Die DSGVO und das neue österreichische Datenschutzgesetz sind nun seit bald vier Monaten anwendbar. Dennoch ranken sich noch immer einige weit verbreitete Mythen um das neue Datenschutzregime, die zunehmend zu Verwirrung führen können. Diese Missverständnisse stehen der Datenschutzcompliance häufig im Weg. Die DORDA Datenschutzexperten bringen mehr Klarheit:
MYTHOS 1: DATENSCHUTZ WAR EIN HYPE; DER SICH WIEDER LEGEN WIRD.
Nein! Die DSGVO ist gekommen, um zu bleiben. Die europaweit einheitlichen Regelungen sind der Beginn einer neuen Ära. Die sehr weitgehende Verordnung stärkt bewusst die Betroffenen und gibt ihnen umfassende Rechte. Das wird so schnell nicht aufgeweicht oder geändert. Im Gegenteil: Die Entwicklung im E-Commerce und Konsumentenschutzrecht, bei dem es auch um den Schutz der wirtschaftlich schwächeren Marktgegenseite geht, zeigt, dass die Tendenz klar in Richtung weitere Regulierung und Stärkung der Rechte geht. Dazu kommt, dass jetzt noch einige Bestimmungen der DSGVO mit dem Wissen und Blick der jahrelangen nationalen Praxis ausgelegt und gelebt werden. Hier wird sich mittelfristig eine europaweite Annäherung und Vereinheitlichung ergeben, was teilweise zu Erleichterungen, aber auch zum Verlust von gelebten österreichischen Besonderheiten und Wohlfühloasen führen kann. Entsprechend dieser Entwicklungen sowie der ersten Praxiserkenntnisse ist auch die interne Dokumentation – die Verarbeitungsverzeichnisse und Folgenabschätzungen – laufend anzupassen und zu ergänzen.
Auch die neue Behördenpraxis zeigt, dass die Bestimmungen in der Realität angekommen und ernsthaft vollzogen werden. Zahlreiche amtswegige, aber auch aufgrund von Beschwerden von Betroffenen oder auch dem Wettbewerb eingeleitete Verfahren zeichnen ein eindeutiges Bild. Dazu kommen zahlreiche Auskunfts-, Widerspruchs- und Löschungsbegehren von Betroffenen, die Unternehmen sowohl inhaltlich, aber auch in der Masse vor neue Herausforderungen stellen. Auch hier zeigt sich ein weites Spektrum von berechtigten bis hin zu querulatorischen Begehren. Für Unternehmen gilt es hier möglichst rasch eine Balance und Routine zu finden, da Eskalationen und Fehler beim Umgang mit Betroffenenbegehren ebenso eine Quelle für entsprechende Behördenverfahren sind.
Schließlich sind die Unternehmen in der Praxis auch mit zahlreichen Meldepflichten wegen Datenschutzverstößen konfrontiert. Durch die strengeren Bestimmungen und die größere Sensibilität für das Thema zeigt sich, dass gerade dieser Bereich sehr sensibel und aufwändig ist. So kommt es ab einer gewissen Unternehmensgröße aufgrund unterschiedlicher Fehlerquellen regelmäßig zu Datenpannen mit unterschiedlicher Auswirkung. Hier ist jeweils im Einzelfall der Sachverhalt zu erheben und zu entscheiden, ob eine Meldung erfolgen muss. Das alles im kurzem 72 stündigen Zeitrahmen, den die DSGVO vorgibt.
In unserem nächsten Clarity Talk am 11.10.2018 werden wir das Thema Behördenverfahren aufgreifen und die wichtigsten Auslöser dafür sowie die ersten Erfahrungen teilen.
Kurz zusammengefasst: Auch wenn mittlerweile viele Unternehmen das Basis-Set für die Datenschutzcompliance umgesetzt haben, stehen noch viele Herausforderungen vor der Türe. Das Thema DSGVO ist also keineswegs abgeschlossen und wird sich nicht von selbst erledigen, sondern muss die nun geschaffene Ausgangsbasis in den Unternehmen den Praxistest bestehen und auf die tatsächlichen und sich zukünftig ändernden Begebenheiten angepasst werden.
MYTHOS 2: DIE DSGVO BETRIFFT MICH NICHT BZW MIR WIRD SCHON NICHTS PASSIEREN.
Nein! Die DSGVO ist auf alle Unternehmen anwendbar, die in irgendeiner Art und Weise personenbezogene Daten verarbeiten. Unter Verarbeiten versteht man dabei jeden möglichen Umgang mit Daten. Dazu zählt etwa das Zugreifen, Erheben, Speichern, Verändern, Auslesen und Abfragen von Daten. Auch der Begriff der personenbezogenen Daten wird sehr weit ausgelegt und umfasst alle Informationen, die sich auf eine zumindest identifizierbare natürliche Person beziehen (zB Name, E-Mail-Adresse, Geburtsdatum, Anschrift, IP Adresse, Interessen und Vorlieben, ...).
Die Unternehmensgröße oder Mitarbeiterzahl spielt für die Anwendbarkeit der DSGVO ebenso keine Rolle, wie der Unternehmensgegenstand. Die neuen Pflichten gelten daher nicht nur für Großkonzerne, Banken und Versicherungen, sondern genauso für Einzelunternehmer, Start-Ups als auch für KMUs und Vereine.
Auch zum Thema der Strafen haben sich viele Mythen eingeschlichen. Die erste Hysterie der drohenden Millionenstrafe ist einer gewissen Belanglosigkeit, da in jedem Fall zuerst abgemahnt werden muss, gewichen. Keiner der beiden Extrempositionen ist jedoch richtig: Die Datenschutzbehörde hat bei der Verhängung von Geldbußen die Verhältnismäßigkeit zu wahren. Insbesondere hat sie bei erstmaligen Verstößen im Einklang mit der DSGVO von ihren Abhilfebefugnissen insbesondere durch Verwarnen Gebrauch zu machen (§ 11 DSG). Dieses Prinzip "Verwarnen vor Strafen" entspricht dem Telos der DSGVO und dem österreichischen Verwaltungsstrafprinzip, wonach insbesondere bei Ersttätern unter Beachtung der Umstände des Einzelfalles auch eine bloße Ermahnung in Betracht zu ziehen ist. Ernste und schwerwiegende Verstöße können und werden aber sofort bestraft werden. Das betrifft insbesondere Fälle, in denen ein Unternehmen aus dem Irrglauben, der DSGVO nicht zu unterliegen oder nicht im Fokus zu stehen, keinerlei DSGVO Compliancemaßnahmen gesetzt hat. In der Praxis wird das oft dann offensichtlich, wenn Auskunftsbegehren von Betroffenen nicht oder nicht richtig beantwortet werden, Meldungen bei Datenschutzverletzungen nicht erstattet, aber der Vorfall bekannt wird oder weil das Unternehmen in seinem Außenauftritt klar erkennbar Preis gibt, sich keine Gedanken zu dem Thema gemacht zu haben. Somit ist weder die oft übertriebene Hysterie vor übermäßigen Strafen angebracht, noch die teilweise medial verbreitete Verharmlosung. Rein faktisch wird es Strafen geben (müssen) und sich diese aufgrund der gemeinschaftsrechtlichen Grundlage europaweit einpendeln und vereinheitlichen, was für Österreich wohl eine Erhöhung mit sich bringen wird. Am Ende des Tages werden sich derzeit vielleicht noch bestehende unterschiedliche Usancen der Strafverhängung und -höhe daher ausgleichen.
MYTHOS 3: JEDE DATENVERARBEITUNG ERFORDERT DIE VORHERIGE EINWILLIGUNG DES BETROFFENEN.
Nein! Die Einwilligung des Betroffenen ist nur eine von mehreren Rechtsgrundlagen, um die Verarbeitung personenbezogener Daten zu rechtfertigen. In der Regel gibt es für die Verarbeitung nicht-sensibler Daten folgende vier alternative Rechtfertigungsgründe:
- Gesetzliche Verpflichtung, dh die Datenverarbeitung ist gesetzlich vorgeschrieben; oder
- Vertragserfüllung, dh die Datenverarbeitung ist zur Erfüllung des Vertrages mit dem Betroffenen erforderlich; oder
- Berechtigte Interessen, dh die Datenverarbeitung ist zur Wahrung berechtigter Interessen des Verantwortlichen erforderlich (Interessenabwägung im Einzelfall); oder
- Einwilligung, dh der Betroffene hat seine freiwillige, informierte und jederzeit widerrufliche Einwilligung zur Verarbeitung der ihn betreffenden Daten abgegeben (insbesondere bei der Verarbeitung von Daten zu elektronischen Marketingzwecken wie Newsletterversand relevant).
Nur wenn die ersten drei Zulässigkeitsvoraussetzungen nicht vorliegen, muss eine Einwilligungserklärung eingeholt werden. Da die Einwilligung freiwillig erteilt werden muss und jederzeit widerrufbar ist, ist es sehr kritisch, Datenverarbeitungen pauschal darauf zu stützen. Schließlich muss die Verarbeitung im Fall eines Widerrufs gestoppt und die Daten gelöscht werden. Es darf diesfalls nämlich auch keine andere Rechtsgrundlage "aus dem Hut gezaubert" werden – das wäre intransparent und ist daher unzulässig.
Jedes Unternehmen muss somit vorab die Zulässigkeit der Datenverarbeitungen prüfen, die korrekte Rechtsgrundlage identifizieren und diese Überlegungen im zwingend zu führenden Verzeichnis der Verarbeitungstätigkeiten dokumentieren.
MYTHOS 4: JEDEM VERTRAG MUSS EINE DATENSCHUTZERKLÄRUNG ANGESCHLOSSEN WERDEN.
Nein! Mit Datenschutzerklärungen werden üblicherweise die umfangreichen Informationspflichten nach Art 13 und 14 DSGVO erfüllt. Diese Informationen, die bei Erhebung der Daten zu erteilen sind, müssen allerdings nicht vertraglich vereinbart, sondern lediglich dem Betroffenen im Zeitpunkt der Erhebung der Daten zur Verfügung gestellt werden. Datenschutzerklärungen dienen daher bloßen Informationszwecken, werden aber nicht Vertragsinhalt und müssen auch nicht unterschrieben oder über eine Checkbox bestätigt werden.
Außerdem greifen die Informationspflichten dann nicht, wenn die betroffene Person bereits über die Informationen verfügt oder die Informationserteilung unmöglich wäre bzw einen unverhältnismäßigen Aufwand erfordern würde. Auch aus diesem Grund muss nicht jedem Vertrag zwingend eine Datenschutzerklärung angeschlossen werden und löst auch nicht jede Datenverarbeitung zwingend eine Information aus.
In der Praxis macht es allerdings Sinn, Datenschutzerklärungen für bestimmte standardisierte Geschäftsbereiche zu erstellen (zB eine Erklärung für Kunden, eine für Mitarbeiter und eine für Lieferanten) und an passender Stelle auf diese Dokumente zu verweisen (zB im Angebot an Kunden bzw Lieferanten und im Intranet für Mitarbeiter).
MYTHOS 5: MIT ALLEN GESCHÄFTSPARTNERN MUSS EINE AUFTRAGSVERARBEITERVEREINBARUNG ABGESCHLOSSEN WERDEN.
Nein! Eine Auftragsverarbeitungsvereinbarung nach Art 28 DSGVO muss nur bei der Weitergabe personenbezogener Daten an einen Auftragsverarbeiter abgeschlossen werden.
Die Abgrenzung zwischen den datenschutzrechtlichen Rollen des Verantwortlichen und des Auftragsverarbeiters ist in der Praxis allerdings häufig schwierig. Schließlich definiert die DSGVO beide Positionen nur sehr generisch: Demnach ist Verantwortlicher, wer "über die Zwecke und Mittel der Verarbeitung entscheidet". Auftragsverarbeiter ist, wer personenbezogene Daten "im Auftrag" und auf Weisung des Verantwortlichen verarbeitet. Wesentliches Abgrenzungsmerkmal ist daher die faktische Entscheidungsbefugnis. Es kommt darauf an, wer bestimmen und entscheiden kann, welche Daten zu welchen Zwecken verwendet werden.
Auftragsverarbeiter sind daher etwa IT Service Provider; Anbieter von Cloud Lösungen; Softwarehersteller, die zu Wartungszwecken Zugriff auf die mit dem Tool verarbeiteten Daten haben; externe Lohnverrechnung und externe Buchhaltung. Mit diesen Drittanbietern muss – auch wenn es sich um Konzerngesellschaften handelt – eine DSGVO-konforme Auftragsverarbeitungsvereinbarung abgeschlossen werden.
Alle anderen Weitergaben von Daten an externe Dritte sind in der Regel als eine Offenlegung an einen datenschutzrechtlichen Verantwortlichen zu qualifizieren. Das gilt etwa für an der direkten Leistungserbringung an den Betroffenen mitwirkende Dritte (zB Paketdienstleister hinsichtlich der Versendung bestellter Waren); Reisebüros in Bezug auf Reisebuchungen; Behörden hinsichtlich gesetzlich verpflichtender Datenübermittlungen; an der Zahlungsabwicklung beteiligte Banken und Zahlungsanbieter (zB PayPal); Rechtsanwälte; Wirtschaftsprüfer und Steuerberater sowie Betreiber sozialer Netzwerke (hier liegt idR sogar eine gemeinsame Verantwortlichkeit vor und muss eine Vereinbarung nach Art 26 DSGVO abgeschlossen werden). Alle diese Empfänger sind in der Regel selbst Verantwortliche, da sie selbst über die Zwecke und Mittel der Verarbeitung entscheiden. Mit all diesen Empfängern muss zwar keine Auftagsverarbeitungsvereinbarung abgeschlossen werden, allerdings bedarf es einer konkreten Rechtsgrundlage, die die Weitergabe rechtfertigt (siehe oben).
MYTHOS 6: JEDES UNTERNEHMEN BRAUCHT EINEN DATENSCHUTZBEAUFTRAGTEN.
Nein! Nach Art 37 DSGVO muss ein Datenschutzbeauftragter zwingend nur (i) von Behörden und öffentlichen Stellen bestellt werden sowie wenn (ii) die Kerntätigkeit des Unternehmens in der umfangreichen systematischen Überwachung von betroffenen Personen besteht oder (iii) die Kerntätigkeit des Unternehmens sensible oder strafrechtlich relevante Daten betrifft.
Es kommt daher maßgeblich auf die Kerntätigkeit des Unternehmens an. Dazu gehören nach bisher herrschender Auslegung neben der Haupttätigkeit eines Unternehmens auch sämtliche Schlüsseltätigkeiten, die untrennbar mit der Erreichung des Unternehmensziels verknüpft sind. Bloße Nebentätigkeiten (wie etwa Personalverwaltung) und untergeordnete Hilfstätigkeiten zählen aber nicht dazu. Eine umfangreiche regelmäßige und systematische Überwachung liegt insbesondere beim Einsatz von Tracking, Scoring und Profiling vor (etwa durch Banken oder Versicherungen). Eine umfangreiche Verarbeitung sensibler Daten erfolgt etwa regelmäßig in Krankenhäusern oder in der Pharmaindustrie.
Sollte man zu dem Ergebnis kommen, dass kein Datenschutzbeauftragter erforderlich ist, sind diese Überlegungen für den Anlassfall einer Prüfung durch die Datenschutzbehörde sorgfältig zu dokumentieren.
MYTHOS 7: WEGEN DER DSGVO DARF KEIN NEWSLETTER OHNE EINWILLIGUNG VERSENDET WERDEN.
Nein! Newsletter durften und dürfen per Post etwa an bestehende Kunden bei oder im zeitlichen Zusammenhang zum aufrechten Vertrag gesendet werden. Demgegenüber war schon seit 10 Jahren (!) der Versand von E-Mail-Newslettern einwilligungspflichtig (§ 107 TKG).
Eigentlich hat sich durch die DSGVO daran nichts geändert. Die einzige relevante inhaltliche Neuerung (neben den Strafen) ist, dass die Einwilligungen nachweisbar dokumentiert sein müssen. Dabei geht es aber rein um Beweisthemen, nicht um die Einwilligung per se. Damit wurden aber auch vor dem 25.5.2018 gültig erteilte Zustimmungen nicht automatisch rechtsunwirksam. Freilich ist es aber das Risiko des aussendenden Unternehmens, die Zustimmung im Bedarfsfall auch nachzuweisen zu können.
Das ist einer der Gründe für die in rund um den 25.5.2018 – manchmal sogar später – massenhaft versendeten E-Mails mit der Bitte um Bestätigung der Einwilligung zum Erhalt des Newsletters. Der Hauptgrund dafür dürfte allerdings vielmehr sein, dass bisher offenbar manche Marktteilnehmer auch E-Mail-Newsletter relativ leichtfertig auch an potentielle Kunden ohne deren Zustimmung versandten; eine Praxis die nunmehr wohl zu Ende sein wird.
MYTHOS 8: COOKIES DÜRFEN GENERELL ERST NACH ZUSTIMMUNG DES WEBSITE-BESUCHERS GESETZT WERDEN.
Nein! Technisch und funktional für den Betrieb der Website und die Zurverfügungstellung der damit verbundenen Dienste unbedingt notwendige Cookies erfordern gemäß § 96 Abs 3 TKG keine Einwilligung des Besuchers der Seite. Dazu zählen nach herrschender Ansicht sowohl Authentifizierungscookies, Sicherheitscookies, User-Input-Cookies sowie Cookies zur Anpassung der Benutzeroberfläche.
Alle nicht erforderlichen Cookies, dh insbesondere Tracking-, Analyse- und Marketing-Cookies, erfordern allerdings die vorherige Einwilligung des Website-Users. Diese Einwilligung wird in der Praxis in der Regel über einen Cookie-Banner eingeholt. Nach herrschender Ansicht dürfen die einwilligungspflichten Cookies auch erst nach einem aktiven Klick auf einen Einwilligungs-Button gesetzt werden. Die bloße Nutzung der Website reicht daher noch nicht als Einwilligung.
Tatsächlich sind derzeit gerade diverse Cookie-Zustimmungstools und Umsetzungen auf dem (behördlichen) Prüfstand. Im Mittelpunkt der Verfahren steht dabei die Freiwilligkeit und technische Umsetzung der Einwilligung. Aus den laufenden Verfahren sollten sich jedenfalls weitere Praxiserkenntnisse ergeben, wie die – wo erforderlich – Cookiezustimmung rechtskonform und ohne Vorgriff auf die noch kommende ePrivacy VO umgesetzt werden kann.