Wien (pts018/15.03.2017/13:00) – Bedeutung des neuen Regelwerks: Die „digitale Revolution“, „Internet of Things“, „Industrie 4.0“ – allesamt knackige Begriffe. Im Vergleich dazu klingt „Datenschutzgrundverordnung“ doch eher mäßig spannend und altbacken. Zu Unrecht! Denn eines ist allen gemeinsam: Sie werden die IT-Branche über die nächsten Jahre und Jahrzehnte prägen.
Die Datenschutzgrundverordnung (kurz „DSGVO“) wird das bestehende Datenschutzrecht EU-weit umkrempeln und damit die europäische Entwicklung von IoT und Industrie 4.0 wesentlich beeinflussen. Die Auswirkungen sind enorm – und dementsprechend auch die Bedeutung einer vorausschauenden Vorbereitung auf die kommenden Neuerungen. Entscheidend ist die Grundeinstellung: Die DSGVO-Anpassung und Umsetzung künftiger Projekte wird weder eine reine Angelegenheit der Rechtsabteilung noch eine IT-interne sein – Datenschutz wird Managementsache.
Hintergrund und Einordnung im Überblick
Nach knapp sechsjährigen Verhandlungen wurde die Datenschutzgrundverordnung Mitte April 2016 vom EU-Parlament beschlossen. Sie wird ab 25. Mai 2018 in Geltung sein.
Als EU-Verordnung gilt sie unmittelbar in allen Mitgliedstaaten, sodass sie 28 nationale Datenschutzgesetze durch ein (großteils) einheitliches Regelwerk ersetzt. Österreichisches Datenschutzrecht – das DSG 2000 – wird dann nicht mehr gelten. Der (weitgehende) Wegfall nationaler Gesetzgebung bewirkt gleichzeitig, dass höchstgerichtliche nationale Rechtsprechung durch das Monopol des Europäischen Gerichtshofes (EuGH) ersetzt wird. Darüber hinaus soll die Anwendung des neuen Datenschutzrechts einheitlich und durch europaweit zusammenarbeitende Aufsichtsbehörden erfolgen. Im Hinblick auf die vielen schwammigen Formulierungen der DSGVO darf man darauf gespannt sein.
Ziel ist eine Aktualisierung und Modernisierung des Datenschutzrechts. Inhaltlich baut die DSGVO auf der bisherigen Datenschutz-Richtlinie auf. Das Rad wurde also nicht neu erfunden – die Neuerungen haben es aber in sich:
Die wichtigsten Neuerungen
* Die DSGVO schafft weitgehend einheitliche Datenschutzregeln für die gesamte EU. Damit gelten gleiche Bedingungen für alle EU- und Nicht-EU-Unternehmen, die Waren und Dienstleistungen in der EU anbieten. Dadurch sollen Wettbewerbsvorteile durch großzügigere Datenschutzvorschriften in einzelnen Mitgliedstaaten ausgeschaltet werden.
* Neue Terminologie: Aus „Auftraggeber“ wird „für die Verarbeitung Verantwortlicher“ (engl. schlicht „controller“). Aus „Dienstleister“ wird „Auftragsverarbeiter“. Der einheitliche Begriff der „Verarbeitung“ fasst nun die bisherigen Differenzierungen „Verarbeitung“, „Verwendung“ sowie „Überlassung“ und „Übermittlung“ zusammen. Sensible Daten werden zu „besonderen Kategorien“ personenbezogener Daten und umfassen neben den bisher bekannten Arten sensibler Daten (z.B.: Gesundheit, Religion, Sexualleben, Gewerkschaftszugehörigkeit) nunmehr auch „genetische Daten“ und „biometrische Daten“. Die Verarbeitung derartiger Daten ist besonderen Beschränkungen unterworfen.
* Ob Personenbezug – Identifizierbarkeit – vorliegt und die DSGVO anwendbar ist, hängt von den Identifizierungsmöglichkeiten des Verantwortlichen ab: Abgestellt wird auf „wahrscheinlich genutzte Mittel“, verfügbare Technologien und den erforderlichen Kosten- & Zeitaufwand. Die DSGVO ist ausdrücklich auch auf IP-Adressen, Cookies und Logfiles anwendbar.
* Es drohen erhebliche Strafen von bis zu EUR 20 Millionen oder 4% des konzernweiten Jahresumsatzes, wobei der jeweils höhere Wert gilt und fast alle DSGVO-Pflichten strafbewehrt sind. Sanktionen gelten für „Verantwortliche“ und für „Auftragsverarbeiter“! Selten erwähnt, aber ebenso relevant sind die zahlreichen „gelinderen“ Untersuchungs- und Abhilfebefugnisse der Behörden: Einsichtnahme vor Ort, Anweisungen, Beschränkung und Aussetzung von Datentransfers, Berichtigung und Löschung von Daten.
* Einwilligung: Voraussetzungen für wirksame Zustimmungserklärungen wurden verschärft. Das gilt vor allem, wenn die Zustimmung auch für die Verarbeitung von solchen Daten gegeben wird, die nicht zur Vertragserfüllung notwendig sind. Die Praxis muss mit neuen Zustimmungserklärungen reagieren oder die Verarbeitungen selbst umgestalten – es gilt: Die Einwilligung ist kein „Allheilmittel“ mehr.
* Die Neuerungen (samt aller Sanktionsmöglichkeiten) gelten für alle Unternehmen, nicht nur für die digitale Wirtschaft. Es gibt keine Ausnahmen für KMU.
* Wesentliche Erweiterungen der Betroffenenrechte, unter anderem: Massiv erweiterte Informationspflichten: Der „Verantwortliche“ hat die Betroffenen proaktiv und detailliert zu informieren über die von ihm verarbeiteten Daten des Betroffenen, deren Zwecke, Speicherdauer, Empfänger und Rechtsgrundlagen.
* „Privacy by Default“: Verpflichtung zu datenschutzfreundlichen Voreinstellungen (Stichwort soziale Netzwerke). Der „Verantwortliche“ ist zusätzlich verpflichtet sicherzustellen, dass nur so viele Daten, wie fur die Zweckerreichung erforderlich sind, verarbeitet werden. „Privacy by Design“: Datenschutz soll von Beginn der Systementwicklung an „mitgedacht“ und durch geeignete technische und organisatorische Maßnahmen implementiert werden. Hauptziel: Datenminimierung, z.B. durch Pseudonymisierung.
* „Data Breach Notification“: Bei Datenmissbrauch oder -verlust muss spätestens 72 Stunden nach Kenntnis die Datenschutzbehörde informiert werden. Diese Information muss bereits umfangreiche und detaillierte Informationen über Art und Tragweite des Data Breach enthalten! Teilweise kommt eine unmittelbare Verständigungspflicht an Betroffene hinzu.
* Risikobasierter Ansatz: Pflicht des „Verantwortlichen“, geeignete Sicherheitsmaßnahmen zu treffen, die dem Risiko entsprechen, das mit den Datenverarbeitungsvorgängen verbunden ist. Neue Verpflichtungen in diesem Zusammenhang: Verpflichtende Bestellung eines Datenschutzbeauftragten bei Verarbeitung durch öffentliche Einrichtungen, sowie für Unternehmen, die sensible Daten in großem Umfang verarbeiten oder Massendatenverarbeitung durchführen. Dies gilt unabhängig von der Größe des Unternehmens, also auch für Klein- und Mittelbetriebe, wenn sie derartige Verarbeitungen durchführen.
* „Datenschutz-Folgeabschätzung“ („Data Protection Impact Assessment“, kurz „DPIA“) bei besonders heiklem Anwendungsbereich und Technologieeinsatz von Datenverarbeitungen – betrifft v.a. Profiling und Verarbeitung von sensiblen Daten, ohne vorab erfolgter Bestandaufnahme, nicht möglich.
* One-Stop-Verfahren als Erleichterung für international operierende Unternehmen: Verpflichtungen in Bezug auf Datenverarbeitungen in unterschiedlichen Mitgliedstaaten durch mehrere Konzernunternehmen können bei der Datenschutzbehörde der Konzernhauptniederlassung erfüllt werden.
* Internationaler Datentransfer: Wie bisher kompliziert – neu hinzugekommene Möglichkeiten: Standardvertragsklauseln, die von nationalen Datenschutzbehörden genehmigt und der EU-Kommission akzeptiert wurden; einmal genehmigte Verhaltensregeln („Code of Conduct“) und Zertifizierungsmechanismen. Bestehende Genehmigungen nationaler Datenschutzbehörden bleiben gültig – Vorarbeit ist also möglich (und ratsam).
ADV-Rechtstag 2017
Im Rahmen des ADV-Rechtstags 2017 wird Herr Mag. Jakob Geyer (aringer herbst winklbauer rechtsanwälte) diese Fülle an Neuerungen näher beleuchten. Im Fokus steht dabei ein Aspekt, der fast alle Datenverarbeitungen betreffen wird: Die gängige Einwilligungs-Praxis wird auf den Kopf gestellt. Unter der DSGVO wird ein bloßes „Weitermachen wie bisher“ rechtswidrig sein; dann drohen die erwähnten, empfindlich erhöhten Geldstrafen und Abhilfemaßnahmen. In dem Vortrag erfahren Sie, worauf Unternehmer besonders achten müssen um rechtskonform Daten zu verarbeiten und welche Möglichkeiten es zur praxistauglichen Umsetzung gibt.
Der diesjährige ADV-Rechtstag findet am 30.03.2017 im Euro Plaza, Gebäude G, Am Euro Platz 2, 1120 Wien, statt. Auch heuer präsentieren wieder hochqualifizierte ReferentInnen einen breiten Mix der aktuell heißesten IKT-Rechtsthemen.
Beim ADV-Rechtstag 2017 erwartet Sie ein breiter Themenmix aus topaktuellen IKT-Rechtsthemen, präsentiert von hochqualifizierten ReferentInnen, die Ihnen für Ihre Fragen zur Verfügung stehen.
Programm:
09:30 Begrüßung Mag.a Michaela Brank (ADV-Generalsekretärin) und Dr. Stephan Winklbauer, LL.M. (ADV-Vorstand)
09:40 Keynote „Wo der Weg das Ziel ist: Datensicherheit im Kontext der DSGVO“ Welche Datensicherheitsmaßnahmen sind zu setzen? Wie gehe ich vor? Welche Ansätze, Methoden und Normen sind zielführend? Was erfordert die Durchführung einer Datenschutz-Folgenabschätzung (PIA, Privacy Impact-Analyse)? Wo liegen Fallstricke? Wo die Chancen? Was sind die Stellschrauben, die diese Implementierungsprojekte erfolgreich machen werden? Mag. Christoph Riesenfelder, CISM, CPP, CISSP, SSCP, ISMS LA, CRISC (Experte für Information Risk Management)
10:40 Kaffeepause
10:45 Fachvortrag „Von der ‚e-Privacy‘-Richtlinie zu EU-weit einheitlichen Vorschriften für die elektronische Kommunikation“ Aus Sicht der EU Kommission sollen die neuen Vorschriften sowohl innovationsfördernd wirken als auch das Vertrauen der Verbraucher stärken. Der Datenschutzrahmen der DSGVO soll durch diese Verordnung ergänzt werden. Das Inkrafttreten – so der ambitionierte Plan – ist zugleich mit der DSGVO, dh im Mai 2018 geplant. Womit können die betroffenen Unternehmen rechnen? Mit einem ganz bestimmt, Strafdrohungen in Millionenhöhen. Mag.a Doris Schönhart (Leitung LEG Commercial Law & IP, A1 Telekom Austria AG)
11:35 Kaffeepause
11:40 Fachvortrag „Identitäten im Kontext der EU-Datenschutzverordnung & der Digitalen Transformation“ oder „Warum ist es heute wichtiger als je zuvor zu wissen, mit wem ich als Unternehmen in welchem Kontext kommuniziere?“ In Zeiten, in denen Unternehmensgrenzen immer mehr verwischen (Cloud-Lösungen) und Kenntnisse über den Bedarf der Kunden immer mehr zunehmen, hilft ein zentrales Identity & Access Management für Kunden und Partner, die Wettbewerbsfähigkeit zu erhalten und regulatorische Anforderungen zu erfüllen. Wie ein (produktunabhängiger) Lösungsansatz aussehen kann, stellen wir Ihnen vor. Carsten Hufnagel (TIMETOACT GROUP)
12:30 Mittagspause
13:10 Fachvortrag „Cybercrime & Cyberwar“ Wie kreativ Kriminelle beim Erfinden von „Geschäftsmodellen“ sein können, sieht man an verschiedensten Viren, Würmern und Trojanern. Im Vortrag wird diese Entwicklung anhand von Beispielen genauer betrachtet. Außerdem wird ein Ausblick auf Gefahren durch das „Internet of Things“ gegeben, welche nicht nur die produzierende Industrie, sondern Jeden betreffen könnten. * Geschäftsmodelle auf Basis von Malware * Gefahren durch das „Internet of Things“. * Aktuelle Bedrohungen. Rüdiger Trost (F-Secure GmbH)
14:00 Kaffeepause
14:05 Fachvortrag „Die Betroffenenrechte und ihre Geltendmachung nach der DSGVO“ Der Vortrag erläutert die Neuerungen gegenüber den derzeit geltenden Betroffenenrechten nach dem DSG 2000 und was Verantwortliche und Dienstleister an neuen und zusätzlichen Pflichten treffen wird. Mag.a Viktoria Haidinger, LL.M. (Stabsabteilung Statistik Wirtschaftskammer Österreich)
14:55 Kaffeepause
15:00 Fachvortrag „DSGVO, was gibt es Neues ab 2018? Rechtmäßige Verarbeitung & Einwilligung“ Neben einem Überblick der wichtigsten Neuerungen durch die Datenschutzgrundverordnung steht ein (noch unterschätzter) Aspekt im Fokus: Die gängige Einwilligungs-Praxis wird auf den Kopf gestellt – Wie ist eine rechtmäßige Verarbeitung nach den strengen Voraussetzungen der DSGVO noch möglich ist? Drohende Millionenstrafen werden dafür als Anreiz dienen. Mag. Jakob Geyer (aringer herbst winklbauer rechtsanwälte)
15:50 Kaffeepause
15:55 Fachvortrag „Ergebnisse der EY Datenschutzstudie 2016/2017 für Österreich und Vorstellung eines strukturierten Vorgehensmodells für die Implementierung eines Datenschutzmanagementsystems“ Die Datenschutz-Grundverordnung wurde im Frühjahr 2016 verabschiedet und tritt mit Mai 2018 in Kraft. Diese Europäische Datenschutzgrundrechtsnovelle wirft ihre Schatten voraus, und die Unsicherheit in Unternehmen, ob und in welchem Ausmaß Unternehmen von dieser Gesetzgebung betroffen sind, ist groß. Wie eine von EY Österreich durchgeführte Studie zeigt, ist ein Großteil der befragten Unternehmen mit dieser Gesetzesänderung vertraut, allerdings haben nur wenige davon bereits Projekte gestartet um die Anforderungen der EU-DSGVO im eigenen Unternehmen umzusetzen. Ein Datenschutzmanagement System kann helfen, diese regulatorischen Vorgaben zu erfüllen. EY hat dazu ein allgemeingültiges Vorgehensmodell entwickelt, welches zeigt, wie ein Datenschutzmanagementsystem in Unternehmen anhand des Compliance Standards IDW PS 980 strukturiert eingeführt und wenn gewünscht auch zertifiziert werden kann. Dipl.-Ing. Gottfried Tonweber (Ernst & Young Management Consulting GmbH)
16:25 Fachvortrag „Rechtliche Fragen des autonomen Fahrens“ RA Dr. Markus Andréewitch (andréewitch & partner, Rechtsanwälte)
16:45 Verabschiedung Dr. Stephan Winklbauer, LL.M. (ADV-Vorstand) Mag.a Michaela Brank (ADV-Generalsekretärin)
Programmänderungen vorbehalten!
(Ende)
Aussender: ADV Arbeitsgemeinschaft für Datenverarbeitung Ansprechpartner: Mag. Michaela Brank Tel.: +43 1 5330913 E-Mail: office@adv.at Website: www.adv.at