EU-Datenschutzgrundverordnung – Lessons Learned

EU-Datenschutzgrundverordnung – Lessons Learned

Was berichtet der Europäische Datenschutzausschuss[1] über die Umsetzung der DSGVO in der EU[2]?

206.326 Verfahren haben die nationalen Datenschutzbehörden in der EU seit dem Wirksamwerden der DSGVO am 25.5.2018 eingeleitet. Davon 94.622 Verfahren aufgrund von Beschwerden, 64.684 auf Basis von Meldungen von Datenschutz-Verletzungen.

Thema der bisherigen Entscheidungen sind Betroffenenrechte wie das Recht auf Löschen, die angemessene rechtliche Basis der Datenverarbeitung und Data Breach-Meldungen.

52 % der nationalen Fälle sind bereits entschieden. Nur 1 % der Entscheidungen wurde bei den Gerichten angefochten.

Cross-Border-Verfahren: Ein Abstimmungsverfahren zwischen den Datenschutzbehörden und dem EDSA soll für eine einheitliche Rechtsprechung in der EU sorgen. In 642 Cross-Border-Verfahren muss(te) zunächst die federführende Aufsichtsbehörde bestimmt werden. Von federführenden Datenschutzbehörden wurden bisher 45 sogenannte One-Stop-Shop-Entscheidungen gefällt.

Derzeit arbeitet der EDSA an näheren Regeln für Binding Corporate Rules, für das Zusammenspiel zwischen DSGVO und einer künftigen ePrivacy-Verordnung (regelt digitale Medien und elektronische Kommunikationsdienste) und an neuen EU-Standarddatenschutzklauseln gearbeitet.

Was in Österreich seit 25. Mai 2018 im Datenschutz (nicht) geschehen ist?

Das Datenschutzgesetz wurde bereits am 15.01.2019 wieder geändert (BGBl. I Nr. 14/2019). Auf Bundes- und Landesebene wurden einige hundert Gesetze und Verordnungen in allen Sparten angepasst.

Besonders wichtig für eine DSGVO-Umsetzung sind die Verordnungen über die Ausnahmen von der Datenschutz-Folgenabschätzung, BGBl. II Nr. 108/2018, und über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, BGBl. II Nr. 278/2018.

Immer wieder werden Fake-News verbreitet wie „Keine Strafen in Österreich!“ oder „99,9% der Firmen haben die DSGVO bereits ausreichend umgesetzt“.[3]

28 Mitarbeiter hatte die Datenschutzbehörde im März 2018. Weitere 16 Mitarbeiter sollen erforderlich sein.[4]

Die Datenschutzbehörden und Gerichte werden in den nächsten Jahren noch viele strittige Rechtsfragen zu klären haben, etwa zum Löschen.

Beispiel: Löschen von Daten – Entscheidungen der Datenschutzbehörden seit 25. Mai 2018

Einige Fragen – teils noch nicht rechtskräftig – hat die Datenschutzbehörde bereits entschieden:

  • Bewerberdaten, also Daten abgelehnter Bewerber dürfen 7 Monate lang gespeichert werden – sofern ein Risiko einer Anfechtung wegen Ungleichbehandlung ausreichend dargelegt wird.
  • Auch für Protokolldaten müssen angemessene Löschfristen implementiert werden.
  • Eine sonst grundsätzlich zulässige Datenverarbeitung war zu löschen, weil der Verantwortliche die Betroffenen über diese Verarbeitung nicht angemessen informiert hatte (s. Art 13 + 14 DSGVO)! Mehr dazu unter https://www.frank-law.at/news/

Bisherige Bußgeldbescheide der Datenschutzbehörde

50 Mio € Bußgeld gegen Google hat die französische CNIL verhängt. Google hat Berufung angekündigt.

Die Österreichische Datenschutzbehörde hat seit 25.5.2018 gesamt 59 neue Verwaltungs-Strafverfahren eingeleitet. Diese Verfahren betreffen rechtswidrige Videoüberwachungen (§ 12f DSG), nicht ausreichende Sicherheit der Verarbeitung (Art 32 DSGVO), unzureichende Informationen an Betroffene (Art 13f DSGVO) und verspätete Meldungen von Datenschutzverletzungen (Art 33 DSGVO). Die geringe Zahl von bisher 5 Bußgeldbescheiden in Österreich ist nicht verwunderlich. Die DSGVO ist erst seit 9 Monaten wirksam und ein möglicher strafbarer Sachverhalt wird üblich erst vorab, z.B. in einem Beschwerdeverfahren, welches selbst viele Monate dauern kann, geklärt. Die aufgetragenen Bußgelder waren – im Vergleich zum hohen Strafrahmen – geringfügig, die höchste € 4.800.-. Diese niedrigen Strafen wurden allerdings – soweit ersichtlich – gegen kleine Organisationen verhängt. Die Bußgelder sollen ja gemäß DSGVO nicht nur abschreckend sein, sie müssen auch angemessen sein.

Ist die wirtschaftlich vertretbare Umsetzung der DSGVO für KMUs und EPUs möglich?

Datenschutz erfordert rechtliches, organisatorisches und technisches Datenschutz-Know-How. Diese Kombination ist in KMUs selten intern vorhanden und müsste daher oft (kostspielig) zugekauft werden, um eine angemessene Umsetzung der DSGVO-Pflichten zu erreichen.

Zusätzlich hat die DSGVO Verantwortlichen und Auftragsverarbeitern sehr umfangreiche Dokumentationspflichten auferlegt (Art 5 Abs 2 DSGVO) – weit mehr als „nur“ die Erstellung eines Verzeichnisses der Verarbeitungstätigkeiten. Diese Dokumentationen verursachen sehr hohen Arbeitsaufwand und können ohne obiges spezielles Know-How nicht ordentlich erledigt werden. Das erhöht die Kosten und den Arbeitsaufwand zur Umsetzung der DSGVO so, dass dieser nicht selten als unzumutbar empfunden wird.

Andererseits sind die Verarbeitungstätigkeiten in KMUs, welche in derselben Branche tätig sind, sehr oft zumindest sehr ähnlich. Daher kann eine fertige DSGVO-Dokumentation für ein Musterunternehmen aus einer Branche von vielen KMUs aus dieser Branche herangezogen und jeweils an ihre spezifischen Umstände der Datenverarbeitung angepasst werden. Damit ist die DSGVO noch nicht endgültig umgesetzt, denn die DSGVO verlangt einen kontinuierlichen Verbesserungs-Prozess. Aber der oft dramatisch hohe Anfangs-Aufwand für eine angemessene DSGVO-Umsetzung im KMU wird durch eine solche fertige Branchen-Lösungen um ein Vielfaches verringert und stellt eine gute Ausgangsbasis für künftigen Datenschutz und Compliance im KMU dar.

Solche Branchen-Lösungen liefert DatDOK – siehe unter https://www.frank-law.at/news/.

RA Dr Markus Frank

[1] EDSA besteht aus Vertretern der nationalen Datenschutzbehörden und dem Europäischen Datenschutzbeauftragten (EDSB).

[2] http://www.europarl.europa.eu/meetdocs/2014_2019/plmrep/COMMITTEES/LIBE/DV/2019/02-25/9_EDPB_report_EN.pdf

[3] https://derstandard.at/2000099395386/Fuenf-Strafen-in-Oesterreich-seit-Einfuehrung-der-DSGVO

[4] https://www.trend.at/branchen/digital/datenschutz-geldbussen-9251275

15.03.2019