Bald steht „nur mehr“ die natürliche Person im Schutz der europäischen DatenschutzVO.

Ein 116 Seiten starkes Dokument, das am 29.11.2011 im Internet aufgetaucht ist, dürfte die vorläufige Endfassung der für den 25.1.2012 angekündigten „DatenchutzVO“ sein, die in den einzelnen Mitgliedstaaten direkt anwendbar sein wird. Die Kommission betonte jedoch, dass dieser Vorschlag noch vor Annahme Änderungen unterliegen kann.

Diese Verordnung bringt auch Neuerungen für österreichische Unternehmen, die wir Ihnen in Kürze genauer darstellen werden. Einige wesentliche Punkte jedoch vorweg:

Die Definition von personenbezogenen Daten, wie dies das österreichische Datenschutzgesetz derzeit vornimmt, wird eingeschränkt. Die „personenbezogenen Daten“ von juristischen Personen stehen nicht unter dem „Schutz“ der Verordnung, wie sie derzeit unter dem Schutz des DSG stehen. Der Personenbezug bzw. der Verweis auf das „data subject“ bezieht sich auf die Daten von natürlichen Personen.

Das „data subject“ wird wie folgt definiert: 'data subject' means an identified natural person or a natural person who can be identified, directly or indirectly, by means reasonably likely to be used by the controller or by any other natural or legal person, in particular by reference to an identification number, location data, online identifier or to one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that person.

Es geht daher um einen direkten Personenbezug, jedoch auch um einen indirekten Personenbezug, sofern die Person von irgendjemanden (auf legale Art und Weise) identifiziert werden kann. Dies entspricht nicht den „indirekt personenbezogenen Daten“ des österreichischen DSG, denn diese können verwendet werden, solange der Auftraggeber selbst nicht in der Lage ist, den Personenbezug (auf legale Art und Weise) herzustellen.

Ein weiteres vorweg gesagt:

Der „betriebliche Datenschutzbeauftragte“ (im englischen Text: data protection officer) kommt für den öffentlichen Sektor und „größere Unternehmen“, nämlich Unternehmen, die mehr als 250 Arbeitnehmer beschäftigen, sowie in den Fällen, bei denen das Kerngeschäft des Auftraggebers (oder Dienstleisters) in der Datenverarbeitung besteht, die aufgrund ihrer Natur, ihres Umfanges und/oder des Zweckes dauernde und systematische Überprüfungen erfordern.

Klargestellt wird in diesem Zusammenhang auch, dass der Datenschutzbeauftragte für den Zeitraum von zwei Jahren bestellt werden soll, und es möglich ist, einen Angestellten oder auch eine externe Person als Datenschutzbeauftragten zu beschäftigen, wobei auf Interessenskonflikte Rücksicht zu nehmen ist.

Der Datenschutzbeauftragte ist den Betroffenen auch bekannt zu geben, und diese haben das Recht, mit ihm in Kontakt zu treten.

Die Aufgaben des Datenschutzbeauftragten umfassen u.a. die Information und Beratung des Auftraggebers in Bezug auf die Verpflichtungen, die sich aus der Verordnung ergeben sowie die Dokumentation seiner Tätigkeit sowie auch die Überwachung und Implementierung einer Datenschutzpolicy in Bezug auf die Verwendung von personenbezogenen Daten. Er agiert auch als Kontaktperson zu den Datenschutzbehörden.

Auch die Rechte des Betroffenen werden gestärkt bzw. neu gefasst.

Der Betroffene wird u.a. auch das Recht erhalten, eine Kopie der über ihn gespeicherten personenbezogenen Daten in allgemeinüblicher elektronischer Form zu erhalten. Dieses Recht wird sicherzustellen sein, und zwar nicht nur von „größeren Unternehmen“, die einen „data protection officer“ bestellen müssen, sondern von allen Unternehmen, die personenbezogene Daten verarbeiten. Hier ist dann darauf zu achten, dass das Datenschutzinteresse von dritten Personen nicht verletzt wird, wenn diese Kopie der personenbezogenen Daten an den Betroffenen herausgegeben wird.

Es wird weiters ein Recht des Betroffenen vorgesehen, seine personenbezogenen Daten transferieren zu lassen, z.B. aus einem Sozialen Netzwerk in ein anderes. Es bleibt spannend, wie sich dieses Recht auf Datenportabilität auswirken wird, wenn man bedenkt, dass große soziale Netzwerke diese Daten als „Betriebsgeheimnis“ ansehen. 

Die angedrohten Strafen liegen in weiten Bereichen über dem Niveau der derzeitigen Strafdrohungen im österreichischen DSG.

Unsere Kanzlei steht zur Vorbereitung der Umsetzung der Neuregelung zur Verfügung und ist auch bereit, die Position eines Datenschutzbeauftragten als externer Berater zu übernehmen.