€ 20 Mio: Die neue Datenschutz-Grundverordnung (DSGVO) straft hart.
Vorab: Mein Ziel ist es hier, einen raschen Überblick über die wesentlichen Eckpunkte dieser neuen Verordnung zu geben. Ich bin keine Juristin und die exakte Auswirkung mancher Regelungen in der DSGVO wird wohl erst im Laufe der Zeit ausjudiziert. Dementsprechend versteht sich der folgende Artikel bitte als Diskussionsgrundlage. Unabhängig davon empfiehlt es sich, deinen Webshop und deine Unterlagen unbedingt rechtlich prüfen zu lassen. Weiterführende Informationen der Wirtschaftskammer Österreich sind im Artikel verlinkt.
Was ist die DSGVO?
Die EU-Datenschutz-Grundverordnung – kurz EU-DSGVO – ersetzt die bisher gültige EU-DSRL (EU-Datenschutzrichtlinie) bzw. daraus resultierenden, unterschiedlichen nationale Umsetzungsgesetze der EU-Staaten. So soll ein unionsweit einheitliches Datenschutzniveau erreicht werden (sog. „Vollharmonisierung“). Allerdings enthält die DSGVO zahlreiche „Öffnungsklauseln“, die den europäischen Mitgliedsstaaten Regelungsspielräume belassen. Länderspezifische Abweichungen werden also nach wie vor möglich sein. Im Falle von Österreich betrifft das konkret das Datenschutzgesetz (DSG) 2000.
Wen/was betrifft die DSGVO?
Die EU-DSGVO betrifft global alle Organisationen, die…
- mit EU-Bürgern zu tun haben oder sich auch nur auf die EU ausrichten und
- in irgendeiner Art und Weise personenbezogene Daten selbiger erfassen oder verarbeiten (also z.B.: Kontaktformulare anbieten, Kundenkonten verwalten, Rechnungen ausstellen,…) .
Es müssen also auch Unternehmen mit Sitz außerhalb Europas diese Verordnung befolgen, sobald obenstehende Punkte auf sie zutreffen.
Was ist nicht betroffen?
- Manuelle Dateien, die keiner Ordnung unterliegen (z.B. Akten in Papierform).
- Datenverarbeitung natürlicher Personen zur Ausübung persönlicher oder familiärer Tätigkeiten (z.B. Nutzung sozialer Netzwerke).
- Daten juristischer Personen und eingetragener Personengesellschaften (z.B. GmbH, OG, KG) ausgenommen die von Einzelunternehmen.
- Anonyme Daten – also Daten, deren Herkunft nicht mehr auf eine Person zurückzuführen ist – sind von dieser Verordnung ausgenommen.
Ab wann gilt sie?
Die EU-DSGVO tritt mit 25.05.2018 um 0:00 Uhr in Kraft. Es gibt keine Übergangsfrist zwischen alter und neuer Rechtslage.
Was passiert bei Nichteinhaltung?
Für nicht an die neue Rechtslage angepasste Datenanwendungen drohen – abhängig von Art, Schwere und Dauer des Verstoßes – Strafen von bis zu 20 Mio. € bzw. 4% des weltweiten Jahresumsatzes des vorangegangenen Geschäftsjahres (es gilt der höhere Wert) von der zuständigen Aufsichtsbehörde.
Was steht drinnen/was ist neu?
- Die Meldepflicht an das Datenverarbeitungsregister (DVR) entfällt. Stattdessen treffen sowohl Verantwortliche („Auftraggeber“ = AG) als auch Auftragsverarbeiter („Dienstleister“ = DL) vermehrte Berichts- und Auskunftspflichten.
Durchführung einer Datenschutz-Folgenabschätzung bei potentiell risikoreichen Verarbeitungsvorgängen, konkret
- automationsunterstützte Auswertungen von personenbezogenen Aspekten, z.B.: Profiling
- bei einer großen Zahl an Datenverarbeitungen von sensiblen Daten
- systematischen Überwachungen von öffentlich zugänglichen Orten
sowie Vorab-Konsultation der Aufsichtsbehörde sofern keine Präventionsmaßnahmen getroffen werden (können).
Voraussetzungen und Analyseschritte für die Risiko-Folgenabschätzung (WKO)
Bestellung eines Datenschutzbeauftragten für
- öffentliche Stellen
- Unternehmen, deren Kerntätigkeit aus Datenverarbeitung besteht, welche regelmäßige und systematische Kontrolle von Datenschutzobjekten beinhaltet (z.B. Profiling)
- Unternehmen, die sensible Datensätze in großer Zahl erfassen
Voraussetzungen, Aufgaben, Qualifikationen des Datenschutzbeauftragten (WKO)
Umfangreiche Aufzeichnungspflichten (für Auftraggeber und Dienstleister!) in Form eines „Verzeichnisses von Verarbeitungstätigkeiten“ (ähnlich der derzeitigen DVR-Meldungen).
Entbunden davon sind idR. KMU (also Unternehmen mit weniger als 250 MitarbeiterInnen) mit folgenden Ausnahmen:- Datenverarbeitungsvorgänge (DVV) mit hohem Risiko
- DVV erfolgen nicht gelegentlich
- DVV erfassen sensible oder strafrechtlich relevante Daten
Pflicht und Umfang von Verzeichnissen von Verarbeitungstätigkeiten (WKO)
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („Privacy by Design & Privacy by Default“), z.B. durch Pseudonymisierung, Verschlüsselung, Grundsatz der Datenminimierung
Maßnahmen und Vorgehensweise (WKO) - Datenschutzverletzungen müssen „ohne unangemessene Verzögerung“ sowohl den nationalen Aufsichtsbehörden als auch der betroffenen Personen gemeldet werden (sog. „Data Breach Notifications„).
Pflichten und Vorgehensweise bei Datenschutzverletzungen (WKO) - Betroffenenrecht auf Berichtigung, Löschung („Vergessenwerden“) bzw. Einschränkung der Verarbeitung der personenbezogenen Daten.
Was bei solchen Anträgen zu tun ist (WKO) - Betroffenenrecht auf Widerspruch der Verarbeitung der personenbezogenen Daten
Abwicklung von Widerspruchsanträgen (WKO) - Betroffenenrecht auf Datenübertragbarkeit
Details zur Vorgehensweise (WKO) - Betroffenenrecht auf Auskunft
Korrekte Abwicklung von Auskunftsanträgen (WKO) - Umfangreiche Informationspflichten an den Betroffenen
Umfang, Zeitpunkt und Ausnahmen (WKO) - Informationspflichten und Betroffenenrechte sind „ohne unangemessene Verzögerung“, spätestens aber innerhalb eines Monats zu erledigen (diese Frist kann unter bestimmten Umständen um höchstens weitere 2 Monate verlängert werden).
Fazit
Angesichts des großen Umfangs der Thematik, der fehlenden Übergangsfrist und der empfindlich hohen Strafen sind Webshop- und in bestimmten Fällen auch Webseiten-Betreiber gut beraten, sich rechtzeitig mit gesetzlichen Änderungen auseinanderzusetzen und die konkreten Maßnahmen vorzubereiten bzw. umzusetzen. Auf unserer Webseite „Rechtliches“ bieten wir Ihnen eine Übersicht über grundlegende und aktuelle rechtliche Rahmenbedingungen im Online-Handel.
Noch Fragen oder Anmerkungen? Habt ihr andere/weitere gute Quellen? Dann bitte einfach posten!