Wien. Mehr als drei Jahre lang hat man über sie verhandelt - in fast genau einem Jahr wird die neue Datenschutz-Grundverordnung der EU nun unmittelbar wirksam werden. Sie tritt am 25. Mai 2018 EU-weit in Kraft. Bis dahin müssen alle Unternehmen darauf umgestellt sein. Mit der neuen Grundverordnung sollen personenbezogene Daten besser geschützt werden, zudem sieht sie ein tiefer verankertes Recht auf Schadenersatz vor. Für Unternehmen, die gegen diese aus Angst vor zu strengen Datenschutzregeln lobbyiert haben sollen, bringt sie mehr Verpflichtungen sowie höhere Verwaltungsstrafen mit sich: Bis zu 20 Millionen Euro respektive vier Prozent des Konzernumsatzes des vorangegangenen Jahres sind möglich. Bisher lag die Höchststrafe bei 10.000 Euro.

Was genau die EU-Verordnung für die einzelnen Unternehmen bedeutet, ist noch nicht ganz klar, weil diese einen gewissen Spielraum für nationale Regeln enthält. Ein entsprechender österreichischer Gesetzesentwurf befindet sich seit 12. Mai in Begutachtung. Ende der Begutachtungsfrist des Datenschutz-Anpassungsgesetzes 2018 ist der 23. Juni.

Einheitliches Datenschutzniveau

Grundgedanke der Datenschutz-Grundverordnung war, dass das Recht auf Schutz personenbezogener Daten, das auch in der Europäischen Grundrechte-Charta verankert ist, ein unionsweit einheitliches Datenschutzniveau erfordert. Zum besseren Schutz der Privatsphäre im Internet hatte daher die Europäische Kommission 2012 eine Reform des Datenschutzes vorgeschlagen. 2016 wurde die EU-Datenschutz-Grundverordnung angenommen, die die veraltete Datenschutzrichtlinie von 1995 ersetzte. Diese hatte durch die nationalen Umsetzungsgesetze in den 28 Mitgliedstaaten teilweise unterschiedliche nationale Regelungen und Anforderungen mit sich gebracht.

Der vorliegende Text zur neuen EU-Datenschutz-Grundverordnung stellt eine politische Einigung im informellen Trilog dar, also zwischen den drei Legislativorganen Kommission, Rat und Parlament der Europäischen Union. Er sei eine Kompromisslösung der unterschiedlichen Interessengruppen, so die Wirtschaftskammer Österreich dazu. Bis Ende Mai 2018 haben die EU-Staaten nun Zeit, für die gesetzliche Umsetzung zu sorgen.

Zu den neuen Rechten der Verbraucher zählt unter anderem das Recht auf Löschung ("Recht auf Vergessenwerden"): Ein Unternehmen muss personenbezogene Daten löschen, wenn diese etwa für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind oder die Verbraucher ihre Einwilligung widerrufen haben. Jede Einwilligung muss freiwillig, in informierter Weise und unmissverständlich erteilt werden. Darüber hinaus muss ausdrücklich die Zustimmung vorliegen, dass personenbezogene Daten in ein Drittland übermittelt werden dürfen.

Anspruch auf Schadenersatz

Entsteht wegen eines Verstoßes gegen die Verordnung ein materieller oder immaterieller Schaden, hat der Betroffene Anspruch auf Schadenersatz. Bisher wurde lediglich immaterieller Schadenersatz geltend gemacht und das nur dann, wenn es zu einer Bloßstellung in der Öffentlichkeit gekommen war. Die neue Verordnung und das österreichische Datenschutz-Anpassungsgesetz sehen ausdrücklich das Recht auf Schadenersatz vor, auch Sammelklagen auf materiellen Schadenersatz sollen möglich sein.

Für Unternehmen bedeutet die neue Verordnung neue Verpflichtungen. So müssen sie die nationalen Aufsichtsbehörden so bald wie möglich über schwere Verstöße gegen den Datenschutz informieren, die grundsätzliche Meldepflicht fällt allerdings.

Für wenige Ausnahmen wie öffentliche Stellen oder all jene Unternehmen, die datengetriebene Geschäftsmodelle verfolgen, ist auch ein Datenschutzbeauftragter verpflichtend. Zum Beispiel für die A1 Telekom Austria AG, bei der laut Judith Leschanz, Leiterin der National Data Privacy, mehrere Juristen und Nichtjuristen als Datenbeauftragte im Einsatz sind. Es gebe bereits einen Verein der Datenschutzbeauftragten Österreichs (www.privacyofficers.at), sagt Leschanz. Die Summe für den Aufwand "wird am Ende des Tages auf jeden Fall siebenstellig sein", schätzt sie.

Serie der "Wiener Zeitung"

Was konkret die neue Datenschutz-Grundverordnung der EU aus rechtlicher Sicht bedeutet, wird die "Wiener Zeitung" bis zur Umsetzung im Mai nächsten Jahres im Rahmen einer Serie beleuchten. Jeden letzten Freitag im Monat erscheint an dieser Stelle eine Kolumne eines Datenschutzexperten der Kanzlei Eisenberger & Herzog zu dem Thema.

Der heutige Beitrag gibt zum Auftakt einen Überblick über das neue Datenschutzrecht, danach wird es unter anderem über Einwilligung und Kopplungsverbot, Betroffenenrechte und Minderjährigenschutz gehen. Nach Erscheinen der letzten Kolumne wird die neue Verordnung unmittelbar vor der Umsetzung stehen.