Wir schaffen Heimat.
Wir gestalten Zukunft.

EU-Datenschutz: Gemeinden in der Pflicht

12.10.2017 – Datenschutzbeauftragte, Änderungen bei den Verzeichnissen und verbesserte Betroffenenrechte – die europäischen Datenschutzverordnung bringt mit Mai 2018 zahlreiche Neuerungen – auch für Gemeinden.

Die EU-Datenschutz-Grundverordnung (DSGVO) bringt eine Fülle an neuen Vorgaben, die auch von Gemeinden umzusetzen und zu berücksichtigen sind. Problematisch ist, dass die Verordnung zahlreiche unbestimmte Rechtsbegriffe verwendet, die zu einer erheblichen Rechtsunsicherheit führen. Grundsätzlich bedarf die DSGVO, die unmittelbar anzuwenden ist, keiner Umsetzung in nationales Recht, dennoch musste das Datenschutzgesetz gründlich überarbeitet werden, da dieses der DSGVO in vielerlei Hinsicht widersprochen hätte.

Bernhard Haubenberger ©Thomas Max/Kommunal
Mag. Bernhard Haubenberger ist Jurist beim Österreichischen Gemeindebund. ©Thomas Max/Kommunal

DVR ist bald Geschichte

Bis die DSGVO am 25. Mai 2018 Gültigkeit erlangt, wird das allgemein bekannte Datenverarbeitungsregister (DVR) weitergeführt, in das alle Datenverarbeitungen gemeldet werden müssen, so sie nicht einer Standard- oder Musteranwendung entsprechen. Ab 25. Mai 2018 ist damit Schluss, die Meldepflicht an das zentrale DVR fällt weg. Was auf den ersten Blick als Erleichterung anzusehen ist, entpuppt sich aber tatsächlich als eine bürokratische Schikane. Denn statt der bisherigen Meldung an das zentrale DVR muss jeder Datenverarbeiter bei Vorliegen bestimmter Voraussetzungen dezentral ein sogenanntes „Verzeichnis von Verarbeitungstätigkeiten“ führen.

Außerkrafttreten wird auch die Standard- und Musterverordnung, da diese im Widerspruch zur DSGVO stehen würde. Die Standard- und Musterverordnung brachte bislang wesentliche Erleichterungen für Datenverarbeiter, da für bestimmte Standard- und Musteranwendungen (etwa Abgabenverwaltung der Gemeinden, Personalverwaltung der Gemeinden, Personenstandsregister) etwa keine Meldepflicht an das DVR bestand.

Keine Strafen für Behörden und öffentliche Stellen

Die DSGVO sieht drakonische Strafen (Geldbußen) von bis zu 20 Millionen Euro bei Verstößen gegen datenschutzrechtliche Bestimmungen vor. Ob Strafen gegen Behörden und öffentliche Stellen verhängt werden, überlässt die DSGVO den jeweiligen Mitgliedsstaaten. Österreich hat von der Möglichkeit Gebrauch gemacht und explizit Behörden und öffentliche Stellen von der Verhängung von Geldbußen ausgenommen.

Zu bedenken ist jedoch, dass jede Person, der wegen eines Verstoßes gegen datenschutzrechtliche Bestimmungen ein Schaden entstanden ist, so wie bisher einen Anspruch auf Schadenersatz hat.

Neue Begrifflichkeiten

Mit der DSGVO werden bisherige Bezeichnungen geändert. So wird der bisherige datenschutzrechtliche Auftraggeber (derjenige, der die Entscheidung über den Zweck und die Mittel der Datenverarbeitung trifft) zukünftig Verantwortlicher und der bisherige datenschutzrechtliche Dienstleister Auftragsverarbeiter bezeichnet. Bedient sich die Gemeinde daher im Bereich der Verwaltung von Daten eines IT-Dienstleisters, so ist die Gemeinde Verantwortliche und der IT-Dienstleister Auftragsverarbeiter.

Benennung eines Datenschutzbeauftragten

Für große Verunsicherung sorgt die Pflicht zur Benennung eines Datenschutzbeauftragten. Gemäß DSGVO muss ausnahmslos jede Behörde und jede öffentliche Stelle einen Datenschutzbeauftragten benennen. Dessen Aufgabe ist es unter anderem, den Verantwortlichen, den Auftragsverarbeiter und die Beschäftigten zu beraten, die Einhaltung der Datenschutzvorschriften zu überwachen und als Anlaufstelle für die Datenschutzbehörde zu fungieren. Als öffentliche Stellen gelten dabei Einrichtungen, die in Formen des öffentlichen Rechts eingerichtet sind oder in Vollziehung der Gesetze tätig werden.
Der Datenschutzbeauftragte kann Beschäftigter des Verantwortlichen oder des Auftragsverarbeiters sein oder aber seine Aufgaben auf Grund eines Dienstleistungsvertrages erfüllen. Von Bedeutung ist die Bestimmung, wonach öffentliche Einrichtungen einen gemeinsamen Datenschutzbeauftragten benennen können.

Verzeichnis von Verarbeitungstätigkeiten

Jeder Verantwortliche und jeder Auftragsverarbeiter muss, gleich ob er privatrechtlicher Unternehmer, Behörde oder öffentliche Stelle ist, ein Verzeichnis von Verarbeitungstätigkeiten führen, sofern er zumindest 250 Bedienstete hat. Ein derartiges Verzeichnis ist aber auch unabhängig von der Anzahl der Bediensteten zu führen, wenn die Verarbeitung ein „Risiko für die Rechte und Freiheiten betroffener Personen“ birgt, wenn die Verarbeitung nicht nur „gelegentlich“ erfolgt oder wenn sensible Daten (ethnische Herkunft, Gesundheitsdaten, genetische Daten, Daten zum Sexualleben etc.) verarbeitet werden.

In diesem Verzeichnis sind – analog zum Datenverarbeitungsregister (DVR) – unter anderem die Zwecke der Verarbeitung, die Kategorien betroffener Personen, die Kategorien personenbezogener Daten, die Kategorien von Empfängern, Fristen für die Löschung, aber auch etwa Kontaktdaten des etwaigen Datenschutzbeauftragten anzuführen.

Datenschutzfolgenabschätzung

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein „hohes Risiko“ für die Rechte und Freiheiten natürlicher Personen zur Folge, so hat der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durchzuführen. Damit soll insbesondere die Ursache, Art, Besonderheit und Schwere dieses Risikos evaluiert und Maßnahmen ergriffen werden, die das Risiko minimieren.

Eine Datenschutzfolgenabschätzung ist vor allem dann erforderlich, wenn sensible Daten umfangreich verarbeitet werden aber auch wenn öffentlich zugängliche Bereiche systematisch und umfangreich überwacht werden. Dabei ist vor allem an Videoüberwachungen an öffentlich zugänglichen Bereichen zu denken.

Betroffenenrechte

Im Wesentlichen sind zwar die Rechte jener, in deren Datenschutz eingegriffen wird, unverändert geblieben, dennoch gibt es Verschärfungen, so etwa im Zusammenhang mit dem Umfang der Auskunftspflicht und der Frist zur Auskunft, ob und welche Daten von der betroffenen Person verarbeitet werden. Neu sind auch umfangreiche Informationspflichten bereits bei der Erhebung von personenbezogenen Daten.

Best-Practice-Katalog mit Handlungsempfehlungen in Arbeit

Im Leitfaden der Datenschutzbehörde finden Sie weitere Informationen zur DSGVO (siehe Download-Box). Um den Gemeinden noch eine weitere Hilfestellung bei der Umsetzung der Anforderung der Datenschutzgrundverordnung zu geben, wird vorraussichtlich bis Ende des Jahres 2017 gemeinsam mit der FH Hagenberg ein Best-Practice-Katalog mit Handlungsempfehlungen erarbeitet. Wir informieren Sie sobald dieses Tool fertig ist.

Auch Gemeinden müssen künftig einen Datenschutzbeauftragten haben. © max dallocco - Fotolia.com