Der Datenschutz macht keinen Halt vor Ländergrenzen. Es existieren teilweise erhebliche Unterschiede in der Ausgestaltung der Datenschutzgesetze und den rechtlichen Anforderungen bei den einzelnen Ländern.
International tätige Unternehmen müssen sich mit den Anforderungen der verschiedenen Mitgliedsstaaten der EU-Länder auseinandersetzen. Solange die Datenschutz-Grundverordnung nicht umgesetzt ist, müssen die Unternehmen die länderspezifischen einzelnen Anforderungen einhalten. Was in einem Land nicht gemeldet werden muss, ist in einem anderen EU-Land meldepflichtig - was in einem Land unter bestimmten Umständen erlaubt ist, ist in einem anderen Land nicht gestattet.
Das Datenschutzgesetz 2000 regelt den Schutz personenbezogener Daten in Österreich. Das DSG 2000 setzte die Richtlinie 95/46/EG in nationales Recht um und wurde 2005 grundlegend novelliert. 2014 wurde die Datenschutzkommission durch die Datenschutzbehörde abgelöst.
Wie in Deutschland regeln auch in Österreich den Datenschutz die Bundesländer beziehungsweise die Landesverwaltungen. So sprechen Österreich und Deutschland auch von "personenbezogenen Daten". Die Definition von Betroffenen ist allerdings unterschiedlich und dies ist meines Erachtens der größte Unterschied zwischen den beiden nationalen Datenschutzgesetzen:
Das Bundesdatenschutzgesetz (BDSG) schützt gemäß § 3 (1) personenbezogene Daten von natürlichen Personen (Betroffene): "Einzelangaben über persönliche und sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person."
Das DSG 2000 ist weiter gefasst: Gemäß § 4 Pkt. 3. sind "Betroffene [……] deren Identität bestimmt oder bestimmbar ist". Betroffene sind nicht nur natürliche Personen, sondern auch juristische Personen und Personengemeinschaften.
- Gesetze verstehen
Die Auswirkungen der aktuellen und künftigen Gesetzeslage auf die Firma verstehen. Dies beinhaltet die Frage nach notwendigen Änderungen und deren Auswirkungen auf das IT-Budget. Zum Beispiel nutzen viele Unternehmen immer noch reale Daten ihrer Kunden und Nutzer für Entwicklungs- und Testzwecke. Mit der neuen Gesetzgebung sollten sie diese anonymisieren oder zumindest maskieren. - Analysieren
Analysieren, wo persönliche und sensible Daten aufbewahrt werden. Wer nutzt wie welche Daten und wo liegen die größten Gefahren einer Datenschutzverletzung? Die entsprechende Analyse der Bearbeitungsprozesse persönlicher und sensibler Daten und wie diese mit anderen Daten interagieren nimmt oft deutlich mehr Zeit in Anspruch als geplant. - Anonymisieren
Daten desensibilisieren, ohne sie unbrauchbar zu machen. Anonymisierte Daten lassen sich häufig relativ problemfrei in bestehende Workflows und Prozesse integrieren. Alternativ sind neue oder veränderte Arbeitsprozesse zu entwickeln, um die Gesetze einzuhalten. Die daraus resultierenden Kenntnisse fließen wiederum in Anforderungskataloge an Drittanbieter-Lösungen ein. - Datenschutzprozesse entwickeln
Datenschutzprozesse unter Verwendung der geeigneten Werkzeuge entwickeln. Zur Umsetzung der Datensicherheits-Strategie gibt es verschiedene Lösungen. Diese kann aus einem neuen Satz an Geschäftsprozessen bestehen, aus einer Revision der Datenzugriffsbestimmungen, einer (Test-)Datenmanagement-Technologie oder aus einer beliebigen Kombination davon. - Lösungen liefern
Die Lösung in das bestehende IT-Umfeld ausliefern. Vor der Einführung der entwickelten Prozesse sollten die Abläufe so weit wie möglich automatisiert und die manuellen Eingriffe reduziert sein. Teams, die diese Prozesse im Alltag betreuen, sind in die entsprechenden Regularien und Prozesse einzuweisen sowie in der Handhabung der verwendeten Werkzeuge zu trainieren.
Ein weiterer großer Unterschied besteht außerdem - neben der unterschiedlichen Definition des Betroffenen - in der betrieblichen Zuständigkeit beziehungsweise Verantwortlichkeit: Das DSG 2000 kennt, wie einige andere EU-Länder auch, keinen betrieblichen Datenschutzbeauftragten. Über die Einhaltung des Datenschutzes wacht die österreichische Datenschutzbehörde. Das DSG 2000 geht davon aus, dass grundsätzlich jedes Verfahren, bei dem personenbezogene Daten erhoben, verarbeitet und genutzt werden, meldepflichtig (§ 17 DSG 2000) ist. Die österreichische Datenschutzbehörde führt hier ein öffentlich zugängliches Register und über ein Online-Portal kann jeder Datenverarbeiter sein Verfahren melden.
Die Datenübermittlung richtet sich nach § 12 f DSG 2000. Datenexporte unterliegen ähnlich wie in Deutschland in die EU beziehungsweise in das EWR-Ausland keiner zusätzlichen Beschränkung und sind nicht genehmigungspflichtig. Dagegen besteht bei Datenübermittlung in Drittländer grundsätzlich eine Genehmigungspflicht (§§ 12, 13 DSG 2000).
Die Rechte des Betroffenen sind fast identisch. In Deutschland ist der Betroffene noch zu benachrichtigen, in Österreich ist das Auskunftsrecht dagegen detaillierter.
Die Begrifflichkeiten bei der Datensicherheit sind ebenfalls unterschiedlich: so spricht das BDSG von "Technischen und Organisatorischen Maßnahmen" (§ 9 BDSG nebst Anlage); das DSG 2000 im § 14 von Datensicherheitsmaßnahmen. Grundsätzlich ist die Zwecksetzung in beiden Datenschutzgesetzen ähnlich.
- Ein Gesetz für alle
EU-weit gelten die gleichen Datenschutzregeln. Das bedeutet auch eine gestiegene Verantwortung und Haftung für alle, die persönliche Daten verarbeiten. - "Recht auf Vergessen"
Wollen Nutzer ihre Daten nicht weiter verarbeitet sehen, werden diese gelöscht - vorausgesetzt, es spricht aus juristischer Sicht nichts dagegen. - "Opt-in" statt "Opt-out"
Sollen persönliche Daten verabeitet werden, müssen Nutzer aktiv zustimmen (und nicht aktiv widersprechen wie bisher). - Recht auf Transparenz
Nutzer haben ein Recht auf Transparenz - sie dürfen erfahren, welche Daten über sie gesammelt und wie diese verarbeitet werden. - Zugang und Portabilität
Der Zugang zu den bei Dritten über einen selbst gespeicherten Daten soll einfacher möglich sein. Zudem ist die Dartenportabilität zu gewährleisten - also sicherzustellen, dass persönliche Informationen leichter von einem Dienstanbieter zu einem anderen übertragen werden können. - Schnellere Meldung
Tritt ein Datenverlust auf, müssen Unternehmen und Organisationen im Regelfall binnen 24 Stunden, mindestens aber so schnell wie möglich ihrer behördlichen Meldepflicht nachkommen. - Weniger Behördenchaos
Unternehmen müssen sich nur noch mit einer einzigen Aufsichtsbehörde auseinandersetzen - und zwar dort, wo sie ihren Hauptsitz haben. - Grenzübergreifend
Privatanwender dürfen jeden Fall von Datenmissbrauch an ihre nationale Aufsichtsbehörde melden - selbst dann, wenn die betroffenen Daten im Ausland verarbeitet wurden. - Erweiterter Geltungsbereich
Die EU-Richtlinie gilt auch für Unternehmen, die keinen Sitz in der EU haben, sobald sie Waren oder Dienstleistungen in der EU anbieten oder auch nur Online-Marktforschung unter EU-Bürgern betreiben. - Höhere Bußgelder
Verstößt ein Unternehmen gegen die Datenschutzbestimmungen, droht ein Bußgeld in Höhe von bis zu vier Prozent des Jahresumsatzes. - Bürokratieabbau
Administrative Umstände wie Meldepflichten für Unternehmen, die persönliche Daten verarbeiten, entfallen. - Erst ab 16
Die rechtswirksame Anmeldung bei Internetnetservices wie Facebook oder Instagr.am soll Jugendlichen im Regelfall erst ab 16 Jahren möglich sein - weil sie erst ab diesem Lebensalter eine gültige Einwilligung in die Verarbeitung ihrer persönlichen Daten geben können. Nationale Gesetze sollen laut Datenschutzverordnung hier aber Ausnahmen möglich machen. - Stärkung der nationalen Aufsichtsbehörden
Nationale Datenschutzbehörden werden in ihren Kompetenzen gestärkt, so dass sie die neuen EU-Regeln besser umsetzen können. Unter anderem dürfen sie einzelnen Unternehmen verbieten, Daten zu verarbeiten. können bestimmte Datenflüsse stoppen und Bußgelder gegen Unternehmen verhängen, die bis zu zwei Prozent der jeweiligen weltweiten Jahreseinkünfte betragen. Darüber hinaus dürfen sie Gerichtsverfahren in Datenschutzfragen anstrengen. <br /><br />(Quelle: Forrester Research)
Zusammenfassung
Der Unterschied zwischen den beiden nationalen Gesetzen ist eher klein. Generell kann man sagen, dass BDSG und DSG 2000 mehr Gemeinsamkeiten als Unterschiede haben. Das DSG 2000 ist in seinen Formulierungen detaillierter und konkreter. Hier ist aber zu bedenken, dass das BDSG ein Auffanggesetz ist, das hinter den geltenden Spezialgesetzen zurücksteht. Diese vorrangigen Gesetze können den Datenschutz ausweiten oder ihn zugunsten anderer Interessen einschränken. So genießen beispielsweise Rechtsvorschriften des Bundes oder der Länder, aber auch Tarifverträge oder Betriebsvereinbarungen, Vorrang vor dem BDSG. (bw)