Zum Inhalt Zum Hauptmenü

Suchformular

AutorAutorAutorAutor

LETZTE PINSELSTRICHE VOR DER ANWENDBARKEIT DER DSGVO

publiziert: 
Datum: 
23. Mai 2018

Bevor die DSGVO rund zwei Jahre nach ihrem Inkrafttreten in wenigen Tagen anwendbar sein wird, nehmen sowohl die EU als auch die österreichische Regierung noch einen letzten (?) Feinschliff vor. Die Anpassung der Verordnung selbst durch den EU Gesetzgeber ebenso wie die neue Sammelnovelle bezüglich der Umsetzung der DSGVO in Österreich ernten dabei – erneut und nur teilweise berechtigt – viel Kritik.

Umfangreiche Anpassung der DSGVO ein Monat vor der Anwendbarkeit

Knapp vor dem Inkrafttreten der DSGVO hat der EU Gesetzgeber in einem 386 Seiten langem Dokument eine Anpassung für alle Sprachfassungen herausgebracht. In der Regel werden mit solchen Dokumenten nur offensichtliche Rechtsschreib- und Verweisfehler ausgebessert. So wurde im konkreten Fall die deutsche Fassung an gängige juristische Terminologien angepasst (wie "gewöhnlicher Aufenthaltsort" statt nur "Aufenthaltsort"). Bei genauer Betrachtung fällt aber auf, dass stellenweise in allen Sprachfassungen die gleichen Passagen abgeändert wurden. Damit wird klar, dass mit dem Dokument nicht nur bloß stilistische Verbesserungen, sondern zum Teil auch inhaltliche Anpassungen vorgenommen wurden. Einige davon sind durchaus zu begrüßen: So wurden die Begriffe in Zusammenhang mit der Akkreditierung und dem Zertifizierungsverfahren in den unterschiedlichen Gesetzesstellen vereinheitlicht, was zu einem besseren Verständnis der bislang nicht harmonisierten Regelungen führt. Die wichtigsten Änderungen haben wir für Sie zusammengefasst:

Verarbeitung statt Maßnahmen mit diskriminierender Wirkung

Der ErwG 71 präzisiert für Verantwortliche, welche Maßnahmen sie bei Profiling zum Schutz der Betroffenen treffen müssen:

"…sollte der für die Verarbeitung Verantwortliche […] personenbezogene Daten in einer Weise sichern, […] dass es gegenüber natürlichen Personen aufgrund von Rasse, ethnischer Herkunft, politischer Meinung, […] zu diskriminierenden Wirkungen oder zu Maßnahmen einer Verarbeitung kommt, die eine solche Wirkung haben."

Der Ersatz des Wortes "Maßnahmen" durch "Verarbeitung" verleiht dem Satz einen neuen Sinn. Während "Maßnahmen" ein weiter Begriff ist und sehr umfassend verstanden werden kann, bezieht sich "Verarbeitung" rein auf den Umgang mit personenbezogenen Daten. Auffallend ist, dass dieser Tausch in allen Sprachfassungen vorgenommen wurde. Damit kann es sich hierbei also um keinen bloßen Übersetzungsfehler handeln, sondern wurde hier bewusst über alle Sprachfassungen ein neuer, engerer Begriff gewählt.

Wo kann die betroffene Person klagen?

In ErwGr 145 wird die Möglichkeit des Betroffenen erläutert, gegen Verantwortliche Klage zu erheben:

"Bei Verfahren gegen Verantwortliche oder Auftragsverarbeiter sollte es dem Kläger überlassen bleiben, ob er die Gerichte des Mitgliedstaats anruft […] in dem die betroffene Person ihren Aufenthaltsort hat wohnt"

Auch hier wird in der neuen Sprachfassung ein weitaus engerer Begriff gewählt. Diese Änderung wurde aber nur in der deutschen Fassung vorgenommen. Es handelt sich hier also wohl um eine bewusste Klarstellung und Annäherung an das englische Dokument, das "reside" verwendet. Diesem Begriff kommt das deutsche "wohnen" näher.

Grundsätzlich…

Art 25 regelt die Technikgestaltung und datenfreundliche Voreinstellungen. Der zweite Absatz bezieht sich auf die diesbezüglichen Pflichten des Verantwortlichen:

"Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, die sicherstellen, dass durch Voreinstellung grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden."

Mit dem Begriff "grundsätzlich" wird normalerweise angezeigt, dass eine Bestimmung im Regelfall gelten soll, aber nicht abschließend ist. So werden (begründete) Ausnahmen ermöglicht. Durch die (nur in der deutschen Fassung!) vorgenommene Streichung des Begriffs "grundsätzlich" wird das Erfordernis der Implementierung geeigneter technischer und organisatorischer Maßnahmen final formuliert und werden Ausnahmen und Umgehungen abgeschnitten. Obwohl diese Änderung bei bloßer Betrachtung der deutschen Fassung gravierend erscheint, zeigt der Vergleich mit den anderen Sprachfassungen, dass dort bereits seit Anbeginn ähnlich strenge Formulierungen gewählt waren. Hier wurde – wenn auch mit großer Wirkung – eine sprachliche Unfeinheit der deutschen Fassung behoben. Der liberalere Ansatz hätte bei europarechtskonformer Auslegung unter Berücksichtigung der anderen Sprachdokumente so und so nicht gehalten.

Löschung der Kopien von personenbezogenen Daten

Art 28 regelt die Beziehung zum Auftragsverarbeiter und legt bestimmte Pflichten fest, die in einem Vertrag oder anderem Rechtsinstrument vorgesehen werden müssen. Abs 3 lit g, der die Löschungspflicht präzisiert, wurde wie folgt ergänzt:

"…nach Abschluss der Erbringung der Verarbeitungsleistungen alle personenbezogenen Daten nach Wahl des Verantwortlichen entweder löscht oder zurückgibt und die vorhandenen Kopien löscht, […]"

Die auf den ersten Blick erweiterte Löschungspflicht ist wiederum eine Angleichung an die übrigen Sprachfassungen, da sie offensichtlich in der deutschen vergessen wurde. In der Praxis ist diese Änderung aber nicht wirklich kritisch, da die Auftragsverarbeitungsvereinbarungen die naheliegende Löschung der Kopien in den meisten Fällen ohnehin berücksichtigen.

Disclaimer

Alle Angaben auf dieser Website dienen nur der Erstinformation und können keine rechtliche oder sonstige Beratung sein oder ersetzen. Daher übernehmen wir keine Haftung für allfälligen Schadenersatz.

The material contained in this website is provided for general information purposes only and does not constitute legal or other professional advice. We accept no responsibility for loss which may arise from reliance on information contained on this site.