Schlagwort: Meldepflicht

Österreichischer Entwurf zum Datenschutz-Anpassungsgesetz im Interesse eines unionseinheitlichen Datenschutzrechts

9. Juni 2017

Mit dem Entwurf des Datenschutz-Anpassungsgesetzes 2018 zur Datenschutz-Grundverordnung (DSGVO) wird das veraltete Melde- und Genehmigungssystem der österreichischen Datenschutzbehörden durch ein Selbstvewertungssystem abgelöst. Aus Unternehmensperspektive wird der Fokus fortan vermehrt auf datenschutzrechtlichen Compliancefragen liegen. Die Datenschutzbehörde wird dabei die Kontroll- und Sanktionsfunktion zur Einhaltung der datenschutzrechtlichen Vorgaben wahrnehmen. Besonders auffallend ist bei dem österreichischen Entwurf, im Vergleich zu anderen Unionsländern, dass ein nur zurückhaltender Gebrauch von den Öffnungsklauseln gemacht wird. Damit erfüllt der Entwurf zwar einerseits nur die Minimalvorgaben der DSGVO, andererseits ist er damit aus europäischer Perspektive durchaus zielführend, da er zu einem einheitlichen Datenschutzrecht beiträgt.

Vor dem Hintergrund der Nutzung der eingeräumten Öffnungsklauseln war insbesondere bisher unklar, inwieweit  Österreich diese Gestaltungsspielräume im Hinblick auf eine Pflicht der Unternehmen zur Bestellung eines Datenschutzbeauftragten wahrnehmen wird. Mit der Vorlage des Entwurfes wird nun deutlich, dass sich daraus keine weiter reichenden Verpflichtungen zur Bestellung eines externen Datenschutzbeauftragten, als durch die DSGVO nach Maßgabe des Art. 37 Abs. 5 und 7 DSGVO ohnehin vorgegeben, ergeben. Grund dafür ist wohl auch, dass die Wirtschaftskammer sich bisher vehement dagegen ausgesprochen hatte, dass weitere Belastungen für Unternehmen geschaffen werden. Dies bedeuted jedoch nicht, dass die Unternhemen, die nach der DSGVO nicht verpflichtet sind einen Datenschutzbeauftragten zu bestellen, zukünftg nicht auch trotzdem die datenschutzrechtlichen Vorgaben einhalten müssen. Vielmehr tragen dabei die Verantwortlichen das Risiko, dass Verstöße gegen die DSGVO zu horrenden Bußgeldern führen können. Aus diesem Grund ist den Unternehmen durchaus zu raten, sich bei der unternehmensinternen Implementierung, bzw. bei der Anpassung der bestehenden datenschutzrechtlichen Standards an die DSGVO, von fachkundigen Datenschutzbeauftragten unterstützen zu lassen. Nennenswert ist in diesem Zusammenhang auch die für die Datenschutzbeauftragten geltende Verschwiegenheitspflicht und das Aussageverweigerungsrecht nach § 5 des Entwurfes. Danach ist der Datenschutzbeauftragte, wenn er nicht bereits an berufliche Geheimhaltungsregelungen gebunden ist, bei der Erfüllung seiner Aufgaben stets an Geheimhaltung und Vertraulichkeit gebunden. Soweit ihn die betroffene Person nicht davon befreit, ist er damit auch zur Verschwiegenheit über die Identität der betroffenen Person und über Umstände, die Rückschlüsse auf diese zulassen, verpflichtet.

In § 19 des Entwurfes wird klargestellt, dass die Datenschutzbehörde Geldbußen von bis zu 20 Millionen Euro oder 4% des weltweiten Konzernumsatzes verhängen kann. Danach können erstens Geldbußen gegen das Unternehmen selbst, als juristische Person verhängt werden, wenn eine Person, die eine Führungsposition innerhalb des Unternehmens innehat, gegen Datenschutzrecht verstößt. Zweitens können Geldbußen gegen das Unternehmen wegen Überwachungs-und Kontrollversagen verhängt werden, d.h., wenn eine Führungskraft ihren Aufsichtspflichten nicht nachgekommen ist und dadurch ein Verstoß durch eine für das Unternehmen tätige Person ermöglicht wurde. Dies ist zum Beispiel dann der Fall, wenn ein Mitarbeiter eines Unternehmens Datenschutzrecht aufgrund der fehlenden Implementierung eines Datenschutz-Kontroll- oder -Managementsystems, verletzt. Drittens kann nach § 19 des Entwurfes auch ein für den Datenschutzbereich Verantwortlicher persönlich bestraft werden. Da die DSGVO jedoch nur das Unternehmen bestrafen will, ist diese Regelung nicht datenschutzrechtskonform ausgestaltet. Die Konformität mit der DSGVO versucht der Entwurf jedoch wieder herzustellen, indem er vorsieht, dass die Datenschutzbehörde in dem Fall von einer Bestrafung der natürlichen Person absehen kann, wenn gegen das Unternehmen bereits eine Strafe verhängt wird und keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen. Letzteres ist dann der Fall, wenn dem Beauftragten kein persönlicher Vorwurf gemacht werden kann.

Der für den Datenschutzbereich Verantwortliche ist jedoch nicht mit dem Datenschutzbeauftragten gleichzusetzen. Letzterer wird nach dem Entwurf nicht durch die Auferlegung von Geldbußen zur Verantwortung gezogen, wenn das Unternehmen gegen Datenschutzrecht verstößt.

Nach § 76 des Entwurfes wird die datenschutzbehördliche Meldepflicht von (automatisierten) Systemen durch die Pflicht zur Führung eines internen Verfahrensverzeichnisses ersetzt. Die Konsequenz daraus ist, dass das von der Datenschutzbehörde geführte Datenverarbeitungsregister (DVR) abgeschafft wird. Im DVR anhängige Registrierungsverfahren sind damit, ab dem 25.5.2018, als eingestellt zu betrachten. Nach dem Entwurf ist das datenschutzbehördliche DVR jedoch bis zum 31.12.2019 zu Archivzwecken fortzuführen. Die bis dahin mögliche Abrufbarkeit der Informationen im DVR, als auch die Tatsache, dass die in dem Verfahrensverzeichnis anzugebenden Informationen nahezu identisch mit den Informationen für die DVR-Meldungen sind, veranlassen jedoch dazu, dazu zu raten, dass Meldungen in das DVR weiterhin vorgenommen werden sollten. Vor diesem Hintergrund ist insbesondere darauf hinzuweisen, dass die Meldepflicht im DVR bis zum 24.5.2018 weiterhin besteht und daher jede nicht vorgenommene Meldung eines Systems bis zum 24.5.2017 eine Strafe in Höhe von 10.000 Euro nach sich ziehen kann.

Zusammenfassend wird der Stellenwert, den Österreich dem Datenschutz beimisst, bereits durch § 1 Abs. 1, dem österreichischen Grundrecht auf Datenschutz, als die den Entwurf anführende Regelung, deutlich hervorgehoben. Darüber hinaus wird dieser Stellenwert nun auch an anderen Stellen des weitestgehend DSGVO-konformen österreichischen Datenschutz-Anpassungsgesetz 2018, darunter u.a. mit den damit einhergehenden drakonischen Bußgeldern nochmals hervorgehoben und gesichert. Aus europäischer Perspektive erscheint dies, insbesondere auch aufgrund der minimalen Nutzung der DSGVO-Öffnungsklauseln, die zu einem unionseinheitlichen Datenschutzrecht beiträgt, begrüßenswert.

Deutliche Zunahme von gemeldeten Datenpannen

13. März 2017

Nach dem Tätigkeitsbericht des Bayerischen Landesamts für Datenschutzaufsicht (BayLDA), der dieser Tage veröffentlich wurde, ist die Zahl der Meldungen zu „unrechtmäßiger Kenntniserlangung von Daten“ gemäß § 42a des Bundesdatenschutzgesetzes (BDSG) stark angestiegen. Während es im Jahr 2015 nur 28 Unternehmen waren, die zu einer solchen Meldung verpflichtet gewesen waren, lag die Zahl im Jahr 2016 bei 85, allein in Bayern.

Diese Vervielfachung läge vor allem am gesteigerten Bewusstsein der Unternehmen, Datenpannen mit einem erhöhten Risiko melden zu müssen, so der Präsident des Landesamtes, Thomas Kranig. § 42 a BDSG sieht vor, dass immer dann die Meldung einer Panne verpflichtend ist, wenn die Daten wie etwa Bank- und Gesundheitsdaten als besonders sensibel gelten und wenn den Betroffenen schwerwiegende Beeinträchtigungen drohen.

Nach der Europäischen Datenschutzgrundverordnung (DSGVO), die ab 25. Mai 2018 anzuwenden sein wird, wird das Ausmaß der Meldungen weiter zunehmen. Die Schwelle für die Meldepflicht von Datenpannen wird dann deutlich herabgesetzt sein. So muss künftig jede Datenschutzverletzung gemeldet werden, wenn sie „voraussichtlich zu einem Risiko“ für die Betroffenen führen kann (Artt. 33, 34 DSGVO). Auch der Zeitpunkt der Meldung wird gesetzlich festgelegt: Die Anzeige der Datenpanne muss künftig innerhalb von 72 Stunden bei der zuständigen Aufsichtsbehörde stattfinden.

Melderegister: Lukratives Geschäft mit den Bürgerdaten

28. September 2012

Medienangaben zufolge war das Jahr 2011 ein für die großen deutschen Städte sehr erfolgreiches Jahr, soweit man die Zahl der Auskünfte und Einnahmen von Einwohnermeldedaten heranzieht. Insgesamt soll im vergangenen Jahr etwa 4,5 Millionen Auskunftsersuchen nachgekommen sein und damit über 12 Millionen Euro Umsatz gemacht worden sein, der kausal auf das Melderechtsrahmengesetz (MRRG) zurückzuführen sei.

Jeder Bürger ist nach dem MRRG verpflichtet, einen Wohnortwechsel der Meldebehörde mitzuteilen (§ 11 Abs. 1 MRRG). Die von der Meldebehörde erhobenen und gespeicherten personenbezogenen Daten sind dabei umfangreicher, als es sich auf den ersten Blick vermuten lässt. Gemäß § 2 Abs. 1 MRRG sind neben dem Namen und der Anschrift etwa auch Daten zu Geburtstag und –ort, dem ggf. vorhandenen gesetzlicher Vertreter, Staatsangehörigkeiten, der Zugehörigkeit zu einer Religionsgemeinschaft, dem Familienstand und der Familienverhältnisse gespeichert. Einen bestimmten Teil dieser Daten, namentlich den Vor- und Familiennamen, einen ggf. vorhandenen Titel sowie die Anschrift dürfen die Melderegister gemäß § 21 Abs. 1 MRRG an Unternehmen und Private herausgeben.

Davon werde rege Gebrauch gemacht. Allein Berlin soll 2011 fast 1,1 Millionen einfachen Melderegisterauskünften nachgekommen sein ,was zu Einnahmen in Höhe von  1,3 Millionen Euro geführt habe. Hamburg könne mit knapp 230.000 Auskünften sogar 1,9 Millionen Euro an Einnahmen verbuchen. Ein großer Teil der Auskunftsersuchen komme i.d.R. von Unternehmen. Genauere Angaben über das Ausmaß und die Art der übermittelten Daten sowie an welche Stellen die Daten übermittelt werden, sollen die meisten Städte jedoch nicht liefern.

Die Übermittlung der Daten durch die Meldebehörden unterliegt nicht den im Datenschutz sonst vorherrschenden Grundsätzen, nach denen eine Datenübermittlung nur dann zulässig ist, wenn der Betroffene eingewilligt hat oder enge gesetzliche Ausnahmetatbestände greifen. Möglich macht dies das MRRG. Der Betroffene kann die Übermittlung lediglich durch die in den in § 21 Abs. 5 und 7 MRRG bestimmten Fällen verhindern. Mit der Schaffung des neuen Bundesmeldegesetzes besteht nach dem aktuellen Stand der Entwurfsfassung sogar die Gefahr, dass die bisher bestehenden gering ausgeprägten Widerspruchsmöglichkeiten des Bürgers noch weiter eingeschränkt werden. Es besteht jedoch Grund zur Hoffnung, dass der Bundesrat, der dem Gesetzesentwurf zustimmen muss, das Gesetz in dieser Form nicht passieren lassen wird. In seiner Sitzung vom 21. September 2012 hat der Bundesrat dann auch die Anrufung des Vermittlungsausschusses beschlossen, so dass mit weiteren Änderungen gerechnet werden kann.

Kategorien: Allgemein
Schlagwörter: , , ,

Entwurf für Meldegesetz erlaubt Datenweitergabe

3. Juli 2012

Vergangene Woche beschloss der Bundestag einen Entwurf der Bundesregierung zur Änderung des Meldewesens, wie heise.de berichtet. Nach dem Entwurf sollen künftig sämtliche Daten der 5200 Meldeämter vernetzt werden.

Ursprünglich hatte die Bundesregierung geplant, zusammen mit der Einführung des bundesweiten Registerverbunds auch den Schutz der Daten zu stärken. Abfragen von Namen, und Anschriften sollten nur noch für Werbung und Adresshandel möglich sein, wenn der Betroffene vorher eingewilligt hat. Diese Einschränkung war besonders der Direktmarketing-, Inkassobranche und den Auskunfteien ein Dorn im Auge.

Im Beschluss nun fehlt diese Bestimmung. Meldedaten dürfen nur dann nicht für Werbung oder Adresshandel verwendet werden, wenn dieser Zweck bei der Anfrage nicht angegeben wurde oder der Betroffene Widerspruch eingelegt hat. Die Einschränkung soll jedoch nicht gelten bei Anfragen zum Zwecke des Abgleichs bereits vorhandener Daten zwecks Bestätigung oder Berichtigung.

Die Kritik gegen den beschlossenen Entwurf richtet sich vor allem gegen letztgenannte Ausnahme: Selbst der Widerspruch der Betroffenen werde wirkungslos, wenn bereits vorhandene Informationen zur ungehinderten Abfrage der Daten berechtigten. Für jede Melderegisterauskunft seien vorherige Daten nötig, jede Anfrage könne so gerechtfertigt werden.

Ein weiterer Kritikpunkt ist die nach dem Beschluss weiter bestehende Hotelmeldepflicht, die von Datenschützern als Vorratsdatenspeicherung bezeichnet wird. Auch sollen Vermieter den Ein- oder Auszug wieder bestätigen müssen. Der Bundesdatenschutzbeauftragte Peter Schaar bezeichnete den Entwurf als Rückfall hinter die geltende Gesetzeslage.

 

EU-Kommissarin fordert mehr Befugnisse für Datenschutzbehörden

30. November 2011

EU-Justizkommissarin Viviane Reding forderte in einer Rede am Montag in Brüssel deutlich mehr Befugnisse für Datenschutzbehörden in der Europäischen Union. Um den Datenschutz in allen 27 Mitgliedsstaaten wirksamer durchzusetzen, reichten aber nicht allein vermehrte Kompetenzen – auch verstärkte Ressourcen seien nötig für die Behörden, wird Reding in Medienberichten zitiert. Reding forderte Rechtssicherheit und Gleichbehandlung für alle Wirtschaftszweige, in denen personenbezogene Daten geschützt werden müssen.

Im vergangenen Jahr hatte Reding eine Neuauflage der inzwischen 16 Jahre alten EU-Datenschutzrichtlinien angekündigt. Online-Werbung und Social Networks stehen dabei im Fokus, es sollen strengere Sanktionen und eine Klagemöglichkeit für Verbraucherschützer eingeführt werden.

Die Neuregelung soll der Vereinheitlichung des Datenschutzrechts dienen. Durch die 27 unterschiedlichen Datenschutzregeln in der EU entstünden Unternehmen Kosten von bis zu geschätzten 2,3 Milliarden Euro pro Jahr. Verstärkte Koordination und Kooperation zwischen den nationalen Datenschutzbehörden würde eine flächendeckende Durchsetzung des Datenschutzes sicherstellen.

Wieder im Gespräch ist der Plan der EU-Kommissarin, eine grundsätzliche Meldepflicht für Datenschutzverstöße einzuführen. Aktuelle Skandale wie der Einbruch in das PlayStation Netzwerk bei Sony würden das Vertrauen der Verbraucher erschüttern, Gegenmaßnahmen zum Vertrauensaufbau durch Informationspflichten seien dringend notwendig. (ssc)

Weiteren Veröffentlichungen kann entnommen werden, dass in der Neufassung der Richtlinie auch das Recht, vergessen zu werden, verankert werden soll. Auch die Sanktionsmöglichkeiten der Datenschutzbehörden sollen stark aufgewertet werden. So soll es möglich sein, bei Verstößen gegen die EU-Datenschutzrichtlinie Geldstrafen in der Höhe von bis zu 5% des weltweiten Jahresumsatzes des Unternehmens zu verhängen.  (se)

 

EU erwägt striktere Meldepflicht bei Datenschutzverstößen

15. Juli 2011

Die Europäische Kommission untersucht derzeit, ob zusätzliche Regelungen hinsichtlich der Meldepflicht bei Datenschutzverstößen notwendig sind.

Insbesondere Telekommunikationsanbietern und Internet Service Providern stehe eine große Menge an Kundendaten zur Verfügung, worunter regelmäßig auch die Bankverbindung falle.

Zwar verlangt die EG-Datenschutzrichtlinie bereits in ihrer derzeitigen Fassung eine Selbstanzeige gegenüber den Betroffenen und den jeweiligen nationalen Aufsichtsbehörden, sobald personenbezogene Daten Dritten unrechtmäßig zur Kenntnis gelangen oder gestohlen werden.

Dessen ungeachtet hat Neelie Kroes, EU-Kommissarin für die „Digitale Agenda“, am Donnerstag bekannt gegeben, dass Sie eine öffentliche Konsultation angeregt hat, um festzustellen, ob konkretere Regelungen erforderlich sind. Insoweit plädierte sie für eine europaweit harmonisierte Lösung, die einerseits die Verbraucher schütze andererseits aber auch den Unternehmen einen einheitlichen Rechtsrahmen anstelle vieler nationaler Einzellösungen bieten soll.

Bereits im Mai hatte die EU-Justizkommissarin, Viviane Reding, vorgeschlagen, die Meldeverpflichtung u. a. auf die Bereiche „online banking“, „video games“ und „social media“ auszuweiten.

Die noch bis zum 9. September stattfindende Konsultation legt besonderes Augenmerk auf den Bereich Datensicherheit und die Fragen, innerhalb welcher Frist Betroffene im Falle einer Datenschutzverletzung zu informieren sind, welchen Inhalt die Benachrichtigung haben muss und welche Datenschutzverstöße diese Pflicht überhaupt auslösen sollen.