Zum Inhalt Zum Hauptmenü

Suchformular

AutorAutor

DSGVO-Vorbereitung europaweit in den Kinderschuhen

publiziert: 
DORDA News 2/2017
Datum: 
12. Mai 2017

Ein Blick über die Grenzen zeigt, dass die Vorbereitung auf die Datenschutz-Grundverordnung (DSGVO) europaweit in Summe noch in den Kinderschuhen steckt. Für das letzte Jahr der Schonfrist steht daher noch viel auf der Agenda.

Der anstehende Regimewechsel im Datenschutzrecht erfordert ein umfassendes Umdenken bei Unternehmen, die personenbezogene Daten verarbeiten: Derzeit werden bestehende wie neue Prozesse bei der Datenschutzbehörde eingereicht. Unproblematische Anwendungen dürfen mit der Meldung aufgenommen werden. Für kritische Anwendungen besteht eine zweimonatige Vorabkontrollfrist der Behörde. Im internationalen Datenverkehr außerhalb des Europäischen Wirtschaftsraums ist das Involvieren von Staaten ohne vergleichbares Datenschutzniveau nur mit gesonderter Genehmigung erlaubt. Bislang besteht also ein sehr formeller, behördlicher Zugang. Nach einer Meldung prüft die Datenschutzbehörde die Datenverarbeitung und gibt sie frei, wenn sie die Vorgaben erfüllt sieht. Dies wird sich mit der DSGVO in Zukunft ändern:

Selbstverantwortung der Unternehmen

Die Verantwortlichen müssen ihre Prozesse künftig vorab selbst umfassend dokumentieren und eine Datenschutz-Folgenabschätzung (PIA) durchführen. Die Behörde ist nur in seltenen Fällen einzubinden. Vielmehr wird sie künftig als ex-post Kontroll- und zugleich Straforgan fungieren. Dieser harte Regimewechsel wird quasi über Nacht schlagend: Ab dem 25.5.2018 wird die DSGVO nach einer fast zwei Jahre langen Übergangszeit scharf geschaltet. Wegen der grundlegenden Änderungen ist es für Unternehmen unbedingt erforderlich, sich ab sofort zügig mit der internen Umsetzung zu beschäftigen. Das ist freilich nicht so einfach: Noch fehlt es hierzulande an einem Begleitgesetz und an Auslegungshilfen zur Klärung jener zahlreichen Punkte in der DSGVO, die trotz angestrebter Vollharmonisierung bewusst offen gelassen und in die Mitgliedsstaaten verlagert wurden.

Aber damit sind die österreichischen Unternehmen nicht allein: Wie ein vom Datenschutzteam bei DORDA aktuell durchgeführter internationaler Vergleich zeigt, ist bei insgesamt 13 untersuchten EU-Staaten – Belgien, Deutschland, Frankreich, Griechenland, Lettland, Niederlande, Österreich, Portugal, Schweden, Slowakei, Tschechische Republik, Ungarn und Großbritannien, das trotz Brexit das neue Regime zur Aufrechterhaltung des einheitlichen Datenschutzniveaus übernehmen will – die Situation vergleichbar. Die Highlights unseres internationalen Rundrufs:

Aktuelle Lage im europäischen Vergleich

Zwar werden in sämtlichen Mitgliedsstaaten Diskussionen über den praktischen Umgang mit der DSGVO und zur Nutzung der bestehenden Öffnungsklauseln geführt. Konkrete Entwürfe für die Begleitgesetze gibt es aber lediglich in Deutschland und den Niederlanden. In Deutschland wurde ein Erstentwurf von der Öffentlichkeit zerrissen. Es folgte ein nicht weniger umstrittener Zweitanlauf. Offenbar wirkte sich die Eile vor der Bundeswahl negativ auf die Qualität aus. Aktuell hat auch bereits die EU-Kommission Kritik an dem Gesetz geübt, das in einigen Teilen den Harmonisierungsgedanken zu untergraben scheint. In den Niederlanden ist man dagegen wesentlich zurückhaltender vorgegangen und hat sich bewusst auf das Mindestmaß an Abweichungen geeinigt. Das österreichische Äquivalent ist nach mehreren Verschiebungen aktuell für Sommer 2017 angekündigt. Über den Inhalt und Ansatz gibt es Spekulationen. Die verantwortlichen Stellen haben bislang sehr gekonnt das Durchsickern von Details verhindert.

Themenspezifisch nehmen einige Mitgliedsstaaten eine Vorreiterrolle ein und füllen die Öffnungsklauseln der DSGVO mit Leben, was aber die angestrebte Vollharmonisierung in einigen Bereichen sicher erschweren wird: So wird es künftig neben Deutschland auch in Belgien, Griechenland, Ungarn, Lettland, der Slowakei und Großbritannien spezifische Regelungen für die Datenverarbeitung im Arbeitnehmerbereich geben. Gerade für international vernetzte Unternehmen bedeutet dies in der Praxis großen Anpassungsbedarf bei der Implementierung zentraler, konzernweiter Datenverarbeitungsprozesse, wie z.B. im HR-Management, bei Bonusund Beteiligungsprogrammen oder Whistleblowing-Hotlines. Auch nach Inkrafttreten des neuen Regimes werden ein Blick über den Tellerrand und Detailabstimmungen weiterhin erforderlich sein.

Ungewissheit und spärliche Auslegungshilfen

Zu vielen spannenden Fragen fehlen noch die auf EU-Ebene angekündigten und dringend benötigten Auslegungshilfen, so z.B. zum Umfang der überwiegenden Interessen bei der Frage der Zulässigkeit von Datenverarbeitungen ohne Einwilligung oder zur Datenportabilität. Allerdings sind einige Mitgliedsstaaten in abgegrenzten Bereichen aktiver: So gibt es in Frankreich bereits ein offizielles Muster für das neu zu führende Verfahrensverzeichnis sowie ebenfalls Guidelines – wie auch in Belgien, Deutschland und der Slowakei – für die zentrale PIA. Darüber hinaus hat Belgien sogar einen ersten Entwurf der Black und White Lists erarbeitet, die Datenanwendungen aufzählen, für die jedenfalls eine PIA durchzuführen ist und für Bereiche, in denen dies entfallen kann. Dies ist von grundlegender Bedeutung: Gerade für Unternehmen bildet die Frage, was in welchem Umfang und in welcher Form dokumentiert werden muss, um die Notwendigkeit einer PIA beurteilen zu können, den Kern ihrer jetzt zu setzenden Vorbereitungshandlungen.

Fazit: Handlungsbedarf schon jetzt

Auch wenn der Gesetzgeber teilweise noch Zurückhaltung zeigt, ist gleichzeitig aufgrund der Fülle der neuen Aufgaben klar, dass ein weiteres Zuwarten bei noch offenen Detailfragen der falsche Zugang ist. Vielmehr müssen die Eckpfeiler jetzt proaktiv unternehmensintern verinnerlicht und umgesetzt werden, um im kommenden Jahr tatsächlich fit für die DSGVO zu sein.

Disclaimer

Alle Angaben auf dieser Website dienen nur der Erstinformation und können keine rechtliche oder sonstige Beratung sein oder ersetzen. Daher übernehmen wir keine Haftung für allfälligen Schadenersatz.

The material contained in this website is provided for general information purposes only and does not constitute legal or other professional advice. We accept no responsibility for loss which may arise from reliance on information contained on this site.