Zum Inhalt Zum Hauptmenü

Suchformular

Handlungsbedarf durch die Datenschutz-Grundverordnung

Autoren: Axel Anderl, Nino Tlapak

Die ab 25.5.2018 anwendbare Datenschutz-Grundverordnung („DSGVO“) wirft ihre Schatten voraus: Neben der Ausweitung der Betroffenenrechte werden insbesondere die Pflichten der Verantwortlichen und Auftragsverarbeiter umfangreich erweitert. Trotz der für einige Teilbereiche geltenden Schonfrist bis 2020 zur Anpassung der Verarbeitungen an die neue Rechtslage, muss aufgrund des Umfangs und Detaillierungsgrads der Bestimmungen daher bereits jetzt mit der internen Umsetzung begonnen werden. 

Geänderter Anwendungsbereich
Während das noch geltende Datenschutzgesetz 2000 natürliche und juristische Personen gleichermaßen schützt, umfasst die DSGVO lediglich Daten natürlicher Personen. Noch ungeklärt ist, ob der nationale Gesetzgeber dennoch weiterhin ein paralleles Regime zur Verarbeitung von personenbezogenen Daten juristischer Personen – sei es im Rahmen des alten auf diesen Zweck reduzierten DSG oder unter Erweiterung der DSGVO durch ein nationales Umsetzungsgesetz – vorsieht. Aus heutiger Sicht scheint der Schutz von Unternehmensdaten durch die nationale Umsetzung der Geheimnisschutzrichtlinie wahrscheinlicher und zweckmäßiger. Damit käme es nicht zum Worst-Case-Szenario und würde auch das im Vergleich zu vielen anderen Staaten bestehende, wenig Mehrwert bringende strengere Schutzregime entschärft. Für Einzelunternehmer würde sich dadurch freilich wenig ändern: Sie sind zugleich auch natürliche Personen und bleiben ihre Daten daher auch nach der DSGVO erfasst.

Unabhängig vom geänderten Anwendungsbereich bringt die DSGVO zahlreiche weitere Neuerungen, die sich auf die unternehmerische Praxis auswirken:

Einwilligung in AGB – Kopplungsverbot?
Die meisten Datenverarbeitungen beruhen auf einer Zustimmungserklärung des Betroffenen. Nach der aktuellen Gesetzeslage muss diese auf einer umfassenden Information des Betroffenen beruhen, von ihm ohne Zwang erteilt werden und über die jederzeitige, grundlose Widerrufbarkeit aufklären. „Ohne Zwang“ wird in der Praxis weit im Sinne von „freiwillig“ – also mit tatsächlicher Alternative – ausgelegt.

Das HG und OLG Wien wertete daher die Koppelung des Vertragsabschlusses mit einer zwangsweisen, datenschutzrechtlichen Einwilligung durch Implementierung der Zustimmung in AGB als Verstoß gegen das Freiwilligkeitsgebot. Klärende oberstgerichtliche Rechtsprechung zu dieser Thematik ist aber weiterhin ausständig.

In Zukunft wird die gängige Marktpraxis, Zustimmungserklärungen in AGB zu integrieren und damit mit dem Vertragsabschluss zwingend zu verknüpfen, aber durch das Kopplungsverbot der DSGVO weiter auf die Probe gestellt: So statuiert Art 7 Abs 4 DSGVO eine restriktive Beurteilung der Freiwilligkeit und stellt darauf ab, ob die Vertragserfüllung von der Einwilligung abhängig gemacht wird: Demnach liegt keine freiwillige Zustimmung vor, wenn unterschiedliche Sachverhalte mit nur einer Erklärung (statt mit separaten Erklärungen) abgedeckt werden oder die Vertragserfüllung von einer Zustimmung zur Datenver- arbeitung abhängig gemacht wird, obwohl sie dafür gar nicht erforderlich ist. Andererseits legt Art 7 Abs 2 DSGVO fest, dass bei Einholung einer noch andere Sachverhalte betreffenden Erklärung die Zustimmung in verständlicher und leicht zugänglicher Form sowie in einer klaren und einfachen Sprache erfolgen muss. Auch muss sie von anderen Sachverhalten klar zu unterscheiden sein. Vor allem vor dem Hintergrund, dass der Norm nicht jeglicher Anwendungsbereich entzogen werden darf, kann das Kopplungsverbot daher nicht absolut wirken. In der Praxis wird es somit auf die tatsächliche Ausgestaltung der Zustimmung und Implementierung sowie den Umfang der Datenverarbeitung ankommen.

Keine Meldung oder Genehmigung mehr notwendig
Im derzeitigen System ist für jede Datenanwendung eine gesonderte Meldung und für jede Datenweitergabe an Empfänger in unsicheren Drittstaaten eine Genehmigung der Datenschutzbehörde vorgesehen. Diese Pflichten entfallen ab 2018 und ist stattdessen eine unternehmensinterne, detaillierte Dokumentation aller Verarbeitungsvorgänge zu führen (Art 30 ff DSGVO). Das ist jedenfalls eine Erleichterung und gleichzeitig wichtige Voraussetzung zur Einhaltung der weiteren Pflichten:

Risikoabschätzung und Meldung von Datenschutzverstößen
Die Art 35 ff DSGVO sehen eine verpflichtende Datenschutz-Folgenabschätzung vor, sofern eine Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat. Die Prüfung muss laufend aktualisiert und dokumentiert werden und eine systematische Beschreibung der Verarbeitung und Zwecke sowie insbesondere eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenanwendung enthalten. Zudem sind die dabei aufgedeckten Risiken zu bewerten und geeignete Abwehrmaßnahmen zu etablieren.

Eine saubere Dokumentation aller Anwendungen inklusive der erforderlichen Folgenabschätzung ist somit unverzichtbare Grundvoraussetzung für die Einhaltung der in Art 33 ff DSGVO statuierten Meldepflicht bei Datenschutzverstößen: So ist bei einer Verletzung der Sicherheit, die zur Vernichtung, Verlust, Veränderung, unbefugten Offenlegung oder unbefugtem Zugang zu personenbezogenen Daten führt, unverzüglich (spätestens binnen 72 Stunden) eine Meldung an die Datenschutzbehörde – und bei hohem Risiko auch direkt an die Betroffenen – zu erstatten. Dies wird in der Praxis den größten Zeit- und Ressourcenaufwand für die Unternehmen darstellen.

Rechtsfolgen und Fazit
Während die bisherigen Verwaltungsstrafen mit maximal EUR 25.000 gedeckelt waren, sieht Art 83 DSGVO nunmehr ein erhöhtes Strafmaß vor: So sind Verstöße gegen die mannigfachen Verpflichtungen der Verantwortlichen und Auftragsdatenverarbeiter mit einer Strafe bis zu (i) EUR 10 Mio. bzw. EUR 20 Mio. oder – je nachdem welcher Wert höher ist – (ii) 2 % bzw. 4 % des gesamten weltweit erzielten Jahresumsatzes des vorigen Geschäftsjahrs bedroht.

Sowohl wegen des doch signifikant geänderten Regimes als auch wegen der schärferen Strafdrohung kommt der datenschutzrechtlichen Compliance nunmehr eine wesentlich größere Bedeutung zu. Dafür ist es erforderlich, die bestehenden Prozesse kritisch zu prüfen, Versäumnisse aus der Vergangenheit zu beheben, bestehende Abläufe an das neue Regime anzupassen und die zusätzlich notwendigen zu implementieren. Dies betrifft insbesondere das Etablieren einer umfangreichen Datenschutz-Folgenabschätzung sowie die Einhaltung der Dokumentations- und Informationspflichten.  

Weitere Newsletter-Artikel:

Der "MAC" beim Unternehmenskauf
Neues zu Aufgriffsrechten im GmbH-Gesellschaftsvertrag
Wann haftet der Compliance-Officer?
Steuerliche Verlustvorträge in Jahresabschlüssen erstmals aktivierbar
Mehr Biss für den Kartellschadenersatz
Neue Gestaltungsmöglichkeiten durch gemeinnützige Stiftungen
Prämienzahlungsklauseln: Hohe Erwartungen der FMA an Versicherer

Alle Angaben auf dieser Website dienen nur der Erstinformation und können keine rechtliche oder sonstige Beratung sein oder ersetzen. Daher übernehmen wir keine Haftung für allfälligen Schadenersatz.

 



© 2021 · DORDA · Facebookinstagramlinkedin  PODCAST

wirschaffenklarheit