Datenschutz NEU – Großer Handlungsbedarf für Unternehmen

datenschutz dsgvo

Am 25. Mai 2018 treten in Österreich die neue Datenschutz-Grundverordnung (DSGVO) der EU sowie das neue österreichische Datenschutzgesetz (DSG) in Kraft, die ein vollkommen neues System des Datenschutzes und eine ganze Reihe von neuen Pflichten für Unternehmen einführen.

Im vorliegenden Beitrag erfahren Sie, welche Änderungen ab Mai 2018 gelten, wie Sie Ihr Unternehmen DSGVO/DSG-konform machen können und welche Sanktionen drohen, wenn Ihr Unternehmen zum Stichtag 25. Mai 2018 nicht datenschutzkonform Daten verarbeitet.

Die wichtigsten Änderungen ab Mai 2018

Ein Kernprinzip der DSGVO im Vergleich zum bisherigen Datenschutzrecht ist die verstärkte „Accountability“ iS einer Rechenschaftspflicht. Anstelle einer Meldeverpflichtung gegenüber der nationalen Datenschutzbehörde sieht die DSGVO etwa die Verpflichtung zur Führung unternehmensinterner Verzeichnisse über Datenverarbeitungsvorgänge vor. Auch die Standard- und Musterverordnung 2004 tritt außer Kraft und soll durch sog. „Black & White Lists“ ersetzt werden: Mit nationaler Verordnung wird festgelegt werden, für welche Verarbeitungsvorgänge Unternehmen eine sog. Datenschutz-Folgenabschätzung durchführen und erstellen müssen (Art 35). Das „Recht auf Vergessenwerden“ ist in der DSGVO ebenso verankert (Art 17) wie die Möglichkeit Betroffener, Beschwerde zu erheben und Schadenersatz nun auch gesammelt in Form eines Klagsverbandes geltend zu machen, oder die Verpflichtung des Unternehmens, einen Datenschutzbeauftragen zu bestellen (Art 37 ff).

Der Volltext der deutschen Fassung der DSGVO ist unter folgendem Link abrufbar: http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=OJ:L:2016:119:TOC  

Das neue Datenschutzgesetz (DSG), das am 31. Juli 2017 im Bundesgesetzblatt (BGBl I Nr 120/2017) präzisiert einige sog. „Öffnungsklauseln“ des DSGVO, die den Mitgliedstaaten Spielräume bei der Gestaltung des Datenschutzrechts eröffnen und enthält präzisierende Angaben zum Datengeheimnis (§ 6 DSG), zum Datenschutzbeauftragten (§ 6 DSG), zu den Aufgaben und den Befugnissen der Datenschutzbehörde (§§ 18 ff DSG), zu den Pflichten der Personen, die Daten verarbeiten (§§ 46 ff DSG) sowie zu den Rechtsbehelfen, Haftung und Sanktionen bei Verletzung datenschutzrechtlicher Bestimmungen (§§ 24 ff DSG). 

Das neue DSG ist unter folgendem Link abrufbar: https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf

Darüber hinaus sind bei der Anwendung der neuen DSGVO und des DSG auch stets die Bestimmungen des Arbeitsrechts (ArbVG, AVRAG) zu beachten, die die Zulässigkeit der Verarbeitung personenbezogener Daten im Beschäftigungskontext regeln (§ 11 DSG).

Wie kann man das Unternehmen DSGVO/DSG-konform machen?

In erster Linie sind die unternehmensinternen Systeme zu erfassen, die zur Sammlung und Verarbeitung personenbezogener Daten (sowohl eigener Arbeitnehmer, als auch jener der Kunden) dienen. Bei jedem System sind die dort verarbeiteten Daten zu systematisieren und auf deren Sensibilität sowie die Zulässigkeit deren Verarbeitung zu überprüfen.

Anschließend ist das Datenschutzkonzept in Anlehnung an die Grundsätze der DSGVO (insb. Art 5 DSGVO) und des DSG zu erstellen, das unter anderem eine effektive Kontrolle der Datenverarbeitung sowie der Informationsflüsse vorsieht.

Auch eigene Arbeitnehmer bzw der Betriebsrat müssen zustimmen

Äußerst wichtig ist auch die Einholung der Zustimmung zur Datenverarbeitung von Personen, deren Daten verarbeitet werden sollen. Dabei sind auch eigene Arbeitnehmer zu beachten. Möglich und unter Umständen zwingend ist auch die Befassung des Betriebsrates mit den im Unternehmen zum Einsatz kommenden Systemen zur Datenverarbeitung, da auch dieser über wichtige Zustimmungskompetenzen im Hinblick auf die Zulässigkeit der Datenverarbeitung verfügt.

Welche Sanktionen drohen?

Das neue Datenschutzrecht wird zweierlei sanktioniert: einerseits durch verwaltungsstrafrechtliche Geldbußen, andererseits durch die Möglichkeit von betroffenen Personen, Schadenersatz für die rechtswidrige Datenverarbeitung zu fordern.

Verwaltungsstrafrechtliche Geldbußen

Bei Verletzungen des neuen Datenschutzrechts jedenfalls empfindliche „Geldbußen“ von bis zu 20 Mio EUR bzw. bis zu 4 % des gesamten weltweit erzielten Jahresumsatzes (Art 83 Abs 5 DSGVO). Darüber hinaus kann die Datenschutzbehörde Geldbußen bis zu 50 000 EUR verhängen, wenn Daten nicht im Einklang mit dem DSG verarbeitet werden (§ 62 Abs 1 DSG). Dabei ist auch der Versuch strafbar (§ 62 Abs 2 DSG). Neben dem Verantwortlichen gem. § 9 VStG können auch juristische Personen (Unternehmen) selbst bestraft werden (§ 30 DSG).

Schadenersatzpflicht für rechtswidrige Datenverarbeitung – Beweislastumkehr zulasten von Unterhemen

Jede Person, der wegen eines Verstoßes gegen die DSGVO oder das DSG ein materieller oder auch immaterieller Schaden entstanden ist, steht Schadenersatz zu (§ 29 DSG). Für die Unternehmen spielt nicht nur die Möglichkeit, für immaterielle Ansprüche betroffener Personen schadenersatzpflichtig zu werden, sondern insb.  die Beweislastumkehr des Art 82 Abs 3 DSGVO  enorme Herausforderung dar. Ab Mai 2018 werden Unternehmen beweisen müssen, dass die für den Umstand, durch den der Schaden eingetreten ist, nicht verantwortlich waren. Für diesen Entlastungsbeweis wird der Nachweis (bloß) fehlenden Verschuldens nicht ausreichen. Vielmehr wird jedes Unternehmen beweisen müssen, dass der Schaden entweder auf höhere Gewalt, oder auf das 100% Mitverschulden betroffener Person zurückzuführen war. Dieser enorm strenge Haftungsmaßstab der DSGVO erfordert von jedem Unternehmen die Herstellung einer fehlerfreien DSGVO/DSG-Konformität, um Schadenersatzansprüche potenziell betroffener Personen abzuwehren.

Wie können wir Ihnen helfen?

PFR Rechtsanwälte unterstützt Sie und Ihr Unternehmen gerne bei der Implementierung des neuen Datenschutzrechts in Übereinstimmung mit der DSGVO und dem DSG in Ihr Unternehmen und bei der Anpassung sowie bei der Bewertung von Systemen, die Verarbeitung personenbezogener Daten dienen. Wir stehen auch gerne zur Verfügung bei sämtlichen arbeitsrechtlichen Problemstellungen, die aufgrund der Änderungen im Datenschutzrecht auftauchen und helfen Ihnen bei der Erstellung und der Einführung von datenschutzkonformen Betriebsvereinbarungen, die die rechtskonforme Datenverarbeitung in Ihrem Unternehmen ermöglichen. Weiters stehen wir auch gerne zur Verfügung bei der Überarbeitung Ihrer Allgemeinen Geschäftsbedingungen (AGB) oder sonstiger Vertragsformblätter bzw. anderer Verträge im Hinblick auf die neue DSGVO und das DSG.

Ansprechpartner: Dr. Wolfram Proksch

Adresse

  • 1010 Wien,
    Nibelungengasse 11/4

Kontakt

  • +43 1 877 04 54
  • office(a)pfr.at

Follow us

Suche