Neue Datenschutzregeln für Betroffene und Betreiber von Datenanwendungen.
Nach mehr intensiver Diskussion und der Behandlung tausender Abänderungsanträge ist die neue Datenschutz-Grundverordnung der EU im Mai 2016 im Amtsblatt veröffentlicht worden. Die Bestimmungen der Verordnung werden ab Mai 2018 in Kraft treten und ab diesem Zeitpunkt in allen Mitgliedsstaaten direkt anwendbar sein. Der zweijährige Übergangszeitraum soll es den Betreibern von Datenanwendungen ermöglichen, sich auf die neuen Regelungen vorzubereiten. Allgemein ist festzustellen, dass in der Verordnung zwar die bisherigen Grundprinzipien des Datenschutzrechts beibehalten wurden, gleichzeitig jedoch wesentlich umfangreichere und komplexere Regelungen als bisher geschaffen wurden und es in teils zu bedeutsamen Änderungen kommt.
Neue Rechte für Betroffene
Neben den bisher bestehenden Betroffenenrechten, insbesondere auf Auskunft über die verwendeten Daten und Löschung rechtswidrig verwendeter Daten, ist in der Verordnung auch ein Recht auf Vergessenwerden vorgesehen. Dies gilt besonders für von Kindern in sozialen Medien oder im Internet veröffentlichte Daten. Weiters sind die Betreiber von Datenanwendungen verpflichtet, dem Betroffenen die Übertragung von Daten auf einen anderen Anbieter zu ermöglichen. Zusätzlich sollen die nationalen Datenschutz. B.ehörden gegenüber Betroffenen als zentrale Anlaufstelle tätig werden (One-Stop-Shop-Prinzip). Dadurch soll die Geltendmachung von Rechten auch bei grenzüberschreitenden Sachverhalten vereinfacht werden.
Änderungen für Betreiber
Die in Österreich bisher vorgeschriebene Registrierung von Datenanwendungen wird voraussichtlich wegfallen. Die Betreiber und auch Dienstleister müssen dafür allerdings selbst eine Beurteilung der von ihnen betriebenen Datenanwendungen vornehmen und ein Verfahrensverzeichnis erstellen. In datenschutzrechtlich besonders bedeutsamen Bereichen ist die Erstellung einer Datenschutz-Folgenabschätzung vorzunehmen. In bestimmten Fällen muss künftig auch zwingend ein Datenschutz Beauftragter bestellt werden, was bisher nach österreichischem Recht nicht der Fall war.
Massive Erhöhung der Strafen
Die mögliche Höchststrafe für Verstöße gegen das Datenschutzgesetz betrug nach österreichischem Recht bisher 25.000 Euro, nach der Verordnung sind nunmehr Strafen bis zu EUR 20 Millionen Euro bzw. 4% des weltweiten (Konzern-)Jahresumsatzes (es gilt der höhere Betrag) möglich.
Resumée
Aus Unternehmenssicht ist festzuhalten, dass trotz des Wegfalls einiger bürokratischer Hürden durch die Verordnung eine intensive Beschäftigung mit dem Thema Datenschutz zukünftig unbedingt erforderlich sein wird. Im Hinblick auf die Komplexität des Themas sollten erforderliche Maßnahmen rechtzeitig eingeleitet werden, damit diese rechtzeitig bis zum Wirksamwerden der Verordnung abgeschlossen werden können.
Wegen der in der Verordnung vorgesehenen Strafen wird es sich kein Unternehmen leisten können, die neuen Bestimmungen zu ignorieren.
Dr. Christian Wirthensohn, RA in Dornbirn
Kurz informiert:
Die neue Datenschutz-Grundverordnung der EU tritt am 25. Mai 2018 in Kraft und bringt eine Vielzahl an Änderungen für Betroffene und Betreiber von Datenanwendungen mit sich.
Bis zum Inkrafttreten der Verordnung sollten Unternehmen ihren Umgang mit personenbezogenen Daten an die neuen Bestimmungen anpassen, weil andernfalls drakonische Strafen drohen.
Leave a Comment