Press Release
Wolf Theiss Round-Up: Unternehmen sollten sich rechtzeitig auf die EU-Datenschutz-Grundverordnung vorbereiten
Hohe Geldstrafen
Die DSGVO bringt eine weitgehende Vereinheitlichung des bisher durch die nationalen Datenschutzgesetze der 28 Mitgliedstaaten geregelten Datenschutzrechts. Nicht nur deshalb stand die Veranstaltung aber unter dem Titel "Paradigmenwechsel im Datenschutzrecht": "Geldbußen von bis zu € 20 Millionen – statt bislang € 10.000-25.000 – oder 4% des weltweiten Jahresumsatzes bei Datenschutzverletzungen: das sind die drohenden Konsequenzen, die eine rechtzeitige Auseinandersetzung mit dieser Thematik erfordern", sieht Roland Marko, Partner Wolf Theiss, Praxisgruppe IP/IT, Handlungsbedarf bei der heimischen Unternehmerschaft. Betriebliche Organisation, Geschäftsprozesse und Verträge müssten bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 gesichtet und rechtzeitig an die neuen Rahmenbedingungen angepasst werden, erklärt Marko.
Wie Judith Leschanz, Leitung National Data Privacy, A1 Telekom Austria AG, betont, sei der Aufbau eines Datenschutzmanagmentsystems besonders wichtig
Datenschutz-Folgenabschätzung
Unternehmen müssen künftig eine Datenschutz-Folgenabschätzung erstellen, wenn sie z.B. neue Technologien einführen, die hohe Risiken für den Datenschutz natürlicher Personen zur Folge haben können. Bei einer Datenschutz-Folgenabschätzung sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet und geeignete technische und organisatorische Maßnahmen dagegen ergriffen werden.
Ernennung eines Datenschutzbeauftragten
Bis Mai 2018 sind jene Unternehmen verpflichtet, einen Datenschutzbeauftragten zu ernennen, deren "Kerntätigkeit" in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Beobachtung von Personen erforderlich machen (z.B. Unternehmen mit personalisierten Werbestrategien, Versicherungen, Auskunfteien, Detekteien) oder deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenhäuser, Labors, Beratungsstellen). Der Datenschutzbeauftragte muss über ein spezielles Fachwissen im Datenschutzrecht verfügen und kann entweder als Beschäftigter oder externer Dienstleister eingesetzt werden.
Dokumentations- statt Meldepflicht: größere Verantwortung für Unternehmen
"Die DSGVO wird Unternehmen stärker als bisher in die Eigenverantwortung nehmen. Statt der bisherigen Meldepflicht beim Datenverarbeitungsregister wird ab Mai 2018 auf interne Dokumentationspflichten gesetzt", erläutert Datenrechtsexperte Marko. Neben einem solchen "Verzeichnis der Verarbeitungstätigkeiten" muss Datenschutz künftig aber auch durch Technikgestaltung und Voreinstellungen gewährleistet werden. „Privacy by design" und "privacy by default“, d.h. datenschutzfreundliche Voreinstellungen, sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Die Veranstaltung stellte den Kick-off zu einer Reihe von Wolf Theiss-Vorträgen dar, die Unternehmen im kommenden Jahr auf ihrem Weg zur Umsetzung der DSGVO-Anforderungen begleiten. Es folgen hierzu noch Seminare zu den Themen "Der betriebliche Datenschutzbeauftragte", "Datenverarbeitung im Konzern", "Informationssicherheit und Haftung" und "Spezialfragen der Digitalisierung".
Download PDF
Die DSGVO bringt eine weitgehende Vereinheitlichung des bisher durch die nationalen Datenschutzgesetze der 28 Mitgliedstaaten geregelten Datenschutzrechts. Nicht nur deshalb stand die Veranstaltung aber unter dem Titel "Paradigmenwechsel im Datenschutzrecht": "Geldbußen von bis zu € 20 Millionen – statt bislang € 10.000-25.000 – oder 4% des weltweiten Jahresumsatzes bei Datenschutzverletzungen: das sind die drohenden Konsequenzen, die eine rechtzeitige Auseinandersetzung mit dieser Thematik erfordern", sieht Roland Marko, Partner Wolf Theiss, Praxisgruppe IP/IT, Handlungsbedarf bei der heimischen Unternehmerschaft. Betriebliche Organisation, Geschäftsprozesse und Verträge müssten bis zur Anwendbarkeit der DSGVO am 25. Mai 2018 gesichtet und rechtzeitig an die neuen Rahmenbedingungen angepasst werden, erklärt Marko.
Wie Judith Leschanz, Leitung National Data Privacy, A1 Telekom Austria AG, betont, sei der Aufbau eines Datenschutzmanagmentsystems besonders wichtig
Datenschutz-Folgenabschätzung
Unternehmen müssen künftig eine Datenschutz-Folgenabschätzung erstellen, wenn sie z.B. neue Technologien einführen, die hohe Risiken für den Datenschutz natürlicher Personen zur Folge haben können. Bei einer Datenschutz-Folgenabschätzung sollen insbesondere Eintrittswahrscheinlichkeit und Schwere des möglichen Risikos bewertet und geeignete technische und organisatorische Maßnahmen dagegen ergriffen werden.
Ernennung eines Datenschutzbeauftragten
Bis Mai 2018 sind jene Unternehmen verpflichtet, einen Datenschutzbeauftragten zu ernennen, deren "Kerntätigkeit" in der Durchführung von Verarbeitungsvorgängen besteht, die eine umfangreiche regelmäßige und systematische Beobachtung von Personen erforderlich machen (z.B. Unternehmen mit personalisierten Werbestrategien, Versicherungen, Auskunfteien, Detekteien) oder deren Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenhäuser, Labors, Beratungsstellen). Der Datenschutzbeauftragte muss über ein spezielles Fachwissen im Datenschutzrecht verfügen und kann entweder als Beschäftigter oder externer Dienstleister eingesetzt werden.
Dokumentations- statt Meldepflicht: größere Verantwortung für Unternehmen
"Die DSGVO wird Unternehmen stärker als bisher in die Eigenverantwortung nehmen. Statt der bisherigen Meldepflicht beim Datenverarbeitungsregister wird ab Mai 2018 auf interne Dokumentationspflichten gesetzt", erläutert Datenrechtsexperte Marko. Neben einem solchen "Verzeichnis der Verarbeitungstätigkeiten" muss Datenschutz künftig aber auch durch Technikgestaltung und Voreinstellungen gewährleistet werden. „Privacy by design" und "privacy by default“, d.h. datenschutzfreundliche Voreinstellungen, sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
Die Veranstaltung stellte den Kick-off zu einer Reihe von Wolf Theiss-Vorträgen dar, die Unternehmen im kommenden Jahr auf ihrem Weg zur Umsetzung der DSGVO-Anforderungen begleiten. Es folgen hierzu noch Seminare zu den Themen "Der betriebliche Datenschutzbeauftragte", "Datenverarbeitung im Konzern", "Informationssicherheit und Haftung" und "Spezialfragen der Digitalisierung".
Read the full text