Datenschutz Grundverordnung 2018 – was kommt da?

Noch ist sie nicht in aller Munde, doch Unternehmen sollten sich allmählich sputen, vor allem wenn sie mit Kundendaten hantieren. Gemeint ist die ab Anfang 2018 in Kraft tretende Datenschutz-Grundverordnung. Noch nie gehört? Dann wird es allerhöchste Eisenbahn, denn viel Zeit bleibt nicht mehr sich darauf vorzubereiten. Änderungen treffen im Speziellen all diejenigen Unternehmen, die Umgang mit Kundendaten pflegen und Fauxpas dann mit empfindlichen Strafen belegt sind. Aber zuerst an den Anfang zurück. Bereits seit drei Jahren verhandeln die Vertreter der Europäischen Union über eine EU-weit geltende Regelung zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten.

Ziel der DS_GVO

Erklärtes Ziel & Zweck ist es u.a. eine „Harmonisierung der Vorschriften zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Datenverarbeitung sowie die Gewährleistung des freien Verkehrs personenbezogener Daten zwischen den Mitgliedstaaten“ herzustellen. Das besondere an dieser Rechtsvorschrift, im Gegensatz zu anderen EU Verordnungen ist, dass einzelne Mitgliedsstaaten den Datenschutz nicht durch nationale Ratifizierungsverfahren abschwächen oder verstärken dürfen. Dennoch können aber geringe Abweichungen durch nationale Gesetzgebungsverfahren erreicht werden, um diese an nationales Recht anzupassen. Das bedeutet auch, dass ein Blick bzgl. Gesetzgebung nach Deutschland sich durchaus lohnen kann, aber nicht immer auf Österreich anzuwenden ist. Das sollte in jedem Fall bedacht werden. Fahren wir nun weiter fort.

Was wird geregelt

Die Verordnung regelt unter anderem die Rechtsgrundlagen der Datenverarbeitung, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Die bereits geltenden Betroffenenrechte werden erweitert und um neue Rechte ergänzt. Herausgekommen ist dabei am 04.Mai 2016 die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates.

Wen betrifft die Datenschutz-Grundverordnung?

Soweit betrifft die Datenschutz-Grundverordnung alle Unternehmen, die in irgendeiner Art und Weise personenbezogene Daten erfassen oder aber verarbeiten. Im Folgenden möchten wir uns den Neuerungen widmen, die im Speziellen auf uns Dienstleister bzw. Auftragsverarbeiter und die Kunden zukommen werden. Dabei sollen auch mögliche Stolpersteine aufgezeigt werden.

An dieser Stelle sei erwähnt, dass zur endgültigen Absicherung immer juristischer Rat mit einzubeziehen ist und die gemachten Angaben & Recherchen mit bestem Gewissen angefertigt wurden, jedoch ohne Gewähr sind. Waren die bisherigen Strafen für Unternehmen bspw. im Sinne einer nicht zeitgerechten Beauskunftung oder Richtigstellung. überschaubar, werden diese in Zukunft wesentlich empfindlicher sein. Der Strafrahmen sieht Strafen von bis zu 20 Millionen Euro bzw. 4 % des Unternehmensumsatz vor. Kein kleiner Pappenstiel möchten wir meinen zumal davon auszugehen ist, dass direkt nach in Kraft treten der Verordnung auch die ersten Abmahnungen folgenden werden.

Einwilligung

Die Datenschutz-Grundverordnung ist als ein sogenanntes Verbotsgesetz mit Erlaubnisvorbehalt verfasst. Das heisst, der Umgang mit persönlichen Daten ist grundsätzlich erstmal einmal untersagt, es sei denn eine gesetzliche Vorschrift erlaubt dies oder aber die Erlaubnis des Betroffenen liegt vor bzw wurde eingeholt.

Höchst umstritten ist jedoch die Frage, wie eine korrekte Einwilligung auszusehen hat und immer noch Gegenstand vieler Diskussionen.

Unter Ziffer 32 ff. ((EU) 2016/679) werden Szenarien der Einwilligung beschrieben. Festzuhalten ist, dass die Einwilligung eindeutig, freiwillig, zum konkreten Fall, informiert und unmissverständlich sein muss. Daraus ergibt sich beispielsweise, dass eine Checkbox (im Dokument Kästchen genannt) zwar zulässig ist, jedoch nicht die Vorauswahl dieser. Ebenso ist eine Einwilligung, die unfreiwillig bzw. durch Untätigkeit erteilt wurde ungültig. Ein User muss also immer klar und unmissverständlich auf die Verwendung seiner Daten hingewiesen werden. Für uns stellt sich hingegen auch die Frage, ob die Datenverarbeitung direkt im Vertrag bzw. den AGBs festgehalten werden kann um sich dadurch in einem rechtssicheren Rahmen zu bewegen. Eins vorweg: Gefährlich und höchst umstritten.

Diskussion des sogenannten Koppelungsverbot

Dürager & Kotschy konstatieren, dass durchaus Zweifel an der Freiwilligkeit entstehen, wenn Zustimmungsklauseln zur Datenverwendung zusammen mit anderen Klauseln einer gemeinsamen Zustimmungserklärung unterworfen werden, ohne dass der Betroffene unter den Klauseln auswählen kann. Diese Problematik stellt sich laut den Autoren regelmäßig im Zusammenhang mit Verträgen in Form von Allgemeinen Geschäftsbedingungen (AGBs), wenn der Betroffene spezielle Datenverwendungsklauseln – nach Willen des anderen Vertragspartners – nicht streichen kann. (NEUERUNGEN ZUR ZUSTIMMUNG (EINWILLIGUNG ) NACH DER DS-GVO Debattenbeitrag zur Datenschutz-Grundverordnung) Für die Praxis ergeben sich laut Dürager & Kotschy ( S.9ff ) weitere Unsicherheiten, da keine Anhaltspunkte geliefert werden, wann Situationen vorliegen, in welchen Koppelung doch zulässig sein könnte, weil an der Freiwilligkeit der Zustimmung nicht zu zweifeln ist.

Die Autoren diskutieren durchaus einen für uns und unsere Kunden wichtigen Fragenkomplex mit praktischer Relevanz, in Zusammenhang mit Marketing-Anwendungen. Sie werfen u.a. die Frage auf, ob Grenzen für einen „Grundrechtsverzicht gegen Entgelt besteht oder ob die Freiheit der Vertragsgestaltung überwiegt. Dies wäre beispielsweise der Fall, wenn man einem Nutzer vor die Wahl stellt, Leistungen gegen Entgelt zu gewähren oder aber die Bezahlung anhand der Verarbeitung der Daten zulässig ist. Leider können hier, mit gänzlicher Sicherheit noch keine Antworten geliefert werden und uns bleibt an dieser Stelle nur die Möglichkeit, weitere Urteile etc. abzuwarten.

Verarbeitung von Daten durch berechtigte Interessen

Unmittelbar für uns ebenfalls interessant ist Ziffer 47. In diesem Passus werden berechtigte Interessen zwischen Verarbeiter und Betroffenen beschrieben sowie auch das Kundenverhältnis tangier. Dabei lautet ein Passus wie folgt: „Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.“ Im Passus selbst werden jedoch Grundfreiheiten des Betroffenen höher gewichtet, als die Interessen des Verarbeitenden.

Am Schluss ist folgender Satz zu finden: „Die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung kann als eine einem berechtigten Interesse dienende Verarbeitung betrachtet werden.“ Daraus kann gefolgert werden, dass sofern die Einwilligung zur weiteren Verarbeitung s.o. gegeben ist, dürfen beispielsweise Newsletter an Kunden verschickt werden. Sofern eine ordentliche An- bzw. Abmeldung (opt-in/ opt-out) Möglichkeit gegeben ist. (S. 111 ((2012/0011 (COD))

Obwohl die Grundlage in dieser Angelegenheit sehr schwammig ist und auch kein opt-in denkbar wäre, sollte man, um auf der sicheren Seite zu bleiben, immer ein opt-in anbieten. Selbst um den Nachweispflichten gerecht zu werden. Da das Thema doch sehr umfangreich und komplex ist, werden wir uns im weiteren Artikel über die Nachweispflichten unterhalten und weitere Ausblicke auf diese bevorstehende Novelle.

Exkurs: Datenschutzbehörde Österreich

Auf der Website der Datenschutzbehörde der Republik Österreich finden sich in aktueller Version alle relevanten, für Österreich geltende, Gesetzestexte. Zur weiteren Vertiefung immer einen Blick wert.

UNESCO Biosphärenpark Wienerwald setzt auf Digitale Expertise von Zensations

Der Biosphärenpark Wienerwald versteht sich als Modellregion für nachhaltiges Leben, Wirtschaften, Bilden und Forschen. Um der Rolle als UNESCO Modellregion gerecht zu werden sowie die Themen bestmöglich aufzubereiten und zu kommunizieren, wurde die Website www.bpww.at einem Relaunch unterzogen. Für die Umsetzung des Projektes setzte man dabei auf die Expertise und das Know-How der Wiener Digitalagentur Zensations GmbH.

Garantierte Barrierefreiheit nach WCAG 2.0

Im Fokus der Umsetzung lagen dabei ganz klar die barrierefreie Zugänglichkeit der Inhalte, die Möglichkeit, durch reichhaltige Bilderwelten zu emotionalisieren, sowie die Weiterentwicklung der Seite durch eine flexible und open source basierte Systemlandschaft zu garantieren. Durch eine komplette Neukonzeption der Seitenstruktur und der damit verbundenen Inhalte wurde eine Möglichkeit geschaffen, die hetereogenen Besuchergruppen bestmöglich zu bedienen, die User Experience zu steigern sowie damit einhergehend neue Zielgruppen zu erschließen. Neben Themen wie Forschung, Bildung oder allgemeinen Informationen zur Region gibt es auch Informationen zu Freizeitangeboten wie etwa Mountainbikestrecken, Wanderrouten oder Kulturveranstaltungen. Ein Eventkalender rundet das Informationsangebot ab.

Die Website wurde auf Basis der WCAG 2.0 Level AA Erfolgskriterien barrierefrei gestaltet, wodurch Menschen mit audio-visuellen oder motorischen Einschränkungen optimal durch die Seite navigieren bzw. sämtliche Informationen konsumieren können. “Durch die Einbindung unserer A11y Toolbar mit zusätzlichen Farbinvertierungen schaffen wir eine Möglichkeit der Individualisierung für sehbeeinträchtigte Menschen, die ihr eigenes Device gerade nicht benutzen können. Es freut uns, dass diese Funktion bei unseren Kunden so großen Anklang findet, obwohl dies nicht von der W3C gefordert wird.” zeigt sich Wolfgang Leitner, Managing Partner bei Zensations, begeistert.

Eine Schlüsselrolle des neuen Online-Auftrittes nehmen die Partner des Biosphärenparks Wienerwald ein. Diese setzen sich neben den 51 Niederösterreichischen Gemeinden und 7 Wiener Gemeindebezirken auch aus einer Vielzahl an Betrieben der Region zusammen. Diese tragen durch deren gemeinsames Wirken und ihre Ausrichtung auf Nachhaltigkeit in den Bereichen Ökologie, Ökonomie, Soziales und Kulturelles essentiell dazu bei, den Wienerwald für nachfolgende Generationen zu erhalten. „Durch den Relaunch entspricht die Website des Biosphärenpark Wienerwald den modernsten Anforderungen. Es ist uns gelungen sowohl die Inhalte des Biosphärenparks als auch die Region Wienerwald übersichtlich zu gestalten und zu präsentieren. Besonders wichtig ist uns, dass alle Interessierten die Website besuchen können. Wir bedanken uns bei Zensations für die gute Zusammenarbeit und Umsetzung“, so Biosphärenpark Direktor Dr. Herbert Greisberger.

Die technische Umsetzung der Website basiert auf der neuesten Version des Open Source Content Management Systems Drupal. Mit der Version 8 wurde die gesamte Architektur des CMS geändert, wodurch ein Meilenstein in Hinblick auf Performance, Sicherheit und Flexibilität erreicht wurde. Als Tool für die Implementierung der Maps wurde OpenLayers 3 verwendet. Für die optimale Auffindbarkeit sämtlicher Inhalte wurde Wert auf eine intuitive Navigation gelegt und eine Volltextsuche unter Anbindung eines Suchservers (Solr) implementiert.

Zur Website