2012/03/26 EU-Verordnung Datenschutz - Harte Zeiten für Datenschutzmuffel
Viviane Reding stellt Entwurf zur neuen EU-Verordnung Datenschutz vor - bessere Vereinheitlichung von Datenschutz innerhalb der EU - verpflichtender Datenschutzbeauftragter kommt - mehr Informationsrechte der Bürger, weniger Bürokratie für Datenverarbeiter - Datenverarbeiter sollen EU-weit 2,3 Millarden Euro einsparen - Datenschutzorganisationen sollen in Zukunft eigene Beschwerderechte bekommen
Weitreichende Datenschutzpläne der Justiz-Kommissarin Viviane Reding
Ganz im Zeichen der neuen EU-Verordnung Datenschutz stand der Europäische Datenschutztag 28. Jänner. Am 25. Jänner stellte die Justizkommissarin einen umfassenden Rechtsrahmen Datenschutz vor. Im Rahmen einer Festveranstaltung im Bundeskanzleramt, anlässlich des Europäischen Datenschutztages, wurde das Vorhaben ausführlich diskutiert.
Einhelliger Tenor aller Experten: die EU-Verordnung wird in Österreichs Datenschutzlandschaft keinen Stein auf dem anderen lassen. Österreichische Datenverarbeiter sind gut beraten sich rechtzeitig auf die vielen Neuerungen einzustellen.
Verpflichtender Datenschutzbeauftragter kommt!
Schon in der DSG-Novelle 2010 war ein verpflichtender Datenschutzbeauftragter vorgesehen. Auf Grund des vehementen Widerstands der WKO wurde diese Verpflichtung gestrichen. In der EU-Verordnung ist der Datenschutzbeauftragte nun - offenbar endgültig - vorgesehen. Größere Betriebe, alle öffentlichen Einrichtungen und alle Unternehmen mit Schwerpunkt Verarbeitung persönlicher Daten (Internet- und Telekomdienste, Auskunftsdienste, Direkt-Marketing-Unternehmen, ...) müssen in Zukunft einen Datenschutzbeauftragten haben, in Summe sind in Österreich 5-8.000 Einrichtungen betroffen.
Der besonders ausgeprägte öffentliche Sektor, etwa 2.500 Gemeinden und Bezirkshauptmannschaften, hunderte Körperschaften öffentlichen Rechts, Kammern, Bundesagenturen, Universitäten, Fachhochschulen sind gefordert rasch für ausreichende Datenschutzkompetenzen zu sorgen.
Hans G. Zeger, Mitglied des Datenschutzrates: "Auf Grund der verschärften Straf- und Informationspflichten sind jedoch auch kleinere Unternehmen gut beraten, die Datenschutzagenden in einer Person zu bündeln."
Mehr Rechte der Bürger, weniger Bürokratie für Datenverarbeiter
Datenverarbeiter werden in Zukunft keine Registrierungspflichten haben, die EU erwartet sich davon Einsparungen für Unternehmen in der Höhe von 2,3 Mrd. Euro.
Neben der Erweiterung der Auskunfts- und Informationsrechte soll auch ein "Recht auf Vergessen" in Online-Dienste integriert werden. Die Standardeinstellungen bei Plattformen und Social Media - Diensten soll "Privatsphäre" bzw. befristete Datenspeicherung sein. Nur wenn der Betroffene es ausdrücklich will, sollen Daten öffentlich zugänglich und langfristig gespeichert werden.
Hans G. Zeger: "Dies läuft diametral dem Facebook-Geschäftsmodell entgegen. Facebook veröffentlicht alle Benutzerdaten, außer der Benutzer sperrt sie ausdrücklich. Das kann bei größeren Facebook-Auftritten stundenlanges Nachbessern verursachen. Nicht einmal ein Löschen von Facebook-Accounts ist derzeit möglich, nur ein 'deaktivieren'. Diese Praxis soll in Zukunft verboten sein. Löschen muss Löschen heißen."
Die Rechte der Kinder sollen ebenso verbessert werden, wie die Meldepflichten bei Datenmissbrauch. GIS, Tiroler Gebietskrankenkasse, Justizministerium und Co werden in Zukunft nicht so einfach Datenschutzverletzungen unter den Teppich kehren können.
Drastisch höhere Strafen bei Datenschutzverletzungen
Schluss gemacht werden soll auch - geht es nach dem Vorschlag von Viviane Reding - mit dem Schlendrian bei Rechtsverletzungen. In Österreich gibt es zwar formal Strafdrohungen bis 25.000,- Euro, diese wären aber von Bezirksverwaltungen und Magistraten zu exekutieren. Bei denen fehlt jedoch ausreichende Datenschutzkompetenz. In den letzten Jahren wurden daher nur ganz wenige symbolische Strafen - Mahnungen oder wenige hundert Euro - verhängt.
In Zukunft müssen die Mitgliedsstaaten ihre Datenschutzaufsichtsbehörde auch mit Strafkompetenz ausstatten, die Strafen selbst werden drastisch verschärft. Bis zu 1 Million Euro oder 2% des Konzernumsatzes sind vorgesehen. Auf jeden Fall müssen bei allen Datenschutzverletzungen die Strafen höher sein, als der durch die Verletzung mögliche Gewinn. Systematischer Datenmissbrauch soll in Zukunft kein Geschäftsmodell mehr sein.
EU-Datenschutz ist in die Jahre gekommen
1995 wurde die heute gültige Datenschutz-Richtlinie 95/46/EG verabschiedet, sie war weltweit richtungsweisend, garantierte sie umfassende Grundrechte sowohl gegenüber staatlichen, als auch privaten Datenverarbeitern.
Die Richtlinie entstand jedoch in einer Zeit, in der die Online-Datenverarbeitung die Ausnahme war. Die BürgerInnen waren meist mit einem örtlich eindeutig zuordenbaren Datenverarbeiter (z.B. Bank, Sozialversicherung, Steuerbehörde, ...) konfrontiert. Die Feststellung, wer für persönliche Daten verantwortlich war und welches Recht anzuwenden war, war relativ einfach. Bloß 1% der BürgerInnen hatten 1995 Zugang zum Internet. Heute sind Onlinedienste die Regel, Unternehmen agieren grenzüberschreitend, zahlreiche in Europa tätige Dienste nutzen Drittstaaten als (Datenschutz-)Oasen um die Privatsphäre-Rechte der EU-BürgerInnen zu umgehen.
Keine Datenmissbrauchs-Oasen mehr
Mit dem neuen Datenschutzrecht soll dieses Datenschutz-Hopping, zum Schaden der BürgerInnen, vermieden werden. EU-Datenschutzrecht wird auch auf Unternehmen aus Drittstaaten (meist USA), wie Facebook, Google und Co anwendbar sein, wenn diese sich an EU-BürgerInnen wenden. Für Beschwerden soll nur mehr jene nationale Datenschutzbehörde zuständig sein, in der der Datenverarbeiter seinen Hauptsitz hat. Unternehmen aus Drittstaaten müssen eine Ansprechstelle innerhalb der EU benennen. Bürger sollen sich jedoch immer bei ihrer nationalen Datenschutzbehörde beschweren können. Diese verschiedenen nationalen Behörden sind in Zukunft zur Zusammenarbeit bei grenzüberschreitenden Datenschutzfällen verpflichtet.
Konstruktionen, bei denen sich ein österreichischer Bürger in rumänisch bei der rumänischen Datenschutzbehörde über NORC (http://www.norc.com) - einer Streetview-Variante - beschweren müssen, sollen der Vergangenheit angehören.
Eigene Beschwerderechte für ARGE DATEN und Co
Neu sind auch Beschwerderechte von NGOs und privaten Organisationen bei groben Datenschutzverletzungen. Bisher musste jeder einzelne Betroffene eine Datenschutzverletzung anzeigen und langjährige Prozesse in Kauf nehmen, auch wenn die Datenschutzverletzung offensichtlich systematisch erfolgte und viele Personen betroffen waren.
Damit geht eine langjährige Forderung der ARGE DATEN in Erfüllung. Insbesondere gegenüber den Wirtschaftsauskunftsdiensten, aber auch im Zusammenhang mit illegalen Videoüberwachungen erhalten Datenschutzorganisationen ein neues, wirksames Interventionsmittel.
Binding Corporate Rules
Besondere Gestaltungsmöglichkeiten erhalten multinational agierende Konzerne. Sie können im Rahmen sogenannter "Binding Corporate Rules" verbindliche Datenschutzregeln erlassen, die auf die innerbetrieblichen Besonderheiten genauer eingehen. Diese Regeln müssen von der Aufsichtsbehörde des Hauptsitzstaates genehmigt werden und gelten für alle EU-Staaten. Die bisherigen zersplitterten Anerkennungs- und Registrierungsregeln in jedem Staat, in dem der Konzern seinen Sitz hat, entfallen.
Hans G. Zeger: "Mit der Möglichkeit 'Binding Corporate Rules' zu verabschieden, werden zwar keine spezifischen Konzernerleichterungen geschaffen, aber konzernweite Datenaustauschregeln müssen nur mehr ein einziges Mal genehmigt werden."
Fortschritt - Rückschritt
Die vorgestellte Verordnung wird von vielen Datenschutzorganisationen ausdrücklich begrüßt. Neben notorischen Datenschutzmuffeln, die die verschärften Bestimmungen fürchten, gibt es auch einige datenschutzrechtlich bedeutsame Kritikpunkte.
Insbesondere aus Deutschland wurde kritisiert, dass die neue Untergrenze beim Datenschutzbeauftragten die bisherige schärfere Verpflichtung in Deutschland aufweicht. Auch die unmittelbaren Eingriffsrechte der EU-Verordnung in nationales Recht werden als verfassungsrechtlich bedenklich angesehen. Dabei wird übersehen, dass diese nationalstaatliche Hoheit bei allen Ländern mit EU-Beitritt abgegeben wurde und eben nunmehr auch bei der Durchsetzung informationeller Grundrechte nicht halt macht.
PRIVACY DAY 2012 - Betriebe sollten sich JETZT vorbereiten
Noch ist die Richtlinie nicht beschlossen, einige Anpassungen werden wohl noch folgen. Die Eckpfeiler (Datenschutzbeauftragter, Entbürokratisierung, Schutzpflichten und Sanktionen) stehen jedoch fest. Betriebe sollten sich schon jetzt um ausreichende Kompetenz kümmern und sicherstellen, dass die Anforderungen zeitgerecht erfüllt werden. Die ARGE DATEN bietet dazu eine eigene Ausbildungsreihe zum Datenschutzbeauftragten an (http://seminar.argedaten.at/).
Am PRIVACY DAY 2012 (http://privacy-day.at, 21. Februar) werden neben neuen technologischen Entwicklungen (Cloud-Computing, Video-Drohnen, RFID, Social-Media) auch ausführlich die Konsequenzen aus den EU-Vorhaben diskutiert.
Der Fahrplan zum neuen EU-Datenschutzrecht
Die am 25. Jänner vorgestellte Verordnung entspricht - wendet man österreichische Maßstäbe an - einer Regierungsvorlage und repräsentiert die Position der EU-Kommission. Schon jetzt haben Lobbyisten, Interessensverbände und Regierungsorganisationen Widerstand angekündigt. Allen voran das US-Handelsministerium, das Wettbewerbsverschlechterungen für US-Firmen befürchtet. Die Geschäftsmodelle von Facebook, Google & Co basieren heute auf einer systematischen Aushöhlung des Grundrechts auf Privatsphäre.
In den nächsten Monaten wird der Entwurf im Europäischen Parlament behandelt, danach ist der Europäische Rat, die Vertretung der 27 Regierungen, am Zug. Optimisten rechnen mit einem Beschluss noch in diesem Jahr, Realisten eher 2013. Jedenfalls ist im Rat "nur" eine qualifizierte Mehrheit notwendig, damit sind Totalblockaden einzelner Länder nicht möglich.
EU-Verordnung statt Richtlinie
Die vergangenen 17 Jahre zeigten, dass die Datenschutz-Richtlinie zu unterschiedlich und zu lückenhaft umgesetzt wurde. Die EU-Kommission hat sich daher zu einer Verordnung, statt einer neuen Datenschutz-Richtlinie, entschlossen. Mit der Datenschutz-Verordnung wird eine EU-Entwicklung fortgesetzt, in der zunehmend rechtsstaatliche Kompetenzen direkt auf EU-Ebene ausgeübt werden, der nationale Handlungsspielraum wird eingeschränkt.
Österreich ist noch immer - vergleichbar mit Ungarn - mit einem Vertragsverletzungsverfaren konfrontiert, das die mangelnde Unabhängigkeit der Datenschutzkommission zum Thema hat. Im Laufe des Jahres 2012 wird es eine EuGH-Entscheidung geben, die hoffentlich dazu beitragen wird, die neue Aufsichtsbehörde mit ausreichenden personellen und budgetären Kompetenzen auszustatten.
Quo Vadis "Datenschutz für juristische Personen"?
Von einem Lieblingskind des österreichischen Datenschutzes wird man sich wohl ebenfalls verabschieden müssen. Die EU-Verordnung Datenschutz regelt ausschließlich die Grundrechte natürlicher Personen, nicht jedoch "Datenschutzrechte" von Firmen oder Behörden. Dieses österreichische Unikum führte schon in der Vergangenheit immer wieder zu Interessenskonflikten, BürgerInnen wurden Informationen unter Berufung auf "Grundrechte von Firmen" verweigert.
Die neue EU-Verordnung wird es nicht erlauben eine nationale Behörde zu konstruieren, in der widersprüchliche Interessen vertreten werden. Der gewerbliche Rechtsschutz sollte dort besser verankert werden, wo er auch sachlich hingehört, bei den Wettbewerbsrechten, im Strafrecht und im Urheberrecht.
Personen, die sowohl privat, als auch gewerblich tätig sind, z. B. Landwirte oder Einzelpersonenunternehmen (EPUs) werden in Zukunft eine saubere Trennung ihrer persönlichen und beruflichen Interessen vornehmen müssen. Keine leichte, aber lösbare Aufgabe.
Aus für Onlineplattform des Datenverarbeitungsregisters?
Mit 1.1.2010 in Kraft getreten, sollte spätestens am 1.1.2012 eine Onlineplattform Unternehmen die Registrierung von Datenverarbeitungen erleichtern. Die ARGE DATEN hat das Vorhaben seit Beginn skeptisch beurteilt. Wenige Tage vor der Jahreswende 2011 wurde das DSG 2000 geändert und die Umsetzungsfrist auf September 2012 verschoben.
Mit der neuen EU-Verordnung wird das gesamte Datenverarbeitungsregister überflüssig, erhebliche Entwicklungskosten wurden in den Sand gesetzt. Bevor die Plattform in Betrieb geht, droht ihr damit das AUS. Zu langsam, zu zögerlich erfolgte die Umsetzung, leider wieder eine typisch österreichische Entwicklung.
mehr --> Entwurf des neuen EU-Datenschutz-Rechtsrahmen (Verordnung)
mehr --> Entwurf des neuen EU-Datenschutz-Rechtsrahmen (Richtlinie)
mehr --> Wiki zur EU-Datenschutzverordnung
mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
Archiv --> Europäischer Datenschutztag 28.1.2010 - Kein Grund zum Feiern
Archiv --> Geduldsfaden gerissen - EU-Kommission verklagt Österreich wege...
Archiv --> Unzureichender Datenschutz: EU-Vertragsverletzungsverfahren ge...
Archiv --> EU plant 2011 Neuordnung des Datenschutzes
Archiv --> Stellungnahme der ARGE DATEN zur Datenverarbeitungsregister-Ve...
Archiv --> LACK OF INDEPENDENCE OF DATA PROTECTION SUPERVISORY AUTHORITY
andere --> Reflexartige Ablehnung der EU-Datenschutzverordnung durch WKO
andere --> Presseinformaiton der EU-Kommission zum neuen Datenschutz-Rechtsrahmen
andere --> Mitteilung der EU-Kommission zum neuen Datenschutz-Rechtsrahmen
|
