Neue Compliance-Vorschriften für Unternehmen nach der DSGVO

13/12/2016

Die EU-Datenschutz-Grundverordnung („DSGVO“) wird ab dem 25. Mai 2018 aufgrund ihrer unmittelbaren Anwendbarkeit in den EU-Mitgliedstaaten die Datenschutz-Richtlinie sowie die nationalen Ausführungsgesetze ersetzen. Sie bringt neben signifikant höheren Strafen als das DSG 2000 einige wichtige Neuerungen für Unternehmen im Bereich der Compliance mit sich. Zu solchen gehören das obligatorische „Verarbeitungsverzeichnis“ sowie die „Datenschutz-Folgenabschätzung“ unter gewissen Umständen.

Das österreichische Datenschutzgesetz 2000 („DSG 2000“) wird ab 25. Mai 2018 im Anwendungsbereich der DSGVO verdrängt und darf von Verwaltungsbehörden und Gerichten nicht mehr angewendet werden. Dies gilt gleichsam für alle nationalen Rechtsvorschriften, die sich auf einen Regelungsgegenstand beziehen, der von der DSGVO erfasst wird. Dem österreichischen Gesetzgeber verbleibt damit nur ein relativ schmaler Spielraum zur Regelung des Datenschutzes, der sich einerseits aus den nicht von der DSGVO geregelten Bereichen ergibt und andererseits aus den in der DSGVO vorgesehenen Öffnungsklauseln.

Bisherige Rechtslage

Das DSG 2000 sieht als grundlegende Voraussetzung für den Betrieb einer Datenanwendung deren Meldung im Datenverarbeitungsregister vor (§§ 17 ff. DSG 2000). Von dieser generellen Meldepflicht sieht das Gesetz jedoch einige Ausnahmen vor, unter anderem dann, wenn nur „indirekt personenbezogene Daten“ verarbeitet werden oder die Datenanwendung einer sogenannten Standardanwendung entspricht. Der österreichische Gesetzgeber hat mittels Verordnung die Liste der Standardanwendungen festgelegt, die üblicherweise von einer Vielzahl von Unternehmen in gleicher Weise vorgenommen werden. Zu diesen zählen beispielsweise die Anwendungen „SA001 Rechnungswesen und Logistik“ und „SA002 Personalverwaltung für privatrechtliche Dienstverhältnisse“. Unmittelbar nach der Abgabe der Meldung darf der Betrieb einer meldepflichtigen Datenanwendung aufgenommen werden. Dies gilt jedoch nicht, wenn eine meldepflichtige Datenanwendung der Vorabkontrolle unterliegt (§ 18 Abs. 2 DSG 2000).

Eine Datenanwendung unterliegt dann der Vorabkontrolle, wenn sie (1) meldepflichtig ist und (2) eine der alternativen Tatbestände des § 18 Abs. 2 DSG 2000 erfüllt ist. Zu diesen Tatbeständen gehört zum Beispiel die Verarbeitung sensibler Daten (Gesundheitsdaten, Gewerkschaftszugehörigkeit u.a.) oder strafrechtlich relevanter Daten. In diesen Fällen erfolgt eine Überprüfung der Datenanwendung durch die Behörde („Vorabkontrolle“), wobei die Datenanwendung vor erteilter Genehmigung nicht betrieben werden darf.

Rechtslage nach der DSGVO

Mit Anwendung der DSGVO am 25. Mai 2018 entfällt die Meldepflicht gänzlich.¹ Ab diesem Zeitpunkt obliegt es dem Auftraggeber (künftig: „dem für die Verarbeitung Verantwortlichen“) eine Liste der Datenanwendungen in einem eigenen Verzeichnis zu führen („Verzeichnis von Verarbeitungstätigkeiten“ gemäß Art. 30 DSGVO) sowie in bestimmten Fällen eine sogenannte „Datenschutz-Folgenabschätzung“ im Vorfeld der geplanten Datenverarbeitung zur Risikoanalyse durchzuführen (Art. 35 DSGVO). Die Datenschutz-Folgenabschätzung ist durchzuführen, wenn eine Datenverarbeitung aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat. Die DSGVO zählt dabei einige Datenverarbeitungszwecke beispielhaft auf, bei denen eine Datenschutz-Folgenabschätzung erforderlich ist. Überdies kann die Datenschutzbehörde eine Liste der Verarbeitungsvorgänge erstellen, bei denen entweder eine Datenschutz-Folgenabschätzung durchgeführt werden muss oder nicht. Für den Fall, dass ein „hohes Risiko“ festgestellt wird, muss unter Umständen die Datenschutzbehörde unterrichtet werden, die die geplante Datenverarbeitung sogar untersagen kann. Den im Datenverarbeitungsregister vorgenommenen Registrierungen kommt nach der DSGVO keinerlei rechtlich verbindliche Aussagekraft über die Rechtmäßigkeit der Datenverarbeitung zu. Die Einhaltung dieser Compliance-Vorschriften kann durch die Datenschutzbehörde überprüft werden. Die Datenschutz-Folgenabschätzung muss der Datenschutzbehörde nachgewiesen werden können. Dabei ist auf ein unternehmensinternes Verfahren abzustellen und es müssen darüber nachvollziehbare Aufzeichnungen geführt werden.

Auswirkungen auf die Praxis

Für Unternehmen bedeutet dies, dass sie in Zukunft noch stärker in die Verantwortung genommen werden, für die Compliance ihrer Datenverarbeitungen mit der DSGVO zu sorgen. So gilt es, rechtzeitig für die Erstellung des „Verarbeitungsverzeichnisses“ zu sorgen (zwingend ab 250 Mitarbeitern), in das auch derzeitige „Standardanwendungen“ eingetragen werden müssen, und gegebenenfalls eine Datenschutz-Folgenabschätzung zur Bewertung des Risikos durchzuführen.

Für Datenschutzverstöße drohen in Zukunft drakonische, existenzbedrohliche Strafen von bis zu EUR 10.000.000 oder bis zu 2 % des gesamten weltweiten Umsatzes (je nachdem, was höher ist) bzw. von bis zu EUR 20.000.000 oder bis zu 4 % des gesamten weltweiten Umsatzes (je nachdem, was höher ist). Die derzeit im DSG 2000 vorgesehenen Strafen von bis zur EUR 500, EUR 10.000 oder EUR 25.000 muten dagegen recht harmlos an.

________________________

¹Siehe dazu http://archiv.dsb.gv.at/site/8276/default.aspx für Informationen der Datenschutzbehörde.

Autoren

Das Photo von Johannes Juranek
Johannes Juranek
Partner
Das Photo von Johannes Scharf
Johannes Scharf
Associate