Boris Treml ist Jurist und hat sich auf IT-Recht spezialisiert. Er arbeitet für die TÜV TRUST IT TÜV AUSTRIA GMBH und referiert als Datenschutz-Experte in der TÜV AUSTRIA Akademie. Zu seinen Aufgabengebieten zählt auch die Beratung im Bereich des Datenschutzes und der Informationssicherheit. Welche Veränderungen die Datenschutzgrundverordnung für Unternehmen bringt, erklärt er im folgenden Interview.
Herr Treml, die neue EU-DSGVO ist mit Mai 2018 gültig. Was sind die wichtigsten Hauptänderungen der neuen Datenschutzgrundverordnung?
Aus meiner Sicht ist zu erkennen, dass der Begriff des Risikos in den Bereich des Datenschutzes Einzug gehalten hat. Schon im Jahr 2000 wurde das Datenschutzgesetz von 1978 angepasst, aber auch nach der Anpassung fand man den Begriff des Risikos nur einmal vor. In der neuen Datenschutzgrundverordnung ist er 68 Mal enthalten. Außerdem verpflichtet der Gesetzgeber nun dazu, eine Datenschutz-Folgeabschätzung zu machen.
Im Rahmen unserer Beratungstätigkeit legen wir einen großen Schwerpunkt darauf, wie das Risiko adäquat für die jeweilige Datenverarbeitung bestimmt werden kann. Nur wer eine Risikoabschätzung durchführt, kann die Anforderungen der Datenschutzgrundverordnungs-Kosten und -Nutzen optimal umsetzen.
Wen betrifft die neue Datenschutzgrundverordnung?
Die datenschutzrechtlichen Regelungen treffen alle Unternehmen, unabhängig der Größe und der Art der Verarbeitungen. Voraussetzung für die Anwendbarkeit der Datenschutzgrundverordnung ist aber natürlich, dass man Daten über eine Person verarbeitet. Hier sollte immer berücksichtigt werden, dass eine Verarbeitung über eine Person dann vorliegt, wenn Informationsmacht auf die Person ausgeübt werden kann. Das bedeutet zum Beispiel, dass das Setzen eines Cookies beim Internetsurfen bereits ein einschlägiger, datenschutzrechtlicher Sachverhalt ist. Ob dabei ein Name oder eine Anschrift verarbeitet wird, ist nebensächlich.
Die DSGV richtet sich aber insbesondere an Unternehmen, die die Kerntätigkeit in der Verarbeitung von personenbezogenen Daten haben. Für Kleinstbetriebe gibt es Ausnahmen. Zu beachten ist, dass im Rahmen von Nebengesetzen datenschutzrechtliche „Sondervorschriften“ bestehen können. Diese sind speziell dann heranzuziehen, wenn die Speicherfristen von personenbezogenen Daten zu ermitteln sind.
Welche 3 Tipps geben Sie verantwortlichen Personen zur Vorbereitung auf die neuen Regelungen?
1) Bestimmen Sie im Unternehmen eine Person, die für den Datenschutz verantwortlich ist, zum Beispiel einen Datenschutzbeauftragten.
2) Verwenden Sie nicht zu viel Zeit auf die Prüfung, ob etwaige Ausnahmen auf den jeweiligen Verantwortlichen zutreffen. Wir raten dazu, alle Datenanwendungen in einem Verzeichnis der Verarbeitungstätigkeiten aufzunehmen, selbst wenn der europäische Gesetzgeber hier Ausnahmen vorsieht. Nur wer einen Überblick über seine Datenverarbeitungen hat, kann dem Gesetz Genüge tun.
3) Führen Sie ein Datenschutzmanagementsystem ein, unter besonderer Berücksichtigung der Datenschutz-Folgenabschätzung und der damit verbundenen Risikoabschätzung.
Datenschutzrechtlich kann am Ende des Tages aber nur der bestehen, der neben expliziten Regelungen (Datenschutz-Policies) das notwendige Bewusstsein bei seinen Mitarbeitern, zum Beispiel im Rahmen von Schulungen, geschaffen hat.
Welche Folgen können Verstöße gegen die neuen Regelungen haben?
Wer die genannten Maßnahmen umgesetzt hat, muss sich nicht von dem maximalen Strafrahmen von 20 Millionen Euro fürchten, weil er seiner Rechenschaftspflicht nachgekommen ist. Aus unserer Sicht ist jedoch die wichtigste Maßnahme, dass das zuständige Leitungsorgan frühzeitig mit der Umsetzung von Datenschutzprojekten beginnt, damit eine rechtmäßige Datenverwendung im Unternehmen gewährleistet ist.
Links:
Ausbildung zum/r zertifizierten Datenschutzbeauftragten in der TÜV AUSTRIA Akademie