Datenschutz ist kein leeres Wort mehr
Auf EU-Ebene wird der Datenschutz neu geregelt. Welche zusätzlichen Rechte Bürger haben und was auf Unternehmen zukommt.
Für die rund 500 Millionen EU-Bürger wird sich durch die neue EU-Datenschutz-Grundverordnung (EUDSGVO), die mit 25. Mai 2018 wirksam wird, vieles in Arbeitswelt und Alltag ändern. Betroffen von wesentlich schärferen Regeln und vor allem Strafen sind neben den sozialen Netzwerken wie Facebook, WhatsApp oder Twitter alle wirtschaftlichen Bereiche, die täglich mit persönlich sensiblen Daten arbeiten. Datenschutzexperte Clemens Thiele erklärt im SN-Interview und in einem Vortragsabend am 16. November im SN-Saal (19 Uhr), was auf jeden Bürger zukommt und vor allem auch, wie Unternehmen sich jetzt umstellen und rüsten müssen. SN: Die neue EU-DatenschutzGrundverordnung der EU steht vor der Tür: Was heißt das jetzt für den einzelnen Bürger, aber auch für Unternehmer? Thiele: Für die privaten Verbraucher bedeutet das mehr und europaweit gleiche Rechte. Da ist zunächst die Auskunftspflicht. Konkret: Ich kann routinemäßig bei jedem Unternehmen anfragen, welche Daten sie über mich gespeichert haben. Das ist ein verbrieftes Recht, auf das ich mich in der ganzen EU berufen kann. Ich muss mich nicht mehr „abschasseln“lassen, weil es künftig drakonische Strafen gibt. SN: Gilt das jetzt nur für Unternehmen oder auch für öffentliche Behörden und soziale Netzwerke? Von diesen hohen Strafen (bis 20 Mill. Euro und mehr) sind nur Behörden und öffentliche Stellen ausgenommen, wie zum Beispiel die Gebietskörperschaften in Bund und Ländern. Das gilt aber nicht für Unternehmen, an denen die öffentliche Hand beteiligt ist, wie etwa die Salzburg AG. SN: Warum sind öffentliche Stellen ausgenommen? Die EU-DSGVO räumt diese Möglichkeit ein und Österreich hat, überraschend, davon Gebrauch gemacht. SN: Wie beurteilen Sie das? Ich sehe das als einen Geburtsfehler des neuen Gesetzes, wobei man schon auch Verständnis dafür hat: Man soll hoheitliches Handeln nicht durch übermäßige Strafen blockieren können.
Die großen Änderungen bestehen für die Bürger vor allem darin, die Rechte aus dem Datenschutzrecht jetzt viel besser als bisher mit Beschwerden bei der Datenschutzbehörde durchsetzen zu können. Zum besseren Verständnis: Früher war das zwar auch möglich, die Behörde konnte aber im besten Fall feststellen, dass ein Unternehmen gegen die Auskunftspflicht verstoßen hat. Dann lag es an der Bezirksverwaltungsbehörde, für dieses Vergehen eine Verwaltungsstrafe zu verhängen. Höchststrafe 500 Euro, also ein klassisches Kavaliersdelikt.
Jetzt ist es so: Wenn ich keine oder nur eine sehr schlechte Auskunft über meine Daten bekomme, ermittelt nach meiner Beschwerde die Datenschutzbehörde selbst und verhängt auch selbst eine Strafe, die entweder zehn Mill. Euro oder zwei Prozent des Jahresumsatzes des betreffenden Unternehmens ausmacht, je nachdem, was höher ist. SN: Wie kommt es zu derart hohen Strafen? Sie kommen vom Kartellrecht, wo die Strafen abschrecken müssen. SN: Um welche Daten geht es da jetzt vorrangig? Betroffen sind die personenbezogenen Daten, wie Namen und Adressen, und alle Daten, die einen Rückschluss auf meine Person zulassen. Das können zum Beispiel auch Aufzeichnungen sein, wie oft ich im Internet war, was ich dort eingekauft habe, meine Lieferadressen, Schuhgröße und dergleichen mehr. SN: Wie müssen sich Unternehmen, die mit persönlichen Daten arbeiten, neu organisieren? Unternehmen müssen eine interne Organisation aufbauen, die auf den neuen Datenschutz Rücksicht nimmt. Das oberste Ziel ist die Rechenschaftspflicht: Ich muss als Unternehmer jederzeit nachweisen können, welche Daten ich verwende, woher ich sie habe und an wen und auf welcher gesetzlichen Grundlage ich sie weitergeschickt habe. So wie ich die Buchhaltung ordnungsgemäß gegenüber dem Finanzamt führen muss, gilt das jetzt auch für alle Daten. Bisher gab es Datenschutzbeauftragte nur auf freiwilliger Basis. Hier sehe ich für die Unternehmen jetzt den größten Handlungsbedarf. SN: Ab welcher Betriebsgröße wird man einen Datenschutzbeauftragten benötigen? Ein Datenschutzbeauftragter ist bei Unternehmen verpflichtend, die massenhaft Daten verarbeiten. Insbesondere wenn es um sensible Daten geht wie Gesundheitsdaten und dergleichen mehr. Sensible Daten sind neben strafrechtsbezogenen Daten etwa auch die einfache Lohnverrechnung eines Steuerberaters. Entscheidend ist dabei die Datenverarbeitung für Dritte. SN: Welche Branchen sind besonders betroffen? Alle Bereiche, die mit Überwachung und Profiling zu tun haben zum Beispiel. Dann die Krankenhäuser, der Gesundheitsbereich insgesamt, Banken und alle, die mit sensiblen und strafrechtlichen Daten nicht nur gelegentlich, sondern täglich arbeiten. Derzeit haben wir im Datenschutzrecht ein Meldesystem. Das heißt, wenn ein Unternehmen Daten verwendet, ist es verpflichtet, das bei der Behörde im Datenverarbeitungsregister zu melden.
Andere Staaten haben gar kein Meldesystem, wie Deutschland, die sagen: Das Unternehmen muss selbst entscheiden, wie es die Datenverarbeitung macht. Dafür beratend zuständig ist der Datenschutzbeauftragte. Wenn die Datenschutzbehörde anläutet, muss die Geschäftsleitung als Erstes das Verarbeitungsverzeichnis vorlegen, wo genau drinnensteht, was man mit den Daten macht. Dafür haftet das Unternehmen.
Für Österreich heißt das: Die Hauptumstellung für das Unternehmen ist: weg von der Meldepflicht hin zur Eigenverantwortung. SN: Wie wird der Konsument diese Veränderungen im neuen Auftritt der Unternehmen spüren? Können Sie hier Beispiele geben? Ein kundennahes Thema betrifft den Bereich der Einwilligung: Ich muss als Unternehmer meine gesamten Formulare, meine Zustimmungserklärungen, meinen Webshop so umbauen, dass die datenschutzrechtlichen Voraussetzungen erfüllt sind.
Einfachstes Beispiel: Darf ein Kind einfach bestellen und wie darf ich dessen Daten nutzen? Derzeit gibt es keine verwaltungsstrafrechtlichen Bestimmungen, wenn ich Daten von Kindern ohne Zustimmung der Eltern verarbeite. Wenn ich das ab dem 25. Mai 2018 mache, dann drohen als Strafe zehn Mill. Euro oder zwei Prozent des Jahresumsatzes. Das ist jetzt krass. Daher muss ich die Einwilligungserklärung neu formulieren und online um eine Funktion ergänzen, die eine Altersverifikation vorgibt (über oder unter 14 Jahre). SN: Wie sehr sind davon auch alle sozialen Netzwerke wie Facebook oder Twitter betroffen? Derzeit ist es so, dass die Verwendung von Daten ab dem vollendeten 18. Lebensjahr kein Problem ist, darunter ist das derzeit in der österr. Praxis eine Grauzone. Da hängt es davon ab, ob der unter 18-Jährige hinreichend informiert worden ist und versteht, was mit seinen Daten passiert. Wenn er es versteht, genügt seine Zustimmung. Wenn er es nicht versteht, kann seine Zustimmung auch niemand anderer ersetzen, auch nicht seine Eltern. Wie wollen Sie das im Internet feststellen? Hier macht die neue Regelung einen klaren Schnitt: Unter 14 muss immer der verantwortliche Elternteil zustimmen, über 14 entscheidet immer das Kind, egal ob es versteht, was mit seinen Daten passiert oder nicht. SN: Haben Sie auch hier ein praktisches Beispiel? Ich betreue derzeit viele Seilbahnen in Salzburg. Wenn da jetzt zum Beispiel der Großvater für das Enkerl via Internet eine Saisonkarte kauft, wird das künftig so ohne Weiteres nicht mehr gehen, wenn die Seilbahngesellschaft die Daten des Enkelkindes für Werbezwecke weiterverarbeiten will. Da muss dann eine Altersverifikation und Identifikation erfolgen. Sind Sie wirklich der Vater oder die Mutter des Kindes? Haben Sie wirklich die Obsorge für dieses Kind?
Das ist jetzt kein großes Ding, wäre aber ein praktischer Fall für „privacy by design“. Das heißt, ich muss durch technische Maßnahmen sicherstellen, dass rechtliche Gebote eingehalten werden. SN: Und für die sozialen Netzwerke: Muss Facebook zum Beispiel sicherstellen, dass Kinder und Jugendliche unter 14 Jahren nichts ohne Zustimmung der Eltern posten? Ja genau, ohne Zustimmung der Eltern darf das Kind nicht im sozialen Netzwerk aktiv werden. Das gilt für WhatsApp genauso. SN: Habe ich künftig auch mehr Rechte, meine Daten mitnehmen zu können? Was absolut neu ist und für die sozialen Medien ein massiver Bereich wird: Es gibt ein Recht auf Datenmitnahme. Hier fragte sich der Gesetzgeber: Warum sind alle auf Facebook und nicht in Sankt Online? Warum sind alle in WhatsApp und nicht in datensicheren Systemen wie Threema? Deshalb, weil ich nicht einfach meine Daten, wenn ich einmal in Facebook bin, über eine Schnittstelle in ein anderes System überspielen kann.
Daher hat die EU bewusst das Recht auf Datenmitnahme in das Gesetz geschrieben. SN: Wie kann das praktisch funktionieren? Facebook oder Twitter sind verpflichtet, alle Daten elektronisch in einem gängigen Format auf meine Festplatte zu spielen, damit ich sie zum Beispiel nach Sankt Online oder wohin sonst übertragen kann. SN: Geht es dabei auch darum, die Monopolstellung von Facebook oder WhatsApp zu brechen? Ja, die fehlende Datenportabilität ist ein Grund für die marktbeherrschende Stellung großer Plattformen und warum andere keine Chance haben, wenn sie zu spät dran sind. Das Recht auf Datenmitnahme ist für Verbraucher das Interessanteste im Onlinebereich.