Mehr Schutz, mehr Rechte, mehr Pflichten
2018 tritt das neue EU-Datenschutzrecht in Kraft. Doch die Umsetzung beginnt bereits. Vor allem Firmen sollten sich vorbereiten.
WIEN. Welche Daten hat meine Bank über mich gespeichert? Was weiß meine Versicherung über mich? Und welche Informationen horten Facebook oder Google – und was machen sie damit? Spätestens zum 25. Mai 2018 müssen solche Fragen verbindlich beantwortet werden. Bereits vor rund sieben Jahren startete die Europäische Kommission den Anlauf, den Datenschutz innerhalb der Union zu vereinheitlichen und zu stärken. Und nachdem das Rechte-Paket Ende 2015 geschnürt und im April des vergangenen Jahres abgesegnet wurde, geht es nun tatsächlich an die Umsetzung.
Morgen, Freitag, lädt Medienminister Thomas Drozda Pressevertreter zum Thema „Das neue Datenschutzrecht in der Europäischen Union“in das Bundeskanzleramt. Anlass soll der Europäische Datenschutztag sein, der jedoch bereits am 28. Jänner stattfand. Wie die Pressestelle des Kanzleramts bestätigte, hatte man gehofft, bis zum morgigen Tag „noch etwas Neues präsentieren zu können“. Konkret handelt es sich um ein Begleitgesetz, das nationale Besonderheiten um das EU-Datenschutzrecht regeln soll. Doch dieses Begleitgesetz konnte nicht rechtzeitig bis zum morgigen Termin abgesegnet werden. Dennoch gibt es bereits jetzt eine Reihe von feststehenden Neuerungen, die durch die neue EU-Datenschutz-Grundverordnung mit Mai 2018 auch in Österreich in Kraft treten. Und wenn es nach Michael M. Pachinger geht, müssen vor allem die Unternehmen „jetzt sofort“mit der Umsetzung der Anforderungen starten. Michael M. Pachinger ist Partner bei der Wiener Anwaltskanzlei Saxinger, Chalupsky & Partner, sein Schwerpunkt ist Datenschutz- und IT-Recht. „Das neue Datenschutzrecht bringt viele Chancen, aber ebenso Pflichten – für Unternehmen und Behörden“, sagt Pachinger. Zu diesen Pflichten gehört etwa, ein sogenanntes Verarbeitungsverzeichnis zu führen – eine Art Datenvisitenkarte des Unternehmens. Darin müsse dokumentiert werden, welche Daten von Kunden, Mitarbeitern etc. erhoben und wie diese verarbeitet werden. „Die Datenschutzbehörde kann jederzeit verlangen, dass diese Informationen an sie herausgegeben werden“, sagt Pachinger.
Ähnlich verhält es sich bei der sogenannten Datenschutz-Folgenabschätzung. Eine solche ist etwa nötig, wenn besondere Arten von Daten verarbeitet werden, zum Beispiel Gesundheitsdaten. Ein Unternehmen muss dann die geplante Datenverarbeitung systematisch beschreiben und den Zweck sowie Risiken ausweisen.
Wie soll ein Unternehmen dieser Herausforderungen Herr werden? Pachinger rät dazu, sich externe Hilfe zu holen. Oder zumindest auf Ratgeber zurückzugreifen, die bereits jetzt auf dem Markt sind.
Doch das neue Datenschutzrecht bringt eben nicht nur Pflichten, sondern auch Rechte – vor allem für Kunden und Nutzer: „Der Nutzer hat nun ein umfangreicheres Auskunftsrecht, Daten müssen zu einem anderen Anbieter mitgenommen werden können und das Recht auf Vergessen wurde erweitert.“Mit dem „Recht auf Vergessen“ist der Prozess gemeint, Daten – vor allem im Netz – verbindlich löschen zu lassen. Der wohl weltweite Datensammler Nummer eins, Google, wurde schon 2014 verpflichtet, den Nutzern die Möglichkeit einzuräumen, Einträge löschen zu lassen. Mit der neuen Grundverordnung wird das Recht nun konkretisiert.
Die erweiterte Auskunftspflicht bringt dem User parallel die Möglichkeit, noch genauer zu hinterfragen, „welche Daten auf Basis welcher Grundlage wie lange gespeichert werden“, beschreibt Pachinger. Eine formlose Anfrage würde schon genügen. Und wer schließlich von einer Plattform, Bank oder Versicherung zur nächsten wechselt, kann verlangen, dass alle vom Nutzer zur Verfügung gestellten Daten weitergereicht werden.
Ein weiterer zentraler Punkt im neuen Datenschutzrecht ist das sogenannte Marktortprinzip, wie Pachinger erläutert. „Sobald ein Unternehmen sich an europäische Nutzer wendet, wird automatisch die Grundverordnung anwendbar.“Die Nutzer könnten sich bei Problemen nun auch an die Datenschutzbehörde im eigenen Land wenden. Es sei also nicht mehr möglich, dass sich etwa US-IT-Konzerne auf ame- rikanisches Recht oder das Recht eines anderen EU-Landes beziehen. Facebook, Twitter und andere Branchenvertreter hatten in der Vergangenheit ihren Europasitz bewusst nach Irland verlagert, weil das dortige Datenschutzrecht als am schwächsten galt. Auch der Datenaustausch mit anderen Ländern werde im neuen Datenschutzrecht geregelt, wenngleich nur auf Metaebene: „Wer Daten außerhalb der EU speichert, muss angemessenen Datenschutz nachweisen.“Das bedeutet jedoch auch, dass ein Unternehmen wissen muss, wo die Daten seiner Kunden, etwa vom zwischengeschalteten IT-Dienstleister, gespeichert werden – und von diesem Garantien einfordern. „Ich weiß, das klingt nach überbordenden Pflichten“, sagt Pachinger. „Man sollte das Ganze aber auch als Chance sehen – als Chance, um mehr Transparenz zu gewinnen und somit Vertrauen zu schaffen.“Und was passiert, wenn sich eine Firma dennoch nicht an die Vorgaben hält? „Dann drohen Strafen bis vier Prozent des Jahresumsatzes.“Bei Facebook würde die Maximalstrafe also 1,04 Milliarden Euro betragen.
„Man muss das Ganze als Chance sehen.“Michael Pachinger, Anwalt für IT-Recht