Stresstest für australische Unternehmen
EU-Datenschutzgrundverordnung erweitert Verbraucherrechte
Brüssel / Canberra — Deadline ist Freitag, 25. Mai 2018. Von diesem Zeitpunkt an gilt die EU-Datenschutzgrundverordnung, kurz: EU-DSGVO – in Englisch: „General Data Protection Regulation (GDPR)“. Sie enthält EU-weit gültige Vorschriften zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten. Unternehmen, Behörden und Selbstständige, die ihre Workflows und Prozesse zur Datenerfassung und -verarbeitung bis zum Fristende nicht oder nur unzureichend an die Anforderungen der europäischen Verordnung angepasst haben, riskieren Sanktionen und Bußgelder in Höhe von bis zu 20 Millionen Euro (knapp 32 Millionen australische Dollar) oder im Fall eines Unternehmens von vier Prozent des gesamten weltweit erzielten Jahresumsatzes. US-amerikanische und australische Unternehmen können ebenfalls betroffen sein. Durch ein koordiniertes Vorgehen der EU-Datenschutzaufsichtsbehörden werden Verstöße auch bei grenzüberschreitender Tätigkeit besser identifiziert und geahndet werden. Privatpersonen nutznießen von den strengeren Vorschriften – und Verbraucherschutzverbände werden künftig Lösch-, Auskunfts- und Schadensersatzansprüche Betroffener leichter einklagen können.
Andrea Voßhoff, deutsche Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, nennt die EU-Datenschutzgrundverordnung (EU-DSGVO) einen „Meilenstein des Datenschutzes in Europa, denn sie verknüpft bewährte Prinzipien des grundrechtsorientierten Datenschutzrechts mit einer stärkeren Harmonisierung und einer maßvollen Modernisierung“. Doch laut einer repräsentativen Umfrage des deutschen Digitalverbandes Bitkom unter mehr als 500 Unternehmen gehen nur 19 Prozent von ihnen davon aus, die Vorgaben der EU-DSGVO bis zur Deadline vollständig umgesetzt zu haben. Weitere 20 Prozent erwarten, die Vorgaben zum größten Teil einhalten zu können, mehr als jedes zweite Unternehmen (55 Prozent) prognostiziert, die Anforderungen nur teilweise erfüllen zu können. Ähnliche Ergebnisse liefert eine Umfrage im Auftrag der „Nationalen Initiative für Informations- und Internet-Sicherheit e. V. (NIFIS)“. „Die Zeit drängt“, mahnt deshalb Susanne Dehmel, Geschäftsleiterin „Recht & Sicherheit“ beim Bitkom: „Wer den Kopf in den Sand steckt, verstößt demnächst gegen geltendes Recht und riskiert empfindliche Bußgelder zu Lasten seines Unternehmens.“ Und Dr. Thomas Lapp, Vorsitzender der NIFIS appelliert: „Damit die Datenschutzgrundverordnung Erfolg haben und für mehr Datensicherheit sorgen kann, tun Unternehmen gut daran, sich schnellstmöglich mit den Aufgaben der EU-DSGVO auseinanderzusetzen. Das schützt nicht nur sensibles Datenmaterial, sondern schont den Geldbeutel. Außerdem wird mit der Umsetzung der Maßnahmen dabei die IT auch betriebssicherer und es gibt weniger existenzielle Ausfälle.“
Regelungen der EU-DSGVO
Kurz gefasst: Die EU-DSGVO betrifft den Umgang mit allen personenbezogenen Daten. So ist deren Weiterverarbeitung nur noch bei kompatiblen Zwecken zulässig. Die Anforderungen an den Nachweis einer effektiven Einwilligung wird erhöht, jene an den Widerruf der Einwilligung herabgesetzt, das Kopplungsverbot verschärft, die Informations- und Auskunftspflichten sowie die Lösch- und Widerspruchspflicht erweitert. Die Unternehmen erliegen einer erweiterten Rechenschaftspflicht, müssen unter anderem ihre Datenverarbeitungsprozesse dokumentieren, Datenschutz- und Einwilligungserklärungen prüfen, Betriebsvereinbarungen anpassen, „Risk Assessment“ und „Privacy Impact Assessment“ einführen und nationale Gesetzgebung sowie Fortbildung monitoren. Online abrufbar ist die Verordnung in Deutsch unter ⭱ dsgvo-gesetz.de und in Englisch unter ⭱ gdpr-info.eu.
In Kraft getreten ist die EU-Datenschutzgrundverordnung bereits am 25. Mai 2016, zwanzig Tage nach der Veröffentlichung im EU-Amtsblatt. Überprüfbar wird die Einhaltung der Vorgaben durch die EU-Datenschutzaufsichtsbehörden und Gerichte nach einer zweijährigen Übergangsfrist. In Deutschland ersetzt die EU-DSGVO weitgehend die einschlägigen Regelungen des Bundesdatenschutzgesetzes (BDSG). Zugleich enthält die EU-DSGVO zahlreiche Öffnungsklauseln, die den Mitgliedsstaaten spezifische Bestimmungen ermöglichen. Deshalb müssen Unternehmen, die in verschiedenen EU-Mitgliedsstaaten tätig sind, nun genau auf ergänzende Regelungen achten. Härtere Zeiten kommen damit auch auf international agierende Konzerne wie Facebook, Google und Microsoft zu, denn das „Sitzlandprinzip“, wonach bei juristischen Konflikten die nationalen Gesetze jenes Landes angewendet wurden, in dem das Unternehmen seinen Hauptsitz hat, wird vom „Marktortprinzip“ abgelöst.
Verboten bleibt der Umgang mit personenbezogenen Daten, wenn er nicht entweder durch einen Erlaubnistatbestand oder sonstige Rechtsvorschriften – wie dem Telekommunikationsgesetz (TKG) oder Telemediengesetz (TMG) in Deutschland – erlaubt ist. Die gängigen Rechtsinstrumente für die Datenübermittlung in Drittstaaten werden erweitert. Der betriebliche Datenschutzbeauftragte (DSB) bleibt für Behörden und die meisten Unternehmen unabdingbar. Start-ups und kleine Unternehmen mit weniger als neun Angestellten, deren Hauptaktivität entweder die massenhafte, regelmäßige und systematische Beobachtung von Betroffenen erfordert oder deren Kerngeschäft in der massenhaften Verarbeitung sensibler Daten besteht, benötigen trotz Schwellenwertes einen DSB. Konzerne wiederum benötigen neuerdings nur einen DSB für die gesamte Unternehmensgruppe, sofern dieser leicht erreichbar ist.
Verbraucherrechte
Die EU-DSGVO erweitert die Rechte der Verbraucher. So ist die Verarbeitung personenbezogener Daten nur dann rechtmäßig, wenn die betroffene Person ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben hat und die Verarbeitung erforderlich ist, etwa um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Der für die Verarbeitung Verantwortliche muss die Einwilligung nachweisen können. Und die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Bei Kindern bis zum vollendeten sechzehnten Lebensjahr ist dies der Träger der elterlichen Verantwortung.
Die digitale Transformation verlangt nach couragierten Antworten,
nach einer konsolidierten und proaktiven Digitalpolitik.
Dr. Olaf Konstantin Krueger (PIRATEN)
Untersagt ist die Verarbeitung personenbezogener Daten, „aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person“. Ausnahmen: eine Einwilligung liegt vor oder die Verarbeitung „ist erforderlich, damit der Verantwortliche oder die betroffene Person die ihm bzw. ihr aus dem Arbeitsrecht und dem Recht der sozialen Sicherheit und des Sozialschutzes erwachsenden Rechte ausüben und seinen bzw. ihren diesbezüglichen Pflichten nachkommen kann“ – oder die Datenverarbeitung dient dem Schutz lebenswichtiger Interessen der betroffenen Person, erfolgt „auf der Grundlage geeigneter Garantien durch eine politisch, weltanschaulich, religiös oder gewerkschaftlich ausgerichtete Stiftung, Vereinigung oder sonstige Organisation ohne Gewinnerzielungsabsicht“ oder bezieht sich auf bereits öffentliche Daten, dient juristischen beziehungsweise medizinischen Zwecken und steht „in angemessenem Verhältnis zu dem verfolgten Ziel“.
Die betroffenen Personen haben ein Recht auf Auskunft über diese personenbezogenen Daten und das Recht, von dem Verantwortlichen unverzüglich die Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen sowie sie betreffende personenbezogene Daten unverzüglich löschen zu lassen, wenn die Grundlage für die Erhebung entfallen ist, die Einwilligung widerrufen oder Widerspruch gegen die Verarbeitung eingelegt wird oder die Daten unrechtmäßig verarbeitet wurden. Überdies kann die Verarbeitung eingeschränkt werden. Bei Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung besteht zudem eine Mitteilungspflicht des Verantwortlichen gegenüber der betroffenen Person. Diese hat zudem das Recht, die sie betreffenden personenbezogenen Daten einem anderen Verantwortlichen bereitzustellen.
Datenschutz-Folgenabschätzung
Unternehmen müssen nun einer Reihe von strengen Pflichten nachkommen, um Sanktionen zu vermeiden. So muss der Verantwortliche für die Datenverarbeitung „unter Berücksichtigung der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen“ umsetzen, um sicherzustellen und den Nachweis dafür erbringen zu können, dass die Verarbeitung der EU-DSGVO entspricht. Über die Verarbeitungstätigkeit ist ein Verzeichnis zu führen.
Im Falle einer Verletzung des Schutzes personenbezogener Daten muss der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden nach Bekanntwerden der zuständigen Aufsichtsbehörde und den betroffenen Personen melden. Bei hohem Risiko für die Rechte und Freiheiten natürlicher Personen muss der Verantwortliche obendrein eine Risikoevaluierung und Folgenabschätzung durchführen. Zertifizierungsverfahren, Datenschutzsiegel und -prüfzeichen sollen dem Nachweis dienen, dass die EU-DSGVO bei Verarbeitungsvorgängen von den Verantwortlichen oder Auftragsverarbeitern eingehalten wird. Klar ausformuliert sind auch Haftung, das Recht auf Schadensersatz und die Verhängung von Geldbußen. Grundsatz: „Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.“
OAIC unterstützt australische Unternehmen
Australische Unternehmen gleich welcher Größe, die eine Niederlassung in der EU haben, Waren und Dienstleistungen in der EU anbieten oder das Verhalten von EU-Bürgern überwachen, müssen prüfen, inwieweit sie die Richtlinien der EU-DSGVO einhalten. Deren Anforderungen ähneln zwar jenen des Australian Privacy Act von 1988, die EU-DSGVO schreibt aber darüber hinaus Maßnahmen vor, die transparente Verfahren für die Datenverarbeitung und die Rechenschaftspflicht der Unternehmen im Umgang mit Daten fördern. Falls australische Unternehmen mit Kunden- und Wirtschaftsbeziehungen zur EU von der EU-DSGVO erfasst werden, müssen sie ab Ende Mai 2018 die Einhaltung der Verordnung sicherstellen.
Das „Office of the Australian Information Commissioner (OAIC)“ fasst die betroffenen australischen Unternehmen in vier Kategorien: jene mit einem Büro in der EU, jene, deren Website auf EU-Kunden abzielt, beispielsweise indem es ihnen ermöglicht, Waren oder Dienstleistungen in einer europäischen Sprache (außer Englisch) zu bestellen oder Zahlungen in Euro zu ermöglichen, jene, deren Website Kunden oder Nutzer in der EU erwähnt sowie jene, die Einzelpersonen in der EU im Internet trackt und Datenverarbeitungstechniken nutzt, um Personenprofile zu erstellen, die persönliche Präferenzen, Verhaltensweisen und Einstellungen analysieren und vorhersagen können. Mehr Information hierzu ist online abrufbar unter ⭱ oaic.gov.au.
Ausblick
Eines ist sicher: Verletzungen des Datenschutzes werden durch die EU-DSGVO vermehrt zu Klagen führen. Internet-Giganten wie Facebook und Google sind bereits im Visier der Datenschützer. Ihnen gegenüber will beispielsweise die aus Croudfunding finanzierte neue österreichische Organisation „noyb“ die Rechte der Verbraucher via Sammelklagen juristisch durchsetzen. Die Abkürzung „noyb“ steht hierbei für „none of your business“, auf Deutsch „Geht Dich nichts an“, und zeigt die Stoßrichtung. „noyb“ soll zudem zur Anlaufstelle für Whistleblower werden, welche Datenschutzverstöße öffentlich machen wollen, sagt Gründer und Datenschützer Max Schrems. Stärker gefordert sein dürften auch die Verbraucherschützer. Derzeit registriert etwa das Frühwarnnetzwerk der Verbraucherzentralen in Deutschland Beschwerden wegen unbeabsichtigt abgeschlossener Verträge mit GMX und web.de. Susanne Baumer, Teamleiterin „Marktwächter Digitale Welt“ in der Verbraucherzentrale Bayern, kritisiert daher die Werbung dieser E-Mail-Dienste für deren kostenpflichtige Produkte als verbraucherunfreundlich. Und für unvorbereitete australische Unternehmen mit Beziehungen zur Europäischen Union könnte die EU-DSGVO zum Stresstest werden. ✻
Zweitveröffentlichung
Print: Die neue Woche Australien, 61. Jg., Nr. 3/2018, Dienstag, 23. Januar 2018, S. 7, Kolumne „Wirtschaft“ (Kurzfassung) [146/3/1/–, ein Foto].
Online: ⤉ diewoche.com.au, Dienstag, 23. Januar 2018. Stand: Neujahr, 1. Januar 2024.