Verbindlichkeit der DSGVO seit 25.5.2018
Am 4.5.2016 (in Worten: zweitausendsechzehn) trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27.4.2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG, kurz Datenschutz-Grundverordnung (DSGVO), in Kraft. Diese regelt und vereinheitlicht die Verarbeitung personenbezogener Daten natürlicher Personen, die Rechte von Betroffenen sowie und Pflichten der Verantwortlichen.
Nach zweijähriger „Schonfrist“ entfalteten die Bestimmungen der DSGVO mit 25.5.2018 ihre volle Wirkung, sprich: Bis zu diesem Zeitpunkt mussten alle Datenanwendungen an die neue Rechtslage angepasst werden. Da im Zeitraum zwischen Mai 2016 und Anfang des Jahres 2018 die meisten Unternehmer der DSGVO keine gesteigerte Aufmerksamkeit widmeten, setzte im Frühjahr 2018 – für Anwälte ebenso wie ITler deutlich spürbar – hektische Nervosität bei vielen Unternehmern ein, denn: Wie soll ein durchschnittliches kleines oder mittelständiges Unternehmen das Monster DSGVO bändigen?
Nun, nach sieben Monaten erster Erfahrungen mit der DSGVO, ist es Zeit, erstmals zu resümieren.
Viel Panikmache, wenig Strafen
Ungeachtet der medialen und oftmals plakativen bis simplifizierenden Berichterstattung, wonach bei Verstößen gegen die DSGVO Geldstrafen in der Höhe von äußerstenfalls EUR 20.000.000,00 drohen, verdankt bislang noch kein österreichisches Unternehmen seine Insolvenz der Nichteinhaltung europäischen Datenschutzrechts.
Bis Oktober 2018 resultierten aus rund 900 Anzeigen bei der österreichischen Datenschutzbehörde ganze vier Strafbescheide, wobei sich die verhängten Geldstrafen im Bereich zwischen EUR 300,00 bis EUR 4.800,00 bewegten (Al-Youssef in Der Standard vom 23.11.2018). Der durch die DSGVO vorgegebene Strafrahmen wurde also bislang nicht zur Gänze ausgenutzt, vielmehr finden sich Geldstrafen im Promillebereich der Strafobergrenze. Dies mag im Verhältnis zum sonstigen österreichischen (Verwaltungs-)Strafrecht systemwidrig anmuten, ist allerdings nicht nur dem im nationalen Datenschutzgesetz verankerten und womöglich europarechtswidrigen Grundsatz des „Beratens statt Strafens“, sondern auch praktischen Erfordernissen geschuldet.
Ungebrochener Handlungsbedarf bei Unternehmen
Das Ausbleiben einer vielseits befürchteten, die österreichische Wirtschaft devastierenden Strafwelle dürfte allerdings nicht daran liegen, dass hierzulande Unternehmer in vorbildlicher Weise und schlichtweg lückenlos die Vorgaben des Datenschutzrechts einhalten.
Einer im November veröffentlichten Studie des Kreditschutzverbandes zufolge haben rund sechzig Prozent aller österreichischen Unternehmer die DSGVO noch nicht vollständig oder richtig umgesetzt; acht Prozent hiervon haben mit der Umsetzung der DSGVO noch nicht einmal begonnen. Wenig überraschend zeigt sich, dass die DSGVO umso weitgehender umgesetzt wird, je größer das betroffene Unternehmen ist. Bei Kleinunternehmen mit bis zu 20 Mitarbeitern liegt am meisten im Argen: Hier haben sogar weniger als vier von zehn Unternehmen die DSGVO bereits umgesetzt.
Zentrale Todos‘ für Unternehmer
Aufgrund des ungebrochenen Handlungsbedarfs bei österreichischen Unternehmen seien an dieser Stelle nochmals die wesentlichen Maßnahmen, die der DSGVO zufolge gesetzt werden sollten, dargestellt:
- Führen Sie ein Verarbeitungsverzeichnis: Jeder Verantwortliche und jeder Auftragsverarbeiter hat ein schriftliches oder elektronisches Verzeichnis aller Verarbeitungstätigkeiten zu führen und dieses der Datenschutzbehörde auf Verlangen zur Verfügung zu stellen. Das Verzeichnis ermöglicht es, bei Bedarf einen Überblick über sämtliche in einer Einrichtung erfolgenden Tätigkeiten der Verarbeitung personenbezogener Daten zu verschaffen. Von dieser Verpflichtung zur Führung eines Verarbeitungsverzeichnisses bestehen nur in engen Grenzen Ausnahmen.
Welche Inhalte hat ein Verarbeitungsverzeichnis jedenfalls aufzuweisen? Anzuführen sind etwa der Namen und die Kontaktdaten des Verantwortlichen, die Verarbeitungszwecke, die Betroffenenkategorien, die Beschreibung der Datenkategorien und die Empfängerkategorien. Ebenfalls aufzunehmen sind ein Löschungskonzept und die vom Verantwortlichen ergriffenen technischen und organisatorischen Sicherheitsmaßnahmen.
- Ergreifen Sie Maßnahmen zur Gewährleistung von Datensicherheit: Jeder Verantwortliche hat dafür Sorge zu tragen, dass umfassende technische und organisatorische Sicherheitsvorkehrungen getroffen werden, um die Sicherheit, Integrität und Vertraulichkeit der personenbezogenen Daten zu wahren.
Welche Maßnahmen konkret zu ergreifen sind, ist nicht starr definiert. Heranzuziehen sind solche Maßnahmen, die nach dem Stand der Technik, den Umsetzungskosten, von Art, Umfang und Zweck der Datenverarbeitung und der Wahrscheinlichkeit und der Schwere der möglicherweise eintretenden Risken angemessen sind.
Datensicherheitsmaßnahmen sind zu einem großen Teil mehr oder weniger naheliegende Tätigkeiten: Etwa die Implementierung von Zugangskontrollsystemen, von Maßnahmen zur Sicherung und Wiederherstellung von Daten, von Maßnahmen zur Kontrolle der Nutzer von Datenverarbeitungssystemen, aber auch von Maßnahmen zur Pseudonymisierung und Verschlüsselung von Daten.
- Bestellen Sie erforderlichenfalls einen Datenschutzbeauftragten: Nicht nur Behörden und öffentliche Stellen, sondern auch sonstige Verantwortliche haben einen Datenschutzbeauftragten zu bestellen, wenn die Kerntätigkeit der Verarbeitungstätigkeit eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht oder wenn umfangreich sensible oder strafrechtlich relevante Daten verarbeitet werden.
Der Datenschutzbeauftragte hat den Verantwortlichen und dessen Mitarbeiter zu unterrichten und zu beraten, die Einhaltung der Vorgaben der DSGVO zu überwachen und mit der Datenschutzbehörde – soweit erforderlich – zusammenzuarbeiten. Da der Datenschutzbeauftragte für die Umsetzung der Vorgaben der DSGVO verantwortlich ist, hat er mit entsprechender Kontroll- und Entscheidungsbefugnis ausgestattet zu werden, darf er aber zugleich nicht dem Management des Verantwortlichen angehören; denn das entscheidende und das kontrollierende Organ sollte keine Identität aufweisen.
- Erstellen Sie erforderlichenfalls eine Datenschutzfolgenabschätzung: Bringt die Art der Datenverarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen mit sich, ist eine Datenschutzfolgenabschätzung zu verfassen. Hierunter versteht man eine systematische Abschätzung der Risiken und Folgen einer geplanten Datenverarbeitung. Da nur wenige Unternehmen Datenschutzfolgenabschätzungen aufzustellen haben werden, die Erstellung einer Datenschutzfolgenabschätzung zugleich aber aufwändig und nicht ganz unkomplex ist, wird hierauf an dieser Stelle nicht näher eingegangen.
Zusammenfassung
Wenngleich ein verhältnismäßig hoher Anteil der österreichischen Unternehmen die Bestimmungen der DSGVO noch nicht (vollständig) umgesetzt hat, blieb in den ersten Monaten der Verbindlichkeit der DSGVO eine befürchtete Welle massiver Geldstrafen aus. Trotz dieses bislang maßvollen Vorgehens der österreichischen Datenschutzbehörde sollten alle Unternehmer, die datenschutzrechtlichen Handlungsbedarf haben, zeitnah Maßnahmen zur Umsetzung der DSGVO ergreifen. Letztgenannte Maßnahmen sind zwar mitunter zeit- und kostenintensiv, helfen aber nicht nur, Verwaltungsstrafverfahren zu vermeiden, sondern auch langfristig Kontrolle über die eigenen Daten zu bewahren. Und diese sind letztlich ein für Unternehmer wertvolles Gut.