© S. Engels/Fotolia

Novelle

Datenschutzgesetz sieht Millionenstrafen für Firmen vor

Das neue Datenschutzgesetz, das am 7. Juni im Ministerrat beschlossen wurde, sieht empfindliche Strafen für Unternehmen vor, die gegen die neuen Datenschutz-Bestimmungen verstoßen. "Künftig wird ein Strafrahmen bis zu 20 Mio. Euro bestehen oder 4 Prozent vom globalen Konzernumsatz, je nach dem, was rechnerisch höher ist", sagt der auf Datenschutzfragen spezialisierte Rechtsanwalt Rainer Knyrim.

Die geplanten gesetzlichen Änderungen gehen auf die vor etwas mehr als einem Jahr beschlossene Datenschutz-Grundverordnung (DSGVO) der EU zurück, die formal zwar gültig und direkt anwendbar ist, aber deren Anwendung bis 25. Mai 2018 ausgesetzt wurde. "Man hat also den Unternehmen netterweise zwei Jahre Zeit gegeben. Da ist ja Brüssel sehr höflich, der österreichische Gesetzgeber setzt ja Gesetze zum Teil auch rückwirkend in Kraft", sagte Knyrim.

Überraschung

Ursprünglich sei eine einheitliche europäische Verordnung geplant gewesen, allerdings habe man sich auch nach vierjähriger Diskussion auf europäischer Ebene nicht über alle Punkte einigen können, darum habe man diese Punkte der nationalen Regelung überlassen. "Ein solches Thema ist zum Beispiel der gesamte Bereich der Arbeitnehmerdatenverarbeitung", erklärte Knyrim.

Völlig überraschend sei nur zwei Tage nach dem Rücktritt des Vizekanzlers das "Datenschutz-Anpassungsgesetz 2018" als Entwurf des Bundeskanzleramtes bis 23. Juni in Begutachtung gegangen und am 7. Juni auch schon im Ministerrat beschlossen worden. "Es liegt bereits im Parlament, obwohl im Bundeskanzleramt noch das Begutachtungsverfahren läuft. Das ist ein höchst ungewöhnlicher Vorgang, aber anscheinend will unsere Regierung jetzt doch beweisen, dass sie irgendwas geschafft hat. Das ist aber gut, weil wir brauchen dieses Gesetz dringend", so Knyrim.

Strenge Regeln

"Es trifft wirklich jeden, der mit personenbezogenen Daten arbeitet", unterstrich der Experte die Bedeutung der neuen Datenschutzregeln. "Die Unternehmen beschäftigen sich mit diesem Thema so intensiv wie in den letzten 20 Jahren nicht."

Zu beachten seien "einige wenige, sehr klare Grundprinzipien". Das erste Prinzip sei, dass man immer eine Rechtsgrundlage brauche, um Daten überhaupt verarbeiten zu dürfen. "Das Datenschutzgesetz ist eigentlich ein Verbotsgesetz. Es ist grundsätzlich einmal alles verboten, außer es liegt eine Ausnahme vor, dass ich etwas tun darf." Darüber hinaus dürften nicht mehr Daten abgefragt werden als wirklich notwendig, man müsse dafür sorgen, dass sie richtig und auf aktuellem Stand seien, ihre Integrität und Vertraulichkeit gewährleistet sei und sie auch nur so lange gespeichert werden, wie sie tatsächlich benötigt werden.

Abofalle

Ein wichtiger Punkt sei auch die Zweckbindung der gesammelten Daten, erklärte Knyrim und führte als Beispiel den aktuellen Fall einer Tageszeitung an, die in den Geschäftsbedingungen für ein Testabo von den Kunden deren Zustimmung eingeholt habe, ihre Daten für Werbezwecke verwenden zu dürfen. Das habe die Datenschutzbehörde am 22. Mai als unzulässig beanstandet.

"Das Unternehmen hat zwei Monate Zeit bekommen, die Empfehlung der Datenschutzbehörde umzusetzen. Tut es das nicht, dann könnte die Datenschutzbehörde, die derzeit noch nicht Strafbehörde ist, das Unternehmen bei der zuständigen Bezirksverwaltungsbehörde anzeigen. In Zukunft hat die Datenschutzbehörde selbst die Möglichkeit, 20 Mio. Euro Strafe zu verhängen."

Google und Co

Unter das europäische Datenschutzrecht fallen auch Unternehmen aus Nicht-EU-Ländern, die auf dem europäischen Markt tätig sind. "Das heißt, Google kann dann auch bestraft werden. Es ist dann die Frage: Wie holt man sich das Geld?" Grundsätzlich gelte die Verordnung auch für Behörden und im öffentlichen Bereich. "Es gibt aber parallel zur Verordnung eine Richtlinie für die ganzen Agenden in Polizei, Justiz usw. Diese Richtlinie wird jetzt auch in österreichisches Recht umgesetzt."

Für den börsennotierten österreichischen Softwarehersteller Fabasoft ist die Datenschutz-Grundverordnung eine Geschäftschance. Fabasoft bietet eine Software an, die es den Unternehmen erleichtern soll, die gesetzlichen Bestimmungen einzuhalten. Mit den gängigen Programmen sei es schwierig, komplexe Berechtigungsstrukturen für einzelne Datensätze zu erstellen. "Bei uns ist das von Grund auf so aufgebaut, dass zu jedem Informationselement auch die entsprechenden Geschäftsregeln und Verantwortlichkeiten definiert werden.

Cloud-Dienste wie Dropbox "kann man meiner Meinung nach als Unternehmen nicht verwenden", meint Knyrim, weil deren Datenschutzerklärungen "völlig nichtssagend und wischi-waschi sind". Messenger-Dienste wie WhatsApp sind nach Ansicht von Knyrim überhaupt "die neue Seuche" für die Unternehmen, weil viele ihre Geschäfte per WhatsApp abwickeln und dann nicht dokumentieren könnten.

Hat dir der Artikel gefallen? Jetzt teilen!

Kommentare