EU-Datenschutz-Grundverordnung

Die EU-DSGVO ist mit Mai 2018 gültig. Was kommt mit dieser neuen Verordnung auf die Unternehmen zu?

Fellner: Die Datenschutz-Grundverordnung schafft einen neuen Rechtsrahmen innerhalb der EU im Bereich des Datenschutzes. Damit gehen grundlegende Änderungen im Datenschutz einher: erhöhte Selbstverantwortung für Unternehmen, Stärkung der Rechte der betroffenen Personen und strengere Vorgaben für Datensicherheit. Einer der Kernpunkte der Reform sind die strengen Sanktionen, welche dem Datenschutz mehr Beachtung schenken sollen. Künftig drohen bei Datenschutzverletzungen Geldstrafen bis zu 20 Millionen Euro oder bis zu vier Prozent des konzernweit erzielten Jahresumsatzes. Das Strafmaß ist somit um das 800-Fache höher als der bisherige Strafrahmen. Für Unternehmen ist es daher essenziell, dem Datenschutz wesentlich mehr Bedeutung beizumessen und ohne Verzug mit der Vorbereitung für die Datenschutz- Grundverordnung zu starten. Generell steht mehr Transparenz im Mittelpunkt der Verordnung. Die Betroffenen sollen wissen, welche Daten für welche Zwecke verarbeitet werden. Außerdem wird die Verantwortlichkeit der Unternehmen stark in den Vordergrund gerückt. Des Weiteren sind die Grundsätze des Datenschutzes durch Technik (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default) zu berücksichtigen. In gewissen Fällen ist zudem verpflichtend ein Datenschutzbeauftragter zu bestellen. Künftig gibt es keine Meldepflicht mehr beim Datenverarbeitungsregister. Anstelle der bisherigen Meldepflicht ist verpflichtend ein eigenes Verzeichnis von Verarbeitungstätigkeiten zu führen – eine Art persönliches Datenverarbeitungsregister in jedem Unternehmen. Um die Einhaltung eines angemessenen Datenschutzniveaus nachweisen zu können, werden Zertifizierungen und Datenschutz- Gütesiegel noch wichtiger.

„Die Datenschutz- Grundverordnung schafft einen neuen Rechtsrahmen innerhalb der EU im Bereich des Datenschutzes.“
Georg Fellner

Was sind die wichtigsten Maßnahmen, die zur Vorbereitung auf die neuen Regelungen zu treffen sind?

Fellner: Die wichtigste Aufgabe ist zunächst, den Ist-Zustand beziehungsweise den Status quo zu erheben. In vielen Unternehmen gibt es bis heute keine genaue Dokumentation, welche personenbezogenen Daten für welche Zwecke verarbeitet und an wen die Daten übermittelt werden. Der erste Schritt ist daher zu ermitteln, welche Prozesse es im Unternehmen gibt, wo personenbezogene Daten verwendet werden, ob diese Daten verarbeitet werden dürfen und auf welcher Rechtsgrundlage die Datenanwendung erfolgt. Gewisse Arbeitnehmerdaten müssen beispielsweise aufgrund gesetzlicher Verpflichtungen verarbeitet und an die Sozialversicherung sowie das Finanzamt übermittelt werden. Zum Teil erfolgt die Datenanwendung zum Zweck der Vertragserfüllung, zum Beispiel muss die Fluggesellschaft oder das Reisebüro beim Buchen eines Fluges die Daten für diesen Zweck erfassen. Viele Daten werden nur auf Basis einer Zustimmungserklärung verarbeitet. Bei Zustimmungserklärungen muss geprüft werden, ob diese ausreichend formuliert sind, das heißt, ob diese nach den Anforderungen der Datenschutz-Grundverordnung wirksam sind. Eine weitere Aufgabe ist daher, bestehende Zustimmungserklärungen zu prüfen, und falls diese nicht ausreichend sind, neue Zustimmungserklärungen von Kunden und Vertragspartnern einzuholen. Wie bereits erwähnt, besteht anstelle der bisherigen Meldepflicht künftig die Verpflichtung, ein persönliches Datenverarbeitungsregister zu führen und genau zu dokumentieren, welche Datenanwendungen im Unternehmen erfolgen. Das stellt einen hohen Aufwand dar, weil im Detail zu erfassen ist, welche Daten für welchen Zweck verarbeitet, an wen übermittelt und wie lange gespeichert werden. Unternehmen haben daher auch zu erheben, wie lange Daten aufbewahrt und ab wann diese gelöscht werden müssen. Darüber hinaus steigt die Verantwortung des Auftraggebers für Dienstleister, die Datenverarbeitungen für den Auftraggeber durchführen. Wenn Daten vom Dienstleister nicht rechtmäßig verwendet werden, haftet der Auftraggeber dafür. Bei der Auswahl der Dienstleister ist daher große Sorgfalt geboten. Unternehmen müssen sich davon überzeugen, dass der Dienstleister Daten rechtmäßig verarbeitet, zum Beispiel indem der Dienstleister einschlägige Zertifizierungen nachweisen kann.

Welche Folgen können Verstöße gegen die neuen Regelungen haben?

Fellner: Neben den erwähnten Geldbußen von bis zu 20 Millionen Euro oder bis zu vier Prozent des weltweiten Jahresumsatzes können bei Verstößen Unterlassungs- und Schadenersatzansprüche gestellt werden. Bieten Unternehmen ihre Dienstleistungen auch im Ausland an – das kann unter anderem bei einem Webshop der Fall sein – ist das Risiko höher, im Ausland aufgrund einer Datenschutzverletzung geklagt zu werden. Die Datenschutz-Grundverordnung sieht einen eigenen Gerichtsstand vor, wodurch jeder Betroffene am eigenen Wohnort oder am eigenen Arbeitsplatz klagen kann. Für Unternehmen, die Dienstleistungen im Ausland anbieten, besteht dadurch das Risiko, nicht nur in Österreich, sondern auch im Ausland geklagt werden zu können. Sollten Daten außerhalb der EU übertragen werden, müssen die Regelungen der Verordnung auch eingehalten werden.

Die Datensicherheit bei der Verarbeitung von personenbezogenen Daten soll durch die DSGVO noch effektiver gewährleistet werden. Welche Datensicherheitsmaßnahmen sind in Hinblick auf die Technikgestaltung („privacy by design“) zu setzen?

Mertl: Der Verantwortliche und der Auftragsverarbeiter haben sowohl bei der Planung als auch bei der Verarbeitung der Daten geeignete technische und organisatorische Maßnahmen zu treffen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und die Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen.

„Die Maßnahmen müssen gewährleisten, dass personenbezogene Daten nicht ohne Eingreifen einer Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.“
Thomas Mertl

Durch die DSGVO kommen auch wesentliche Neuerungen für datenschutzfreundliche Voreinstellungen („privacy by default“) hinzu. Was ist hier zu berücksichtigen?

Mertl: Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch entsprechende Voreinstellungen grundsätzlich nur jene personenbezogenen Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Verarbeitungszweck erforderlich ist. Diese Verpflichtung gilt für die Menge der erhobenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Die Maßnahmen müssen insbesondere gewährleisten, dass personenbezogene Daten nicht ohne Eingreifen einer Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden. Bei „privacy by default“ sind Systeme standardmäßig datenschutzfreundlich einzustellen. Zum Beispiel ist ein Internet-Browser regulär so einzurichten, dass ein Setzen von Cookies nicht oder nur mit Zustimmung des Nutzers möglich ist. Allgemein lassen sich hinsichtlich der technischen Anforderungen aus der DSGVO vier Bereiche ableiten: Aufbewahrung von Daten, Datensicherheitsmaßnahmen, Datensparsamkeit und Datenübermittlung. Bei der Kontrollgruppe „Aufbewahrung von Daten“ müssen die technischen Voraussetzungen gegeben sein, dass die vorgeschriebenen Mindestzeiten eingehalten werden. Mit dem neu definierten Vorgehen des „Löschbegehrens“ ist es nun notwendig, den Datenfluss in der Organisation transparent darzustellen, um personenbezogene Daten nachhaltig zu löschen oder den Zugriff darauf sicher sperren zu können. Dazu muss die IT in der Lage sein, alle Zugriffe auf personenbezogene Daten und deren Verarbeitung sicher und nachweislich zu protokollieren. Insbesondere bei der Datenübermittlung und den Datensicherheitsmaßnahmen gilt es die drei Säulen eines Informationssicherheitsmanagementsystems – Verfügbarkeit, Vertraulichkeit und Integrität der Daten – zu stärken. Hier ist auf ein sauberes Datenklassifizierungskonzept, eine stringente Access Control Policy in Bezug auf den Datenspeicherort (analog und digital) und die Systeme, die personenbezogene Daten verarbeiten, sowie auf eine konsequente Daten-Backup-Strategie zu achten. Bei der Datensparsamkeit gilt, dass zusätzlich zu Verfahren der Datenanonymisierung nur jene Daten verarbeitet werden dürfen, die für den jeweiligen Verarbeitungszweck notwendig sind. Ein Beispiel dafür: Viele Unternehmen haben Daten über Interessenten, also potenzielle Kunden. Diese Daten werden meist über ein Backup gesichert. Trifft ein Löschbegehren ein, wird der Eintrag der Person zwar in der Datenbank gelöscht, aber was passiert mit dem Backup? Wird die Löschung im Backup nachgezogen oder gibt es eine Checkliste, damit diese Daten manuell gelöscht werden?

Neureglungen der DSGVO betreffen auch das Qualitätsmanagement. Was gilt es für die Systemmanager Qualität zu beachten und umzusetzen?

Koubek: Qualitätsmanager haben in Unternehmen die Aufgabe, die Interessen der Kunden zu wahren. Auch wenn die Datenschutz-Grundverordnung alle personenbezogenen Daten betrifft, so sind doch Daten von bestehenden und zukünftigen Kunden ein wesentliches Segment. Dem Qualitätsmanager fällt daher eine wichtige Rolle zu. Unter personenbezogene Daten sind alle Daten zu verstehen, die mit einem Namen verknüpft sind. Der Schutz der Daten muss also weiter gedacht werden und betrifft nicht nur Verteilerlisten im Marketing: Wie geht man mit Daten von Beschwerden oder aus Kundenzufriedenheitsanalysen um? Auch in anderen Bereichen ist das Qualitätsmanagement gefordert, zum Beispiel im Rahmen von internen Audits oder Lieferantenaudits, heruntergebrochenen Qualitätszielen, Leistungsbewertungen, Kompetenzbewertungen et cetera. Kurz gesagt, überall dort, wo Daten von Menschen als Einzelperson verarbeitet werden, setzt die DSGVO an. Daher müssen Qualitätsmanager davon ausgehen, dass sie die Umsetzung der Anforderungen aus der DSGVO betrifft.

„Dem Qualitätsmanager fällt mit der Datenschutz- Grundverordnung eine wichtige Rolle zu.“
Anni Koubek

Wie können die neuen Regelungen der DSGVO in ein bestehendes Managementsystem integriert werden?

Koubek: Die Datenschutz-Grundverordnung hat sich zum Teil an Managementsystemnormen angelehnt und einige Aspekte eingearbeitet. Ein zentraler Bereich ist das akkreditierte, freiwillige Zertifizierungsverfahren, damit Organisationen die Erfüllung der Anforderungen nachweisen können. Ein weiterer Aspekt ist der Datenschutzbeauftragte, dem Verantwortlichkeiten zugewiesen werden. Auch ein risikobasierter Ansatz ist umfassend verankert. Die DSGVO benennt viele Anforderungen an die Planung und Durchführung sowie auch Kontrollpunkte. Unternehmen, die diese Ansprüche sinnvoll und nachhaltig umsetzen möchten, benötigen ein fundiertes Managementsystem. Nachdem nicht nur eine einzige Abteilung – wie zum Beispiel IT, Marketing oder HR – betroffen ist, sondern viele Abteilungen und Prozesse angesprochen sind, es ist sinnvoll, diese Anforderungen in ein integriertes Managementsystem einzubeziehen. Der Qualitätsmanager ist dabei in vielen Organisationen die koordinierende Stelle. Daher sollte er im Projektteam zur Umsetzung der DSGVO integriert werden – in kleineren Unternehmen übernimmt der Qualitätsmanager häufig die Leitung dieses Teams.

Als Systemmanager Sicherheit und Gesundheitsschutz ist man mit der Verarbeitung personenbezogener Daten konfrontiert – zum einen innerhalb des Unternehmens, zum anderen im Kontakt mit Behörden und Institutionen. Welche Maßnahmen sind im Sicherheitsmanagement zu treffen, um die neuen Regelungen der DSGVO zu erfüllen?

Bauer: Im Bereich des arbeits- und projektbezogenen Sicherheitsmanagements sind einige Neuregelungen der DSGVO zu beachten. Die Verordnung wird vor allem das Baustellen- und Projektmanagement betreffen – ich denke hier zum Beispiel an die Übermittlung von persönlichen Daten der Baustellen- und Projektmitarbeiter an Kunden, an sicherheitstechnische Aushänge auf Baustellen, den Transfer der Personaldaten von Subauftragnehmern und überlassenen Mitarbeitern, an die Erkenntnisse aus Untersuchungen und so weiter. Als Herausforderung sehe ich speziell die finale Ausprägung der einzelnen EU-Vorgaben in österreichisches Recht – hier kann noch einiges an Bürokratie und Administration auf Grundlage der EUVerordnung aufgebaut werden.

„Die Datenschutz- Grundverordnung wird vor allem das Baustellenund Projektmanagement betreffen.“
Eckehard Bauer

Worauf gilt es bei der Integration der Anforderungen der DSGVO in ein bestehendes Sicherheitsund Gesundheitsschutzmanagementsystem zu achten?

Bauer: Entscheidend ist, den Ist-Zustand aller relevanten Prozesse im Unternehmen darzulegen. Für Organisationen mit einem bestehenden Arbeitssicherheitsmanagement (wie BS OHSAS 18001, SCC, SCP) ist das entsprechend einfacher. Quality Austria erarbeitet zudem Checklisten und praktische Implementationshilfen für Unternehmen, damit bereits integrierte Sicherheits- und Gesundheitsschutzmanagementsysteme noch effizienter genutzt werden können.