Grundprinzipien des Datenschutz nach der DSGVO

Gastbeitrag von Dr. Thomas Schweiger, LL.M. (Duke) von Schweiger Mohr Partner Rechtsanwälte

Datenschutz ist Schutz personenbezogener Daten. Ab 25.5.2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Geltung und mit diesem Zeitpunkt müssen „Verantwortliche“ und „Auftragsdatenverarbeiter“ sich an die Bestimmungen sowie die Ausführungsbestimmungen im Datenschutzgesetz (dieses wurde in Österreich am 29.6.2017 im Nationalrat beschlossen) halten. Eine „Übergangsfrist“ wird es nicht geben, da die Unternehmen, Behörden und öffentlichen Stellen bereits seit April 2016 (Veröffentlichung der VO 679/2016 im Amtsblatt) Zeit haben, sich intensiv vorzubereiten.

Was ändert sich?

Derzeit sind auch juristische Personen im Schutzbereich des österreichischen DSG; ab 25.5.2018 ist nur mehr der Schutz personenbezogener Daten natürlicher Personen im Fokus.

Die Registrierungs- und Anmeldungspflicht beim Datenverarbeitungsregister entfällt. Nach (us-amerikanischem Vorbild) wird dies von „accountability“ (Rechenschaftspflicht) abgelöst, die auch mit einer Nachweispflicht (siehe Art. 5 (2) DSGVO) verbunden ist.

Compliance“ wird das Gebot im Datenschutz und „Risiko“ für Freiheiten und Rechte natürlicher Personen ist der Ausgangspunkt für viele Betrachtungen.

Werden die Regelungen nicht eingehalten, dann drohen den Unternehmen (siehe § 29 DSG 2018) hohe Geldstrafen (siehe insbes. Art. 83 DSGVO; bis zu 4 % des Gesamtumsatzes bzw. EUR 20 Mio als maximaler Rahmen).

Welche Maßnahmen können jetzt gesetzt werden?

Es ist notwendig

  1. ein Commitment der Unternehmens- oder Behördenleitung einzuholen, Datenschutz nach den Prinzipien der DSGVO als Prinzip der Organisation zu verankern,
  2. eine/n Verantwortliche/n in der Organisation zu bestellen, der das Projekt übernimmt, und steuert;
  3. die Gesamtsituation in Bezug auf die personenbezogenen Daten natürlicher Personen zu analysieren
  4. Abweichungen vom Standard, den das Gesetz vorschreibt, festzustellen,
  5. Maßnahmen festzulegen und gegebenenfalls zu priorisieren,  
  6. sowie die technischen, organisatorischen und rechtlichen Maßnahmen zu setzen, um die bestehenden Defizite aufzuarbeiten.

Welche Grundprinzipien normiert die DSGVO?

Folgende Grundprinzipien der DSGVO sind jedenfalls zu beachten:

Rechtmäßigkeit
Die Verarbeitung der Daten muss „rechtmäßig“ sein, d.h. es muss mindestens eine der Rechtsgrundlagen iSd Art. 6 oder Art 9 (besondere Datenkategorien) oder Art 10 (strafrechtlich relevante Daten) DSGVO gegeben sein. Diese sind z.B. die (freiwillige, informierte) Einwilligung, ein Vertrag, der zwischen den Parteien abgeschlossen ist/wird, eine rechtliche Verpflichtung des Verarbeiters, lebenswichtige Interessen der betroffenen Person, öffentliche Interessen oder ein überwiegend berechtigtes Interesse an der Verarbeitung.

Transparenz & Information
Die Verarbeitung personenbezogener Daten hat transparent zu erfolgen. Die natürlichen Personen, deren Daten verarbeitet werden, sollen Kenntnis darüber haben, welche konkreten Datenkategorien von welchem Verarbeiter für welchen Zweck verarbeitet werden.

Daher sind umfassende Informationspflichten bei der Erhebung und Verwendung von Daten normiert, und ist z.B. bei der Einwilligung darauf hinzuweisen, dass die betroffene Person das Recht hat, die Einwilligung zu widerrufen, und es ist über die Rechte der betroffenen Personen (z.B. Auskunft, Löschung, Data Portability) zu informieren.

Zweckbindung
Die Verarbeitung der Daten muss einem eindeutigen, festgelegten Zweck (Zweckfestlegung) dienen, und die Daten dürfen nur für diesen konkreten Zweck verwendet werden (Zweckbindung ieS).

Datenminimierung
Datenminimierung bedeutet, dass nur diejenigen Daten verarbeitet werden dürfen, die für den (definierten) Zweck notwendig sind, und nicht darüber hinausgehen.

Richtigkeit
Die verwendeten Daten müssen sachlich richtig sein (und auch auf dem neuesten Stand, wenn dies für den Verarbeitungszweck erforderlich ist).

Speicherbegrenzung
Die Speicherbegrenzung schreibt vor, dass jeder Verarbeiter festlegen muss (im Rahmen der gesetzlichen Anforderungen) die Daten zu löschen (oder zu anonymisieren) hat, da die Daten nur so lange gespeichert werden dürfen, als dies für den Zweck erforderlich ist.

Integrität & Vertraulichkeit
Dieses Prinzip erfordert, dass die Integrität der Daten und auch deren Vertraulichkeit zu schützen sind.

Was sind die konkreten Regelungen in der DSGVO und im DSG (Beschluss: 29.6.2017)?

Die Bestimmungen der DSGVO, die durch das DSG 2018 ergänzt bzw. präzisiert werden, regeln diese Grundprinzipien im Detail. Einige wesentliche Punkte daraus sind:

Datenschutzerklärung / Texte für Informationen an betroffene Personen (Art. 13 und 14 DSGVO): Eine Datenschutzerklärung, die uU auch auf der Website notwendig sein könnte (z.B. bei Webshops, Anmeldungen für Newsletter etc…) ist auf den aktuellen Stand der Informationsverpflichtungen nach der DSGVO anzupassen. Auch bei anderen Arten der Erhebung von Daten sind die betroffenen Personen ausreichend iSd Art. 13 und 14 DSGVO zu informieren, und die notwendigen Texte sind zu erstellen bzw. die bestehenden Texte zu überarbeiten.

Rechte der betroffenen Personen (Art. 15 ff. DSGVO): In der Organisation ist organisatorisch, technisch und auch rechtlich sicherzustellen, dass den Rechten der betroffenen Person (Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit) rechtzeitig und vollumfänglich bei der Ausübung nachgekommen werden kann. Es ist daher zu empfehlen, alle möglichen anwendbaren Szenarien in einem konkreten Rollenspiel durchzuspielen, den jeweiligen Prozess bei einem Ersuchen einer betroffenen Person mit den entsprechenden Verantwortlichkeiten zu definieren und damit auf die mögliche Ausübung der Betroffenenrechte vorbereitet zu sein.

Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO): Verantwortliche und Auftragsverarbeiter sind verpflichtet, selbst ein Dokument zu erstellen. Der Inhalt umfasst: den Zweck der Verarbeitung, die Kategorien der betroffenen Personen, die Kategorien der personenbezogenen Daten, Kategorien von Empfängern, Fristen für die Löschung und die technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung. Ausgangspunkt für dieses Verzeichnis von Verarbeitungstätigkeiten kann die (aktuelle) Meldung beim Datenverarbeitungsregister sein, wobei zu empfehlen ist, dass nicht in der Detailliertheit wie dies üblicherweise beim DVR gemeldet wurde, zu erstellen. Ausgangspunkt für unterschiedliche Kategorien (von Personen, Daten oder Empfängern) sollte das Risiko sein, welches damit aus Sicht der betroffenen Person verbunden ist.

Meldung bei Datenschutzverletzungen (Data Breach Notification) (Art. 33 und 34 DSGVO): Kommt es zu einer Datenschutzverletzung, dann ist eine Meldung an die Aufsichtsbehörde (Art. 33 DSGVO) und an die betroffenen Personen (Art. 34 DSGVO) zu erstatten. Diese kann entfallen, wenn die Verletzung voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt. Die Meldung an die Aufsichtsbehörde ist unverzüglich und möglichst binnen 72 Stunden durchzuführen. Überdies sind auch die betroffenen Personen unverzüglich von einer Datenschutzverletzung zu informieren, wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der natürlichen Personen zur Folge hat. Aus der kurzen Frist für die Meldung bei der Behörde ist ersichtlich, dass in der jeweiligen Organisation proaktiv ein Prozess zur Meldung von Datenschutzverletzungen zu implementieren ist; wenn sich eine Organisation mit den potentiellen Verletzungen des Datenschutzes nicht vorab befasst, und die Abläufe definiert, wird es vermutlich die Fristen der Art. 33 oder 34 DSGVO nicht einhalten können, und setzt sich einer potentiellen Geldbuße aus.

Datenschutz-Folgenabschätzung (Art. 35 DSGVO): Sofern eine Datenverarbeitung, insbes. bei Verwendung neuer Technologien, aufgrund der Art, des Umfanges, der Umstände und der Zwecke der Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen haben kann, ist eine Datenschutz-Folgenabschätzung durchzuführen. Es ist zu dokumentieren, welche Risiken für die betroffene Person (nicht für die Organisation) durch die Datenverarbeitung gegeben sind.

Datenschutzbeauftragter (Art. 37 DSGVO): In Art. 37 DSGVO wird für Behörden und öffentliche Stellen (Abs 1 lit a DSGVO) sowie für Unternehmen (Abs 1 lit b und c DSGVO) unter bestimmten Voraussetzungen die Bestellung eines Datenschutzbeauftragten (DSB) verpflichtend vorgeschrieben. Unternehmen müssen dann einen DSB bestellen, wenn mit der Datenverarbeitung ein Risiko verbunden ist, und zwar dann, wenn die Kerntätigkeit des Unternehmens bestimmte umfangreiche Datenverarbeitungen (regelmäßige und systematische Überwachung von betroffenen Personen ist erforderlich) umfasst oder bestimmte Datenarten (Art. 9/10-Daten) im Rahmen der Kerntätigkeit umfangreich verarbeitet werden.

Datenverarbeitung im Beschäftigungskontext (Art. 88 DSGVO, § 29 DSG): Die DSGVO gibt den Mitgliedsstaaten die Möglichkeit, die Datenverarbeitung von HR-Daten speziell zu regeln. In Österreich finden sich diesbezügliche Regelungen für Unternehmen, in denen ein Betriebsrat besteht, in §§ 96 und 96a ArbeitsverfassungsG (Betriebsvereinbarungen), und Unternehmen, bei denen ein Betriebsrat nicht besteht, in § 10 (1) ArbeitsvertragsrechtsanpassungsG (Einzelvereinbarung). In diesen Bestimmungen wird den Unternehmen die Möglichkeit gegeben, außerhalb der Verarbeitung der personenbezogenen Daten im Arbeitsverhältnis, die zur (wechselseitigen) Erfüllung des Arbeitsvertrages notwendig sind oder die gesetzlich vorgeschrieben sind (z.B. Arbeitsunfälle, Arbeitszeitaufzeichnungen …) Regelungen auf genereller Basis für die Verarbeitung von personenbezogenen Daten (z.B. Videoüberwachung, whistleblowing-Hotline, Zeiterfassungssysteme, Zugangskontrollsysteme für bestimmte Bereiche …) mit den Mitarbeitern zu vereinbaren.

Durch den Verweis in § 29 DSG auf das ArbVG soll klargestellt werden, dass diese Systematik auch den Bestimmungen der DSGVO Rechnung trägt, wobei mE noch Klarstellungen für betriebsratslose Betriebe oder leitende Angestellte mit maßgeblichem Einfluss auf die Betriebsführung oder freie Dienstnehmer, die an sich von Betriebsvereinbarungen iSd ArbVG nicht erfasst werden, notwendig sind.

Bildverarbeitung (Videoüberwachung) (§ 30 ff DSG): Die Bildverarbeitung (Videoüberwachung) wird in Österreich im DSG näher präzisiert, und z.B. eine Speicherdauer von 72 Stunden als Standard vorgesehen (siehe § 32 (3) DSG). Die Gründe für die Rechtmäßigkeit sind speziell definiert (§ 30 (2) DSG) und das überwiegende berechtige Interesse im Einzelfall unter Abwägung der Interessen im Sinne einer Verhältnismäßigkeit wird in § 30 (3) DSG in einer demonstrativen Aufzählung näher definiert. In § 30 (4) DSG werden Gründe für die Unzulässigkeit einer Bildverarbeitung normiert, nämlich im höchstpersönlichen Lebensbereich ohne die ausdrückliche Einwilligung, zur Kontrolle von Arbeitnehmern, der automationsunterstützte Abgleich der Bildverarbeitung mit anderen personenbezogenen Daten sowie die Auswertung der Bildverarbeitung anhand von besonderen Kategorien personenbezogener Daten (Art. 9 DSGVO) als Auswahlkriterium. Eine Videoüberwachungsanlage ist gesondert zu kennzeichnen (§ 33 DSG).

Die Schlussfolgerung

Die Datenschutz-Grundverordnung ist seit mehr als einem Jahr in Geltung und tritt in weniger als 200 Arbeitstagen in Kraft. Es ist daher dringend geboten, dass Organisationen mit den Notwendigkeiten und Verpflichtungen, die sich daraus ergeben, auseinandersetzen.

Der erste Ansatzpunkt dafür wäre z.B. festzustellen, welche Kategorien von betroffenen Personen es in der Organisation gibt (Bewerber/innen, Mitarbeiter/innen, Kunden, Lieferanten, Abonnenten des Newsletters …) und welche Datenarten in Bezug auf diese Personen für welchen konkreten, eindeutig definierten Zweck verarbeitet werden.

Aus dieser ersten Analyse sollte das Verzeichnis von Verarbeitungstätigkeiten erstellt werden, wobei darin auch die Kategorien der Empfänger sowie die Löschfristen und auch die technischen und organisatorischen Maßnahmen zur Sicherheit der Verarbeitung zu dokumentieren sind.

Für interne Dokumentationszwecke kann das Verzeichnis auch um die Gründe für die Rechtmäßigkeit der Verarbeitung und eine Einschätzung des potentiellen Risikos, insbes. auch mit Hinblick darauf, ob ein hohes Risiko für Rechte und Freiheiten der natürlichen Personen besteht, ergänzt werden.

Weiters sollte dokumentiert werden, ob und weshalb ein DSB bestellt wird, oder davon ausgegangen wird, dass ein DSB nicht verpflichtend zu bestellen ist.

Nach diesen Maßnahmen sollen die notwendigen Prozesse für die Erfüllung der Rechte der betroffenen Personen sowie die Meldungen bei Datenschutzverletzungen definiert werden.

Auch die Texte für eine Data Privacy Policy (Datenschutzerklärung) und auf den konkreten Zweck abgestimmte Informationstexte für die betroffenen Personen sollten an die Bestimmungen und Verpflichtungen der DSGVO angepasst werden.

Da Datenschutz nicht nur von Maßnahmen und Dokumentation abhängig ist, ist es auch notwendig, das Bewusstsein für den Schutz der personenbezogenen Daten natürlicher Personen bei den Mitarbeiter/innen der Organisation zu wecken bzw. anzuheben, und diese im Datenschutz zu schulen und zu trainieren, sowie diesen Ansprechpartner für Fragen im Anlassfall zu geben.  

Links: