ARZ Live: Datenschutz neu

Die Bedeutung des Datenschutzes wird mit dem 25. Mai 2018 auf europarechtlicher Ebene durch die Anwendbarkeit der Datenschutz-Grundverordnung (DSGVO) als neues, prägendes Fundament des europäischen Datenschutzrechts deutlich erhöht.

Grund hierfür sind vor allem die hohen Strafandrohungen von bis zu 20 Mio. Euro oder 4 Prozent des weltweiten Konzernumsatzes, je nachdem, welcher Betrag höher ist. Damit wird Datenschutz zu einem ernstzunehmenden Thema für Compliance.

Dieser Beitrag geht nach einem kurzen Überblick über den relevanten rechtlichen Rahmen des Datenschutzes auf einzelne praxisrelevante Fragen der Umsetzung von vorbereitenden Maßnahmen im Hinblick auf die zukünftige Rechtslage ein und gibt damit einen Auszug aus der laufenden, gemeinschaftlichen DSGVO-Projektarbeit von ARZ und der Buchungsgemeinschaft (Kunden des ARZ) wieder.

Rechtsrahmen

Die Bestimmungen der DSGVO beruhen auf den europäischen Grundrechten der Achtung des Privatlebens und des Schutzes personenbezogener Daten gemäß Art. 7, 8 der Charta der Grundrechte der Europäischen Union. Diese Charta ist im Gegensatz zur Datenschutz-Richtlinie, die durch die neue Verordnung aufgehoben wird, unmittelbar anwendbar.

Zahlreiche Öffnungsklauseln erlauben es allerdings den nationalen Gesetzgebungsinstanzen, Konkretisierungen und Ergänzungen vorzunehmen ("hinkende" Verordnung). Dennoch hat sich der österreichische Gesetzgeber unter Berufung auf die unmittelbare Geltung der Verordnung sowie der mangelnden Erforderlichkeit einer Konkretisierung dafür entschieden, mit dem Datenschutz-Änderungsgesetz, das am 25.5.2018 in Kraft tritt und das bisherige DSG 2000 tiefgreifend ändert, nur einzelne Punkte der DSGVO aufzugreifen. Die ursprüngliche Intention, ein völlig neues Gesetz zu verabschieden, scheiterte an der fehlenden, für eine Verfassungsänderung notwendigen Zwei-Drittel-Mehrheit im Parlament: ÖVP und SPÖ stimmten für, alle anderen Parteien gegen den Gesetzesentwurf. Dadurch wurde die Frage in den Raum gestellt, ob das neue Datenschutzgesetz, entgegen der ursprünglichen Fassung, weiterhin auch für juristische Personen gelte1). Dies ist wohl angesichts der in der DSGVO und noch im Entwurf enthaltenen Beschränkung auf natürliche Personen sowie des Gedankens der Vollharmonisierung durch die DSGVO zu verneinen.

Die zahlreichen Stellungnahmen zum Entwurf (über 100) wurden überraschenderweise so gut wie nicht berücksichtigt.

In Sachen Qualität wird der Verordnung zum Teil ein schlechtes Zeugnis ausgestellt. Neben Übersetzungsfehlern und Redaktionsversehen bei Normverweisen werden die fallweise Unbestimmtheit der Rechtsbegriffe sowie widersprüchliche Inhalte kritisiert2).

Datenschutzbeauftragte

Die meisten Mitglieder der Buchungsgemeinschaft (wenn nicht sogar alle) haben den durch die DSGVO neu eingeführten und unter gewissen Voraussetzungen einzurichtenden Datenschutzbeauftragten für das Unternehmen oder die Unternehmensgruppe bereits benannt. Er ist nach der DSGVO aufgrund seiner beruflichen Qualifikation und insbesondere seines Fachwissens auf dem Gebiet des Datenschutzes zu bestimmen sowie auf der Grundlage seiner Fähigkeit zur Wahrnehmung der ihm von der Verordnung übertragenen Aufgaben. Ihm sind die erforderlichen Ressourcen, insbesondere der Datenzugang, sowie Ressourcen für den Know-how-Aufbau und -Erhalt zur Verfügung zu stellen. Ferner ist der Datenschutzbeauftragte insbesondere weisungsunabhängig, zur Geheimhaltung verpflichtet, berichtet direkt dem obersten Management und darf wegen seiner Aufgabenerfüllung nicht abberufen oder benachteiligt werden.

Die Kontaktdaten des Datenschutzbeauftragten sind der Datenschutzbehörde (DSB) bekannt zu geben, was schon jetzt möglich ist.

Verarbeitungsverzeichnisse

Das von der Datenschutzbehörde geführte Datenverarbeitungsregister (DVR) wird aufgrund des damit verbundenen bürokratischen und finanziellen Aufwands abgeschafft und bis Ende 2019 als Archiv bereitgehalten. An seine Stelle treten die Verarbeitungsverzeichnisse, die vor allem von den für die Verarbeitung Verantwortlichen, also jenen, die über Zweck und Mittel der Verarbeitung entscheiden, zu führen sind. Da sich diese mit den Inhalten der DVR-Einträge weitgehend decken, kann auf diese beim Erstellen der Verzeichnisse zugrückgegriffen werden.

Auftragsverarbeiter haben ein eigenes, vom Umfang her geringeres Verzeichnis zu erstellen. Als Auftragsverarbeiter bezeichnet die Verordnung natürliche oder juristische Personen, Behörden, Einrichtungen oder andere Stellen, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeiten, wie dies etwa im Verhältnis Mandant zu ARZ der Fall ist.

In der Praxis erweist sich die Aufteilung der Verarbeitungsvorgänge in einzelne Verzeichniseinträge sowie die Festlegung von den anzugebenden Datenkategorien – mangels konkreter Vorgaben – oftmals als schwierig. Eine Orientierungshilfe bietet die noch geltende Standard- und Musterverordnung 2004 (StMV), die Anwendungen beschreibt, die regelmäßig in Unternehmen, im Gesundheitswesen oder im öffentlichen Bereich vorkommen, wie etwa Personalverwaltung, Rechnungswesen oder Videoüberwachung. Dass dabei nicht jedes personenbezogene Datum einzeln angeführt werden muss, sondern auch auf Oberbegriffe unter einer demonstrativen Aufzählung zurückgegriffen werden kann, zeigen sowohl die zahlreichen Beispiele der StMV als auch der in der DSGVO und im DSG an verschiedenen Stellen anerkannte Grundsatz der wirtschaftlichen Verhältnismäßigkeit; demnach ist auch das Verarbeitungsverzeichnis unter einem vertretbaren Kostenaufwand zu erstellen3).

Da innerhalb der Buchungsgemeinschaft oftmals dieselben ARZ-Services in Anspruch genommen werden, wird das Verzeichnis – in diesem Bereich – im laufenden ARZDSGVO- Projekt gemeinschaftlich als Musterverzeichnis erstellt, sodass jedes Mitglied die jeweils relevanten Einträge, nach einer zuvor durchzuführenden Kontrolle und Anpassung, in sein eigenes Verzeichnis übernehmen kann. Auch für Standardanwendungen werden Muster bereitgestellt bzw. sind diese bereits verfügbar. Es ist zu beachten, dass jedes Mitglied der Buchungsgemeinschaft für die Richtigkeit und Vollständigkeit seines Verzeichnisses selbst verantwortlich ist und daher die als unverbindliche Muster bereitgestellten Verzeichniseinträge vor deren Übernahme jedenfalls sorgfältig zu prüfen hat.

Löschrecht

Den in der Verordnung angeführten Betroffenenrechten ist allgemein eine erhöhte Aufmerksamkeit zu widmen, steht ihre Verletzung – neben einer Verletzung der datenschutzrechtlichen Grundsätze – doch unter der höchsten Strafdrohung. Innerhalb der Betroffenenrechte ist hier vor allem das Löschrecht (plakativ "Recht auf Vergessenwerden") zu nennen.

Personenbezogene Daten sind antragsunabhängig unter anderem dann unverzüglich vom Verantwortlichen zu löschen, wenn die betroffene Person ihre Einwilligung widerruft und eine anderweitige Rechtsgrundlage für die Verarbeitung, wie etwa gesetzliche Aufbewahrungsfristen, fehlt. Löschen bedeutet – sofern möglich – physisches Löschen; logisches Löschen reicht daher grundsätzlich nicht.4 Können Daten aus wirtschaftlichen oder technischen Gründen nicht unverzüglich, sondern nur zu einem bestimmten Zeitpunkt gelöscht werden, sind sie – wie bisher – bis zu diesem Zeitpunkt zu sperren. Darunter fallen etwa Daten in Back-ups.

Einwilligung

Der Einwilligung der betroffenen Person in die Verarbeitung ihrer personenbezogenen Daten kommt ein besonderer Stellenwert zu, ist sie doch Teil ihres sogenannten informationellen Selbstbestimmungsrechts. Die Einwilligung der betroffenen Person hat die von der DSGVO geforderten Bedingungen zu erfüllen (Art. 7 f), widrigenfalls bereits vorliegende Einwilligungen erneut einzuholen sind (Erwägungsgrund (ErwG) 171), es sei denn, für die Datenverarbeitung käme auch eine andere Rechtsgrundlage in Frage; hier ist vor allem an die Erforderlichkeit für die Vertragserfüllung zu denken.

Im Zusammenhang mit der Einwilligung ist oftmals auch der Themenbereich „Big Data“ betroffen, werden hier doch regelmäßig umfangreiche Verarbeitungen zu Analysezwecken („Data Analytics“) durchgeführt, die mit dem ursprünglichen Verarbeitungszweck nicht mehr in Verbindung stehen. Ähnlich verhält es sich bei den Technologien wie etwa Business Intelligence, Data-Warehouse oder Data Mining. Wird dieser Sekundärzweck nicht von der Einwilligung gestützt, ist zu fragen, ob eine andere Rechtsgrundlage, wie etwa berechtigte Interessen des Verantwortlichen für die Verarbeitung, in Frage kommt. Im letzteren Fall wäre die betroffene Person jedenfalls von ihrem Widerspruchsrecht zu informieren. Aus dem Grundsatz der Datenminimierung (Datensparsamkeit) folgt, dass nur jene Daten verarbeitet werden dürfen, die dem Zweck angemessen, erheblich und auf das für die Zweckerreichung notwendige Maß beschränkt sind. Um solch eine überschießende Verarbeitung zu vermeiden, wäre auch – sofern sinnvoll – das Pseudonymisieren oder Anonymisieren der Daten eine Möglichkeit.

Datenschutz-Folgenabschätzung

Ungeachtet der Verpflichtung, eine Datenschutz-Folgenabschätzung (kurz Folgenabschätzung), also eine Beurteilung des Risikos für die Rechte und Freiheiten natürlicher Personen im Hinblick auf risikogeneigte Verarbeitungstätigkeiten, nur für neue oder geänderte Verarbeitungstätigkeiten durchführen zu müssen, sollte nach überwiegender Meinung dennoch das mit der Verarbeitung verbundene Risiko der entsprechenden bereits bestehenden Verarbeitungstätigkeiten ermittelt werden. Für die Buchungsgemeinschaft kommen hier Verarbeitungsvorgänge wie etwa das Kundenrating im Kreditbereich, die Geldwäsche-Anwendungen oder Patientenakten in Frage. Die Aufsichtsbehörde, in Österreich ist dies die DSB, erstellt eine Liste mit Verarbeitungsvorgängen, für die eine Folgenabschätzung durchzuführen ist (Positivliste). Die Veröffentlichung dieser Liste wird – zumindest teilweise – für Ende Jänner 2018 erwartet. Sie kann auch eine Negativliste erstellen, also eine Liste mit Verarbeitungsvorgängen, für die keine Folgenabschätzung erforderlich ist.

Datenschutzbehörde

Die Datenschutzbehörde wurde mit weitreichenden Kompetenzen ausgestattet. Sie kann etwa Einblick in die Datenverarbeitung nehmen, nach vorheriger Ankündigung Räume vor Ort kontrollieren, in denen die Daten verarbeitet werden, Kopien von Datenträgern herstellen, gegebenenfalls mit Bescheid eine Verarbeitungstätigkeit einschränken bzw. untersagen oder die erwähnten Geldbußen gegen natürliche und juristische Personen verhängen. Nach den Umständen des Einzelfalles kann die DSB anstelle oder zusammen mit einer Geldbuße weitere Abhilfebefugnisse in Anspruch nehmen. Darunter fiele etwa die Verwarnung des Verantwortlichen oder eines Auftragsverarbeiters. Die Kriterien, nach denen eine Geldbuße zu bemessen ist, sind in Art. 83 DSGVO enthalten. Es ist wohl davon auszugehen, dass bei minderen Verstößen die DSB zunächst von ihren zusätzlichen Abhilfebefugnissen und nicht von der Verhängung einer Geldbuße Gebrauch machen wird.

Fazit

Die Vorbereitung auf das neue Datenschutzrecht ist von einigen Unsicherheiten in der Auslegung der datenschutzrechtlichen Bestimmungen begleitet. Es bleibt mit Spannung abzuwarten, wie die DSGVO und das DSG durch die Rechtsprechung und Lehre konkretisiert werden. Die aktuellen Erkenntnisse aus dem DSGVO-Projekt des ARZ werden weiterhin laufend zusammengetragen und über die Projekt-Datenbank der Buchungsgemeinschaft zur Verfügung gestellt.

Ing. Mag. Markus Kühn

1) So Riedl in Knyrim/Maurer, Der Datenschutz für die juristische Person bleibt bestehen, Dako 2017/48, 74 (75).
2) Siehe etwa den Verweis auf Abs 1b statt Abs 3 in Art 15 Abs 4 DSGVO; Frenzel in Paal/Pauly, Datenschutz-Grundverordnung (2017) Art 6 Rz 47; Art 35 Abs 2 iVm Art 39 Abs 1 lit c DSGVO.
3) Siehe etwa ErwG 39 DSGVO, Art 24, 32 DGSVO, § 11 DSG.