Verfahrensverzeichnis. Auftraggeber und Dienstleister müssen künftig eine Übersicht über ihre Datenanwendungen führen, ein sogenanntes „Verzeichnis der Verarbeitungstätigkeiten“, wobei dieses Verfahrensverzeichnis die eigenen Kontaktdaten, die Zwecke der Datenanwendungen, eine Beschreibung der in der jeweiligen Datenanwendung enthaltenen Datenkategorien, die Empfängerkategorien, weiters (separat ausgewiesen) Datentransfers in Drittstaaten und, soweit möglich, die geplante Speicherdauer sowie eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen enthalten muss.
Die Verpflichtung zur Führung des Verfahrensverzeichnisses trifft Unternehmen mit weniger als 250 Angestellten nur dann, wenn die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bedeutet und die Datenverarbeitung nicht nur gelegentlich erfolgt oder wenn sensible Daten oder Daten über strafrechtlich relevantes Verhalten verarbeitet werden.
Verpflichtender Datenschutzbeauftragter. Künftig ist ein Datenschutzbeauftragter verpflichtend zu bestellen, wenn die Datenverarbeitung durch eine öffentliche Einrichtung erfolgt oder die Kerntätigkeit des Auftraggebers oder Dienstleisters in Datenverarbeitung besteht, die aufgrund ihrer Art, ihres Umfangs oder Zwecks eine umfangreiche regelmäßige und systematische Beobachtung von Betroffenen erfordert oder die Kerntätigkeit des Auftraggebers oder Dienstleisters eine umfangreiche Verarbeitung von sensiblen Daten oder strafrechtlichen Verurteilungen in großem Umfang erfordert. Der Datenschutzbeauftragte muss auf Basis seiner beruflichen Qualität und insbesondere seines Fachwissens im Datenschutzrecht und der Datenschutzpraxis bestellt werden.
Neue Informationspflichten und neue Betroffenenrechte. Die Betroffenenrechte werden durch die DSGVO deutlich erweitert. So gibt es deutlich aufwendigere Informationspflichten bei der Datenerhebung, beim Erhalt oder Weiterleiten von Daten gegenüber den Betroffenen. Ebenso werden die bekannten Betroffenenrechte auf Auskunft, Richtigstellung und Löschung erweitert. So ist z. B. die Speicherdauer künftig zu beauskunften, und den Betroffenenrechten wird binnen eines Monats zu entsprechen sein. Aufwendig wird auch das sogenannte „Recht auf Vergessen“, ebenso die neue Verpflichtung, all jene, denen Daten weiterübermittelt wurden, über eine Richtigstellung, Löschung oder Einschränkung der Datenverarbeitung zu informieren. Das neue Recht auf „Datenportabilität“ verpflichtet Auftraggeber, Daten in einer strukturierten Form und in einem üblichen, maschinenlesbaren Format zur Verfügung zu stellen; der Betroffene kann sogar verlangen, dass der Auftraggeber diese Daten direkt (!) von einem Auftraggeber an einen anderen Auftraggeber überträgt.
Internationaler Datenverkehr – komplex wie bisher. Das Grundprinzip, dass ein Datentransfer in Drittstaaten außerhalb der Europäischen Union grundsätzlich verboten ist, soweit nicht eines der Datentransferinstrumente greift, bleibt bestehen. Als Instrument bleiben die Standardvertragsklauseln, ebenso die „verbindlichen Unternehmensvorschriften“ (Binding Corporate Rules). Neu sind Verhaltensregeln (Code of Conduct) und einmal genehmigte Zertifizierungsmechanismen. Die DSGVO hält ausdrücklich fest, dass bereits von nationalen Datenschutzbehörden erteilte Genehmigungen für den Datentransfer gültig bleiben. Es besteht daher die Möglichkeit, auch hier bereits aktiv Vorarbeit für 2018 zu leisten.
Technisch-organisatorische Verpflichtungen. Völlig neu sind die Verpflichtungen zu „Datenschutz durch Technik“ und zu datenschutzfreundlichen Voreinstellungen. Die DSGVO führt weiters eine völlig neue Verpflichtung zur Abschätzung der möglichen Folgen einer Datenverarbeitung ein, die „Datenschutz-Folgeabschätzung“: Bei Datenverarbeitungen, insbesondere wenn sie mit neuen Technologien arbeiten und im Hinblick auf Art, Anwendungsbereich, Kontext und Zwecke möglicherweise ein hohes Risiko für die Privatsphäre der Betroffenen beinhalten, ist eine Abschätzung der Folgen durchzuführen (DPIA).
Dienstleister-Vertragsmanagement notwendig. Auch künftig muss zwischen dem Auftraggeber und seinem Dienstleister ein Dienstleistervertrag abgeschlossen werden mit einem Mindestinhalt, den die DSGVO vorgibt. Unternehmen sollten daher ein Dienstleister-Vertragsmanagement betreiben, da die Nichteinhaltung der Dienstleisterregeln mit bis zu EUR 10 Mio. oder 2 % des konzernweiten Jahresumsatzes sanktioniert ist.
Datenmissbrauch: Meldung binnen 72 Stunden. Mit der DSGVO wird die bereits im DSG 2000 bekannte Verpflichtung zur Information bei Datenmissbrauch europaweit eingeführt. Tritt ein Datenmissbrauchsfall ein, dann muss der Auftraggeber nicht nur unverzüglich die Betroffenen informieren, wenn für diese ein hohes Missbrauchsrisiko besteht, sondern auch – soweit möglich, innerhalb von 72 Stunden nach Kenntnis – die zuständige Datenschutzbehörde.
Fazit: Straffer Zeitplan nötig. Die vielen Pflichten zeigen, dass bis Mai 2018 ein straffer Zeitplan für öffentliche und private Auftraggeber sowie Dienstleister notwendig ist, um fit für die DSGVO zu werden, denn es ist keine „Gnadenfrist“ über 2018 hinaus vorgesehen!
Autor: Dr. Rainer Knyrim ist Rechtsanwalt und Partner bei Preslmayr Rechtsanwälte und schwerpunktmäßig im Datenschutzrecht tätig. Er ist Chefredakteur der Zeitschrift "Datenschutz konkret" (Verlag Manz)