Marko, Leschanz ©Wolf Theiss / Unger
Wien. Die Europäische Datenschutz-Grundverordnung (DSGVO) hat weitreichende Auswirkungen auf das Datenschutzrecht der EU-Mitgliedstaaten. Österreichische Unternehmen sollten sich frühzeitig rüsten, empfahlen Datenschutz-Experten jetzt beim Wolf Theiss IP/IT Round-Up. Wer zu spät kommt, den bestraft nicht das Leben, sondern die EU: Es drohen Geldbußen in noch nie dagewesener Höhe.
Die DSGVO bringt eine weitgehende Vereinheitlichung des bisher durch die nationalen Datenschutzgesetze der 28 Mitgliedstaaten geregelten Datenschutzrechts. Nicht nur deshalb stand die Veranstaltung aber unter dem Titel „Paradigmenwechsel im Datenschutzrecht“. Geldbußen von bis zu 20 Millionen Euro (statt bislang 10.000 bis 25.000 Euro) oder 4% des weltweiten Jahresumsatzes bei Datenschutzverletzungen: „Das sind die drohenden Konsequenzen, die eine rechtzeitige Auseinandersetzung mit dieser Thematik erfordern“, sieht Roland Marko, Partner Wolf Theiss, Praxisgruppe IP/IT, Handlungsbedarf bei der heimischen Unternehmerschaft.
Betriebliche Organisation, Geschäftsprozesse und Verträge müssten bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 gesichtet und rechtzeitig an die neuen Rahmenbedingungen angepasst werden, erklärt Marko. Wie Judith Leschanz, Leitung National Data Privacy, A1 Telekom Austria AG, bei der Veranstaltung betonte, sei der Aufbau eines Datenschutzmanagmentsystems besonders wichtig
Datenschutz-Folgenabschätzung
Unternehmen müssen künftig eine Datenschutz-Folgenabschätzung erstellen, wenn sie z.B. neue Technologien einführen, die hohe Risiken für den Datenschutz natürlicher Personen zur Folge haben können. Bei einer Datenschutz-Folgenabschätzung sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet und geeignete technische und organisatorische Maßnahmen dagegen ergriffen werden.
Ernennung eines Datenschutzbeauftragten
Bis Mai 2018 sind jene Unternehmen verpflichtet, einen Datenschutzbeauftragten zu ernennen, deren „Kerntätigkeit“ in der Durchführung von Verarbeitungsvorgängen besteht, die
- eine umfangreiche regelmäßige und systematische Beobachtung von Personen erforderlich machen (z.B. Unternehmen mit personalisierten Werbestrategien, Versicherungen, Auskunfteien, Detekteien) oder
- deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenhäuser, Labors, Beratungsstellen).
- Der Datenschutzbeauftragte muss über ein spezielles Fachwissen im Datenschutzrecht verfügen und kann entweder als Beschäftigter oder externer Dienstleister eingesetzt werden.
Dokumentations- statt Meldepflicht: Mehr Verantwortung
„Die DSGVO wird Unternehmen stärker als bisher in die Eigenverantwortung nehmen. Statt der bisherigen Meldepflicht beim Datenverarbeitungsregister wird ab Mai 2018 auf interne Dokumentationspflichten gesetzt“, erläutert Datenrechtsexperte Marko. Neben einem solchen „Verzeichnis der Verarbeitungstätigkeiten“ muss Datenschutz künftig aber auch durch Technikgestaltung und Voreinstellungen gewährleistet werden. „Privacy by design“ und „privacy by default“, d.h. datenschutzfreundliche Voreinstellungen, sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Die Veranstaltung stellt laut Kanzlei den Kick-off zu einer Reihe von Wolf Theiss-Vorträgen dar, die Unternehmen im kommenden Jahr auf ihrem Weg zur Umsetzung der DSGVO-Anforderungen begleiten. Es folgen hierzu noch Seminare zu den Themen
- Der betriebliche Datenschutzbeauftragte
- Datenverarbeitung im Konzern
- Informationssicherheit und Haftung und
- Spezialfragen der Digitalisierung
Link: Wolf Theiss
