Erleichterungen bei der Datenlöschung und für Onlineshops: Ein Kommentar zum österreichischen Begleitgesetz zur EU-DGSVO von Rainer Knyrim und Tobias Tretzmüller von Knyrim Trieb Rechtsanwälte.
Am 25. Mai 2018 wird die Datenschutzgrundverordnung, ein Rechtsakt der Europäischen Union, anwendbares Recht sein. Mit Geltung dieser Verordnung wird das Datenschutzrecht endgültig auf ein neues Niveau gehievt. Auf jedes Unternehmen, das Daten verarbeitet, kommen neue gesetzliche Verpflichtungen, wie beispielsweise die Führung eines Verarbeitungsverzeichnisses, in welchem sämtliche Datenverarbeitungen im Unternehmen zu dokumentieren sind, zu. Hält sich der Datenverarbeiter nicht an diese Bestimmungen, drohen mitunter drakonische Geldbußen und Schadenersatzansprüche.
»Flankierend«, also in einzelnen Punkten ergänzend und konkretisierend zur Datenschutzgrundverordnung, hat der österreichische Gesetzgeber das Datenschutzgesetz umfassend novelliert, das ebenfalls im Mai des nächsten Jahres in Kraft treten wird.
Das neue Datenschutzgesetz berücksichtigt, dass die Löschung aus Backups technisch oftmals ein unüberwindbares Problem darstellt. Daher hat der Gesetzgeber normiert, dass, sofern die Löschung von Daten aus wirtschaftlichen oder technischen Gründen nicht unverzüglich bewerkstelligt werden kann, diese Daten zumindest nicht verarbeitet werden dürfen. Das »datenschutzrechtliche Kindesalter« wurde von 16 auf 14 Jahre herabgesetzt, was vor allem für Online-Shops eine Erleichterung bedeutet. Die Betreiber der Online-Shops werden sich aber zu vergewissern haben, ob der Käufer oder Nutzer die datenschutzrechtliche Altersgrenze überschreitet. Hinsichtlich der Verarbeitung von Fotos und Videos sieht das neue Datenschutzgesetz detaillierte Regelungen vor. Eine Bildaufnahme soll unter anderem nur dann zulässig sein, wenn die betroffene Person der Bildaufnahme zugestimmt hat oder wenn im Einzelfall ein überwiegendes Interesse des Aufnehmenden besteht und die Verhältnismäßigkeit gewahrt ist.
Klargestellt wird, dass die Datenschutzbehörde jene Instanz sein wird, welche die Geldbußen von bis zu 20 Millionen Euro oder vier Prozent des weltweiten Konzernumsatzes verhängen wird. Diese Geldbußen können grundsätzlich gegenüber natürlichen und juristischen Personen verhängt werden. Hervorgehoben wird auch, dass über Behörden und öffentliche Stellen keine Geldbußen ausgesprochen werden können. Für Eingaben bei der Datenschutzbehörde werden keine Verwaltungsangaben anfallen. Jede Person, der durch eine Datenverletzung ein Schaden – wenn auch »bloß« immaterieller Natur – entstanden ist, kann Schadenersatz vom Datenverarbeiter begehren. Sogenannte Datenschutz-NGOs können mit der gerichtlichen Geltendmachung der Schadenersatzansprüche beauftragt werden. Das Datenverarbeitungsregister wird abgeschafft werden und durch ein Verarbeitungsverzeichnis, welches die Unternehmer selbstständig zu führen haben, ersetzt. Rechtskräftig erteilte Genehmigungen der Datenschutzbehörde und Zustimmungserklärungen bleiben aufrecht, wenn sie den – teilweise verschärften – Vorgaben der DSGVO entsprechen.
Zusammenfassend hat der Gesetzgeber die Datenschutzgrundverordnung in praktisch wichtigen Punkten konkretisiert und für Unternehmer etwas liberalisiert, wobei der Umsetzung vieler Aspekte noch mit Spannung entgegengesehen werden muss.
Über die Autoren
Dr. Rainer Knyrim ist Datenschutzexperte, Chefredakteur der Zeitschrift Datenschutz konkret und zertifizierter Experte für das Europäische Datenschutzsiegel EuroPriSe. Er gründete mit Dr. Gerald Trieb im Jänner 2017 die auf IT- und Datenschutzrecht spezialisierte Kanzlei Knyrim Trieb Rechtsanwälte. Dr. Tobias Tretzmüller ist seit April 2017 Rechtsanwaltsanwärter bei Knyrim Trieb Rechtsanwälte.