Seit mittlerweile einem Jahr gilt in Österreich (und der gesamten Europäischen Union) die Datenschutz-Grundverordnung (DSGVO) statt dem alten Datenschutzgesetz (DSG 2000). Nach einer anfänglichen Welle an Medienberichten über die neue Verordnung ist das Echo mittlerweile etwas abgeflaut.

Aber was hat sich nun geändert, und auf was müssen wir uns noch vorbereiten? Wir haben für Sie in diesem Artikel ein paar wichtige Informationen zusammengetragen.

Lesezeit: 3 Minuten

Ein Jahr DSGVO: Was ist neu, was hat sich geändert?
Ein Jahr DSGVO: Was ist neu, was hat sich geändert?

Welche Datenschutzfälle haben Aufsehen erregt?

Der medien-wirksamste Fall hierzulande im Bereich des Datenschutzes seit Inkrafttreten der DSGVO betrifft die österreichische Post. Für all jene, an denen die Situation vorbeigegangen ist, hier eine kurze Zusammenfassung:

Die österreichische Post hat in Zusammenhang mit Partnerunternehmen (vermeintlich) veröffentlichte Daten, die in ihren Besitz gelangt sind, verarbeitet und zu profilen der betroffenen Personen zusammengefasst. Das Sammeln sowie die Verarbeitung von veröffentlichten Daten ist grundsätzlich kein Problem. Was die Situation aber interessant macht, ist die Zusammenfassung von personenbezogenen Daten (welche auch politische Vorlieben und damit besondere Datenkategorien umfasst). Dieses „Profiling“ unterliegt besonderen Schutzbestimmungen. So regelt Artikel 4 beispielsweise eine gesetzliche Grundlage hierfür (wie beispielsweise beim Kreditschutzverband) oder eine ausdrückliche Zustimmung der Betroffenen, welche offensichtlich nicht eingeholt wurde, notwendig. Zu diesem Fall gibt es zwar noch keinen Rechtsspruch seitens der Datenschutzbehörde, die gefällte Entscheidung wird aber wohl richtungsweisend hinsichtlich zukünftiger Entscheidungen sein. Falls Sie sich genauer über diesen Fall informieren wollen, finden Sie bei addendum eine ausführliche Berichterstattung mit allen bekannten Fakten.

Während sich in Österreich noch nicht viel in Sachen Rechtssprüche getan hat, hatten unsere Nachbarn in Deutschland bereits ihren ersten Aufsehen-erregenden Rechtsspruch zu verbuchen. Ein kleines, auf Imageberatungen spezialisiertes Unternehmen aus Hamburg hatte das Problem, dass ein Auftragsdatenverarbeiter aus Spanien nicht gewillt war, einen entsprechenden Vertrag zu unterzeichnen. Nach Anfrage bei der Datenschutzbehörde und einer Auskunft, dass auch der Auftraggeber verantwortlich für die Bereitstellung eines solchen Vertrags sei, wurde in weiterer Folge das Unternehmen mit einer Strafe von 5.000€ belegt. Dieses Beispiel ist vor allem deshalb interessant, weil Sie als Unternehmen nicht nur Ihrer eigenen Datenschutzbehörde unterworfen sind, sondern auch den Aufsichtsbehörden in den Heimatländern Ihrer Kunden.

Wie fleißig war die Datenschutzbehörde?

Auch wenn wir bisher noch keine schockierenden Entscheidungen in den Medien hatten, war die Datenschutzbehörde alles andere als untätig. Laut dem Datenschutzbericht 2018 sind im vergangenen Jahr 1.036 Individualbeschwerden eingegangen (vgl. 2016: 180, 2017: 156) von denen 509 abgewickelt wurden (2016: 173, 2017: 170). Die Datenschutzbehörde ist also momentan hauptsächlich damit beschäftigt, die Flut an Beschwerden abzuarbeiten, die das neue Gesetz mit sich gebracht hat. Dabei geht sie – zumindest vorerst – größtenteils gemäß der Vorgabe „beraten statt strafen“ der Bundesregierung vor, und erlässt Bescheide zur Ausbesserung sofern es sich um keine vorsätzlichen Rechtsbrüche handelt. Ebenso gibt es bereits einige Schuldsprüche bezüglich Videoüberwachung. Dieser Bereich dürfte also ein Schwerpunkt in den vergangenen Monaten gewesen sein.

War die ganze Hysterie also umsonst?

Ja und nein. Dass die Hysterie einiger Unternehmer von Beginn an übertrieben sein würde, war so von vornherein zu erwarten. Dass die DSGVO aber früher oder später definitiv zu einem Problem für Unternehmen wird, welche den Datenschutz „nicht so ernst nehmen“, ist auch klar.

Auch wenn es bisher noch keine abschreckenden Bescheide in Österreich gibt, zeigen Fälle in anderen Ländern der europäischen Union (die Sie beachten müssen, sofern Sie EU-Bürger bedienen oder deren Daten verarbeiten), dass Strafen durchaus teuer werden können. Ebenso ist eher nicht davon auszugehen, dass die Datenschutzbehörde ihren aktuellen, eher defensiven Kurs ewig beibehält. Und sobald die Behörde tatsächlich beginnt, den Strafrahmen annähernd zu nutzen, sind Sie definitiv mit einem stabil aufgestellten Datenschutzkonzept sehr gut bedient.

Sollten Sie Interesse an einer Verbesserung des Datenschutzes in Ihrem Unternehmen haben, stellen wir als geprüfte Datenschutzexperten Ihnen unsere Datenschutz-Checkliste zur ersten Überprüfung Ihres Iszustand zur Verfügung. Sollten Sie weitere Fragen haben oder Hilfe bei der Umsetzung benötigen, stehen wir Ihnen natürlich gerne mit Rat und Tat zur Seite.

Weitere spannende Inhalte zum Thema Datenschutz finden Sie in diesen Artikeln: