Verzeichnis von Verarbeitungstätigkeiten

Die ab 25. Mai 2018 zur Anwendung kommende Datenschutz-Grundverordnung (DSGVO) bringt erhöhte Dokumentations- und Rechenschaftspflichten für Unternehmen bei der Verarbeitung personenbezogener Daten mit sich. Einen Schwerpunkt der Dokumentation wird dabei das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO bilden. Die Verpflichtung zur Erstellung und Führung des Verzeichnisses trifft in der Praxis fast alle Verantwortlichen und Auftragsverarbeiter.

Inhalt des Verarbeitungsverzeichnisses

Der Inhalt des Verzeichnisses ist im wesentlichen im §30 der DSGVO geregelt und umfasst:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Sinnvollerweise sollte das Verzeichnis noch mit Informationen zur Rechtmäßigkeit der Verarbeitung ergänzt werden.

Verzeichnis von Verarbeitungstätigkeiten ersetzt DVR-Meldung

Die Pflicht zur Führung eines Verzeichnisses ersetzt in Österreich die Verpflichtung zur Meldung einer Datenanwendung beim Datenverarbeitungsregister (DVR). Die bestehende Offenlegungspflicht ist Teil des DSG 2000 und gilt, bis auf gesetzlich festgelegte Ausnahmen, den sogen Standard- und Musteranwendungen, für alle Auftraggeber bei der Verwendung von personenbezogenen Daten. Bei Durchsicht aktueller Eintragung von Datenanwendungen im Register, kann man jedoch unschwer feststellen, dass diese Pflicht von den Auftraggebern bis dato nicht allzu intensiv wahrgenommen worden ist. Ein Verstoß gegen die Offenlegungspflicht ist aktuell mit einer Verwaltungsstrafe bis 10.000,- Euro bedroht. Mit Einführung der Datenschutz-Grundverordnung entfällt die beschriebene Registrierpflicht von Datenanwendungen.

Stattdessen müssen Verantwortliche (die DSGVO ersetzt den Begriff Auftraggeber durch Verantwortliche) und Auftragsverarbeiter zukünftig zum Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben ein Verzeichnis der Verarbeitungstätigkeiten führen, welches jederzeit und vollständig für die Aufsichtsbehörden vorgehalten werden muss. Bei Regelverstoß droht dann ein Bußgeld von bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes, so dass sich hier für Unternehmen ein dringender Handlungsbedarf ergibt.

Die Verantwortung für das Führen des Verarbeitungsverzeichnisses liegt beim Verantwortlichen bzw Auftragsverarbeiter, dh bei Unternehmen idR bei der Geschäftsführung. In der Praxis wird das Erstellen und das Führen des Verzeichnisses der Verarbeitungstätigkeiten meist dem Datenschutzbeauftragten oder Projektverantwortlichen für Datenschutz übertragen.

Tipps zur Erstellung des Verzeichnisses

Unternehmen, die bereits jetzt ihrer Meldepflicht bei Datenverarbeitungsregister nachgekommen sind, wird die Erstellung des Verzeichnisses naturgemäß leichter fallen. Die österreichische Datenschutzbehörde ermöglicht für registrierte Datenanwendungen den Export der gemeldeten Daten  in elektronischer Form. Die exportierten Daten dienen als Grundlage für das neu zu erstellende Verzeichnis von Verarbeitungstätigkeiten. Es sollte in diesen Fällen jedoch unbedingt geprüft werden, inwieweit die bisherigen Registereinträge die inhaltlichen Anforderungen des Art. 30 DSGVO erfüllen und ggf. entsprechend ergänzt werden müssen. Vor allem bei den Löschfristen und bei der Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen zeichnet sich hier ein Nachbesserungsbedarf ab.

Im Falle von nicht vorhandenen Registrierungen, zB für Standardanwendungen wie die „Personalverwaltung für privatrechtliche Dienstverhältnisse“, muss zunächst festgestellt werden, welche Arten von personenbezogenen Daten von Betroffenen, z.B. Beschäftigten, vom Unternehmen erhoben und verarbeitet werden. Ausgangspunkt ist idR eine Inventarisierung der vom Unternehmen eingesetzten internen bzw externen IT-Systeme, Prozesse und Anwendungen, in denen personenbezogene Daten für verschiedene Zwecke verarbeitet werden. Die Ergebnisse der IST-Analyse dienen als Basis für die weitere Dokumentation des Verzeichnisses von Verarbeitungstätigkeiten. Dieses wird in der Praxis zwecks Übersichtlichkeit meist aus mehreren Verzeichnissen für verschiedene Verarbeitungsvorgänge (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) bestehen und in elektronischer Form erfolgen.

In der Praxis stellt vor allem die Zuordnung einzelner Datenarten zu Datenkategorien eine Herausforderung dar. Beim Rückgriff auf Datenfelder oder -arten leidet rasch die Übersichtlichkeit des Verzeichnisses und der Aufwand zur Bestimmung der vorgesehenen Löschfristen steigt beachtlich.

Umsetzung erfordert Zeit und Personal

Vor allem Unternehmen ohne Meldungen im DVR bzw  interne Datendokumentation sollten den zeitlichen und personellen Aufwand für die Erstellung der Verzeichnisse nicht unterschätzen. Eine vollständige und DSGVO-konforme Erfassung und Dokumentation der Verarbeitungstätigkeiten im Unternehmen ist von einer Vielzahl von Faktoren abhängig und sollte unbedingt rechtzeitig, effizient und effektiv erfolgen. Das Büro für Datenschutz & Datensicherheit unterstützt Sie gerne mit Dienstleistungen bei der Erstellung und Führung des Verzeichnisses der Verarbeitungstätigkeiten.

Getagged mit: ,

Datenschutz für Immobilienmakler

Am 15. Dezember 2017 durfte ich auf Einladung von ERA Immobilien Austria einen Kurzvortrag zum Thema „Datenschutz für Immobilienmakler“ halten. Ziel der Veranstaltung war die grundlegende Information der anwesenden Makler zum den bevorstehenden Anforderungen durch die das Inkrafttreten der DSGVO und des DS-AG 2018 im Mai 2018. In der Vorbereitung auf den Vortrag bin ich auf ein eine interessante Information gestoßen, die mich veranlasst hat, nachfolgenden Beitrag zu schreiben.

Datenschutzprüfung von Immobilienmaklern in Bayern

Immobilienmakler erheben und speichern im Zuge ihrer Tätigkeit bei der Vermietung beim Verkauf von Wohnraum eine Fülle von, mitunter auch sensiblen, personenbezogenen Daten. Diese Ausgangslage veranlasste das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) im Jahre 2015, landesweit zu prüfen, welche personenbezogenen Daten von Immobilienmaklern auf welche Art und Weise und zu welchem Zeitpunkt erhoben werden Vorrangiges Ziel der immer noch andauernden Prüfung ist es, die Makler in Hinblick auf Datenschutz und Datensicherheit zu sensibilisieren, und festzuhalten, welche Daten zu welchem Zeitpunkt erhoben werden dürfen und welche Daten für den Zweck der Vermietung bzw. des Kaufs einer Immobilie aus datenschutzrechtlicher Sicht nicht benötigt werden – und somit folglich nicht erhoben werden dürfen.

Bisheriges Fazit der Prüfung lt BayLDA besteht bei fast allen geprüften Maklern ein Handlungsbedarf bezüglich dem Umfang der erhobenen Daten und der Sicherheit ihrer Webseite.Auch gängige Verfahren zur Reichweitenmessung für E-Mail Aussendungen oder Webseiteninhalte, zB Google Analytics werden oft nicht datenschutzkonform eingesetzt. Ebenso konnte häufig keine Datenschutzerklärung vorgefunden werden.

Auskunftspflicht der Immobilienmakler

Legitimiert war die Prüfung durch die BayLDA durch das deutsche Datenschutzgesetz, welches der Aufsichtsbehörde ein anlassloses Kontrollrecht einräumt. Eine entsprechende Prüfung durch der Datenschutzbehörde im Zuge eines Schwerpunktverfahrens wäre im übrigen auch in Österreich möglich.

Die Auskunftspflicht der Immobilienmakler erstreckte sich im konkreten Fall auf folgende Themen:

  1. Erhebung von Daten über Miet- und Kaufinteressenten einschließlich der Speicherdauer dieser personenbezogenen Daten.
  2. Angaben zur elektronischen Datenerhebung, wie etwa die Kontaktaufnahme per E-Mail oder über die eigene Webseite.
  3. Einzelne Angaben zur Datensicherheit, insbesondere zu den getroffenen technischen und organisatorischen Maßnahmen (z.B. verschlüsselte Kommunikation).
  4. Umfassende Angaben zur Anfertigung von Kopien, insbesondere von den Ausweisen der Interessenten und Mieter
  5. Einsatz externer IT-Dienstleister, wie beispielsweise Cloud-Dienste-Anbieter, Wartungsunternehmen etc.

Das vorläufige Fazit der Behörde zeigt, dass es im Einzelfall, gerade für kleine oder Ein-Personen-Unternehmen die datenschutzkonforme Verarbeitung von personenbezogenen Daten einige Fallstricke beinhalten kann. Eine erste Orientierungshilfe für eine rechtskonforme Handhabung der Datenerhebung im Zuge der Maklertätigkeit liefert das Informationsblatt „Einholung von Selbstauskünften bei Mietinteressenten“. Das 6-seitige Dokument beschreibt in Hinblick auf deutsches Recht die eng gesetzten Grenzen beim Umgang mit personenbezogenen Daten. Die getroffenen Feststellungen in Hinblick auf die gültige oder ungültige Verarbeitung von personenbezogenen Daten bei der „Verwaltung von Besichtigungstermin“ „ Annahme eines Mietangebots“ sowie „Entscheidung für einen bestimmten Mietinteressenten“ sind weitgehend auch für Österreich anwendbar.

Konsequenzen aus Datenschutzverletzungen

Bei Verletzungen des Datenschutzes drohen ab 25. Mai 2018 deftige Strafen für die Verantwortlichen. In Hinblick auf die im oben angeführten Datenschutzmängel könnten seitens der Aufsichtsbehörde schmerzhafte Bußgelder in der Höhe von bis zu 10 Mio Euro verhängt werden. Um entsprechende Strafen zu vermeiden, empfiehlt sich für betroffene Unternehmen eine rechtzeitige und umfassende Vorbereitung auf die zukünftigen Pflichten und Aufgaben durch die DSGVO und das DS-AG 2018.

Links

 

2. OÖ-Datenschutztag – Ein Format gewinnt an Profil

Datenschutztag

Am 24. Oktober 2017 fand in der Welser Villa Muthesius der 2. OÖ-Datenschutztag statt. Im Zuge der Veranstaltung informierten vier Datenschutzexperten über aktuelle Themen in Zusammenhang mit der für 2018 anstehenden Datenschutzreform. Neben den Vorträgen präsentierten Aussteller ihre Datenschutz Management Tools im Dialog mit den Teilnehmerinnen und Teilnehmer.

Datenschutzbehörde mit neuen Aufgaben und Befugnissen

Der stellvertretende Leiter der Datenschutzbehörde, Matthias Schmidl, informierte, in seinem überaus interessanten Einblick in aktuelle Belange der Datenschutzbehörde, über zukünftige, deutlich erweiterte Tätigkeitsbereiche der österreichischen Aufsichtsbehörde.  Die Behörde wird ab Mai 2018 mit einer Reihe von erweiterten Aufgaben und den damit verbundenen Befugnissen  ausgestattet werden, ua unmittelbare Untersuchungsbefugnisse und die Befugnis zur Verhängung von Geldbußen.

Schmidl kündigte auch an, dass die im Gesetz vorgeschriebene Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, noch im heuer als Verordnungsentwurf in Begutachtung gehen soll. In Hinblick auf das Verzeichnis der Verarbeitungstätigkeiten, verwies auf die seit kurzem bestehenden Exportfunktionen das Datenverarbeitungsregisters (DVR), welche dem Verantwortlichen die Möglichkeit bietet, die Meldedaten der bestehenden Registrierungen von Datenanwendungen herunterzuladen, um diese, als Ausgangspunkt für ein zukünftiges Verzeichnis der Verarbeitungstätigkeiten verwenden zu können.

Aktuelle Entwicklungen im Datenschutzrecht

Der Linzer IT-Anwalt, Thomas Schweiger, unterstrich in seinem, mit einer Vielzahl von praktischen Beispielen gespickten Vortrag, die Konsequenzen von Datenschutzverletzungen für die Verantwortlichen.

Neben unweigerlichen Imageverlusten drohen den betreffenden Unternehmen in Zukunft auch empfindliche Geldbußen bis zu einer Höhe von 20 Mio Euro und mehr.

Schweiger machte auch deutlich, dass Haftung und Compliance im neuen Datenschutzrecht zwei Seiten einer Medaille sind. Je genauer ein Unternehmen, die Bestimmungen des Datenschutzrechtes einhalte, desto geringer wird das Risiko, wegen Schadenersatz in Anspruch genommen zu werden oder eine Geldbuße von der Datenschutzbehörde zu erhalten. Schadenersatzansprüche, die, laut Schweiger, auch Geschäftsführer bei Regressforderungen empfindlich treffen können.

Professionelles Datenschutz Management

Der IT-Sicherheits- und Datenschutzexperte Peter Kleebauer präsentierte in seinem Vortrag, ein, im Zuge seiner Beratungstätigkeit entwickeltes professionelles Datenschutz-Management-System.

Basierend auf vier Fachbereiche: IT, Organisation, Recht und Prozesse entstand dabei ein Praxisleitfaden für Verantwortliche und Auftragsverarbeiter zur Umsetzung einer risikoorientierten Datenschutz-Compliance im Unternehmen.

Anhand von ausgewählten Beispielen verdeutlichte er überaus anschaulich die vielseitigen und praxisnahen Anwendungsmöglichkeiten des Datenschutz-Management-Systems.

Aufgaben eines Datenschutzbeauftragten

Zum Abschluss referierte der Welser Sachverständige für Datenschutz und externe Datenschutzbeauftragte, Horst Greifeneder, über Aufgaben und Pflichten eines Datenschutzbeauftragten in der Praxis.

Neben den Aufgaben aus der DSGVO könne der Datenschutzbeauftragte weitere Tätigkeiten im Rahmen der erforderlichen Maßnahmen zur Datenschutz-Compliance übernehmen. Wichtig sei dabei, dass die Maßnahmen im Rahmen eines eigenen Datenschutz Management Prozesses sorgfältig geplant, umgesetzt und laufend überprüft  bzw verbessert werden. Das Datenschutz Management sei ein fortlaufender Prozess, der im Sinne der Betroffenen, Verantwortlichen und Auftragsverarbeiter stets weiterentwickelt werden muss.

Zufriedene Teilnehmer, neuer Datenschutztag im April 2018

Die Teilnehmerinnen und Teilnehmer der Veranstaltungen zeigten sich im persönlichen Gespräch durchwegs sehr zufrieden mit der Organisation, den Inhalten, Referenten und Ausstellern. Nachfolgend ein paar Aussagen, die in Erinnerung geblieben sind:

Sehr spannend und aufschlussreich. Habe einige wichtige Anregungen für meine eigene Kanzleiarbeit mitnehmen können.

Vollprofis am Werk. Die Vorträge waren alle sehr informativ, unterhaltsam und interessant.

Ein kompetentes Fachpublikum und großes Interesse an unserer Software-Lösung. Als Aussteller haben wir uns bei der Veranstaltung sehr wohl gefühlt.

Die Location und Gastlichkeit waren top. Sehr freundliche und kompetente Aussteller mit interessanten Software-Lösungen für Datenschutz-Management.

Persönlich möchte ich mich bei allen Teilnehmerinnen und Teilnehmer bedanken, welche mit ihrem Interesse und ihren Fragen wesentlich dazu beigetragen haben, den 2.OÖ-Datenschutztag erfolgreich zu machen.

Der nächste OÖ-Datenschutztag ist für den 25. April 2018 geplant.

Rechenschaftspflicht für Verantwortliche und Auftragsverarbeiter

Die EU-weite Datenschutz-Grundverordnung (DSGVO) wird nach einer Übergangsphase von zwei Jahren am 25. Mai 2018 auch in Österreich wirksam werden. Sie bringt, neben einem Wegfall der in Österreich geltenden Meldepflicht für Datenanwendungen im Datenverarbeitungsregister, eine Reihe von neuen Dokumentationspflichten (Rechenschaftspflicht) für Verantwortliche und Auftragsverarbeiter mit sich. Zentraler Baustein, um der normierten Rechenschaftspflicht zu genügen, ist das vom Verantwortlichen und Auftragsverarbeiter zu führende Verzeichnis der Verarbeitungstätigkeiten. Zusätzlich müssen auch das Vorhandensein von Einwilligungen (Art. 7 Abs. 1), das Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7) sowie geeignete, technische und organisatorische Datensicherheitsmaßnahmen (Art. 32 Abs. 1) durch entsprechende Dokumentationen vom Verantwortlichen und/oder Auftragsverarbeiter nachgewiesen werden können.

Verzeichnis der Verarbeitungstätigkeiten

Dieses Verzeichnis der Verabreitungstätigkeiten betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Es wird in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren notwendigerweise oft aus einer Reihe von Einzelbeiträgen bestehen müssen. Das Verfahrensverzeichnis wird somit die Summe der einzelnen Verfahrensbeschreibungen sein. [1]

Einwilligungen durch betroffene Personen

Beruht die Verarbeitung der personenbezogenen Daten auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten rechtmäßig eingewilligt hat. Grundsätzlich kann die Einwilligung durch die betroffenen Person auch mündlich oder elektronisch erfolgen. Aus Gründen der späteren Nachweisbarkeit der erfolgten Einwilligung empfiehlt sich mE die Schriftform oder ein Double-Opt-In Verfahren. Die Einwilligung muss auch nach Jahren noch nachweisbar sein, was insbesondere bei schriftlichen Erklärungen eine Herausforderung darstellen könnte. Stichwort: Personenbezogenes Dokumenten Management System.

Ferner sind bestehende Einwilligungen bis zur Anwendbarkeit der DSGVO im Mai 2018 upzudaten, eine weitere Übergangsfrist ist nicht vorgesehen. Ab diesem Datum müssen alle genutzten Einwilligungen den verschärften Anforderungen der DSGVO genügen.

Ergebnis der Datenschutzfolgenabschätzungen

Hat die Form der geplanten Datenverarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche vorab eine Datenschutzfolgenabschätzung der Verarbeitungsvorgänge in Hinblick auf den Schutz personenbezogener Daten durchführen.

In Hinblick auf geltende Prüfpflichten sind die Inhalte und Ergebnisse einer durchgeführten Datenschutzfolgenabschätzung durch den Verantwortlichen schriftlich zu dokumentieren.

Dokumentation der technischen und organisatorischen Datensicherheitsmaßnahmen

Verantwortliche und Auftragsverarbeiter haben, um ein dem Risiko angemessenes (Daten-)Schutzniveau zu gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen.

Die zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten getroffenen Maßnahmen sind ua in Hinblick auf geltende Nachweis- und Prüfpflichten für Verantwortliche und Auftragsverarbeiter zwangsläufig zu dokumentieren.

Geldbußen bei Verstößen gegen die Rechenschaftspflicht

Verstöße durch eine fehlende oder nicht vollständige Dokumentationen oder das Nichtvorlegen der Dokumentationen nach Aufforderung durch die Aufsichtsbehörde können von der Datenschutzbehörde mit Geldbußen von bis zu 20 Mio EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden.

Empfehlung hinsichtlich Rechenschaftspflicht

Aus unserer Sicht ist es für Unternehmen empfehlenswert, rechtzeitig mit der Planung und Umsetzung einer strukturierten Datenschutzdokumentation, zB vollständiges Verzeichnis von Verarbeitungstätigkeiten. Eine vollständige und aktuelle Datenschutzdokumentation dient als wesentliche Grundlage für dem Verantwortliche und Auftragsverarbeiter zur Erfüllung der, gemäß Art. 5 Abs. 2 DSGVO vorgesehenen Rechenschaftspflicht zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten im Unternehmen.

Die ordnungsgemäße Erfüllung der Rechenschaftspflicht durch den Verantwortlichen bzw dem Auftragsverarbeiter ist bei der Entscheidung durch die Datenschutzbehörde über die Verhängung einer Geldbuße und über deren Betrag gebührend zu berücksichtigen.

Quellen

[1]  Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO, Datenschutzkonferenz.

Getagged mit: , ,

Datenschutz für Bewerberdaten

Unternehmen erhalten auf elektronischem Wege fast täglich Bewerbungen auf offene Stellen. Dabei handelt es sich entweder um Initiativbewerbungen oder um eine Bewerbung für eine aktuelle Stellenausschreibung. Die nicht ordnungsgemäße Verarbeitung und Übermittlung von erhaltenen Bewerberdaten kann dabei für den Verantwortlichen schnell zur unvermuteten, datenschutzrechtlichen Stolperfalle werden.

Im Zuge meiner Tätigkeit als externer Datenschutzbeauftragter bin ich immer wieder mit nachfolgenden Fragen konfrontiert:

  • Wie lange dürfen personenbezogene Bewerberdaten (Motivationsschreiben, Lebensläufe, Bewerbungsmappen, Video-Interviews uä) eigentlich gespeichert werden?
  • An wem innerhalb des Unternehmens dürfen sie weiter gegeben werden?
  • Wie dürfen Bewerberdaten erhoben werden und was ist dabei zu beachten?

Bewerberdaten sind zu löschen

Personenbezogene Daten sind zu löschen, wenn sie zur Erfüllung der Datenverarbeitungszweckes nicht mehr benötigt werden und keine rechtmäßige Grundlage für eine weitere Aufbewahrung mehr besteht. Zweck der elektronischen Verarbeitung von Bewerberdaten ist die Auswahl einer, für die freie Arbeitsstelle geeigneten Person. Ist die Stelle besetzt, sind die Bewerberdaten also zu löschen? Im Prinzip ja, außer es gibt eine ausdrückliche, am besten schriftliche, Einwilligung der Bewerberin oder des Bewerbers für eine weitere zulässige Verarbeitung der Bewerberdaten oder eine gesetzliche Grundlage für ein überwiegendes berechtigtes Interesse des Unternehmens für eine längere Aufbewahrung der Daten, zB bis zu 3-jährige Verjährungsfrist hinsichtlich der Geltendmachung von Ansprüchen des Gleichbehandlungsgesetzes (§15 GlBG).

Die häufig geübte Praxis der Übernahme von Bewerberdaten in eine Art von „Bewerberregister“ für zukünftige Stellenausschreibungen ist wohl durch ein überwiegendes berechtigtes Interesse des Unternehmens nicht zu rechtfertigen und bedarf somit der ausdrücklichen Einwilligung der Bewerberin oder des Bewerbers. Wobei es sich empfiehlt diese Einwilligung erst nach der ursprünglichen Stellenbesetzung vorzunehmen, um keinen Einwilligungsdruck auf Bewerberinnen und Bewerber auszuüben.

Zugang und Zugriff auf Bewerberdaten beschränkt

Bewerberdaten dürfen im Unternehmen nur denjenigen Personen zugänglich gemacht werden, die mit der Bewerbung für eine offene Stelle befasst sind. In kleinen und mittleren Unternehmen ist das in der Regel der Arbeitgeber selbst oder die Personalabteilung. Ebenfalls ein berechtigtes Interesse zur Einsichtnahme in personenbezogene Bewerberdaten haben zukünftige Vorgesetzte der Bewerberin bzw des Bewerbers, sofern sie im Zusammenhang mit der gegenständlichen Stellenausschreibung mit ihnen zusammenarbeiten und über deren Einstellung mitentscheiden werden. Schließlich hat auch der Betriebsrat einen bedingten, rechtlichen Anspruch auf die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung der Bewerberdaten (§91 ArbVG).

Sichere Verwendung von Bewerberdaten

Die elektronische Erhebung von Bewerberdaten per E-Mail oder online-gestütztem Bewerbungsformular ist in der Regel durch die mögliche Begründung eines Arbeitsvertrages rechtlich gedeckt. Allerdings sind seitens des Unternehmens für die Erhebung und Übermittlung der Daten, entsprechende organisatorische und technische Datensicherheitsmaßnahmen zu gewährleisten. Werden die Daten im Auftrag des Unternehmens durch einen Dienstleister, zB Personalberater oder eine Online-Jobplattform erhoben bzw übermittelt, sind mit diesem geeignete organisatorische und technische Maßnahmen zum rechtmäßigen Schutz der Daten vertraglich zu vereinbaren. Die ungesicherte Übermittlung von Bewerberdaten im Klartext, ob per Mail oder Formulardaten, ist ein absolutes No-Go. Weiters sind seitens des Unternehmens geeignete Sicherheitsmaßnahmen gegen den unberechtigten Zugriff bzw Zugang zu den Bewerberdaten  zu treffen. So sollte zB das Kopieren von Bewerberdaten auf externe Datenträger bzw die Mitnahme zur Durchsicht der Daten im Home Office entweder gänzlich untersagt oder nur dann erlaubt werden, wenn die Daten verschlüsselt worden sind.

Links

 

 

Getagged mit:

Datenschutz-Anpassungsgesetz 2018

Seit 12. Mai 2017 liegt ein Ministerialentwurf für das Datenschutz-Anpassungsgesetz 2018 vor. Mit der Gesetzesvorlage soll das österreichische Datenschutzgesetz an die Datenschutzgrundverordnung (DSGVO) angepasst werden. Das Werk umfasst  77 Paragraphen und knapp 31 Seiten. Ziel des Entwurfes ist die Aufhebung des bestehenden Datenschutzgesetzes (DSG 2000) und die Erlassung eines neuen Datenschutzgesetzes, mit welchem die durchzuführenden Bestimmungen der DSGVO geregelt werden sollen.

Grundrecht auf Datenschutz

Mit der Aufhebung des DSG 2000 entfällt auch das per Verfassungsgesetz geregelte Grundrecht auf Datenschutz. Im neuen Datenschutzgesetz soll deshalb ein Grundrecht auf Datenschutz geschaffen werden, das inhaltlich auf dem in § 1 DSG 2000 geregelten Grundrecht basiert, jedoch verständlicher ausgestaltet und an die Terminologie der DSGVO angepasst ist sowie nur natürliche Personen schützt.

Durchführung der Datenschutz-Grundverordnung

Die allgemeinen Bestimmungen zur Durchführung der Datenschutz-Grundverordnung enthalten eine interessante Regelung bezüglich der Berichtigung oder Löschung von personenbezogenen Daten. Diese kann, nach Einschränkung der Datenverarbeitung, aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden. Weiters sind hier Ausführungen zur Geheimhaltungspflicht des Datenschutzbeauftragten und zum Datengeheimnis für Verantwortliche, Auftragsverarbeiter und ihre Mitarbeiter enthalten.

Die Einrichtung und Befugnisse der Datenschutzbehörde werden festgelegt genau wie Rechtsbehelfe, Haftung und Sanktionen. Regelungen zur Bildverarbeitung ersetzen die im DSG 2000 vorhandenen Bestimmungen zur Videoüberwachung.

Das Datenschutz-Anpassungsgesetz 2018 sieht bei Verstößen die Verhängung von Geldbußen gegen eine juristische Person vor. Gegen Behörden und öffentliche Stellen können keine Geldbußen verhängt werden. Sofern eine Tat nicht nach einem Tatbestand der DSGVO nicht mit strengeren Strafen bedroht ist, werden Vergehen als Verwaltungsübertretung mit einer Geldstrafe bis zu 50.000 Euro geahndet.

Für die Verarbeitung personenbezogener Daten zum Zweck der wissenschaftlichen Forschung und Statistik, der Benachrichtigung und Befragung von betroffenen Personen, der Freiheit der Meinungsäußerung und Informationsfreiheit und im Katastrophenfall finden sich eigene Regelungen im Entwurf zum Datenschutz-Anpassungsgesetz.

Kommentar zum Datenschutz-Anpassungsgesetz

Der erste Eindruck, Der vorliegende Entwurf ist im Vergleich zum deutschen Anpassungsgesetz sehr gut lesbar und übersichtlich. In weiten Teilen werden Bestimmungen der DSGVO übernommen, Anpassungen werden vor allem in Hinblick auf die Datenschutzbehörde, den Datenschutzrat sowie die Übernahme von bestehenden Regelungen im DSG 2000 durchgeführt. Im nächsten Schritt werden wir den Entwurf im Detail auswerten und Sie weiter informieren.

Gesetzesmaterialien

Ministerialentwurf und weitere Materialien zum Datenschutz-Anpassungsgesetz

 

 

 

Getagged mit:

OÖ-Datenschutztag war ein voller Erfolg

Am 27. April 2017 fand in der Welser Villa Muthesius der OÖ-Datenschutztag statt. Im Zuge der Veranstaltung informierten Top-Experten über aktuelle Informationen und Entwicklungen in Bezug auf datenschutzrechtliche Anforderungen für Unternehmen im Zusammenhang mit der kommenden Datenschutzgrundverordnung (DSGVO).

Datenschutzbehörde im Wandel

Der langjährige Mitarbeiter der Datenschutzbehörde, Georg Lechner, informierte über die zukünftige Rolle der Aufsichtsbehörde bei der Durchsetzung der neuen datenschutzrechtlichen Normen in Österreich. Die Behörde wird ab Mai 2018 mit einer Reihe von erweiterten Befugnissen und den damit verbundenen Aufgaben ausgestattet werden, ua unmittelbare Untersuchungsbefugnisse und die Befugnis zur Verhängung von Geldbußen. Bisherige Zuständigkeiten der Behörde, wie die Führung des Datenverarbeitungsregisters, werden wegfallen.

Klar sei auch , dass es ein österreichisches Datenschutzgesetz weiterhin geben werde, aber genauso absehbar sei es, dass eine umfassende Novellierung oder Neuerlassung erforderlich sein werde. Bezüglich des aktuellen Standes etwaiger Entwürfe für Anpassungsgesetze konnte der Behördenvertreter keine Angaben machen. Aus dem Publikum war zu hören, dass es bereits einen Entwurf geben solle, der angeblich zur Stellungnahme im Justizministerium aufliegen würde. Sonst sei kaum etwas zu vernehmen, alles werde sehr vertraulich behandelt.

Neue Aufgaben und Pflichten für Unternehmen

Der Wiener IT-Anwalt, Felix Hörlsberger, unterstrich in seinem Vortrag, dass auf die Unternehmensleitung in Hinblick auf das zukünftig erforderliche, erweiterte Datenschutz Management mehr Pflichten und neue Aufgaben zukommen werden. Umfassende Dokumentationspflichten der Verarbeitungsvorgänge, die Notwendigkeit von Datenschutz-Folgenabschätzungen, die Berücksichtigung von datenschutzfreundlichen Systemeinstellungen und -designs, die Gewährleistung der Datenportabilität und Meldepflichten bei Datenschutzverletzungen, um nur eine kleine Auswahl zu nennen, verlangen nach eigenen Geschäftsprozessen und Verantwortlichkeiten im Unternehmen.

Hörlsberger machte auch klar, dass die hohen Bußgelder das Haftungsrisiko für Unternehmen bei verschuldeten Datenschutzverletzungen deutlich erhöhen werde und die Etablierung von unternehmensübergreifenden Richtlinien und Verhaltensregeln sowie die Benennung eines Datenschutzbeauftragten erforderlich machen würde.

Wirksames Datensicherheitsmanagement

Der Linzer IT-Sicherheitsexperte Paul Grünberger präsentierte ausgewählte Prozesse und Maßnahmen für mehr betriebliche Datensicherheit. Anhand einer Liste der zehn häufigsten Beanstandungen bei IT-Sicherheitsaudits veranschaulichte er einprägsam die vorhandenen Schwachstellen bestehender Sicherheitsarchitekturen in den Unternehmen.

Als Lösung verwies er auf die Vorteile beim Einsatz erprobter IT-Security Management Systeme wie IT-Grundschutz oder ISO 27000. Die standardisierten Verfahren würden Unternehmen dabei unterstützen, ihre Datensicherheit dauerhaft zu definieren, zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.

Notwendigkeit und Sinnhaftigkeit eines Datenschutzbeauftragten

Zum Abschluss referierte der Welser Sachverständige für Datenschutz, Horst Greifeneder, über die Notwendigkeit und Sinnhaftigkeit der Benennung eines Datenschutzbeauftragten. Während Behörden und öffentliche Stellen einen Datenschutzbeauftragten bestellen müssen, gilt diese Verpflichtung für Unternehmen nur bedingt. Anhand von zahlreichen Beispielen zeigte der externe Datenschutzbeauftragte ausgewählte Szenarien in denen eine Bestellung für Unternehmen erforderlich sein wird.

Unabhängig von der Verpflichtung sei eine Benennung eines eigenen Datenschutzbeauftragten in den meisten Unternehmen aber grundsätzlich sinnvoll. Der Datenschutzbeauftragte agiere als wichtiger Garant für die Umsetzung der neuen datenschutzrechtlichen Vorschriften. Laut Gesetz berate und unterrichte er die, für die Verarbeitung von personenbezogenen Daten Verantwortlichen bzw Auftragsbearbeiter, überwache die Durchführung von Datenschutz-Folgenabschätzungen und sei bei Datenschutzverletzungen eine zentrale Schnittstelle zur Aufsichtsbehörde. Außerdem könne die Benennung eines eigenen Datenschutzbeauftragten das Haftungsrisiko für Unternehmen reduzieren.

Positive Resonanz, neuer Datenschutztag im Herbst 2017

Die Teilnehmerinnen und Teilnehmer der Veranstaltungen zeigten sich sehr zufrieden mit der Organisation, den Inhalten und Referenten der Veranstaltung. Nachfolgend ein paar Zitate, die in Erinnerung geblieben sind:

Super Vortrag. Unterhaltsam und informativ. Man könnte ihm alleine einen ganzen Tag zuhören.

Veranstaltung lieferte einen sehr brauchbaren Einblick in die aktuelle Datenschutzsituation. Nur schade, dass noch so viel im Ungewissen zu sein scheint.

Bei der 10-Punkte-Liste habe ich an unser Unternehmen gedacht. Und alle wieder gefunden.

Spannende Themen, kompetente Vortragende und ein tolles Ambiente. Ich komme gerne wieder.

Persönlich möchte ich mich bei allen Teilnehmerinnen und Teilnehmer bedanken, welche mit ihrem Interesse und ihren Fragen wesentlich dazu beigetragen haben, den OÖ-Datenschutztag erfolgreich zu machen.

Der nächste OÖ-Datenschutztag ist für den 24. Oktober 2017 geplant.

 

Getagged mit: ,

DSG 2000 Anpassung an DSGVO

Anpassung DSG 2000

Noch knapp 13 Monate bis zum Inkrafttreten der DSGVO in Österreich. Und obwohl die Zeit zur Umsetzung der DSGVO für Unternehmen schön langsam knapp wird, ist derzeit in Österreich weit und breit kein Entwurf für ein Anpassungsgesetz des DSG 2000 in Sicht.

DSG 2000 Anpassung: Interner Entwurf kursiert in Koalitionskreisen

Am Rande des Europäischen Datenschutztages (Februar 2017) war zu hören, dass ein interner Entwurf des Bundeskanzleramts vorliege, welcher vorerst einmal innerhalb der Regierungskoalition diskutiert werden sollte. Ein Ergebnis dieser Diskussion, geschweige denn, ein Ministerialentwurf für eine Begutachtung sind weder angekündigt noch abzusehen.

Dabei unterstrich im April 2016 der damalige BM Dr Ostermayer in einer schriftlichen parlamentarischen Anfragebeantwortung betreffend der Unternehmerpflichten im Datenschutz (Datenschutz-Grundverordnung – DSGVO) noch, dass es notwendig sein werde, nach Abschluss des unions-rechtlichen Legislativprozesses, so rasch wie möglich einen Ministerialentwurf für einen Gesetzestext zu erarbeiten.

Die Datenschutzgrundverordnung liegt seit Mai 2016 vor. Seitdem ist nicht viel passiert.

Neues, deutsches BDSG kurz vor Beschlussfassung

Ganz anders die Situation in Deutschland. Hier gab es im November 2016 einen Entwurf des zuständigen Innenministeriums zur Anpassung des BDSG an die DSGVO. Im Februar 2017 beschloss die deutsche Bundesregierung den Entwurf des Datenschutz-Anpassungs- und Umsetzungsgesetz EU (DSAnpUG-EU). Im März beschäftigte sich der deutsche Bundesrat mit dem Gesetzespaket. Dem Vernehmen nach soll das neue BDSG bzw das DSAnpUG-EU noch im April verabschiedet werden.

Die in Deutschland vorgelegten Entwürfe wurden im Rahmen der Begutachtung heftig zerpflückt und mehrmals überarbeitet. Zahlreiche Sachverständige hatten Gelegenheit ihre meist sehr kritischen Stellungnahmen abzugeben. Kritisiert wurden vor allem die zu weit gehende Einschränkung von Betroffenenrechten, die Beschneidung der Kompetenzen der Aufsichtsbehörden, teilweise unklare Rechtsbegriffe (die teils von der Terminologie der DSGVO abweichen) und die schlechte Lesbarkeit des Gesetzestextes. auf Kritik. Es wurde in diesem Zusammenhang die Befürchtung geäußert, dass bis zu der erforderlichen und zeitaufwändigen Klärung grundsätzlicher Rechtsfragen vor dem Europäischen Gerichtshof viel Rechtsunsicherheit bei allen Beteiligten entstünde. Deutsche Datenschutzbehörden ließen verlauten, dass sie das geplante Datenschutzgesetz nicht anwenden würden, weil sie es in Teilen für europarechtswidrig halten würden.

Absehbare Datenschutz-Entwicklungen in Österreich

Jurist Markus Kastelitz schreibt in seinem Blogbeitrag über den aktuellen Stand der DSG 2000 Anpassung, dass koalitionsintern gerüchteweise u.a. über das datenschutzrechtliche „Verbandsklagerecht“ sowie die Höhe von Verwaltungsstrafen diskutiert werde. Vom Anwendungsbereich des neuen Datenschutzgesetzes seien zukünftig nur mehr natürliche Personen als „Betroffene“ umfasst und Geldbußen sollen auch gegen eine juristische Person als strafbare Person („Verbandsverantwortlichkeit“; vgl. das Kartellrecht) verhängt werden können. Diese Reglung soll Geschäftsführer und verantwortliche Vorstandmitglieder bei möglichen Geldbußen in Millionenhöhe vor der Privatinsolvenz schützen. Ein schwacher Trost für kleine und mittlere Unternehmen.

Angesichts der aktuellen Situation ist wohl auch absehbar, dass in Österreich ein Anpassungsgesetz erst im Herbst 2017 vorliegen wird. Spannend wird es, sollte es zu vorgezogenen Nationalratswahlen kommen. Dann droht entweder ein Husch-Pfusch-Gesetz oder gar keines. Das würde dann wohl bedeuten, dass die DSGVO unmittelbar in Österreich gelten würde.

Folgen für Unternehmen

Unternehmen sind gut beraten, mit ihren Projekten zur Anpassung bestehender Datenschutzmaßnahmen an die DSGVO  nicht länger zuzuwarten. Auch wenn die im Zuge der DSG 2000 Anpassung erstellten, Österreich-spezifischen Datenschutzregelungen noch nicht absehbar sind, bittet die mit 25. Mai 2018 geltende DSGVO genügend Anhaltspunkte, um wesentliche Bausteine eines professionellen Datenschutz Managements wie Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgenabschätzung, Prozesse zur Erfüllung der Betroffenenrechte oder Meldung von Datenschutzverletzungen sowie die Bestellung eines Datenschutzbeauftragten zu planen und umzusetzen.

Datenschutz-Folgenabschätzung

Besteht bei einer Form der Verarbeitung personenbezogener Daten, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung, voraussichtlich ein hohes Risiko für die betroffenen Personen, ist der Auftraggeber (Verantwortliche) bereits vorab verpflichtet eine Abschätzung der Folgen für den Schutz der personenbezogenen Daten durchzuführen. Dies ist vor allem beim Einsatz neuer Technologien in der Datenverarbeitung der Fall.

Für die Datenschutz-Folgenabschätzung ist der Rat eines benannten Datenschutzbeauftragter einzuholen.

Datenschutz-Folgenabschätzung unbedingt erforderlich

Eine Datenschutz-Folgenabschätzung ist in folgenden Fällen unbedingt erforderlich:

  • Bei der systematischen und umfassenden Bewertung persönlicher Aspekte der Betroffenen ua durch Rating, Scoring oder Big Data-Analysen, welche rechtliche Konsequenzen gegenüber Betroffenen haben oder diese in erheblicher Weise beeinträchtigen können, zB Auswertung von Fahrverhalten in Zusammenhang mit KFZ-Versicherung.
  • Bei der umfangreichen Verarbeitung besonderer Kategorien von personenbezogenen Daten, zB Gesundheitsdaten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten
  • Bei der systematischen umfangreichen Überwachung öffentlich zugänglicher Bereiche, zB Videoüberwachung.

Die Datenschutzbehörde wird in Österreich spezielle Listen der Verarbeitungen erstellen, für die eine Datenschutz-Folgenabschätzung obligatorisch bzw nicht erforderlich ist.

Inhalte der Datenschutz-Folgeabschätzung

Die Datenschutz-Folgenabschätzung enthält zumindest nachfolgende Inhalte:

  • eine systematische Beschreibung der Verarbeitungsvorgänge und deren Zwecke inkl. der verfolgten berechtigten Auftraggeberinteressen
  • eine zweckbezogene Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge
  • eine Bewertung der durch die Form der Verarbeitung anfallenden Risiken für die Rechte und Freiheiten der Betroffenen
  • die zur Risikominimierung geplanten Maßnahmen, wie Garantien, Sicherheitsvorkehrungen und Verfahren, zum Schutz der personenbezogenen Daten.

Die Einhaltung der durch die Datenschutzbehörde genehmigten Verhaltensregeln ist bei der Datenschutz-Folgenabschätzung gebührend zu berücksichtigen. Für die Datenschutz-Folgenabschätzung ist gegebenenfalls der Standpunkt der Betroffenen einzuholen. Falls erforderlich, hat der Auftraggeber eine Überprüfung und bei geänderter Risikolage für die betroffenen Personen erneut eine Datenschutz-Folgenabschätzung durchzuführen.

Konsultation der Datenschutzbehörde

Ergibt die durchgeführte Datenschutz-Folgenabschätzung, dass ohne Maßnahmen des Auftraggebers zur Eindämmung des Risikos ein hohes Risiko für die Betroffenenrechte bestünde, ist der Auftraggeber verpflichtet vor der Verarbeitung, die Aufsichtsbehörde zu konsultieren. Kommt die Datenschutzbehörde bei einer Prüfung zur Auffassung, dass die geplante Verarbeitung rechtswidrig sei, unterbreitet sie dem Auftraggeber innerhalb von 8 Wochen schriftliche Empfehlungen zur Maßnahmenverbesserung. Die Datenschutzbehörde ist im Extremfall sogar befugt eine Verarbeitung vorübergehend oder endgültig zu verbieten. Den Auftraggeber trifft bei der Konsultation eine Informationspflicht gegenüber der Aufsichtsbehörden.

Bei fehlender Datenschutz-Folgenabschätzung droht hohe Strafe

Bei Verstößen gegen eine erforderliche Datenschutz-Folgenabschätzung können Geldbußen von bis zu 10 Mio EUR oder im Fall eines Unternehmens von bis zu 2% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt werden.

Fazit

Die gesetzlich verlangte Durchführung einer Datenschutz-Folgenabschätzungen erfordert einen hohen personellen und organisatorischen Aufwand für die Verantwortlichen. Verschärft wird die Lage noch dadurch, dass im Gesetz nur sehr allgemeine Mindest-Anforderungen an eine Datenschutz-Folgenabschätzung enthalten sind. Hilfreich wäre eine baldige Veröffentlichung von Listen jener Verarbeitungsvorgänge für die eine Datenschutz-Folgenabschätzung obligatorisch bzw nicht erforderlich ist.

Getagged mit:

Datenschutztag 2017: DSGVO fordert Österreichs Wirtschaft


Jetzt! Programm ansehen und anmelden!

Datenschutztag 2017

Am 23. Februar 2017 fand der 11. Europäische Datenschutztag unter dem Titel „Das neue Datenschutzrecht in der Europäischen Union“ statt. In der gemeinsamen Veranstaltung von Datenschutzbehörde und Datenschutzrat referierten und diskutierten im Bundeskanzleramt namhafte Datenschutzexperten über die Folgen und Auswirkungen der neuen Datenschutzreglungen.

Erhebliche Anpassungen erforderlich

Bundesminister Mag. Thomas Drozda (SPÖ) wies in seiner Eröffnungsrede auf den erheblichen Anpassungsbedarf im österreichischen Datenschutzrecht hin. Weiters betonte er, dass bei der Umsetzung vor allem wichtig sein werde, bestehende, hohe Datenschutzstandards in Österreich aufrechtzuerhalten und möglichst eine bundesweit einheitliche Regelungen zu schaffen.

Massiver Aufwand in der Praxis

Die Leiterin der internen Datenschutzabteilung der A1 Telekom Austria AG, Mag. Judith Leschanz, berichtete über Prozesse und Erfahrungen der seit fast 3 Jahren andauernden Compliance-Projekte beim Mobilfunkanbieter. Die neuen Reglungen brächten große Herausforderungen und einen massiven technischen und organisatorischen Mehraufwand im Unternehmen mit sich. Notwendig sei die Konzeption und Implementierung eines unternehmensweiten, professionellen Datenschutz Management Systems für präventive, operative und Notfall-Maßnahmen im gesamten Konzern. Das bräuchte eben Zeit und personelle und finanzielle Ressourcen auf allen Ebenen.

Mehr Befugnisse für die Datenschutzbehörde

Der stellvertretende Leiter der Datenschutzbehörde, Dr Matthias Schmidl, referierte über die zukünftigen Aufgaben und Befugnisse der Datenschutzbehörde nach der Datenschutz-Grundverordnung. Diese werden im Zuge der neuen Reglungen erheblich erweitert, ua bekommt die Datenschutzbehörde weitreichende Untersuchungsbefugnisse und kann zukünftig bei schwerwiegenden Datenschutzverletzungen selbstständig Verwaltungsstrafen bis zu 20 Mio Euro oder 4% des weltweiten Firmenumsatzes verhängen.

Chancen und länderspezifische Probleme

In der abschließenden Podiumsdiskussion wurden die Chancen und Risiken der neunen Reglungen für österreichische Unternehmen erörtert. „Österreich wäre aufgrund seiner Größe und Marktreife das ideale Entwicklungsfeld für innovative Datenschutz-Services“, meinte WU-Professorin Dr. Sarah Spiekermann und forderte Unternehmer auf: “Neue Personal Data Management Services zu entwickeln und damit wirtschaftliche Chancen aktiv zu nutzen.“

Johann Maier, Vorsitzender des Datenschutzrates, zeigte sich da schon weniger optimistisch und verwies auf bestehende Probleme bei bundesländerspezifischen Regelungen, ua Wettgesetze oder Sportförderungsgesetze der Länder, welche immer noch nicht den heutigen Datenschutzstandards entsprechen würden. Änderungen seien hier aber nur gemeinsam mit den Ländern möglich.

Der Leiter des Rechtsinformatikinstituts der Leibniz Universität Hannover, Univ.-Prof. Nikolaus Forgó, wiederum verwies auf die Fülle der unklaren Rechtsbegriffe in der Verordnung, welche ihn und seine Kollegen noch über Jahre beschäftigen würden.

Bilder: Bilder zum 11. Datenschutztag sind über das Fotoservice des Bundespressedienstes kostenfrei abrufbar. http://www.fotoservice.bundeskanzleramt.at/

Top