Österreich: Neues EU-Datenschutzrecht: Geldstrafen bis zu EUR 20 Millionen

Die Datenschutz-Grundverordnung (DSGVO), die vom europäischen Parlament 2016 erlassen wurde, gewährt ein höheres Schutzniveau von personenbezogenen Daten der EU-Bürger. Die DSGVO gilt ab dem 25.05.2018 in allen EU-Ländern unmittelbar und betrifft weltweit Unternehmen, welche auf dem europäischen Markt tätig sind.

Die DSGVO soll die Kontrolle der EU-Bürger über ihre personenbezogenen Daten in der digitalen Welt sicherstellen. Personenbezogene Daten beinhalten sämtliche Informationen, welche auf eine identifizierte oder identifizierbare Person rückführbar sind.

Erweiterte Verpflichtungen und Haftung

Die DSGVO verlangt ein hohes Maß an Datensicherheit. Um ein angemessenes Datenschutzniveau zu gewährleisten, sind entsprechende technische und betriebliche Maßnahmen zu ergreifen, insbesondere angemessene IT-Lösungen, Datenschutzerklärungen, Audits und Personalschulung. Einzelne Datenverarbeitungsaktivitäten sind zu dokumentieren. Die Voraussetzungen für eine Einwilligung zur Datenverarbeitung haben sich verschärft. Eine Erteilung der Zustimmung durch Schweigen oder Voranklicken ist nicht mehr möglich. Spezifische Datenschutzverstöße sind der Aufsichtsbehörde zu melden. Außerdem sind bestimmte Organisationen (Behörden, Banken, Versicherungsgesellschaften, Telekommunikationsdienstleister, Krankenhäuser, Gesundheitszentren) verpflichtet, einen Datenschutzbeauftragten zu bestellen.

Jeder ist betroffen

Jeder sollte informiert und vorbereitet sein. Das Datenschutzrecht gilt für jede Organisation, denn jede ist notwendigerweise mit personenbezogenen Daten befasst. Zu den typischen Datenverarbeitungstätigkeiten zählen die Erhebung und Nutzung von Arbeitnehmer- und Kundendaten, von Bewerbungsunterlagen, die Zusendung von Newslettern, die Ausgabe von Kundenkarten, die Videoüberwachung, Webshopaktivitäten, Aktionen in Sozialen Medien, Glücksspielveranstaltung, der Betrieb elektronischer Zulassungssysteme usw.

Auch Unternehmen in Nicht-EU-Staaten sind durch die neuen Regeln betroffen, soweit sie EU-Bürgern Waren oder Dienstleistungen anbieten oder deren Verhalten beobachten. Die bloße Zugangsmöglichkeit einer EU-externen Webseite innerhalb der EU gilt nicht als solches Angebot. Profiling und anderweitiges Nutzertracking im Internet zählt hingegen als Beobachten von Verhalten der EU-Bürger.

Sog Öffnungsklauseln der DSGVO ermöglichen es den EU-Staaten, nationale Rechtsvorschriften in spezifischen Bereichen zu erlassen. Deutschland und Österreich haben von diesem Recht bereits Gebrauch gemacht, während in anderen Ländern unserer Allianz Umsetzungsakte noch ausstehen.

Nichtbefolgung keine Option

Jede Organisation, welche ab dem 25.05.2018 nicht den Anforderungen der DSGVO genügt, muss mit erheblichen Sanktionen rechnen. Nach der DSGVO können Strafen bis zu EUR 20 Millionen oder 4 % des weltweiten Gesamtumsatzes des Vorjahres verhängt werden. Es ist zu erwarten, dass die Aufsichtsbehörden in der EU ihre Aktivitäten steigern und hohe Bußgelder verhängen werden. Privatpersonen können zudem Schadensersatzklagen erheben. Folglich sind Gerichtsentscheidungen mit hohen Streitwerten zu erwarten.

Aufgrund erheblicher Bußgelder, drohender Gerichtsprozesse und Reputationsschäden ist die Beachtung der DSGVO unumgänglich.

Bei Fragen zum Thema Datenschutz und zum Aufbau eines Datenschutz-Managementsystems stehen wir Ihnen gerne als erfahrener und kompetenter Partner zur Verfügung.

Weitere Artikel zum Themenschwerpunkt „Datenschutzgrundverordnung 2018“

• DSGVO – Compliance Check
• DSGVO – Grundsätze für die Verarbeitung personenbezogener Daten
• DSGVO – Sanktionen und Haftung
• DSGVO – Datenschutzbeauftragter
• DSGVO – Datenschutzverstöße
• DSGVO – Datenübermittlung in ein Drittland