Stresstest für australische Unternehmen
EU-Datenschutzgrundverordnung erweitert Verbraucherrechte

Brüssel / Canberra — Deadline ist Freitag, 25. Mai 2018. Von die­sem Zeit­punkt an gilt die EU-Da­ten­schutz­grund­ver­ord­nung, kurz: EU-DSGVO – in Eng­lisch: „General Data Protection Regulation (GDPR)“. Sie ent­hält EU-weit gül­ti­ge Vor­schrif­ten zum Schutz na­tür­li­cher Per­so­nen bei der Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten und zum freien Ver­kehr sol­cher Da­ten. Un­ter­neh­men, Be­hör­den und Selbst­stän­di­ge, die ih­re Work­flows und Pro­zes­se zur Da­ten­er­fas­sung und -ver­ar­bei­tung bis zum Frist­ende nicht oder nur un­zu­rei­chend an die An­for­de­run­gen der eu­ro­päi­schen Ver­ord­nung an­ge­passt ha­ben, ris­kie­ren Sank­tio­nen und Buß­gel­der in Höhe von bis zu 20 Mil­lio­nen Euro (knapp 32 Mil­lio­nen aus­tra­li­sche Dol­lar) oder im Fall ei­nes Un­ter­neh­mens von vier Pro­zent des ge­sam­ten welt­weit er­ziel­ten Jah­res­um­sat­zes. US-ame­ri­ka­ni­sche und aus­tra­li­sche Un­ter­neh­men kön­nen eben­falls be­trof­fen sein. Durch ein ko­or­di­nier­tes Vor­ge­hen der EU-Da­ten­schutz­auf­sichts­be­hör­den wer­den Ver­stöße auch bei grenz­über­schrei­ten­der Tä­tig­keit bes­ser iden­ti­fi­ziert und ge­ahn­det wer­den. Pri­vat­per­so­nen nutz­nießen von den stren­ge­ren Vor­schrif­ten – und Ver­brau­cher­schutz­ver­bän­de wer­den künf­tig Lösch-, Aus­kunfts- und Scha­dens­er­satz­an­sprüche Be­trof­fe­ner leich­ter ein­kla­gen können.

Andrea Voßhoff, deutsche Bundesbeauftragte für den Datenschutz und die In­for­ma­tions­frei­heit, nennt die EU-Datenschutzgrundverordnung (EU-DSGVO) ei­nen „Meilenstein des Datenschutzes in Europa, denn sie ver­knüpft be­währ­te Prin­zi­pien des grund­rechts­orien­tier­ten Da­ten­schutz­rechts mit einer stär­ke­ren Har­mo­ni­sie­rung und ei­ner maß­vol­len Mo­der­ni­sie­rung“. Doch laut ei­ner re­prä­sen­ta­ti­ven Um­fra­ge des deut­schen Di­gi­tal­ver­ban­des Bit­kom unter mehr als 500 Un­ter­neh­men ge­hen nur 19 Pro­zent von ih­nen da­von aus, die Vor­ga­ben der EU-DSGVO bis zur Dead­line voll­stän­dig um­ge­setzt zu ha­ben. Wei­te­re 20 Pro­zent er­war­ten, die Vor­ga­ben zum größ­ten Teil ein­hal­ten zu kön­nen, mehr als je­des zwei­te Un­ter­neh­men (55 Pro­zent) prog­nos­ti­ziert, die An­for­de­run­gen nur teil­wei­se er­fül­len zu kön­nen. Ähn­li­che Er­geb­nis­se lie­fert ei­ne Um­fra­ge im Auf­trag der „Na­tio­na­len Ini­tia­ti­ve für In­for­ma­tions- und In­ter­net-Si­cher­heit e. V. (NIFIS)“. „Die Zeit drängt“, mahnt des­halb Susanne Dehmel, Ge­schäfts­lei­te­rin „Recht & Si­cher­heit“ beim Bitkom: „Wer den Kopf in den Sand steckt, ver­stößt dem­nächst ge­gen gel­ten­des Recht und ris­kiert empfind­li­che Buß­gel­der zu Las­ten sei­nes Un­ter­neh­mens.“ Und Dr. Thomas Lapp, Vor­sit­zen­der der NIFIS ap­pel­liert: „Da­mit die Da­ten­schutz­grund­ver­ord­nung Er­folg ha­ben und für mehr Da­ten­si­cher­heit sor­gen kann, tun Un­ter­neh­men gut daran, sich schnellst­mög­lich mit den Auf­ga­ben der EU-DSGVO aus­ein­an­der­zu­set­zen. Das schützt nicht nur sen­si­bles Da­ten­ma­te­rial, son­dern schont den Geld­beu­tel. Außer­dem wird mit der Um­set­zung der Maß­nah­men da­bei die IT auch be­triebs­si­che­rer und es gibt we­ni­ger exis­ten­ziel­le Aus­fäl­le.“

Regelungen der EU-DSGVO

Kurz gefasst: Die EU-DSGVO betrifft den Umgang mit allen per­so­nen­be­zo­ge­nen Daten. So ist de­ren Wei­ter­ver­ar­bei­tung nur noch bei kom­pa­ti­blen Zwe­cken zu­läs­sig. Die An­for­de­run­gen an den Nach­weis ei­ner ef­fek­ti­ven Ein­wil­li­gung wird er­höht, je­ne an den Wi­der­ruf der Ein­wil­li­gung herab­ge­setzt, das Kopp­lungs­ver­bot ver­schärft, die In­for­ma­tions- und Aus­kunfts­pflich­ten so­wie die Lösch- und Wi­der­spruchs­pflicht er­wei­tert. Die Un­ter­neh­men er­lie­gen ei­ner er­wei­ter­ten Re­chen­schafts­pflicht, müs­sen un­ter an­de­rem ihre Da­ten­ver­ar­bei­tungs­pro­zes­se do­ku­men­tie­ren, Da­ten­schutz- und Ein­wil­li­gungs­er­klä­run­gen prü­fen, Be­triebs­ver­ein­ba­run­gen an­pas­sen, „Risk Assess­ment“ und „Pri­vacy Impact Assess­ment“ ein­füh­ren und na­tio­na­le Ge­setz­ge­bung so­wie Fort­bil­dung mo­ni­to­ren. On­line ab­ruf­bar ist die Ver­ord­nung in Deutsch unter ⭱ dsgvo-gesetz.de und in Eng­lisch un­ter ⭱ gdpr-info.eu.

In Kraft getreten ist die EU-Datenschutzgrundverordnung bereits am 25. Mai 2016, zwan­zig Ta­ge nach der Ver­öf­fent­li­chung im EU-Amts­blatt. Über­prüf­bar wird die Ein­hal­tung der Vor­ga­ben durch die EU-Da­ten­schutz­auf­sichts­be­hör­den und Ge­rich­te nach ei­ner zwei­jäh­ri­gen Über­gangs­frist. In Deutsch­land er­setzt die EU-DSGVO weit­ge­hend die ein­schlä­gi­gen Re­ge­lun­gen des Bun­des­da­ten­schutz­ge­set­zes (BDSG). Zu­gleich ent­hält die EU-DSGVO zahl­rei­che Öff­nungs­klau­seln, die den Mit­glieds­staa­ten spe­zi­fi­sche Be­stim­mun­gen er­mög­li­chen. Des­halb müs­sen Un­ter­neh­men, die in ver­schie­de­nen EU-Mit­glieds­staa­ten tä­tig sind, nun ge­nau auf er­gän­zen­de Re­ge­lun­gen ach­ten. Här­te­re Zei­ten kom­men da­mit auch auf in­ter­na­tio­nal agie­ren­de Kon­zer­ne wie Face­book, Google und Micro­soft zu, denn das „Sitz­land­prin­zip“, wo­nach bei ju­ris­ti­schen Kon­flik­ten die na­tio­na­len Ge­set­ze je­nes Lan­des an­ge­wen­det wur­den, in dem das Un­ter­neh­men sei­nen Haupt­sitz hat, wird vom „Markt­ort­prin­zip“ ab­ge­löst.

Verboten bleibt der Umgang mit personenbezogenen Daten, wenn er nicht ent­we­der durch ei­nen Er­laub­nis­tat­be­stand oder sons­ti­ge Rechts­vor­schrif­ten – wie dem Te­le­kom­mu­ni­ka­tions­ge­setz (TKG) oder Te­le­me­dien­ge­setz (TMG) in Deutsch­land – er­laubt ist. Die gän­gi­gen Rechts­in­stru­men­te für die Da­ten­über­mitt­lung in Dritt­staa­ten wer­den er­wei­tert. Der be­trieb­li­che Da­ten­schutz­be­auf­trag­te (DSB) bleibt für Be­hör­den und die meis­ten Un­ter­neh­men un­ab­ding­bar. Start-ups und klei­ne Un­ter­neh­men mit we­ni­ger als neun An­ge­stell­ten, de­ren Haupt­ak­ti­vi­tät ent­we­der die mas­sen­haf­te, re­gel­mäßi­ge und sys­te­ma­ti­sche Be­ob­ach­tung von Be­trof­fe­nen er­for­dert oder de­ren Kern­ge­schäft in der mas­sen­haf­ten Ver­ar­bei­tung sen­si­bler Da­ten be­steht, be­nö­ti­gen trotz Schwel­len­wer­tes einen DSB. Kon­zer­ne wie­derum be­nö­ti­gen neuer­dings nur ei­nen DSB für die ge­sam­te Un­ter­neh­mens­grup­pe, so­fern die­ser leicht er­reich­bar ist.

Verbraucherrechte

Die EU-DSGVO erweitert die Rechte der Verbraucher. So ist die Ver­ar­bei­tung per­so­nen­be­zo­ge­ner Da­ten nur dann recht­mäßig, wenn die be­trof­fe­ne Per­son ihre Ein­wil­li­gung für ei­nen oder meh­re­re be­stimm­te Zwe­cke ge­ge­ben hat und die Ver­ar­bei­tung er­for­der­lich ist, et­wa um le­bens­wich­ti­ge In­ter­es­sen der be­trof­fe­nen Per­son oder ei­ner an­de­ren na­tür­li­chen Per­son zu schüt­zen. Der für die Ver­ar­bei­tung Ver­ant­wort­li­che muss die Ein­wil­li­gung nach­wei­sen kön­nen. Und die be­trof­fe­ne Per­son hat das Recht, ihre Ein­wil­li­gung je­der­zeit zu wi­der­ru­fen. Bei Kin­dern bis zum voll­en­de­ten sech­zehn­ten Le­bens­jahr ist dies der Trä­ger der el­ter­li­chen Verantwortung.

Die digitale Transformation verlangt nach couragierten Antworten,
nach einer konsolidierten und proaktiven Digitalpolitik.
Dr. Olaf Konstantin Krueger (PIRATEN)

Untersagt ist die Verarbeitung personenbezogener Daten, „aus de­nen die ras­si­sche und eth­ni­sche Her­kunft, po­li­ti­sche Mei­nun­gen, re­li­giö­se oder welt­an­schau­li­che Über­zeu­gun­gen oder die Ge­werk­schafts­zu­ge­hö­rig­keit her­vor­ge­hen, so­wie die Ver­ar­bei­tung von ge­ne­ti­schen Da­ten, bio­me­tri­schen Da­ten zur ein­deu­ti­gen Iden­ti­fi­zie­rung ei­ner na­tür­li­chen Per­son, Ge­sund­heits­da­ten oder Da­ten zum Se­xual­le­ben oder der se­xuel­len Orien­tie­rung ei­ner na­tür­li­chen Per­son“. Aus­nah­men: ei­ne Ein­wil­li­gung liegt vor oder die Ver­ar­bei­tung „ist er­for­der­lich, da­mit der Ver­ant­wort­li­che oder die be­trof­fe­ne Per­son die ihm bzw. ihr aus dem Ar­beits­recht und dem Recht der so­zia­len Si­cher­heit und des So­zial­schut­zes er­wach­sen­den Rech­te aus­üben und sei­nen bzw. ih­ren dies­be­züg­li­chen Pflich­ten nach­kom­men kann“ – oder die Da­ten­ver­ar­bei­tung dient dem Schutz le­bens­wich­ti­ger In­ter­es­sen der be­trof­fe­nen Per­son, er­folgt „auf der Grund­la­ge ge­eig­ne­ter Ga­ran­tien durch eine po­li­tisch, welt­an­schau­lich, re­li­giös oder ge­werk­schaft­lich aus­ge­rich­te­te Stif­tung, Ver­ei­ni­gung oder sons­ti­ge Or­ga­ni­sa­tion ohne Ge­winn­er­zie­lungs­ab­sicht“ oder be­zieht sich auf be­reits öf­fent­li­che Da­ten, dient ju­ris­ti­schen be­zie­hungs­wei­se me­di­zi­ni­schen Zwe­cken und steht „in an­ge­mes­se­nem Ver­hält­nis zu dem ver­folg­ten Ziel“.

Die betroffenen Personen haben ein Recht auf Auskunft über diese per­so­nen­be­zo­ge­nen Da­ten und das Recht, von dem Ver­ant­wort­li­chen un­ver­züg­lich die Be­rich­ti­gung sie be­tref­fen­der un­rich­ti­ger per­so­nen­be­zo­ge­ner Da­ten zu ver­lan­gen so­wie sie be­tref­fen­de per­so­nen­be­zo­ge­ne Da­ten un­ver­züg­lich lö­schen zu las­sen, wenn die Grund­la­ge für die Er­he­bung ent­fal­len ist, die Ein­wil­li­gung wi­der­ru­fen oder Wi­der­spruch ge­gen die Ver­ar­bei­tung ein­ge­legt wird oder die Da­ten un­recht­mäßig ver­ar­bei­tet wur­den. Über­dies kann die Ver­ar­bei­tung ein­ge­schränkt wer­den. Bei Be­rich­ti­gung oder Lö­schung per­so­nen­be­zo­ge­ner Da­ten oder der Ein­schrän­kung der Ver­ar­bei­tung be­steht zu­dem eine Mit­tei­lungs­pflicht des Ver­ant­wort­li­chen ge­gen­über der be­trof­fe­nen Per­son. Die­se hat zu­dem das Recht, die sie be­tref­fen­den per­so­nen­be­zo­ge­nen Da­ten ei­nem an­de­ren Ver­ant­wort­li­chen be­reit­zu­stel­len.

Datenschutz-Folgenabschätzung

Unternehmen müssen nun einer Reihe von strengen Pflichten nach­kom­men, um Sank­tio­nen zu ver­mei­den. So muss der Ver­ant­wort­li­che für die Da­ten­ver­ar­bei­tung „un­ter Be­rück­sich­ti­gung der Art, des Um­fangs, der Um­stän­de und der Zwe­cke der Ver­ar­bei­tung so­wie der un­ter­schied­li­chen Ein­tritts­wahr­schein­lich­keit und Schwe­re der Ri­si­ken für die Rech­te und Frei­hei­ten na­tür­li­cher Per­so­nen ge­eig­ne­te tech­ni­sche und or­ga­ni­sa­to­ri­sche Maß­nah­men“ um­set­zen, um si­cher­zu­stel­len und den Nach­weis da­für er­brin­gen zu kön­nen, dass die Ver­ar­bei­tung der EU-DSGVO ent­spricht. Über die Ver­ar­bei­tungs­tä­tig­keit ist ein Ver­zeich­nis zu führen.

Im Falle einer Verletzung des Schutzes per­so­nen­be­zo­ge­ner Da­ten muss der Ver­ant­wort­li­che die­se un­ver­züg­lich und mög­lichst bin­nen 72 Stun­den nach Be­kannt­wer­den der zu­stän­di­gen Auf­sichts­be­hör­de und den be­trof­fe­nen Per­so­nen mel­den. Bei ho­hem Ri­si­ko für die Rech­te und Frei­hei­ten na­tür­li­cher Per­so­nen muss der Ver­ant­wort­li­che oben­drein ei­ne Ri­si­ko­eva­luie­rung und Fol­gen­ab­schät­zung durch­füh­ren. Zer­ti­fi­zie­rungs­ver­fah­ren, Da­ten­schutz­sie­gel und -prüf­zei­chen sol­len dem Nach­weis die­nen, dass die EU-DSGVO bei Ver­ar­bei­tungs­vor­gän­gen von den Ver­ant­wort­li­chen oder Auf­trags­ver­ar­bei­tern ein­ge­hal­ten wird. Klar aus­for­mu­liert sind auch Haf­tung, das Recht auf Scha­dens­er­satz und die Ver­hän­gung von Geld­bußen. Grund­satz: „Je­de Per­son, der we­gen ei­nes Ver­stoßes ge­gen die­se Ver­ord­nung ein ma­te­riel­ler oder im­ma­te­riel­ler Scha­den ent­stan­den ist, hat An­spruch auf Scha­den­er­satz ge­gen den Ver­ant­wort­li­chen oder ge­gen den Auf­trags­ver­ar­bei­ter.“

OAIC unterstützt australische Unternehmen

Australische Unternehmen gleich wel­cher Grö­ße, die eine Nie­der­las­sung in der EU ha­ben, Wa­ren und Dienst­leis­tun­gen in der EU an­bie­ten oder das Ver­hal­ten von EU-Bür­gern über­wa­chen, müs­sen prü­fen, in­wie­weit sie die Richt­li­nien der EU-DSGVO ein­hal­ten. De­ren An­for­de­run­gen äh­neln zwar je­nen des Australian Privacy Act von 1988, die EU-DSGVO schreibt aber dar­über hinaus Maß­nah­men vor, die trans­pa­ren­te Ver­fah­ren für die Da­ten­ver­ar­bei­tung und die Re­chen­schafts­pflicht der Un­ter­neh­men im Umgang mit Da­ten för­dern. Falls aus­tra­li­sche Un­ter­neh­men mit Kun­den- und Wirt­schafts­be­zie­hun­gen zur EU von der EU-DSGVO er­fasst wer­den, müs­sen sie ab Ende Mai 2018 die Ein­hal­tung der Ver­ord­nung si­cher­stel­len.

Das „Office of the Australian Information Commissioner (OAIC)“ fasst die be­trof­fe­nen aus­tra­li­schen Un­ter­neh­men in vier Ka­te­go­rien: je­ne mit ei­nem Büro in der EU, je­ne, de­ren Web­site auf EU-Kun­den ab­zielt, bei­spiels­wei­se in­dem es ih­nen er­mög­licht, Wa­ren oder Dienst­leis­tun­gen in einer eu­ro­päi­schen Spra­che (außer Eng­lisch) zu be­stel­len oder Zah­lun­gen in Euro zu er­mög­li­chen, je­ne, de­ren Web­site Kun­den oder Nut­zer in der EU er­wähnt so­wie je­ne, die Ein­zel­per­so­nen in der EU im Inter­net trackt und Da­ten­ver­ar­bei­tungs­tech­ni­ken nutzt, um Per­so­nen­pro­fi­le zu er­stel­len, die per­sön­li­che Prä­fe­ren­zen, Ver­hal­tens­wei­sen und Ein­stel­lun­gen ana­ly­sie­ren und vor­her­sa­gen kön­nen. Mehr In­for­ma­tion hier­zu ist on­line ab­ruf­bar unter ⭱ oaic.gov.au.

Ausblick

Eines ist sicher: Verletzungen des Datenschutzes werden durch die EU-DSGVO ver­mehrt zu Kla­gen füh­ren. In­ter­net-Gi­gan­ten wie Face­book und Google sind be­reits im Vi­sier der Da­ten­schüt­zer. Ih­nen ge­gen­über will bei­spiels­wei­se die aus Croudfunding fi­nan­zier­te neue öster­rei­chi­sche Or­ga­ni­sa­tion „noyb“ die Rech­te der Ver­brau­cher via Sam­mel­kla­gen ju­ris­tisch durch­set­zen. Die Ab­kür­zung „noyb“ steht hier­bei für „none of your business“, auf Deutsch „Geht Dich nichts an“, und zeigt die Stoß­rich­tung. „noyb“ soll zu­dem zur An­lauf­stel­le für Whistle­blower wer­den, wel­che Da­ten­schutz­ver­stöße öf­fent­lich ma­chen wol­len, sagt Grün­der und Da­ten­schüt­zer Max Schrems. Stär­ker ge­for­dert sein dürf­ten auch die Ver­brau­cher­schüt­zer. Der­zeit re­gis­triert etwa das Früh­warn­netz­werk der Ver­brau­cher­zen­tra­len in Deutsch­land Be­schwer­den we­gen un­be­ab­sich­tigt ab­ge­schlos­se­ner Ver­träge mit GMX und web.de. Susanne Baumer, Team­lei­te­rin „Markt­wäch­ter Di­gi­ta­le Welt“ in der Ver­brau­cher­zen­tra­le Bayern, kri­ti­siert da­her die Wer­bung die­ser E-Mail-Diens­te für de­ren kos­ten­pflich­ti­ge Pro­duk­te als ver­brau­cher­un­freund­lich. Und für un­vor­be­rei­te­te aus­tra­li­sche Un­ter­neh­men mit Be­zie­hun­gen zur Eu­ro­päi­schen Union könn­te die EU-DSGVO zum Stress­test werden. 


Zweitveröffentlichung

Print: Die neue Woche Aus­tra­lien, 61. Jg., Nr. 3/2018, Diens­tag, 23. Ja­nu­ar 2018, S. 7, Ko­lum­ne „Wirt­schaft“ (Kurz­fas­sung) [146/3/1/–, ein Fo­to].
Online: ⤉ diewoche.com.au, Diens­tag, 23. Ja­nu­ar 2018. Stand: Neu­jahr, 1. Ja­nu­ar 2024.
 

Dr. Olaf Konstantin Krueger M.A.

Digitaljournalist – Digitalpolitiker