q/Talk: Die EU-Datenschutz- grundverordnung

Wikimedia_Foundation_Servers-8055_13

Veranstaltungsdaten

Datum
29. 11. 2016
Veranstalter
q/uintessenz
Ort
Museumsquartier / Raum D
Veranstaltungsart
Informationsabend
Teilnehmer
Mag. Georg Markus Kainz, Datenschutzexperte und Präsident von q/uintessenz
Dr. Lukas Feiler, SSCP, CIPP/E, Rechtsanwalt und Autor

Immer häufiger werde ich derzeit zu Seminaren und Schulungen für die neue EU Datenschutzgrundverordnung (EU-DSGVO) aufgefordert und eingeladen: Der österreichische Unternehmer soll sich rechtzeitig informieren, rechtzeitig reagieren – und natürlich auch für diese Information bezahlen; der österreichische Konsument werde jetzt endlich ordentlich geschützt.

Ist das nun wirklich so? Was bringt diese Verordnung jedem Einzelnen von uns? Werden Konzerne jetzt endlich in die Schranken gewiesen, oder ist das wieder eine dieser gefürchteten Illusionen?

Deswegen lud der Verein q/uintessenz zu seinem November q/Talk, um genau diese, ab 25. Mai 2018 gültige, EU-DSGVO zu thematisieren. Mag. Georg Markus Kainz von q/uintessenz lud dafür Dr. Lukas Feiler, Anwalt bei Baker & McKenzie und Buchautor, zu diesem Informationsabend ein. Dr. Feiler stellte die neue EU-DSGVO vor und stand im Anschluss für Fragen und Gespräche zur Verfügung.

Wie fix ist die EU-DSGVO eigentlich?

Während die einen feiern, dass in der EU endlich das Datenschutzrecht vereinheitlicht wird, könnten gerade nationale Gesetzgeber dieses wieder erheblich verkomplizieren. 

Neunundsechzig Öffnungsklauseln gibt es in der EU-DSGVO. Öffnungsklauseln bieten den Mitgliedsstaaten die Möglichkeit, bei der rechtlichen Umsetzung dieser Verordnung die in den Klauseln enthaltenen Punkte individuell anzupassen und damit eigene nationale Regelungen bei der Umsetzung der EU-DSGVO zu erlassen.

Das kann – und wird vermutlich – dazu führen, dass sich verschiedenste Rechtsschichten entwickeln. Das Problem anhand eines Beispiels: Ein österreichisches Unternehmen, das seine Kunden in Spanien hat und das seine Daten in Deutschland verarbeitet. Welches Recht ist in diesem Fall anzuwenden? Woran muss sich das Unternehmen halten? Auf welches Recht darf sich der Konsument berufen?

Während es in der Verordnung hauptsächlich um Gebote, Verbote und Strafen geht, wurde leider auf rechtsnotwendige Begriffsdefinitionen verzichtet. So erhalten ‘öffentliche Stellen’ natürlich eine gewisse Aufmerksamkeit in der Verordnung, aber die Definition dieses Begriffes wird den einzelnen Staaten überlassen.

Grundlegende Neuerungen und Impulse

Nichtsdestotrotz sind in der EU-DSGVO klare Impulse verarbeitet, die in einigen Punkten erhebliche Neuerungen mit sich bringen würden. Im Kern verbietet die Verordnung per se die Weitergabe und Verarbeitung von Daten, außer die Weitergabe und Verarbeitung ist in der DSGVO explizit erlaubt.

Für uns Bürger wird vor allem das Recht auf Vergessenwerden sowie das Recht auf Datenportabilität verankert. Das Recht auf Vergessenwerden besagt, dass auf Wunsch einer Person Daten dieser Person gelöscht werden müssen und nicht weiter verarbeitet werden dürfen. Das Recht auf Datenportabilität verlangt von Unternehmen im Wesentlichen, bei der Wahl ihrer Datenformate darauf zu achten, dass jede Person das Recht darauf hat, ihre Daten jederzeit von einem verantwortlichen Betrieb zu einem anderen transferieren zu lassen.

Darüber hinaus sollen mit dieser Verordnung die Grundsätze “privacy by default” und “privacy by design” umgesetzt werden. Das heißt Unternehmen müssen darauf achten, dass jegliche technischen Voreinstellungen den bestmöglichen Datenschutz gewährleisten (by default) und müssen gleichzeitig geeignete technische und organisatorische Maßnahmen treffen personenbezogene Daten und die Privatssphäre zu schützen. (by design)

Wichtig dabei ist, dass privacy by design in der Verantwortung desjenigen liegt, der Software, z.B. für eine Homepage, anwendet und NICHT bindend für die Softwareentwickler selbst.

Jeder, der beispielsweise für die Auswertung seiner Homepage Google-Analytics nutzt, sollte darauf achten, in den Einstellungen die Checkbox zu aktivieren, die die IP-Adressen der Seitenbesucher um 8 Bit verkürzt, bevor sie analysiert werden. (Damit kann Google dann keine punktgenaue Zuordnung der IP-Adresse vornehmen.)

Weitere interessante Punkte aus der EU-DSGVO

  • Nach der neuen Verordnung sind NUR natürliche Personen vom Datenschutz betroffen. Unternehmen können keinen Datenschutz für sich selbst geltend machen. Die Daten der Kunden und Mitarbeiter, die ja natürliche Personen sind, sind durch die Verordnung geschützt.
  • Ein klares Anliegen der EU waren offensichtlich auch die Geldstrafen. Während im aktuellen Datenschutzgesetz Österreichs (DSG 2000) max. 25.000,- Euro Strafe festgesetzt sind, wird die Geldstrafe in Zukunft 4 % des weltweiten Konzernumsatzes eines Unternehmens und max. 20 Millionen Euro betragen.
  • Vor allem bei Konzernen bedeutet das aber auch, dass bei einem Vergehen einer Tochtergesellschaft der Umsatz des gesamten Konzerns zur Strafbemessung herangezogen wird.
  • Ein wesentlicher Aspekt findet sich auch in Haftungsfragen. Die Geschäftsleitung eines Unternehmens kann ab 2018 ebenfalls für Datenschutzvergehen haftend gemacht werden. Das bedeutet, dass die Behörde in Zukunft entscheiden muss, ob sie in ihrer Anklage gegen die Gesellschaft, oder die Geschäftsleitung vorgeht.
  • Die EU-DSGVO könnte auch eine Rechtsdurchsetzung durch NGOs möglich machen. Das müssen aber de facto die Mitgliedstaaten in ihrer Auslegung der Öffnungsklauseln beschließen.
  • Betroffene Personen können in Zukunft in JEDEM Land klagen, in dem der verantwortliche Betrieb oder der Auftragsverarbeiter eine Niederlassung hat.
  • Schadensersatz kann künftig auch für immaterielle Schäden gefordert werden.
  • Für Unternehmen wurde die Meldepflicht de facto abgeschafft. Stattdessen müssen Betriebe eigenständig eine Datenschutz-Folgenabschätzung durchführen lassen. Bescheinigt diese Abschätzung ein hohes Risiko, hat man die Aufsichtsbehörde zu konsultieren. Gleichzeitig wird eine Dokumentationspflicht für datenverarbeitende Prozesse eingeführt.
  • Der in Medien schon öfters thematisierte Datenschutzbeauftragte ist nur unter bestimmten Bedingungen zwingend erforderlich. So zum Beispiel, wenn die Verarbeitungsprozesse “eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen”.

Umsetzbarkeit

In der Beurteilung der Umsetzbarkeit dieser Verordnung verwies Dr. Feiler unter anderem auf folgende Beispiele:

Würde man die EU-DSGVO rechtlich eins zu eins umsetzen, zöge das de facto ein Verbot aller Gratis-Dienste nach sich. Gratis-Dienste sind laut Verordnung nur solche, die als “frei” betrachtet werden. Als “nicht frei” gelten Dienste dann, wenn:
  • Die Durchführung von der Zustimmung zur Datenverarbeitung abhängig ist.
  • Die Datenverarbeitung für die Vertragserfüllung erforderlich ist.

Das würde sämtlichen Diensten von Facebook bis hin zu GMX über Google verbieten, ihre Dienste gratis anzubieten. Beinahe jeder Gratis-Dienst verdient sein Geld heute mit Werbung, die auf den User abgestimmt wird. Auch wenn diese Regulierung so manch einen freuen würde, ist sie in der Praxis fast nicht umsetzbar. Man bedenke nur, wie viele Menschen derzeit über gratis Postfach-Anbieter ihre privaten Mails managen.

Ein weiteres Element in der EU-DSGVO ist die Altersgrenze. Laut Verordnung würde diese dann bei 16 Jahren liegen. Das bedeutet, dass für die Nutzung von Diensten es bis zum 16. Lebensjahr die Zustimmung der Eltern benötigen würde. Wir in Österreich gestehen 16-Jährigen – Gott sei Dank – das Wahlrecht zu, würden sie aber gleichzeitig bis zum 16. Lebensjahr als nicht mündig genug betrachten, ein eigenes Mail-Konto zu registrieren.

Abgesehen davon stellt sich natürlich primär die Frage der Umsetzbarkeit: Wie soll ein Anbieter feststellen, wie alt ein Nutzer wirklich ist? Hierzu heißt es in der Verordnung nur, Unternehmen müssen zur Sicherung der Altersgrenze bei Usern “angemessene Anstrengungen” unternehmen.

Kleiner Zusatz: In den Öffnungsklauseln haben die Mitgliedsstaaten die Möglichkeit, diese Altersgrenze auf bis zu 13 Jahre herabzusetzen.

Conclusio

Mein Fazit zur Datenschutzverordnung

Ich bin von einigen Ansätzen in der EU-DSGVO sehr angetan. Vor allem die Grundsätze “privacy by default” und “privacy by design” sind meines Erachtens nach längst überfällig. Dennoch hinkt hier meines Erachtens noch einiges. Einige Elemente der Verordnung sind nicht praxistauglich und damit de facto nicht umsetzbar.

Unabhängig davon finde ich es wieder einmal schade, dass wir – ganz allgemein gesprochen – wieder den üblichen Weg gehen, eine Verordnung erst dann in einem breiteren Rahmen zu thematisieren und diskutieren, wenn der Entstehungsprozess de facto vorbei ist.

Mit dieser Gangart stehen wir uns als Gesellschaft selbst im Weg. Mir ist aber auch bewusst, dass es für meine Vision einer Demokratie an Infrastruktur fehlt, die proaktiv auf uns zugeht und es uns “user-freundlich” ermöglicht, sich am Entstehungsprozess neuer Gesetze zu beteiligen.

Mein Fazit zur Veranstaltung

Bei q/uintessenz ist der Name Programm. Dr. Feiler hat trotz seines Tempos die EU-DSGVO klar umreißen und thematisieren, vor allem aber verständlich erklären können. Das Publikum bestand darüber hinaus aus sehr interessierten und informierten Personen, was den Fragen an das Podium fast durchgehend eine besondere Qualität verlieh.

Ich persönlich bin Vereinen wie q/uintessenz ausgesprochen dankbar für ihre Arbeit. Wir brauchen eigenverantwortliche und proaktive Mitglieder in unserer Gesellschaft, die sich in komplexe Themen einarbeiten und sich in Entscheidungsprozesse einmischen. Menschen, die sich im Interesse der Gesellschaft in diese Prozesse einmengen und ungefragt die Interessen der Bürger wahren. Euch allen gebührt Respekt!

Um es mit den Worten von Max Frisch zu sagen:

Demokratie heißt, sich in die eigenen Angelegenheiten einzumischen.

In diesem Sinne,
Euer

Christian

Credits

Image Title Autor License
Wikimedia_Foundation_Servers-8055_13 Wikimedia_Foundation_Servers-8055_13 Victorgrigas CC BY-SA 3.0