01.03.2017 von

Warum Sie sich jetzt mit der Datenschutz-Grundverordnung beschäftigen sollten

- 1 Kommentar

Die neue Datenschutz-Grundverordnung bringt eine komplette Neuregelung des Datenschutzes in Europa. In unserem ersten Videoblog zur Grundverordnung gehen wir der Frage nach, warum auch Ihr Unternehmen betroffen sein wird.

Florian Unterberger (Pressesprecher Baker McKenzie Wien) im Gespräch mit Lukas Feiler (Leiter des Wiener Teams für IT-Recht und Autor des ersten österreichischen Kommentars zur Datenschutz-Grundverordnung)

 

Ungekürzte Langfassung des Interviews

Die Datenschutz-Grundverordnung tritt im Mai 2018 in Geltung. Was sind drei gute Gründe, warum man sich als Unternehmen jetzt schon sehr intensiv damit auseinander setzen sollte?

Lukas Feiler: Der erste Punkt ist, dass die Datenschutz-Grundverordnung einen drastischen Wechsel zur jetzigen Risikolage bringt. Bisher drohen Geldstrafen von maximal 25.000 Euro, nach der Datenschutz-Grundverordnung werden es bis zu 20 Mio. Euro oder vier Prozent des weltweiten Jahresumsatzes des gesamten Konzerns sein. Der zweite Punkt ist, dass sich mit der Grundverordnung sehr viel im Datenschutzrecht ändert und zwar nicht nur in juristischen Details, sondern ganz grundlegend. Unternehmen müssen ihre Prozesse und Strukturen hier angleichen und daher große Änderungen anstoßen, die – und das ist Punkt drei – einiges an Zeit in Anspruch nehmen werden. Das heißt, nur wer frühzeitig beginnt, hat die Chance, mit Geltungsbeginn am 25. Mai 2018 tatsächlich bereit zu sein.

Die Datenschutz-Grundverordnung gilt auch für Nicht-Europäer

Für wen gilt denn die Datenschutz-Grundverordnung überhaupt?

Lukas Feiler: Die Datenschutz-Grundverordnung (zum Volltext) gilt im Prinzip für alle Unternehmen, die personenbezogene Daten verarbeiten. Sie betrifft aber nicht nur Unternehmen, die ihren Sitz in der Europäischen Union haben. Jeder, der seine Waren und Dienstleistungen in der EU anbietet, ist der Datenschutz-Grundverordnung unterworfen. Zweck ist es, dass alle Unternehmen, die am Europäischen Markt konkurrieren, nach denselben Regeln spielen müssen.

Was versteht man denn ganz grundsätzlich unter personenbezogenen Daten?

Lukas Feiler: Personenbezogene Daten im Sinne der Grundverordnung sind Daten, die eine natürliche Person identifizieren oder identifizierbar machen. Das heißt, im großen Unterschied zur geltenden österreichischen Rechtslage sind nur Daten natürlicher Personen – Menschen wie Sie und ich – hier erfasst. Daten, die sich nur auf juristische Personen beziehen wie beispielsweise Umsatzzahlen, fallen hingegen nicht unter die Datenschutz-Grundverordnung. Aber die allermeisten Daten haben tatsächlich einen Bezug zu einer natürlichen Person – und umso größer der Datenberg ist, umso größer ist die Wahrscheinlichkeit, dass sich ein solcher Personenbezug herstellen lässt. Insofern muss man bei jeder größeren Datenmenge davon ausgehen, dass es sich um personenbezogene Daten handelt.

Auch die Festplatte im Regal unterliegt der Datenschutz-Grundverordnung

Und ist jede Art von Datenverarbeitung dieser personenbezogenen Daten auch umfasst von der Datenschutz-Grundverordnung?

Lukas Feiler: Der Begriff der Verarbeitung, der hier ganz maßgeblich für den Anwendungsbereich ist, ist denkbar weit. Alles, was man irgendwie mit personenbezogenen Daten machen kann – ob sie zu erheben, sie zu ordnen, sie zu filtern, sie zu löschen oder auch nur aufzubewahren, also eine Festplatte in den Kasten zu legen und sie dort liegen zu lassen – stellt auch eine Datenverarbeitung dar. Die einzige Ausnahme ist, wenn man Daten in nicht elektronischer Form, also auf Papier, verarbeitet und das außerhalb eines Aktenverwaltungssystems tut. Nur in diesem Fall gilt die Datenschutz-Grundverordnung nicht – aber das ist in der zunehmend digitalen Unternehmensrealität tatsächlich eine verschwindend geringe Ausnahme.

Weiter nationales Datenschutzrecht neben Datenschutz-Grundverordnung

In Ihrem Kommentar bezeichnen Sie die Datenschutz-Grundverordnung als „hinkende Verordnung“. Wie hat sie sich diese wenig charmante Bezeichnung verdient?

Lukas Feiler: Das legistische Konzept der Europäischen Kommission hatte vorgesehen, das Datenschutzrecht in der Europäischen Union zu vollharmonisieren, das heißt, in allen 28 Mitgliedstaaten der Europäischen Union gleiches, einheitliches Recht zu schaffen. Dieses Ziel konnte man aber tatsächlich nicht ganz verwirklichen, weil sich die Mitgliedstaaten in vielen Punkten nicht auf eine einheitliche Regelung einigen konnten. Daher hat man insgesamt 69 Öffnungsklauseln geschaffen. Das heißt, die Verordnung ermöglicht es den nationalen Gesetzgebern, in 69 verschiedenen Fällen von der Grundverordnung abzuweichen. Daher wird erst recht keine Vollharmonisierung geschaffen durch die Verordnung, insofern hinkt sie.

Was wird das für Unternehmen in der Praxis bedeuten? Was bringt das für Schwierigkeiten?

Lukas Feiler: Ein konkreter Fall, wo die Datenschutz-Grundverordnung keine klare Regel vorgibt, ist die Verarbeitung von Daten über die (mögliche) Begehung von Straftaten. Derartige Daten werden im Rahmen eines Unternehmens typischerweise bei einer Whistle-Blowing-Hotline verarbeitet. Dort erstattet jemand eine Meldung, weil er den Verdacht hat, dass beispielsweise ein Manager Untreue begangen hätte. Das sind strafrechtlich relevante Daten, von denen die Grundverordnung sagt, dass sie nicht verarbeitet werden dürfen – außer das nationale Recht sieht hier einen Erlaubnistatbestand vor. Sprich, die Frage, wie eine Whistle-Blowing-Hotline auszusehen hat und ob sie überhaupt zulässig ist, wird das nationale Recht zu regeln haben. Das bedeutet für Unternehmen zunächst einmal, dass man sich sehr wohl nach wie vor mit 28 unterschiedlichen Rechtsordnungen auseinandersetzen wird müssen.

Darüber hinaus regelt sie einen ganz entscheidenden Punkt nicht, nämlich die Frage, wann welches nationale Recht gilt. Also die Verordnung gibt keine klare Antwort darauf, welches nationale Recht maßgeblich ist, wenn eine Konzernmutter mit Sitz in Österreich eine Whistle-Blowing-Hotline für ihre Konzerntöchter in Italien, Deutschland und Frankreich betreibt. Dass die Datenschutz-Grundverordnung kein „Kollisionsrecht“ enthält, ist vielleicht einer ihrer größten Schwachpunkte.

Öffnungsklauseln bringen Gestaltungsspielraum

Diese Öffnungsklauseln, die dann in den einzelnen EU-Staaten unterschiedlich umgesetzt werden, eröffnen Unternehmen aber auch einen Gestaltungsspielraum?

Lukas Feiler: Ja, sowohl bei der Frage, welches nationale Recht de facto für mich gelten wird, als auch bei der Frage, welche nationale Behörde für mich zuständig sein wird, spielt es eine große Rolle, welches Land ich mir aussuchen werde. Es gibt einfach Mitgliedstaaten, wo die Rechtsdurchsetzung des Datenschutzrechts besonders ernst genommen wird – Deutschland ist definitiv ein solches Beispiel. Es gibt aber auch Länder, wo das nicht notwendigerweise der Fall sein wird und auch das nationale Datenschutzrecht aufgrund der Öffnungsklauseln Unterschiede aufweisen wird.

Grundsätzlich gilt, dass jene nationale Datenschutzbehörde zuständig sein wird, in deren Land der Verantwortliche seinen Sitz hat. Das heißt, wenn ich in einer Konzernstruktur frei bin zu entscheiden, welche meiner Gesellschaften jetzt das große neue Big-Data-Projekt übernehmen wird, dann ist man gut beraten, sich bei der Standortwahl nicht nur auf gesellschaftsrechtliche und steuerrechtliche Aspekte zu konzentrieren, sondern ganz zentral jedes nationale Datenschutzrecht mit zu berücksichtigen.

Datenschutzausschuss regelt nur Zuständigkeit

Wenn ich Sie richtig verstehe, wird mit der Verordnung auch keine europäische Datenschutzbehörde eingerichtet. Statt dessen bin ich weiter auf die nationalen Datenschutzbehörden angewiesen, die mich dann möglicherweise nach Italien weiterschicken?

Lukas Feiler: Die Rechtsdurchsetzung wird grundsätzlich weiterhin den nationalen Datenschutzbehörden obliegen, insbesondere die Europäische Kommission hat keinerlei Rechtsdurchsetzungsbefugnisse. Was es hingegen geben wird, ist der europäische Datenschutzausschuss. Dabei handelt es sich um einen Zusammenschluss der nationalen Datenschutzbehörden. Der hat insofern Behördencharakter, als dass er Streitfälle zwischen den nationalen Behörden – insbesondere Fragen der Zuständigkeit – bindend entscheiden wird können. Aber dieser europäische Datenschutzausschuss hat eigentlich nur koordinierende Funktion und die Rechtsdurchsetzung verbleibt bei den nationalen Behörden.

Einführung in die Datenschutz-Grundverordnung

Weitere Videoblogs zur Datenschutz-Grundverordnung

Autor:

1 Kommentar

  • Die Datenschutz Grundverordnung ist bereits in Kraft gesetzt worden. Wir befinden uns jetzt in der Umsetzungsphase. Wenn diese Phase vorbei ist, gibt es keine Nachfristen mehr. Wir sind mehr oder weniger in der „Nachfrist“. Ich bin überrascht wie wenig ernst das Thema genommen wird. Es ist fast so als hätte es keine Wichtigkeit. Dabei sind die Strafen für mittlere Unternehmen durchaus existenzbedrohend.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.