Interview zu Datenschutz: Compliance ist eine Herausforderung

981

Im Datenschutz herrscht bei vielen Unternehmen eine steigende Unsicherheit. Das Wirtschaftsblatt fragt nach bei den zwei Experten für Compliance und Datenschutz Dr. Daniela Kröll und Dr. Michael Magerl.

Die Unternehmensjuristin Dr. Daniela Kröll und Rechtsanwalt Dr. Michael Magerl stellen sich den aktuellen Fragen der Redaktion.

Redaktion: Wenn man aktuelle Medienberichte verfolgt, könnte man den Eindruck bekommen, Datenschutzrecht wird von den Unternehmen nicht wirklich ernst genommen. Sie sind beide in der Rechtspraxis intensiv mit datenschutzrechtlichen Fragestellungen befasst, was sind Ihre Erfahrungen?
MAGERL: Ich bin überzeugt, dass mittlerweile in einer Mehrzahl von Firmen eine hohe Sensibilität beim Umgang mit Daten von Kunden oder von Mitarbeitern herrscht. Die Problemstellung ist vielmehr, dass mit dem Umgang der doch sehr, sagen wir, kompliziert geregelten Materie schlicht und einfach Unsicherheit herrscht und die Rechtstexte für viele Fragestellungen der Praxis keine klaren Antworten geben.

Zum Beispiel?
MAGERL: Wie reagiere ich zum Beispiel als Unternehmen bei einem Datenverlust richtig? Das Gesetz sieht hier zwar Informationspflichten vor, die allerdings von so vielen unbestimmten Begriffen umrandet werden, dass man fast geneigt ist, sich eher vom gesunden Hausverstand als von Gesetzesauslegungen leiten zu lassen. Oder das Registerwesen: auch teilweise für einschlägig befasste Juristen ein spanisches Dorf.

Hier soll es aber zu Änderungen kommen, die insbesondere zu Vereinfachungen für Unternehmen führen.
KRÖLL: Mit 1.9.2012 wurde das Datenverarbeitungsregister durch die neue Datenverarbeitungsregister-Verordnung auf die lang erwartete Online-Applikation umgestellt. Zur Erinnerung: Grundsätzlich müssen ja sämtliche Datenanwendungen eines Auftraggebers beim Datenverarbeitungsregister gemeldet werden, sofern kein Ausnahmetatbestand erfüllt ist. Ab sofort können neue Meldungen grundsätzlich nur mehr direkt über DVR-Online eingebracht werden. Zu beachten ist insbesondere, dass die Liste der von einem Unternehmen eingebrachten Meldungen ab sofort über DVR Online öffentlich und ohne gesonderte Anmeldung oder Registrierung für jedermann such- und einsehbar sind. Noch mehr Anreiz für Unternehmen, den jeweiligen Meldestand aktuell zu halten.

MAGERL: Diese Aktualität kann bei größeren Unternehmen sehr aufwändig sein, Compliance kann hier schon zur wirklichen Herausforderung werden und Unternehmen werden zukünftig gut beraten sein, einen Datenschutzbeauftragten zu bestellen.

Der Datenschutzbeauftragte wurde schon öfter ins Spiel gebracht – und vor der Gesetzwerdung wieder heraus genommen, oder?

KRÖLL: Richtig, den Vorschlag zur Einführung eines verpflichtenden Datenschutzbeauftragten gab es bereits in der ursprünglich vorgeschlagenen Fassung der Datenschutzgesetznovelle 2008, der aber keine politische Mehrheit gefunden hat. Dass der Datenschutzbeauftragte in der einen oder anderen Form für Österreich in absehbarer Zeit kommen wird, ist aber auch angesichts der Entwicklungen auf europäischer Ebene immer wahrscheinlicher. Der derzeit in Begutachtung befindliche Gesetzesentwurf für die DSG-Novelle 2012 sieht die Möglichkeit der freiwilligen Bestellung eines Datenschutzbeauftragten vor. Interessant ist dabei aus Unternehmenssicht, dass die jeweils für drei Jahre vorgesehene Bestellung die Meldepflicht von Datenanwendungen ersetzen soll. Sofern also ein Datenschutzbeauftragter zur Kontrolle der Datenanwendungen eines Unternehmens bestellt wird, wäre dieses Unternehmen von der Meldepflicht seiner Datenanwendungen befreit. Insbesondere für größere Unternehmen mit einer Vielzahl von meldepflichtigen Datenanwendungen könnte dies eine erhebliche Erleichterung darstellen

MAGERL: Danke Daniela für das Stichwort. Für Konzerne soll es zukünftig auch erste Erleichterungen geben: bislang besteht ja für eine Vielzahl von im Konzern durchaus üblichen und notwendigen Datentransfers Melde- bzw Genehmigungspflicht. Dies führt zu erheblichem Administrationsaufwand und damit Kosten. Insbesondere bei Genehmigungserfordernissen muss man zum Teil beträchtliche Projektverzögerungen einkalkulieren. Eine Verfahrensdauer von 6-12 Monaten ist aufgrund der Unterbesetzung der Datenschutzkommission durchaus realistisch. Durch die geplante neue Standardanwendung „SA033 Datenübermittlung im Konzern“ wären weltweite Datentransfers im Konzern in zahlreichen Bereichen genehmigungsfrei. Bislang immer noch ungelöst bleibt allerdings das Thema Datentransfers im Rahmen einer Matrixorganisation mit international aufgeteilten Fachbereichszuständigkeiten, wie beispielsweise im HR-Bereich.

Machen wir noch einen Blick nach Brüssel, der Entwurf für eine Datenschutz-Grundverordnung wurde bereits präsentiert. Womit müssen – oder dürfen – die Unternehmer über kurz oder lang rechnen?

KRÖLL: Die Reduktion von Verwaltungsaufwand und Kosten für Unternehmen ist ein erklärtes Ziel der geplanten europäischen Datenschutz-Grundverordnung. Meldepflichten sollen demnach ganz entfallen und ein One-Stop-Shop geschaffen werden, in dem internationale Unternehmen nur mehr die Datenschutzbehörde ihres jeweiligen Sitz-Staates in der EU als alleinigen Ansprechpartner hätten. Die geplante Datenschutz-Grundverordnung sieht aber auch umfassende Pflichtenerweiterungen für Unternehmen vor, etwa die verpflichtende Einführung eines Datenschutzbeauftragten für Unternehmen mit mehr als 250 Mitarbeitern sowie umfassende Dokumentationspflichten. Für bestimmte Verarbeitungsvorgänge wäre die Durchführung einer Datenschutz-Folgeabschätzung und/oder die Einholung einer Genehmigung der Aufsichtsbehörde erforderlich. Weiters würden neue Grundsätze zur datenschutzfreundlichen Ausgestaltung der Datenverarbeitung wie „Privacy by Design“ oder „Privacy by Default“) eingeführt werden.
MAGERL: Die Änderungen durch die Datenschutz-Grundverordnung wären somit jedenfalls massiv. Ob sie wirklich nur Erleichterungen für Unternehmen bringen würde, ist mehr als fraglich.

Danke für das Interview.

www.haslinger-nagele.com

Das Interview führte Mag. Walter J. Sieberer

Foto: Walter J. Sieberer

Flower