Was kommt auf die Digitalbranche mit der EU Datenschutzverordnung zu? Diese Frage diskutierten Datenschutz- und Rechtsexperten vor Kurzem an der Wirtschaftsuniversität Wien. Die Veranstaltung erfolgte auf Einladung des internet advertising bureau austria (iab austria).
„Wer im Mai 2018 nicht compliant ist, muss mit empfindlichen Strafen rechnen”, begrüßt iab austria-GF Lilian Meyer-Janzek die Gäste.
Auf wichtige Aspekte, die bis zum Stichtag am 25. Mai 2018 erledigt sein müssen, wies Datenschutzexperte Dietmar Jahnel von der Universität Salzburg hin. „Die Verordnung hat den gleichen juristischen Rang wie ein österreichisches Bundesgesetz”, stellt Jahnel klar. Er spricht von einer „hinkenden Verordnung”, da sie keinen vollständigen einheitlichen Standard im gesamten Gebiet der EU schafft. Beispielsweise kann das Einwilligungsalter auf nationaler Ebene definiert werden; ergänzend wird es ein österreichisches Datenschutzgesetz (DSG 2018) geben.
Art der Verstöße
Nach derzeit geltender Rechtslage in Österreich können Verwaltungsstrafen von bis zu maximal 25.000 € ausgesprochen werden. Ab Mai 2018 hingegen können Geldbußen bis zu 20 Mio. € oder vier Prozent des weltweiten Umsatzes ausmachen. „Leichte Sanktionen” mit bis zu zehn Mio. € Geldbuße können bei Einwilligung durch Kinder oder Verletzung administrativer Pflichten fällig werden. Als „schwere Verstöße” mit einer bis zu doppelt so hohen Geldbuße gelten Verletzungen der Betroffenenrechte, Datenübermittlung in ein Drittland oder Zuwiderhandlung gegen Anweisungen der zuständigen Aufsichtsbehörde.
In Österreich strebt die Verwaltung eine Kooperation zwischen Unternehmen und Datenschutzbehörde an und wird dafür Abhilfebefugnisse wie Warnung, Verwarnung und Anweisung zur Anwendung bringen. Unternehmen haben zudem die Möglichkeit, Verhaltensregeln im Vorfeld genehmigen zu lassen. Außerdem besteht die Möglichkeit der Zertifizierung, die gleichsam ein Strafmilderungsgrund bei Verstößen ist.
Verschlüsselung …
Die Pseudonymisierung wird ab 25. Mai 2018 indirekt personenbezogene Daten ersetzen; dadurch kann der Anbieter selbst keinen Rückschluss mehr auf die natürliche Person ziehen. Gründe für die Privilegierung können die Datenminimierung oder eine Datenschutzmaßnahme sein.
… oder Pseudonymisierung?
Personenbezogene Daten beziehen sich auf eine identifizierte oder identifizierbare natürliche Person. Dazu zählt eine Kennzahl, wie sie beispielsweise bei IP-Adressen oder Cookies vorkommt. Nach einem aktuellen Urteil des EuGH sind dynamische IP-Adressen dann personenbezogen, wenn die Möglichkeit nach dem nationalen Recht besteht, diese über Zusatzinformationen beim Internetzugangsanbieter einer bestimmten Person zuzuordnen.
Für die Datenverarbeitung haben Verantwortliche eine aktive Informationspflicht, die schon besteht und weitgehend ignoriert wird. Präzise, transparent und verständlich muss über den Zweck der Verarbeitung, die Dauer der Verarbeitung und die Kontaktdaten des Verantwortlichen informiert werden. Bei Direktwerbung herrscht ein sofortiges Widerrufsrecht. Alle Datenverarbeiter sind von der Verzeichnispflicht betroffen, in der Fristen für die Löschung von verschiedenen Datenkategorien angeführt werden müssen.
„Nie dagewesener Überblick”
IT-Anwalt Michael M. Pachinger (SCWP Schindhelm) fasst die EU-DSGVO mit „mehr Schutz, mehr Rechte, mehr Pflichten” zusammen. Durch die Pflicht erhalten Unternehmen einen noch nie dagewesenen Überblick über ihre gesammelten Daten. Die neue Transparenz schafft Vertrauensbildung und einen monetären Mehrwert für Unternehmen.
Die Interessenabwägung interpretiert er als zentralen Erlaubnisbestand, da Direktwerbung ein starkes Gewicht in der Verordnung hat. Er rät dazu, bereits jetzt in den Prozessen die Löschung und Datenminimierung zu berücksichtigen. Die Einhaltung der Vorgaben muss aktiv nachgewiesen werden („Accountability”). Die technischen und organisatorischen Grundsätze zur Einhaltung werden durch den Stand der Technik und die Implementierungskosten, durch den Zweck der Verarbeitung sowie die Eintrittswahrscheinlichkeit und Schwere der Risiken sowie Art des Umfangs, der Umstände und des Zwecks der Verarbeitung eingeschränkt.
Trotz aller Maßnahmen im Vorfeld kann jedoch die Aufsichtsbehörde zur nachträglichen Information verpflichten.„Wir brauchen eine ganzheitliche Datenschutzkultur und eine strategische Integration in alle Geschäftsprozesse. Jetzt ist der Moment für die ‚Daten Due Diligence!’”, so Pachinger.
Alles anders mit „ePrivacy”?
Jurist Michael Neuber, der beim Deutschen Bundesverband Digitale Wirtschaft den Bereich Recht und Regulierung leitet, unterstützt die Forderung nach einem digitalen Binnenmarkt. Die EU verspricht sich durch den digitalen Binnenmarkt einen Wertschöpfungszuwachs von 643 Mrd. € bis zum Jahr 2020. Die aktuell vorgestellten Regulierungsansätze der EU-Kommission hält er allerdings kaum für geeignet, dieses ambitionierte Ziel zu erreichen. „Das Recht des Betroffenen auf Datenschutz auf der einen und die grundrechtlich geschützte Betätigungsfreiheit der Unternehmen auf der anderen Seite müssen ausbalanciert und Letzteres nicht komplett eingeschränkt werden”, so Neuber.
Restriktive ePrivacy-Regeln
Die ePrivacy-Richtlinie ist ein wesentlicher Baustein der neuen Bedingungen für innovative Dienste der EU; sie befindet sich derzeit in der Entwurfsphase.
Nach dem Willen der EU-Kommission soll sie ohne Übergangsfrist zeitgleich mit der EU-Datenschutz-Grundverordnung am 25. Mai 2018 in Kraft treten.„Die ePrivacy-Verordnung wird kommen und sehr restriktiv sein”, so Neuber über die neuen Regeln. (red)
Lesen Sie dazu auch den Bericht auf Seite 76.
