Die Datenschutz-Grundverordnung (DS-GVO) gilt unmittelbar ab 25. Mai 2018 in der ganzen EU. Univ.-Prof. Dr. Elisabeth Staudegger und Assoz. Prof. Dr. Christian Bergauer, wissenschaftliche Leiter des UNI for LIFE Universitätskurses Datenschutzbeauftragte:r, liefern das Know-how zur Materie.
Durch die massive Verschiebung der Verantwortlichkeiten hin zu den Verantwortlichen einer Datenverarbeitung und der Erweiterung deren Pflichten sowie der Rechte der Betroffenen, wird der Datenschutz durch die unmittelbar anwendbare DS-GVO ab 25. Mai 2018 insgesamt deutlich aufgewertet und mit hohe Geldbußen bei Verstößen (bis zu € 20 Mio. oder 4% des Jahresumsatzes je nachdem, welcher Betrag höher ist) abgesichert. Die Unternehmen werden sich tunlichst bemühen, ihre Datenschutz-Compliance-Maßnahmen zu überarbeiten und hierfür gut ausgebildete auf Datenschutz spezialisierte Kräfte heranziehen (müssen). Datenschutzbeauftragte werden daher wohl Dreh- und Angelpunkt sämtlicher datenschutzrechtlich verpflichtender Agenden sein und daher eine wichtige Funktion in unserer Gesellschaft einnehmen. Da praktisch alle Bereiche eines modernen Unternehmens informationstechnisch durchdrungen sind, sind alle Abteilungen sowie Branchen, in denen personenbezogene Daten verarbeitet werden, gleichermaßen davon betroffen. Das höchste Schutzniveau sieht die DS-GVO für besonders schutzwürdige Kategorien personenbezogener Daten vor, wie etwa Daten aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Auch Branchen, die sich mit der Verarbeitung strafrechtlich relevanter Daten, Profiling, Big Data-Analysen oder systematischer Überwachung befassen, werden verstärkt in die Pflicht genommen.
Wie beurteile ich als UnternehmerIn möglichst objektiv, ob meine Datenverarbeitung womöglich ein Risiko für Betroffene darstellt?
Zunächst einmal stellt grundsätzlich jede Verarbeitung von personenbezogenen Daten ein Risiko für Betroffene dar, weil damit bereits in das Grundrecht auf Datenschutz eingegriffen wird. Mit anderen Worten, es dürfen grundsätzlich überhaupt keine personenbezogenen Daten verarbeiten werden, außer der Verantwortliche kann die Verarbeitung auf einen konkreten Rechtfertigungstatbestand stützen. Innerhalb von Datenverarbeitungen kann es aber sehr wohl unterschiedlich ausgeprägte Risiken geben, wie das einfache Risiko oder das hohe Risiko. Der risikobasierte Ansatz der DS-GVO verlangt nun ausdrücklich eine objektive Beurteilung der Eintrittswahrscheinlichkeit und Schwere eines Risikos für die betroffenen Personen. Dafür sollten die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung möglichst exakt berücksichtigt werden. Die Aufsichtsbehörde, in Österreich die Datenschutzbehörde, wird im Übrigen auch Listen mit Datenverarbeitungen in Form einer Verordnung veröffentlichen, welche einerseits ein hohes Risiko bzw. kein hohes Risiko darstellen und daher eine oder keine Datenschutz-Folgenabschätzung erfordern.
Was ist das Ziel der DS-GVO in einer Informationsgesellschaft, in der Daten wie Öl gehandelt werden?
Wir halten die Gleichstellung personenbezogener Daten mit einer natürlichen Ressource wie Öl für unangebracht. Die Informationstechnologie hat das gesellschaftliche und wirtschaftliche Leben gravierend verändert. Schlagworte wie „der gläserne Mensch“ realisieren sich zunehmend und die menschliche Persönlichkeit ist in einer Art und Dimension bedroht, wie man sie bisher noch nicht kannte. Datenschutz zielt auf den Schutz der Persönlichkeit eines Menschen ab und stellt ein wichtiges Korrektiv zu den rasanten informationstechnischen Fortentwicklungen dar. Die DS-GVO verfolgt einen solchen Schutz auf durchaus hohem Niveau, das mit der Datenschutz-Richtlinie und den sehr unterschiedlichen nationalstaatlichen Umsetzungen bislang europaweit nicht erreicht werden konnte. Auf der anderen Seite fördert die DS-GVO unter Beachtung dieses hohen Schutzniveaus auch den Datenverkehr, um die Wirtschaft in diesem Bereich innerhalb der EU und im Wettbewerb außerhalb derselben nicht zu behindern. Ihr Zielanliegen ist es daher wohl einen angemessenen Ausgleich dieser Interessen zu finden. Auch wenn die DS-GVO den Rechtsrahmen bestimmt, innerhalb dessen personenbezogene Daten überhaupt verwendet werden dürfen, ist damit noch nichts zur Qualität der Daten als Güter einer „Datenwirtschaft“/Data Economy gesagt. Wir wissen heute noch nicht einmal, ob Eigentum an Daten juristisch möglich oder auch nur gewünscht wird. Das ist eines der heißen Forschungsthemen, die gerade intensiv diskutiert werden.
Weitere Infos zum Universitätskurs Datenschutzbeauftragte:r