Neues Datenschutzgesetz droht Unternehmen mit Millionenstrafen
Regierung macht nun Tempo bei Umsetzung der
EU-Datenschutz-Grundverordnung - Datenschutzbehörde wird
Strafbehörde
Das neue Datenschutzgesetz, das am 7. Juni im
Ministerrat beschlossen wurde, sieht empfindliche Strafen für
Unternehmen vor, die gegen die neuen Datenschutz-Bestimmungen
verstoßen. "Künftig wird ein Strafrahmen bis zu 20 Mio. Euro
bestehen oder 4 Prozent vom globalen Konzernumsatz, je nach dem, was
rechnerisch höher ist", sagt der auf Datenschutzfragen
spezialisierte Rechtsanwalt Rainer Knyrim.
Die geplanten gesetzlichen Änderungen gehen auf die vor etwas
mehr als einem Jahr beschlossene Datenschutz-Grundverordnung (DSGVO)
der EU zurück, die formal zwar gültig und direkt anwendbar ist, aber
deren Anwendung bis 25. Mai 2018 ausgesetzt wurde. "Man hat also den
Unternehmen netterweise zwei Jahre Zeit gegeben. Da ist ja Brüssel
sehr höflich, der österreichische Gesetzgeber setzt ja Gesetze zum
Teil auch rückwirkend in Kraft", sagte Knyrim.
Ursprünglich sei eine einheitliche europäische Verordnung geplant
gewesen, allerdings habe man sich auch nach vierjähriger Diskussion
auf europäischer Ebene nicht über alle Punkte einigen können, darum
habe man diese Punkte der nationalen Regelung überlassen. "Ein
solches Thema ist zum Beispiel der gesamte Bereich der
Arbeitnehmerdatenverarbeitung", erklärte Knyrim.
Völlig überraschend sei nur zwei Tage nach dem Rücktritt des
Vizekanzlers das "Datenschutz-Anpassungsgesetz 2018" als Entwurf des
Bundeskanzleramtes bis 23. Juni in Begutachtung gegangen und am 7.
Juni auch schon im Ministerrat beschlossen worden. "Es liegt bereits
im Parlament, obwohl im Bundeskanzleramt noch das
Begutachtungsverfahren läuft. Das ist ein höchst ungewöhnlicher
Vorgang, aber anscheinend will unsere Regierung jetzt doch beweisen,
dass sie irgendwas geschafft hat. Das ist aber gut, weil wir
brauchen dieses Gesetz dringend", so Knyrim.
"Es trifft wirklich jeden, der mit personenbezogenen Daten
arbeitet", unterstrich der Experte die Bedeutung der neuen
Datenschutzregeln. "Die Unternehmen beschäftigen sich mit diesem
Thema so intensiv wie in den letzten 20 Jahren nicht."
Zu beachten seien "einige wenige, sehr klare Grundprinzipien".
Das erste Prinzip sei, dass man immer eine Rechtsgrundlage brauche,
um Daten überhaupt verarbeiten zu dürfen. "Das Datenschutzgesetz ist
eigentlich ein Verbotsgesetz. Es ist grundsätzlich einmal alles
verboten, außer es liegt eine Ausnahme vor, dass ich etwas tun
darf." Darüber hinaus dürften nicht mehr Daten abgefragt werden als
wirklich notwendig, man müsse dafür sorgen, dass sie richtig und auf
aktuellem Stand seien, ihre Integrität und Vertraulichkeit
gewährleistet sei und sie auch nur so lange gespeichert werden, wie
sie tatsächlich benötigt werden.
Ein wichtiger Punkt sei auch die Zweckbindung der gesammelten
Daten, erklärte Knyrim und führte als Beispiel den aktuellen Fall
einer Tageszeitung an, die in den Geschäftsbedingungen für ein
Testabo von den Kunden deren Zustimmung eingeholt habe, ihre Daten
für Werbezwecke verwenden zu dürfen. Das habe die Datenschutzbehörde
am 22. Mai als unzulässig beanstandet.
"Das Unternehmen hat zwei Monate Zeit bekommen, die Empfehlung
der Datenschutzbehörde umzusetzen. Tut es das nicht, dann könnte die
Datenschutzbehörde, die derzeit noch nicht Strafbehörde ist, das
Unternehmen bei der zuständigen Bezirksverwaltungsbehörde anzeigen.
In Zukunft hat die Datenschutzbehörde selbst die Möglichkeit, 20
Mio. Euro Strafe zu verhängen."
Unter das europäische Datenschutzrecht fallen auch Unternehmen
aus Nicht-EU-Ländern, die auf dem europäischen Markt tätig sind.
"Das heißt, Google kann dann auch bestraft werden. Es ist dann die
Frage: Wie holt man sich das Geld?"
Grundsätzlich gelte die Verordnung auch für Behörden und im
öffentlichen Bereich. "Es gibt aber parallel zur Verordnung eine
Richtlinie für die ganzen Agenden in Polizei, Justiz usw. Diese
Richtlinie wird jetzt auch in österreichisches Recht umgesetzt."
Für den börsennotierten österreichischen Softwarehersteller
Fabasoft ist die Datenschutz-Grundverordnung eine Geschäftschance.
Fabasoft bietet eine Software an, die es den Unternehmen erleichtern
soll, die gesetzlichen Bestimmungen einzuhalten. Mit den gängigen
Programmen sei es schwierig, komplexe Berechtigungsstrukturen für
einzelne Datensätze zu erstellen. "Bei uns ist das von Grund auf so
aufgebaut, dass zu jedem Informationselement auch die entsprechenden
Geschäftsregeln und Verantwortlichkeiten definiert werden.
Cloud-Dienste wie Dropbox "kann man meiner Meinung nach als
Unternehmen nicht verwenden", meint Knyrim, weil deren
Datenschutzerklärungen "völlig nichtssagend und wischi-waschi sind".
Messenger-Dienste wie WhatsApp sind nach Ansicht von Knyrim
überhaupt "die neue Seuche" für die Unternehmen, weil viele ihre
Geschäfte per WhatsApp abwickeln und dann nicht dokumentieren
könnten.
(Schluss) ivn/gru
ISIN AT0000785407
WEB http://www.fabasoft.com/