Datenschutz für Unternehmen. Ricarda Kreindl,
Beachtung von Betroffenenrechten und die Vorgehensweise bei einem Datenschutzvorfall praxisnah beschreibt. Zudem werden die Vorgaben aufgezeigt, die speziell international tätige Unternehmen betreffen. Beispielsweise wird der richtige Umgang mit personenbezogenen Daten, die in Niederlassungen in verschiedenen Ländern verarbeitet werden oder die gesetzeskonforme Datenübermittlung an Unternehmen aus nicht EU-Ländern behandelt.
Datenschutz ist jedoch kein ausschließlich rechtliches Thema, sondern betrifft alle Unternehmensabläufe, in denen personenbezogene Daten verarbeitet werden, so auch die IT. Im Zuge der voranschreitenden Digitalisierung sind IT-Systeme dazu imstande, immer mehr Daten zu verhältnismäßig immer geringeren Kosten zu sammeln und zu verarbeiten. Somit bringt die DSGVO auch für IT-Systeme Vorgaben, welche durch technische und organisatorische Maßnahmen umgesetzt werden müssen, mit sich. Auch weniger verbreitete Konzepte wie Privacy-by-Design und Privacy-by-Default werden in diesem Buch beschrieben. Dabei handelt es sich um Grundsätze zur Etablierung einer datenschutzfreundlichen Softwareentwicklung und zur Umsetzung datenschutzkonformer Systemeinstellungen. Diese Konzepte sind insbesondere wichtig, da auch IT-Systeme auf dem aktuellen Stand der Technik in der Regel auf Datengewinnung und nicht auf das Entfernen von alten und nicht mehr benötigten Daten ausgerichtet sind. Das ist auch der Grund, warum Unternehmen kaum Daten löschen, solange sie nicht gesetzlich dazu verpflichtet sind. Vielmehr werden die gesammelten Daten als „Datenschatz“ wahrgenommen, da sie in vielen Fällen entsprechend verarbeitet für Marketingzwecke genutzt werden können. Dies steht im Widerspruch zur DSGVO und wird noch einige Unternehmen vor große Herausforderungen stellen, gerade bei der Umsetzung von Löschkonzepten. Datenschutz bedingt daher einen Paradigmenwechsel: weg von „wir sammeln alles für die Ewigkeit“ hin zu „wir nutzen aktuelle Daten nur, solange wir diese benötigen“.
Datenschutz ist kein Kurzzeitprojekt, sondern ein Prozess, der über längere Zeit in mehreren Schritten in einem Unternehmen eingeführt und nachhaltig gelebt werden muss. Das vorliegende Buch soll österreichischen Unternehmen helfen, diesen Prozess zu meistern und anhand von Beispielen Einblicke in die Praxis des gelebten Datenschutzes geben.
Besonders bedanken möchten wir uns bei Mag. Julia Schuster, LL.M. (NYU), Mag. Anna-Maria Minihold, LL.M., Mag. Lorenz Rattey und Lara Weissenberger, ohne deren Einsatz an ein Gelingen des Buches nicht zu denken gewesen wäre.
Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freuen wir uns unter [email protected].
Wien, Oktober 2020, Die Herausgeber
1 Begrifflichkeiten und Grundprinzipien der DSGVO
Sabine Brunner, Rafael Linus Nagel
1 Begrifflichkeiten und Grundprinzipien der DSGVO
1.1 Der Weg zur Datenschutz-Grundverordnung (DSGVO)
Der Datenschutz gilt als eine vergleichsweise junge Rechtsmaterie.[1] Das erste Datenschutzgesetz wurde im Jahr 1970 in Hessen (Deutschland) erlassen. In Österreich betrat man im Jahr 1978 mit dem Datenschutzgesetz ebenfalls legistisches Neuland. Angesichts der rasanten technischen Fortschritte war es nur noch eine Frage der Zeit, bis sich auch die EU dem Thema Datenschutz annehmen würde.
1.1.1 Europäische Datenschutzrichtlinie als Vorgängerbestimmung
Im Jahr 1995 erließen das Europäische Parlament und der Rat der Europäischen Union die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden „DS-RL“). Der Hintergedanke war schon damals eine umfassende Harmonisierung der Rechtslage zur Herstellung eines gleichwertigen Schutzniveaus in allen Mitgliedsstaaten (im Folgenden „MS“) der EU.
Mit der DS-RL konnte dieses Ziel jedoch nur bedingt erreicht werden: Dies war vor allem der unterschiedlichen Umsetzung der Richtlinie in den einzelnen MS und der uneinheitlichen Rechtsprechung der jeweiligen Aufsichtsbehörden geschuldet.[2]
In der unternehmerischen Praxis wurde der Datenschutz bis vor Kurzem eher stiefmütterlich behandelt, während die Verarbeitung von personenbezogenen Daten im Zuge der weltweiten Vernetzung sowie aufgrund technologischer Entwicklungen rasant zunahm. Mit dem Jahr 2016 sollte sich dies jedoch schlagartig ändern.
1.1.2 Die Geburtsstunde der DSGVO
Am 24. Mai 2016 trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) in Kraft. Diese Verordnung hob die bisher in Geltung stehende DS-RL auf und sollte erst ab 25. Mai 2018 zur Anwendung gelangen. Den Normadressaten wurde sohin eine zweijährige „Schonfrist“ zur Umsetzung der datenschutzrechtlichen Bestimmungen gewährt.
Die Grundprinzipien der DS-RL finden sich im Wesentlichen auch in der DSGVO wieder, den entscheidenden Unterschied macht jedoch die Wahl des Rechtsinstruments aus.[3] Die DSGVO ist als Verordnung in den MS unmittelbar anwendbar, auch wenn aufgrund ihrer sogenannten „Öffnungsklauseln“ noch ein gewisser Umsetzungsspielraum für die nationalen Gesetzgeber verbleibt. Dies führt im Ergebnis zu einer leider nicht gänzlichen, aber doch weitgehenden Vereinheitlichung des Datenschutzrechts innerhalb der EU.
1.1.3 Datenschutz neu – Ein Blick nach Österreich
In Österreich wurden die Öffnungsklauseln der DSGVO mit dem Datenschutz-Anpassungsgesetz 2018 und zwei weiteren DSG-Novellen im Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DSG) umgesetzt. Der österreichische Gesetzgeber machte allerdings – im Gegensatz zB zu Deutschland – von seinem Umsetzungsspielraum nur sehr eingeschränkt Gebrauch.[4]
1.2 Anwendungsbereich der DSGVO und des DSG
1.2.1 Sachlicher Anwendungsbereich der DSGVO
1.2.1.1Automatisierte und nichtautomatisierte Verarbeitung
Grundsätzlich gilt die DSGVO für die
1.ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie
2.nichtautomatisierte Verarbeitung personenbezogener Daten,
die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art 2 Abs 1 DSGVO).
Die DSGVO bietet keine klaren Anhaltspunkte darüber, was unter „automatisierter Verarbeitung“ zu verstehen ist. Eine solche wird jedoch anzunehmen sein, wenn automatisierte Mittel zur Datenverarbeitung verwendet werden. Unter dem Begriff „automatisierte Verarbeitung“ dürften daher „sämtliche heute gebräuchlichen rechnergestützten Verarbeitungen personenbezogener Daten zu verstehen sein“.[5] Von einer Definition wurde seitens des Gesetzgebers bewusst abgesehen, um auch zukünftige technologische Entwicklungen abzudecken. Der Begriff ist daher sehr weit auszulegen und umfasst zB auch die Videoüberwachung.[6] Werden einzelne Verarbeitungsschritte durch menschlich-manuelle Interaktion durchgeführt, zB wenn bei der Erhebung der Daten die Eingabe manuell durch eine Person erfolgt, liegt eine teilweise automatisierte Verarbeitung personenbezogener Daten vor.[7]
Nichtautomatisierte, d. h. rein manuelle Datenverarbeitungen sind nur dann vom Anwendungsbereich der DSGVO erfasst, wenn diese in einem Dateisystem gespeichert sind oder gespeichert werden sollen[8]. Unter einem Dateisystem ist „jede strukturierte Sammlung personenbezogener Daten [zu verstehen], die nach bestimmten Kriterien zugänglich ist, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geführt wird“ (Art 4 Z 6 DSGVO). Werden daher beispielsweise Akten oder Aktensammlungen sowie deren Deckblätter nicht nach bestimmten Kriterien geordnet, ist der Anwendungsbereich der DSGVO nicht gegeben (ErwGr 15 DSGVO). Als solche Kriterien