Datenmissbrauch (Musterschreiben, Klärung von Zuständigkeiten) entwerfen, da im Ernstfall nur eine geringe Reaktionszeit zur Verfügung steht
f) Technische Einstellungen bei der Datenerhebung, der Datenspeicherung und insbesondere auch bezüglich Systembereinigungen (Datenlöschungen) evaluieren und gegebenenfalls anpassen
g) Bei neuen Datenverarbeitungen eine Datenschutz-Folgenschätzung erstellen und risikominimierende Maßnahmen zu treffen (oder aber die Datenschutzbehörde konsultieren)
h) Absolvierung von Schulungen der MitarbeiterInnen und Verantwortlichen (siehe E.)
C. Die Details
C.1. Einzuhaltende Grundsätze
Wie auch bisher sind bei der Datenverarbeitung bestimmte Grundsätze einzuhalten. So muss jeder Datenverarbeitung eine entsprechende Rechtsgrundlage (Erlaubnistatbestand) zugrunde liegen („Rechtmäßigkeit“). Sie muss den vernünftigen Erwartungen der betroffenen Person entsprechen („Datenverarbeitung nach Treue und Glauben“) und überdies für diese betroffene Person nachvollziehbar sein („Transparenz“). Die Datenverarbeitung darf außerdem nur zu einem im Vorhinein festgelegten eindeutigen und legitimen Zweck erfolgen („Zweckbindung“) und ist nur im unbedingt erforderlichen Ausmaß zulässig („Datenminimierung“).
Wie auch bisher sollen nur inhaltlich richtige Daten verarbeitet werden („Richtigkeit“), die überdies nicht länger als für die Zweckerreichung notwendig gespeichert werden dürfen („Speicherbegrenzung“). Unter dem Schlagwort „Integrität und Vertraulichkeit“ ist der verpflichtende Schutz personenbezogener Daten für unbefugte oder unrechtmäßige Verarbeitung und vor Verlust, Zerstörung und Schädigung zu verstehen.
C.1.1. zulässige Rechtsgrundlagen (schaffen)
Die wesentlichsten Rechtsgrundlagen für die Rechtmäßigkeit der Verarbeitung bestehen (ebenfalls wie bisher) in einer vorliegenden Einwilligung, in der Notwendigkeit der Verarbeitung für die Erfüllung eines Vertrages zwischen Verantwortlichem und dem Betroffenen bzw. für entsprechende vorvertragliche Maßnahmen, die Erfüllung rechtlicher Verpflichtungen (z.B.: Weitergabe von Arbeitnehmerdaten an Sozialversicherungsträger), der Schutz lebenswichtiger Interessen der betroffenen Person, die Wahrnehmung öffentlicher Interessen sowie berechtigte Interessen des Verantwortlichen, was im Wesentlichen eine Interessenabwägung erfordert.
Die Anforderungen (freiwillig, für einen bestimmten Fall, in informierter Weise und als unmissverständliche Willensbekundung) an eine gültige Einwilligung sind im Wesentlichen deckungsgleich mit den in Österreich bereits vom OGH und der Datenschutzbehörde postulierten Voraussetzungen für eine wirksame Zustimmung.
Noch deutlicher wird allerdings nunmehr betont, dass die Koppelung der Einwilligung zur Verarbeitung von personenbezogenen Daten, die nicht zur Erfüllung eines konkreten Vertragsverhältnisses erforderlich sind, an den Abschluss dieses Vertrages nicht zulässig ist. Das betrifft im Wesentlichen jeden Dienst der in Anspruch genommen wird. Damit ist zukünftig auf die Formulierung von Gewinnspiel-Bedingungen und ähnlichem umso mehr Augenmerk zu legen. Die Einholung von Einwilligungen ist zukünftig sinnvollerweise jeweils gesondert (und nicht im Paket) zu formulieren, um die Wirksamkeit der Erklärung(en) nicht zu gefährden.
Da auch die Informationspflichten an den Betroffenen bei Einholung der Einwilligung erweitert wurden, ist damit zukünftig umso mehr Augenmerk auf eine ausreichend umfangreiche und konkrete Zweckbeschreibung (neben anderen Angaben) und eine entsprechende Datenschutzerklärung zu achten. Das ist bereits jetzt grundsätzlich erwartet. Dies auch tatsächlich bereits jetzt schon zu beherzigen ist umso wichtiger, um die vor Mai 2018 eingeholten Zustimmungserklärungen auch unter der DSGVO weiter nutzen zu können (was nur möglich ist, wenn sie den Anforderungen der DSGVO entsprechen). Auftraggeber, die auch bisher die strengen Vorgaben der österreichischen Judikatur dazu beherzigt haben, sind daher davor gefeit, dass nunmehr eingeholte Einwilligungen unter dem zukünftigen Regime der DSGVO als ungültig anzusehen sind. Jedenfalls sollte dahingehend bereits jetzt eine gründliche Revision und Überprüfung durchgeführt werden.
Auch hinsichtlich der Zweckbestimmung wird im Zuge der DSGVO nochmals konkretisiert, dass allgemeine Umschreibungen von Zwecken, für die die Daten erhoben und nachfolgend verwendet werden sollen, nicht genügen. Die Verarbeitung der Daten für andere, als die eindeutig festgelegten Zwecke, ist nur bei vorliegender Einwilligung der betroffenen Person, einer gesetzlichen Erlaubnis oder der Vereinbarkeit des ursprünglichen Zwecks mit dem nunmehrigen Zweck zulässig. Letzteres liegt vor, wenn die betroffene Person damit rechnen konnte, dass ihre personenbezogenen Daten auch zu diesem Zweck (weiter) verwendet werden, wie beispielsweise Daten aus einem Vertragsabschluss zur Information über allfällige Fehlermeldungen der ausgelieferten Ware. Wiederum ist die jeweilige Formulierung der Zustimmungsklausel(n) daher entscheidend.
C.2. Pflichten betreffend die Datenverarbeitung:
C.2.1. Verzeichnisse von Verarbeitungstätigkeiten
Wesentlich ist wohl vor allem die Pflicht zur Führung der Verzeichnisse von Verarbeitungstätigkeiten. Ein solches Verzeichnis ist verpflichtend von Unternehmen mit 250 und mehr Mitarbeitern zu führen. Unternehmen mit weniger Mitarbeiter trifft diese Pflicht, wenn ihre Datenverarbeitung voraussichtlich ein Risiko für betroffene Personen darstellt, die Datenverarbeitung nicht nur gelegentlich erfolgt oder auch sensible Daten bzw. Daten über strafrechtliche Verurteilungen und Straftaten erfasst sind.
Da hier noch keinerlei Konkretisierungen hinsichtlich dieser Ausnahmen vorliegen und der Wortlaut selbst einen relativ weiten Auslegungsspielraum bietet, scheint es sinnvoll, zur Vermeidung mit einer Verwaltungsübertretung verbundenen Strafe, ein Verzeichnis von Verarbeitungstätigkeiten jedenfalls zu führen. So enthält beispielsweise eine Personaldatenbank üblicherweise sensible Daten (Religionsbekenntnis) und ist daher darüber ein Verzeichnis zu führen.
Der zwingende Inhalt eines solchen Verzeichnisses umfasst:
- Beschreibung und Zweck der Datenverarbeitung;
- Name und Kontaktdaten des Verantwortlichen und des Datenschutzbeauftragten;
- Kategorien von betroffenen Personen (z.B.: Arbeitnehmer, Kunden, Vertriebspartner, sonstige Vertragspartner);
- die Kategorien personenbezogener Daten (z.B.: Name, Adresse, E-Mail-Adresse, Telefonnummer etc.);
- Kategorien von Empfängern (interne Empfänger wie z.B.: Buchhaltung, Kundenmanagement, IT sowie auch externe, wie z.B.: Vertriebspartner, Sozialversicherungsträger und Banken);
- allfällige vorgesehene Übermittlung an Drittländer;
- die Speicherdauer (sofern deren Angabe möglich ist);
- entsprechende organisatorische und technische Sicherheitsmaßnahmen.
Mit Inkrafttreten der DSGVO wird auch das Datenverarbeitungsregister in der bestehenden Form nicht mehr weiter geführt. Allerdings dienen die bisherigen Meldungen der Datenschutzbehörde durchaus als Orientierungsleitfaden für die nachfolgend zu führenden Verzeichnisse von Verarbeitungstätigkeiten. Die jeweiligen Daten der Meldung können auch aus dem DVR exportiert werden und damit einen ersten Arbeitsschritt zur Erstellung der Verzeichnisse erleichtern.
C.2.2. Datenschutzfolgeabschätzung
Eine weitere Verpflichtung besteht – unabhängig von der Unternehmensgröße – zur Durchführung einer Datenschutz-Folgeabschätzung, wenn die Datenverarbeitung voraussichtlich ein hohes Risiko für betroffene Personen mit sich bringt.
Sie ist jedenfalls verpflichtend, wenn Entscheidungen, die natürliche Personen betreffen, ausschließlich auf automatisierter Basis getroffen werden (Stichwort Profiling), sensible Daten oder strafrechtlich relevante Daten im großen Umfang verarbeitet werden. Ergibt eine solche Datenschutz-Folgeabschätzung ein hohes Risiko, dass durch unternehmensinterne Maßnahmen nicht eingeschränkt werden kann, so ist die Aufsichtsbehörde vor der tatsächlichen Aufnahme der Datenverarbeitung zu konsultieren. Eine genauere Information, wie eine solche Abschätzung durchgeführt werden kann, bietet die (derzeit noch nicht veröffentlichte) Leitlinie der Art 29-Datenschutzgruppe. Sobald hier nähere Informationen zur Verfügung stehen, werden wir Sie gerne informieren.
Ähnlich der bisherigen Standard- und Musterverordnung wird die Aufsichtsbehörde „weiße Listen“ veröffentlichen, für die eine Datenschutz-Folgeabschätzung nie durchzuführen ist, ebenso allerdings besteht die Möglichkeit „schwarze Listen“ zu erstellen, bei deren Vorliegen jedenfalls eine Datenschutz-Folgeabschätzung durchzuführen ist.
C.2.3. Datenschutzbeauftragter
Eine weitere Verpflichtung bringt der sogenannte Datenschutzbeauftragte mit sich. Die Verpflichtung zur Benennung eines Datenschutzbeauftragten besteht unabhängig von der MitarbeiterInnenanzahl bzw. der Unternehmensgröße. Sie ist dann erforderlich, wenn die Kerntätigkeit des Unternehmens in der umfangreichen regelmäßigen und systematischen Überwachung von betroffenen Personen oder in der umfangreichen Verarbeitung von sensiblen Daten bzw. Daten über strafrechtliche Verurteilungen und Straftaten besteht. Das trifft wohl vorrangig jedenfalls auf Banken, Versicherungen, Krankenhäuser etc. zu.
Die Datenverarbeitung, die jedes Unternehmen durchzuführen hat, wie beispielsweise die Verarbeitung von Mitarbeiterdaten oder eine Kundenkartei ist dabei nach derzeitig bekannter Interpretation dieser Bestimmung nicht unter diese Tatbestände zu subsumieren und daher nicht ausschlaggebend für die Bestellung eines Datenschutzbeauftragten.
Die DSGVO sieht keine näheren Vorgaben dazu vor, in welchem Verhältnis der Datenschutzbeauftragte zu Unternehmen zu stehen hat. Relevant ist, dass dieser unabhängig und weisungsfrei ist sowie Zugang zu den notwendigen Ressourcen hat. Er ist grundsätzlich zur Verschwiegenheit auch gegenüber dem Auftraggeber (Verantwortlichen) berechtigt und verpflichtet (insbesondere wenn sich beispielsweise Betroffene an ihn wenden).
C.3. Pflichten betreffend die betroffenen Personen:
C.3.1. Informationspflicht u.a.
Die Informationspflicht des Verantwortlichen gegenüber dem Betroffenen bei der Erhebung der Daten wird zukünftig umfangreicher geregelt sein. Vor allem wird auch die Frist für die Beantwortung von Auskunftsbegehren von 8 Wochen auf 1 Monat verkürzt.
Damit ist die Ausformulierung eines Formblattes für die Informationserteilung sinnvoll (z.B.: auch in Form einer entsprechend differenzierten und inhaltlich genau ausgestalteten Datenschutzerklärung auf einer Website, auf die verlinkt werden kann bzw. die dem Betroffenen zur Verfügung gestellt wird). Zudem ist aber auch eine entsprechende Dokumentation der vorgenommenen Verarbeitungsvorgänge wesentlich, um die notwendigen Informationen auch rasch zu haben und weitergeben zu können.
Die Auskunftspflicht, die Berichtigungs- und Löschungspflicht sind grundsätzlich bereits bekannt.
„Neu“ regelt die DSGVO die explizite mögliche Einschränkung der Datenverarbeitung bei einem Streit über die Berechtigung zur Verarbeitung sowie das Recht auf Datenportabilität, wobei allerdings hierzu ebenfalls Konkretisierungen fehlen, in welchen Formaten beispielsweise die Daten, die die betroffene Person dem Verantwortlichen selbst gegeben oder aber selbst generiert haben (Sucherverlauf, Verkehrsdaten etc.) zur Verfügung zu stellen sind.
C.3.2. Einsatz von Auftragsverarbeitern
Wie bisher kann ein Unternehmen Dienstleister (zukünftig Auftragsverarbeiter) für seine Verarbeitungen einsetzen. Diese müssen „hinreichend Garantien“ dafür bieten, dass durch ihren Einsatz die Vorschriften der DSGVO und die Rechte der Betroffenen nicht verletzt werden.
Die Datenschutzbehörde wird zukünftig Zertifikate an Auftragsverarbeiter ausstellen bzw. Zertifizierungsstellen akkreditieren können, die belegen sollen, dass die Sicherheitsmaßnahmen und Verarbeitungen dieser Unternehmen grundsätzlich den Anforderungen der DSGVO entsprechen. Das Vorliegen eines solchen Zertifikats entbindet den Verantwortlichen nicht von jeder Haftung für einen allfälligen Datenmissbrauch oder ähnliches, er hat allerdings die Vermutung für sich, dass er einen geeigneten Dienstleister/Auftragsverarbeiter ausgewählt hat und daher die Daten rechtmäßig verarbeitet.
Die jeweiligen Verträge sind zwingend schriftlich abzuschließen, wobei zukünftig konkretere Angaben als in den bisherigen Musterverträge der Datenschutzbehörde beispielsweise hinsichtlich der Bezeichnung des Zweckes der Verarbeitung und der Dauer zu erfolgen haben. Bei der Erstellung und Überprüfung entsprechender Verträge sind wir Ihnen gerne behilflich.
C.4. Pflichten betreffend Datensicherheit und Datenzwischenfälle:
Grundsätzlich sind organisatorische und technische Maßnahmen zu treffen, um einen angemessenen Schutz der personenbezogenen Daten und der Rechte der betroffenen Personen sicherzustellen. Verpflichtungen zu organisatorischen und technischen Maßnahmen zur Sicherstellung der Datenverarbeitung beinhalten auch die durch die DSGVO neu eingeführten Schlagworte der „Privacy by Design“ und „Privacy by Default“.
C.4.1. Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellung
„Privacy by Design“ meint Maßnahmen, die die Grundsätze für die Verarbeitung wie z.B. Datenminimierung, Speicherbegrenzung und insbesondere Integrität und Vertraulichkeit, umsetzen sollen. Die technischen Maßnahmen ergeben sich dabei aus einer Abwägung zwischen der Art und dem Umfang der Verarbeitung, dem Risikopotential, aber auch der Angemessenheit der Kosten und dem Stand der Technik.
„Privacy by Default“ stellt auf Maßnahmen ab, die sicherstellen sollen, dass durch Voreinstellungen nur personenbezogene Daten, deren Verarbeitung für den jeweiligen Zweck tatsächlich erforderlich ist, verarbeitet werden. Das betrifft wiederum die Datenmenge, den Umfang der Verarbeitung, die Speicherfrist, die Pseudonymisierung bzw. Anonymisierung, die Datenzugänglichkeit sowie deren Geheimhaltung.
C.4.2. Meldung von Verletzungen
Im Falle einer Verletzung des Schutzes personenbezogener Daten ist binnen längstens 72 Stunden eine Meldung (Data Breach Notification) an die Aufsichtsbehörde zu übermitteln. Eine solche Meldepflicht entfällt, wenn kein Risiko für die betroffenen Personen besteht, etwa weil die betroffenen personenbezogenen Daten ausreichend gesichert waren (anonymisiert bzw. verschlüsselt, Backup).
Außerdem sind die betroffenen Personen selbst unverzüglich darüber zu verständigen, wenn der Datenzwischenfall mit einem hohen Risiko für die betroffene Person verbunden ist und die Daten nicht verschlüsselt waren. Die Alternative zu einer solchen individuellen Verständigung, wenn diese aufgrund des Aufwandes unverhältnismäßig scheint, ist die wohl kaum attraktivere öffentliche Bekanntmachung.
D. AUSBLICK
Hinsichtlich einiger vorzubereitender und umzusetzender Maßnahmen, insbesondere hinsichtlich der Datenschutz-Folgeabschätzung und auch der Data Breach Notification, ist noch die Veröffentlichung von Konkretisierungen durch die Art 29-Datenschutzgruppe (angeblich bis Ende des Jahres bzw. im Laufe des kommenden Jahresbeginns) zu erwarten. Sobald diese vorliegen, werden wir Sie gern darüber informieren.
Daher scheint es sinnvoll, vorab die jedenfalls notwendigen Erhebungen hinsichtlich des Verarbeitungsregisters sowie die Überprüfung bestehender Rechtsgrundlagen für Datenverarbeitung, besonders Zustimmungen, durchzuführen und in einem zweiten Schritt weitere Maßnahmen in Angriff zu nehmen.
E. DAS SERVICE UNSERER KANZLEI
Gerne begleiten wir Sie sowohl bei der ersten Evaluierung der geführten Datenverarbeitungen, als auch Erstellung der Verarbeitungsverzeichnisse sowie Vorbereitung der formalisierten Informationserteilungen und Datenschutzerklärungen.
Für eine direkte Information Ihrer MitarbeiterInnen bieten wir gern auch hausinterne Workshops mit einer Einführung in die wesentlichsten Änderungen und die zukünftig zu treffenden Maßnahmen, insbesondere hinsichtlich des aufmerksamen Umgangs bei der Einholung von Zustimmungserklärungen bzw. Formulierung von Datenschutzerklärungen sowie bezüglich Datenschutzverletzungen und der damit verbundenen Folgen. In diese Workshops lassen wir natürlich auch die neuen Informationen der Art 29-Datenschutzgruppe einfließen sobald diese veröffentlicht werden.