Die Datenschutz Grundverordnung (DSGVO Österreich) hat am 25mai2018 ihren ersten Geburtstag gefeiert. Ja, so schnell vergeht die Zeit. Im ersten „Lebensjahr“ hat im Datenschutzgesetz bzw dessen Umsetzung schon viel getan. Wir ziehen ein erstes Resümee.
Es ist davon auszugehen, dass die Datenschutzbehörden und die Datenschützer im kommenden zweiten „Lebensjahr“ noch weit aktiver werden. Nachstehend finden Sie eine Übersicht über die wichtigsten Highlights und Erkenntnisse aus 1 Jahr DSGVO in Österreich:
Sensibilität für Datenschutz stark angestiegen, Tendenz weiterhin steigend
Wenngleich die Panik rund um den 25mai2018 sich etwas gelegt hat, ist die Sensibilität für den Datenschutz geblieben und steigt auch weiter an. Datenschutz wird mehr als vor Geltungsbeginn der DSGVO in der Lieferantenauswahl, in Gerichtsprozessen, im Rahmen von Kündigungen und Absagen, aber auch im Kundenverkehr als „Geheimwaffe“ verwendet und zum Teil auch missbraucht.
EU Datenschutz Grundverordnung: Die Anzahl an Beschwerden ist in den meisten EU-Ländern im letzten Jahr stark gestiegen. Im ersten Jahr sind rund 145.000 Beschwerden bei den Datenschutzbehörden der EU-Länder eingegangen.
Die Sensibilität für Datenschutz hatte zuweilen auch höchst seltsame Blüten: Erinnern Sie sich an die „Wiener Klingelschild-Posse“? Dass die Türschilder von Mietern am Hauseingang nicht aus Gründen der DSGVO entfernt werden müssen, ist zwischenzeitig geklärt. Selbiges gilt für Namen auf Grabsteinen.
Unsere deutschen Nachbarn beispielsweise schwärzen Gesichter in den liebevoll gestalteten Erinnerungsfotoalben in einem Kindergarten. Nur das jeweilige Kind, für welches das Album als Geschenk vorgesehen war, blieb ungeschwärzt. Wenngleich Datenschutz im Zusammenhang mit Foto- und Videoaufnahmen sehr ernst genommen werden muss, könnten manche Maßnahmen aber doch als überschießend eingestuft werden.
Österreichische Datenschutzbehörde aktiv, Tendenz weiterhin steigend
Nach Informationen der österreichischen Datenschutzbehörde gab es seit Geltungsbeginn der DSGVO 1.619 Beschwerden, 551 Meldungen über Datenschutzverletzungen, 129 amtswegige Prüfverfahren und 134 Verwaltungsstrafverfahren.
Davon, dass nichts passiert ist, kann also keine Rede sein. Laut bisher veröffentlichten österreichischen Entscheidungen sind die von der österreichischen Datenschutzbehörde bisher verhängten Strafen mit bisher maximal EUR 4.800,– vergleichsweise gering. Bedenkt man aber, dass diese Strafe über einen kleinen Unternehmer wegen nicht ausreichend gekennzeichneter und nicht korrekt durchgeführter Videoüberwachung verhängt wurde, ist die Strafhöhe keineswegs zu vernachlässigen.
EU Datenschutz Grundverordnung: Der Mythos, dass keine Strafen verhängt werden, ist EU-weit längst passé
Auch die Datenschutzbehörden anderer EU-Länder sind aktiv:
Beispielsweise wurde im Jänner 2019 in Frankreich auf Basis der DSGVO die bisher höchste Strafe für datenschutzrechtliche Verstöße in der Höhe von EUR 50 Millionen verhängt. Bei diesem Verfahren wurde die Strafe wegen Verletzung der Informationspflicht verhängt, insbesondere wegen intransparenter Information über die Datenverarbeitung, und wegen ungültiger Einwilligung.
In Deutschland wurden Strafen in der Höhe von EUR 20.000,– verhängt, weil Passwörter von Nutzern unverschlüsselt gespeichert wurden.
In Portugal fasste ein Krankenhaus eine Strafe in der Höhe von EUR 400.000 wegen einer Datenverarbeitung aus, bei welchem zu viele Personen Zugriff auf Patientendaten hatten.
Hinweis: Diese Entscheidungen sind nicht rechtskräftig, zeigen aber klar, dass die Behörden nicht vor dem Verhängen massiver Strafen zurückschrecken.
Immer noch viele Detailfragen im Datenschutzgesetz ungeklärt
Für Unternehmen, die sich DSGVO-konform verhalten wollen, besteht in vielen Bereichen immer noch hohe Rechtsunsicherheit. Nach und nach kommen Entscheidungen der Datenschutzbehörde. Es wird jedoch noch eine Zeit dauern, bis ausreichend Rechtsprechung vorhanden ist, um zu offenen Fragen klare Antworten geben zu können.
Die DSGVO enthält zahlreiche auslegungsbedürftige Bestimmungen. Dies bietet einerseits Raum für Argumentation, andererseits müssen Unternehmen damit leben, dass sie zwischen zwei Optionen für eine Umsetzung einer Maßnahme wählen, ohne zu wissen, welche die richtige ist bzw. ob überhaupt eine davon die richtige ist.
Diese Unsicherheiten sind aber keineswegs als Freibrief zu verstehen, gar nichts zu machen, bis die Rechtsprechung Leitlinien vorgibt. Im Gegenteil: Es gilt, im Sinne eines risikobasierten Ansatzes Lösungen zu erarbeiten und Maßnahmen umzusetzen, um den Vorgaben der DSGVO bestmöglich zu entsprechen.
Dabei spielt auch Dokumentation eine wichtige Rolle – Dokumentieren Sie daher, warum Sie welche Maßnahme treffen. Die sogenannte Rechenschaftspflicht ist in der DSGVO eine zentrale Bestimmung. Demnach müssen Unternehmen gegenüber den Behörden Rechenschaft abgeben können, welche Maßnahmen sie getroffen haben und inwieweit diese DSGVO-konform sind.
1 Jahr nach der DSGVO-Novelle: Unternehmen müssen die Datenschutz Grundverordnung weiterhin ernst nehmen!
Die Neuerungen per 25mai2018 führten zu einem Paradigmenwechsel im Datenschutzrecht. Wie sieht es 1 Jahr danach in der Praxis aus?
Seit 25mai218 wird im Vergleich zur vormaligen Rechtslage vermehrt Selbstverantwortung von Unternehmen gefordert. Zu bereits bestehenden Verpflichtungen aus dem alten Datenschutzrecht kommen unter dem Regime der DSGVO eine Vielzahl von Verpflichtungen hinzu (z.B. Verfahrensverzeichnis, Überarbeitung der Verträge, Abschluss von Auftragsverarbeitervereinbarungen, Erstellung der Informationspflichten, unter Umständen Bestellung eines Datenschutzbeauftragten, unter Umständen Erstellung von Datenschutz-Folgenabschätzungen, Umgang mit Betroffenenrechte und Data-Breach-Management und vieles mehr).
Berichten zufolge haben bisher lediglich zwischen 10% und 30% der Unternehmen die DSGVO umgesetzt. Sofern diese Zahlen stimmen, sind diese höchst beunruhigend. Angesichts der immensen Strafdrohungen, der zunehmenden Aktivität der Datenschutzbehörden, der hohen Anzahl an Beschwerden und des Wettbewerbsfaktors sollten Unternehmen möglichst rasch nachziehen und in DSGVO-Compliance investieren.
DSGVO wird auch zunehmend ein Wettbewerbsthema. Neben vielen anderen Faktoren wird bei Ausschreibungen und bei der Auswahl von Lieferanten und Vertragspartnern zu Recht auch verstärkt abgefragt, welche DSGVO-Compliance-Maßnahmen das Unternehmen getroffen hat und wie „fit“ es im Datenschutz ist. Auch aus diesem Grund ist es wichtig, DSGVO-Compliance ernst zu nehmen.
Dazu kommt, dass im zweiten DSGVO-Jahr mit verstärkten Kontrollen und einem noch strengeren Vorgehen der Datenschutzbehörde gerechnet werden muss. Der Vorbereitung auf den Ernstfall sollte daher ausreichende Priorität eingeräumt werden. Dabei stehen an oberster Stelle die Schulung von Mitarbeitern und das Üben für den Ernstfall. Die von der DSGVO vorgeschriebenen Dokumentationen wie insbesondere das Verfahrensverzeichnis und Datenschutz-Folgenabschätzungen müssen vollständig und am letzten Stand sein.
In diesem Sinne: DSGVO-Compliance ist wichtig. Die DSGVO feierte nach einem ereignisreichen Jahr ihren ersten Geburtstag, nicht aber ihren letzten.
Kommentare (DSGVO Österreich, Verfahrensverzeichnis, EU Datenschutz Grundverordnung, Datenschutzgesetz, Datenschutzbehörde)
Wir freuen uns über Ihre Kommentare zur Umsetzung der DSGVO Österreich, sofern sie auch für andere Leser interessant sind (Erfahrungen, Meinungen, zusätzliche Informationen, etc.)
Wir bitten um Verständnis, dass wir hier KEINE Rechtsberatung geben, das ist keineswegs der Sinn des Kommentar-Feldes. Für Rechtsberatungen steht Ihnen unsere Arbeitsrechts-Autorin Dr. Anna Mertinz übrigens gerne kostenpflichtig zur Verfügung: Anna.Mertinz@KWR.at. www.kwr.at
DSGVO | 1 Jahr Datenschutz Grundverordnung – Was hat sich in Österreich getan?