Salzburg. Ende Mai 2018 tritt die neue EU-Datenschutz‑Grundverordnung in Kraft und mit ihr auch die Änderungen des österreichischen Datenschutzgesetzes.
Das neue Datenschutzrecht zielt auf den besseren Schutz personenbezogener Daten im digitalen Zeitalter.
Zum neuen Datenschutzrecht veranstaltete der Fachbereich Öffentliches Recht, Völker- und Europarecht der Universität Salzburg am 1. Febraur 2018 in der Salzburger Edmundsburg eine Tagung mit Vortragenden aus Wissenschaft und Praxis. Erörtert wurden dabei sowohl Grundlagen als auch wesentliche Einzelfragen der teils neuen, teils erweiterten Verpflichtungen, so die Uni.
Der Zeitplan
Bis zum 24. Mai 2018 gelten die derzeitigen Regelungen des österrreichischen Datenschutzgesetzes 2000. Am 25. Mai 2018 tritt die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft und mit ihr auch die Änderungen des österreichischen Datenschutzgesetzes (DSG).
Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen Geldstrafen in der Höhe von bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des weltweiten Jahresumsatzes.
Die Datenschutz-Grundverordnung ist zwar als EU-Verordnung in jedem Mitgliedsland unmittelbar anwendbar, sie enthält aber Öffnungsklauseln und lässt dem nationalen Gesetzgeber gewisse Spielräume. Dafür wurde in Österreich das Datenschutz-Anpassungsgesetz 2018, eine Novelle des Datenschutzgesetzes 2000, beschlossen.
„Daten sind das neue Gold, die neue Währung.“
Viele Dienstleistungen und Produkte sind heute nur mehr zu bekommen, wenn man dafür Daten überlässt, so die Uni: Bei Google, Facebook oder Amazon sei das besonders augenfällig.
Zur Bewältigung der Fragen, die sich aus der fortschreitenden Digitalisierung ergeben, war ein neuer geeigneter Gesetzesrahmen erforderlich. Darauf verwies der Rechtswissenschaftler und Vizerektor der Universität Salzburg Professor Rudolf Feik in seinen Begrüßungsworten.
Mit dem Grundrecht auf Datenschutz beschäftigten sich Professor Reinhard Klaushofer und Professor Benjamin Kneihs (beide Universität Salzburg). Was sind die unterschiedlichen Schutzbereiche und wo liegen die Schranken? Ist das Grundrecht auf Datenschutz auf natürliche Personen beschränkt oder gilt es auch für juristische Personen? Das waren diskutierte Fragen.
Professor Dietmar Jahnel (Universität Salzburg) gab einen allgemeinen Überblick über das künftig geltende Datenschutzrecht. Obwohl er es eindeutig als Verbesserung gegenüber der derzeitigen Gesetzeslage betrachtet, ortet er etliche Problempunkte, etwa in Begriffsbestimmungen.
Es fehle zum Beispiel eine Definition dafür, was mit „umfangreicher“ Verarbeitungstätigkeit gemeint ist. Genau dieses Kriterium aber macht einen wesentlichen Unterschied bei der Umsetzung der neuen rechtlichen Schritte aus.
Die neuen Informationspflichten
Ein Kernelement des neuen Datenschutz-Regimes sind die erweiterten Informationspflichten. Betroffene Personen müssen in Zukunft besser über die Nutzung ihrer Daten informiert werden. Denn nur wenn bekannt ist, was mit den eigenen Daten passiert, können Gegenmaßnahmen ergriffen und Betroffenenrechte ausgeübt werden.
Professor Daniel Ennöckl (Universität Wien) legte Art, Zeitpunkt und Umfang der Informationsverpflichtung dar.
Völlig neu ist ab Mai 2018 im Datenschutzrecht die Verpflichtung zur Führung eines Datenverarbeitungsverzeichnisses. Wer muss ein Verzeichnis führen? Was muss ein Verzeichnis enthalten? Wie muss es aussehen? Welche Folgen kann die Nichteinhaltung haben?
Zu diesen Fragen referierte Universitätsassistent Sebastian Krempelmeier (Universität Salzburg). Er gelangte zu dem Ergebnis, dass die Verzeichnungsführungspflicht nicht nur Behörden, öffentliche Stellen und große Unternehmen trifft, sondern auch für die allermeisten kleinen und mittleren Unternehmen (KMUs) gelten werde.
Welche Folgen kann es haben?
Neu in der EU-Datenschutz-Grundverordnung ist auch das Instrument der Datenschutz- Folgenabschätzung. Das heißt, es ist zu prüfen, ob und in welchem Ausmaß eine (beabsichtigte) Verarbeitung von personenbezogenen Daten Risiken für die Rechte und Freiheiten der Betroffenen zur Folge hat. Wann besteht ein hohes Risiko im Sinne der Datenschutz-Grundvorordnung und damit die Verpflichtung zur Durchführung einer Datenschutz-Folgenabschätzung? Kriterien dafür arbeitete Waltraud Kotschy vom Ludwig Boltzmann Institut für Menschenrechte in Wien heraus.
Einen technischen Blick auf Datensicherheitsmaßnahmen warf Professor Bernhard Collini- Nocker vom Fachbereich Computerwissenschaften der Universität Salzburg. Dabei lieferte er Einblicke in die IT-Sicherheitsforschung.
Der neue Datenschutzbeauftragte
Die EU-Datenschutz-Grundverordnung sieht in gewissen Fällen die Benennung eines betrieblichen Datenschutzbeauftragten zwingend vor. Seine Aufgabe ist es, auf die Einhaltung des Datenschutzes einzuwirken. Er ist in der Ausübung seiner Fachkunde weisungsfrei und unabhängig von Vorgesetzten.
Wann konkret aber muss ein Datenschutzbeauftragter bestellt werden? Trifft diese Pflicht nur Behörden und öffentliche Stellen, die personenbezogene Daten verarbeiten oder auch private Unternehmen? Zu diesen Fragen brachte Bernhard Horn von der Österreichischen Nationalbank seine praktischen Kenntnisse und Erfahrungen als Datenschutzexperte der Österreichischen Nationalbank ein.
Die Behörde spricht
Abschließend beschäftigte sich Andrea Jelinek, Leiterin der Datenschutzbehörde, mit den Sanktionen, die bei Verletzungen der künftigen datenschutzrechtlichen Verpflichtungen drohen. Sie reichen von Verwarnungen bis hin zu hohen Geldbußen, im Extremfall bis zu 20 Millionen Euro bzw. bis zu 4 Prozent des weltweiten Jahresumsatzes.
Eine Vorabliste von Verstößen samt dazugehörigen Strafhöhen werde es seitens der Datenschutzbehörde nicht geben, sagte Jelinek. Eine solche Liste wäre der Einhaltung des Datenschutzrechts abträglich.
Die Neuauflage kommt 2019
Die Veranstaltung „Das neue Datenschutzrecht“ in der Salzburger Edmundsburg war der Auftakt einer künftig alljährlichen Veranstaltung des Fachbereichs Öffentliches Recht, Völker- und Europarecht der Universität Salzburg, kündigt die Uni an.
Im Rahmen seines Profils „Räume und Identitäten“ forsche der Fachbereich in den nächsten Jahren verstärkt zu aktuellen Problemen des gesellschaftlichen und wirtschaftlichen Lebens.
Das Publikum setzte sich aus VertreterInnen der Landes- und Gemeindeverwaltung, der Gerichtsbarkeit, Rechtsanwaltskanzleien, Unternehmen und Interessenvertretungen zusammen. Die Ergebnisse werden in einem Sammelband veröffentlicht.
Link: Tagung Datenschutz
