Was die Da­ten­schutz­ver­ord­nung bringt: Sam­mel­kla­gen, Be­auf­trag­te

Nut­zer kön­nen ab Mai 2018 ih­re Rech­te leich­ter durch­set­zen. Ab dann gilt die Da­ten­schutz­ver­ord­nung der EU. Un­ter­neh­men dro­hen bei Ver­stö­ßen Stra­fen in Mil­lio­nen­hö­he, sagt IT-An­walt Lu­kas Fei­ler.

Der Standard - - WEBSTANDARD - IN­TER­VIEW: Fa­bi­an Schmid

Wien – Nach jah­re­lan­gen Ver­hand­lun­gen be­schloss das EU-Par­la­ment vor rund ei­nem Jahr ei­ne neue Da­ten­schutz-Gr­und­ver­ord­nung. Sie tritt ab Mai 2018 in Kraft. IT-Un­ter­neh­men sol­len zu­vor mas­siv lob­by­iert ha­ben, um all­zu stren­ge Da­ten­schutz­re­geln zu ver­hin­dern. der STAN­DARD hat mit dem IT-Ex­per­ten Lu­kas Fei­ler über die größ­ten Neue­run­gen ge­spro­chen.

STAN­DARD: Was än­dert sich für ei­nen nor­ma­len Nut­zer mit der neu­en Ver­ord­nung? Fei­ler: Er kann sei­ne Rech­te leich­ter durch­set­zen. Bis­her war die Durch­set­zung des Da­ten­schut­zes aus Sicht des Nut­zers re­la­tiv zahn­los. Er konn­te ei­ne Be­schwer­de bei der Da­ten­schutz­be­hör­de ein­brin­gen, was al­len­falls da­zu führ­te, dass die­se ei­ne klei­ne Un­ter­su­chung durch­führt und den Fall an die Be­zirks­ver­wal­tungs­be­hör­de wei­ter­gibt, die ein Straf­ver­fah­ren durch­führt. In Wien ist et­wa das Ma­gis­tra­ti­sche Be­zirks­amt für den 2. und 20. Be­zirk zu­stän­dig – dort ar­bei­tet ei­ne ein­zi­ge Per­son das Da­ten­schutz­recht in der Haupt­stadt ab.

STAN­DARD: Mit der Ver­ord­nung bleibt das gan­ze Ver­fah­ren bei der Da­ten­schutz­be­hör­de selbst? Fei­ler: Ge­nau. Sie er­hält nun die Kom­pe­tenz, Ver­wal­tungs­straf­ver­fah­ren durch­zu­füh­ren, und kann dra­ko­ni­sche Stra­fen ver­hän­gen. Die­se kön­nen bei bis zu 20 Mil­lio­nen Eu­ro oder bis zu vier Pro­zent des welt­wei­ten Kon­zern­um­sat­zes lie­gen – bis­lang war die Höchst­stra­fe le­dig­lich 10.000 Eu­ro.

STAN­DARD: Wie wird die Rechts­durch­set­zung für Be­trof­fe­ne über Ge­rich­te ver­än­dert? Fei­ler: Die Ver­ord­nung sieht nun ein ro­bus­tes Recht auf Scha­den­er­satz vor. Bis­lang war es so, dass die­ser prak­tisch nur dann zu­ge­spro­chen wur­de, wenn es zu ei­ner „Bloß­stel­lung“des Be­trof­fe­nen in der Öf­fent­lich­keit ge­kom­men war. Denn nur dann gab es ein Recht auf im­ma­te­ri­el­len Scha­den­er­satz. Ma­te­ri­el­le Schä­den – die vor­aus­set­zen, dass man nach­weis­lich durch Da­ten­schutz­ver­let­zun­gen Geld ver­lo­ren hat – gab es in die­sem Be­reich ty­pi­scher­wei­se nicht.

STAN­DARD: Muss je­der Be­trof­fe­ne ein­zeln vor Ge­richt zie­hen? Fei­ler: Nein – auch das ist neu: Es gibt nun die Mög­lich­keit, dass ei­ne Da­ten­schutz-NGO die An­sprü­che des Be­trof­fe­nen gel­tend macht. Da­zu zählt nach dem seit Frei­tag vor­lie­gen­den Ent­wurf des neu­en ös­ter­rei­chi­schen Da­ten­schutz­ge­set­zes aus­drück­lich auch das Recht auf Scha­den­er­satz. Meh­re­re An­sprü­che von meh­re­ren Be­trof­fe­nen kön­nen zu ei­ner Art Sam­mel­kla­ge ge­bün­delt wer­den, wo­bei es hier um Sum­men von zig­tau­sen­den Eu­ro ge­hen kann.

STAN­DARD: Wie kön­nen sich Un­ter­neh­men da­ge­gen wapp­nen? Fei­ler: Das Un­ter­neh­men kann sich ge­wis­ser­ma­ßen „frei­be­wei- sen“. Es muss zei­gen, dass es nicht für die Da­ten­schutz­ver­let­zung ver­ant­wort­lich ist. Da es kei­ne ab­so­lu­te Si­cher­heit gibt, kann es bei je­dem Un­ter­neh­men zu ver­ein­zel­ten Da­ten­schutz­ver­stö­ßen kom­men. Es kommt aber dar­auf an, ob das Un­ter­neh­men an­ge­mes­se­ne Da­ten­schutz- und Si­cher­heits­maß­nah­men im­ple­men­tiert hat – al­so sei­ne „Haus­auf­ga­ben“ge­macht hat.

Was sind die­se Haus-

STAN­DARD: auf­ga­ben? Fei­ler: Bis­lang konn­ten sich Un­ter­neh­men stark auf die Da­ten­schutz­be­hör­de ver­las­sen. Prak­tisch je­de Da­ten­ver­wen­dung wur­de an die Be­hör­de ge­mel­det und oft ge­prüft. Man konn­te schwie­ri­ge Fra­gen al­so an die Be­hör­de „aus­la­gern“. Das muss nun in­tern pas­sie­ren. Je­de Da­ten­an­wen­dung muss in ein in­ter­nes Ver­zeich­nis ein­ge­tra­gen wer­den, das et­wa do­ku­men­tiert, wel­che Da­ten wann wo­für ver­ar­bei­tet wer­den.

STAN­DARD: Gibt es be­son­ders heik­le Da­ten­samm­lun­gen für Un­ter­neh­men? Fei­ler: Wenn Da­ten­ver­ar­bei­tung ein ho­hes Ri­si­ko dar­stellt, al­so et­wa Ge­sund­heits­da­ten in gro­ßen Um­fang ge­spei­chert wer­den, muss das Un­ter­neh­men ei­ne „Da­ten­schutz­fol­ge­ab­schät­zung“ma­chen. Das Un­ter­neh­men muss do­ku­men­tie­ren, war­um die Da­ten­samm­lung zu­läs­sig ist und so­ge­nann­te „Ri­si­kom­in­de­rungs­maß­nah­men“schaf­fen, et­wa ei­ne Ver­schlüs­se­lung der Da­ten.

STAN­DARD: Wer ist im Un­ter­neh­men da­für zu­stän­dig? Fei­ler: Die Da­ten­schutz-Gr­und­ver­ord­nung sieht vor, dass Un­ter­neh­men, die da­ten­ge­trie­be­ne Ge­schäfts­mo­del­le ver­fol­gen, ei­nen Da­ten­schutz­be­auf­trag­ten be­stel­len müs­sen. Die­ser muss nicht nur ent­spre­chend qua­li­fi­ziert sein, son­dern auch mit ei­ner gro­ßen Un­ab­hän­gig­keit aus­ge­stat­tet sein. Er ge­nießt au­ßer­dem ei­nen Kün­di­gungs­schutz.

STAN­DARD: Wel­che Un­ter­neh­men sind kon­kret be­trof­fen?

Laut Ver­ord­nung müs­sen Un­ter­neh­men ei­nen Da­ten­schutz­be­auf­trag­ten ha­ben, wenn ih­re „Kern­tä­tig­keit“die Da­ten­ver­ar­bei­tung ist. Doch die eu­ro­päi­schen Da­ten­schutz­be­hör­den le­gen das so aus, dass der Grund­satz auch für Fir­men gilt, de­ren Kern­tä­tig­keit durch die Da­ten­ver­ar­bei­tung un­ter­stützt wird. Da­durch sind fast al­le Un­ter­neh­men be­trof­fen.

STAN­DARD: Bringt die Ver­ord­nung Un­ter­neh­men nur Mü­hen oder gibt es po­si­ti­ve Ef­fek­te? Fei­ler: Wir be­mer­ken, dass vie­le Din­ge, die auch nach gel­ten­dem Recht not­wen­dig wä­ren, nun wirk­lich an­ge­gan­gen wer­den. Da­bei be­mer­ken Un­ter­neh­men aber, wel­che Mög­lich­kei­ten in ih­ren Da­ten ste­cken. Man sieht die­se nicht mehr nur als „Pro­blem“bei Com­p­li­an­ce und Da­ten­schutz, son­dern be­ginnt, neue di­gi­ta­le Ge­schäfts­mo­del­le zu ent­wi­ckeln.

STAN­DARD: Wie sieht die Um­set­zung in Ös­ter­reich aus? Fei­ler: Die Da­ten­schutz-Gr­und­ver­ord­nung ent­hält 69 so­ge­nann­te „Öff­nungs­klau­seln“, sie lässt dem na­tio­na­len Ge­setz­ge­ber al­so noch ei­nen ge­wis­sen Spiel­raum. Seit ver­gan­ge­nem Frei­tag liegt der ers­te ös­ter­rei­chi­sche Ge­setz­ent­wurf vor, der ei­ni­ge mit Span­nung er­war­te­te Fra­gen klärt: Die Pflicht zur Be­stel­lung ei­nes Da­ten­schutz­be­auf­trag­ten wird nicht auf al­le Un­ter­neh­men aus­ge­dehnt. Das Al­ter, ab dem Min­der­jäh­ri­ge ei­ne wirk­sa­me Ein­wil­li­gung in die Ver­ar­bei­tung ih­rer Da­ten er­tei­len kön­nen, bleibt – wie von der Da­ten­schutz-Gr­und­ver­ord­nung grund­sätz­lich vor­ge­se­hen – bei sech­zehn Jah­ren.

STAN­DARD: Wie funk­tio­nie­ren die­se Sam­mel­kla­gen nach der ös­ter­rei­chi­schen Um­set­zung? Fei­ler: Da­ten­schutz-NGOs wer­den zwar Scha­den­er­satz­an­sprü­che im Auf­trag von Be­trof­fe­nen gel­tend ma­chen kön­nen, aber kei­ne Kla­gen oh­ne Auf­trag ei­nes Be­trof­fe­nen ein­brin­gen kön­nen – wie dies et­wa der VKI im Be­reich des Kon­su­men­ten­schut­zes kann. Schließ­lich wer­den die dra­ko­ni­schen Stra­fen der Da­ten­schutz­Grund­ver­ord­nung grund­sätz­lich nicht nur ge­gen ein Un­ter­neh­men, son­dern auch ge­gen sei­ne Ge­schäfts­lei­tung ver­hängt wer­den kön­nen. Öf­fent­li­chen Stel­len wer­den bei Da­ten­schutz­ver­let­zun­gen hin­ge­gen kei­ne Geld­bu­ßen dro­hen.

LU­KAS FEI­LER (33) ist Lei­ter der Fach­grup­pe IT bei der Kanz­lei Ba­ker McKen­zie in Wien. Er gilt als ei­ner der re­nom­mier­tes­ten IT-Ju­ris­ten in Ös­ter­reich. Fei­ler forsch­te im Rah­men des Eu­ro­pe Cen­ter an der St­an­ford Uni­ver­si­ty. Ge­mein­sam mit Ni­ko­laus For­gó, Ho­no­rar­pro­fes­sor für IT-Recht an der Uni­ver­si­tät Wien, ver­fass­te Fei­ler ei­nen „Kom­men­tar EUDa­ten­schutz-Gr­und­ver­ord­nung“, der auf 420 Sei­ten ei­ne ers­te recht­li­che Ein­schät­zung der neu­en Da­ten­schutz­ver­ord­nung bie­tet.

Fo­to: Ba­ker McKen­zie

Lu­kas Fei­ler ist IT-Ju­rist bei Ba­ker McKen­zie in Wien. Fei­ler:

Newspapers in German

Newspapers from Austria

© PressReader. All rights reserved.