Netzpolitik

Neue EU-Datenschutzregeln: Firmen läuft die Zeit davon

Ab Mai 2018 werden in der EU die neuen Datenschutzregeln durchgesetzt. Für Unternehmen bringt die Datenschutzgrundverordnung zahlreiche Änderungen und hohe Strafen bei Verstößen. Viele Detailfragen sind aber noch offen. Klarheit sollte unter anderem das Datenschutz-Anpassungsgesetz bringen, das seit Mitte Mai zur Begutachtung aufliegt. Ob es noch vor dem Ende der Legislaturperiode und den Nationalratswahlen am 15. Oktober beschlossen wird, ist wegen der innenpolitischen Wirren aber offen.

"Mittlere Katastrophe"

"Unternehmen brauchen eine Vorlaufzeit von bis zu einem Jahr, sie müssen jetzt schon planen, wie sie ihre Systeme anpassen", sagt der Wiener Anwalt Axel Anderl von der Kanzlei Dorda zur futurezone: "Dazu müssen sie wissen, wie die österreichische Gesetzgebung aussieht. Wenn das Gesetz vor den Wahlen nicht beschlossen wird, wird es eng." Vor allem wegen der hohen Strafen, die bei Datenschutzverstößen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes ausmachen können, dränge die Zeit, sagt der Anwalt. "Wenn es sich nicht mehr ausgeht, wäre das eine mittlere Katastrophe."

Der Gesetzesentwurf, dessen Begutachtungsfrist am 23. Juni endet, sei zwischen SPÖ und ÖVP abgestimmt, heißt es aus dem Bundeskanzleramt auf Anfrage der futurezone. Eine Abstimmung im Parlament sei frühestens im September möglich. Weil der Entwurf auch Änderungen im Bundes-Verfassungsgesetz mit sich bringt, ist für die Verabschiedung des "Datenschutz-Anpassungsgesetzes 2018" eine Zweidrittelmehrheit erforderlich.

Dokumentieren und Verträge anpassen

Was aber kommt auf die heimischen Unternehmen zu? Nach den neuen Regeln müssen Unternehmen Datenverarbeitungen nicht mehr bei der Datenschutzbehörde melden. Sie müssen selbst sicherstellen, dass die gesetzlichen Vorschriften erfüllt werden. Dazu müssen sie Datenverbeitungen dokumentieren und bei kritischen Fällen auch Folgenabschätzungen durchführen. In welchen Fällen eine solche Folgenabschätzung notwendig ist, ist aber auch von EU-Seite noch nicht restlos geklärt.

Auch Verträge mit Kunden, Lieferanten und Dienstleistern müssten von den Firmen überarbeitet und angepasst werden, sagt Anderl: "Die neuen Bestimmungen sind wesentlich detaillierter als die alten."

Datenschutzbeauftragter

Wenn sensible Datenverarbeitungen Kerntätigkeiten des Unternehmens sind, wie etwa beispielsweise Scoring oder Profiling, muss auch ein Datenschutzbeauftragter installiert werden. Die Kriterien sind in der EU-Verordnung rein inhaltlich definiert. Auf die Möglichkeit eine Größenordnung festzuschreiben, hat Österreich im Gegensatz zu Deutschland verzichtet. Dort ist etwa ein Datenschutzbeauftragter zwingend vorgesehen, wenn mindestens zehn Mitarbeiter ständig personenbezogene Daten verarbeiten.

Eine nationale Besonderheit bleiben die Regeln zur Videoüberwachung, die nun auch Fotos, auch professionelle Aufnahmen, und Tonaufnahmen umfassen. Dashcams werden in Österreich auch weiterhin nicht erlaubt sein, weil mit ihrem Gebrauch die Identifizierung von Personen beabsichtigt wird. Strafen bei Verstößen können bis zu 50.000 Euro betragen. Im Verhältnis zu den in der EU-Verordnung vorgesehenen Strafen von bis zu 20 Millionen Euro bei Datenschutzverstößen, sind die Strafen "moderat", wie Anderl sagt.

"Überraschend zurückhaltend"

Generell sei der Gesetzesentwurf überraschend zurückhaltend, meint Anderl. Der Datenschutz für juristische Personen - eine österreichische Eigenheit - sei ebenso weggefallen wie eine Reihe von Genehmigungserfordernissen im grenzüberschreitenden Datenverkehr. Für Firmen, die in mehreren europäischen Ländern Niederlassungen haben, gebe es erhebliche Erleichterungen.

Daneben blieben mit der Neuregelung des Datenschutzes in der EU auch weiterhin Fragen offen, die letztlich wohl der Europäische Gerichtshof (EuGH) klären müsse, meint der Anwalt. Dazu zähle etwa die Frage der Freiwilligkeit bei der Zustimmung zur Datenweitergabe, wenn sie an die Erbringung eines Dienstes gekoppelt werde. "Wenn also der Vertrag nur zustande kommt, wenn ich damit einverstanden bin, dass meine Daten weitergegeben werden", erläutert der Anwalt.

Fragen zur Löschverpflichtung

Fraglich sei auch, ob die österreichische Regelung zur Löschverpflichtung ("Recht auf Vergessen") vor Gericht standhalte. Die sieht nämlich für den Fall, dass die Löschung der Daten nicht sofort möglich ist, es vorübergehend reicht, wenn die Verarbeitung eingeschränkt wird. Eine Frist, wie lange diese eingeschränkte Verarbeitung dauern darf, bis es schließlich zur Löschung kommt, gebe es nicht, sagt Anderl: "Es ist fraglich, ob das vor dem Europäischen Gerichtshof hält."

Klicken Sie hier für die Newsletteranmeldung

Hat dir der Artikel gefallen? Jetzt teilen!

Patrick Dax

pdax

Kommt aus dem Team der “alten” ORF-Futurezone. Beschäftigt sich schwerpunktmäßig mit Innovationen, Start-ups, Urheberrecht, Netzpolitik und Medien. Kinder und Tiere behandelt er gut.

mehr lesen