IM BLICK Frühjahr/Sommer 2018

Weitere Magazine

Info

IM BLICK FRÜHJAHR/SOMMER 2018 zusätzlich investieren will, um das Risiko immer Datenschutzbeauftragte bestel- eine berufliche Vereinbarkeit herzustel- 6 noch weiter zu reduzieren. Aber diese erste Investition ist – aus rein betriebs- len. In manchen Fällen würde ich sogar davon abraten, weil diese Person dann in len. Ein ganzer Tag Datenschutzrecht ist sehr umfassend und ist etwas, das man DATENSCHUTZ wirtschaftlicher Sicht – eine gute Investition und jedenfalls zu empfehlen. Ein Stichwort, das im Zusammenhang mit der DSGVO sehr häufig fällt, ist der dieses relativ enge gesetzliche Korsett hineinzwängt wird und dadurch sehr viele Flexibilitäten, die im Sinne eines effektiven Compliancemanagements sehr wohl hilfreich wären, eliminiert wer- nicht detailliert in Erinnerung behalten kann. Daher ist der Lehrgang auf zehn Halbtage aufgeteilt. Wir werden das Thema Datenschutzrecht praxisnah aufarbeiten, um für die tatsächliche, Datenschutzbeauftragte. Was hat es den. Für diese Unternehmen wäre meiner praktische Arbeit von Datenschutz- damit auf sich? Meinung nach eine Art „Datenschutz- beauftragten und Datenschutzmanagern Manager“ eine gute Alternative. Jemand, wirklich eine Unterstützung bieten zu Feiler: Der Datenschutzbeauftragte ist der für bestimmte Fragen auch entspre- können. Da es auch wichtig ist, inter- ein mystisches Wesen. Er muss un- chende Weisungsbefugnisse im Unter- national seine datenschutzrechtliche zählige Eigenschaften in sich vereinen nehmen hat, eine hohe Expertise und Expertise darstellen zu können, bieten und mit einer Stellung im Unternehmen vor allem auch Autorität innerhalb der wir als Teil des Lehrgangs dezidiert eine ausgestattet sein, die in der Realität nur Organisation besitzt. Dies kann sehr hilf- Vorbereitung für die Zertifizierung als schwer umsetzbar ist. Natürlich muss er reich sein, um unternehmenspolitische „Certified Information Privacy Profes- über Kenntnisse des Datenschutzrechts Widerstände im Geschäftsbetrieb zu sional/Europe (CIPP/E)“. Diese Zertifi- und der Datenschutzpraxis verfügen, überwinden, die es natürlich geben wird. zierung der „International Association darüber hinaus muss er aber hinsichtlich Nichtsdestotrotz sieht die Verordnung of Privacy Professionals“ ist die einzige seiner datenschutzrechtlichen Tätigkeit drei Fälle vor, in denen verpflichtend ein auch weisungsfrei gestellt sein. Er muss Datenschutzbeauftragter bestellt werden auch unabhängig sein, das heißt, der Leiter der IT-Abteilung käme nicht in muss: Variante eins, wenn es sich um eine Behörde oder eine öffentliche „Es ist im Interesse aller, Betracht, ebenso wenig ein Mitglied der Geschäftsführung oder bei einem kleinen Unternehmen der Geschäftsführer. Es könnte ein externer Datenschutzbeauftragter sein, das wäre möglich, aber im Stelle handelt. Variante zwei, wenn die Kerntätigkeit eines Unternehmens in der Überwachung von Personen besteht, das betrifft zum Beispiel Privatdetekteien. Variante drei, wenn das Unternehmen dass das Datenschutzrecht ein effektives Recht ist.“ Lukas Feiler Ergebnis all das in sich zu vereinen ist umfangreich sensible Daten oder straf- relativ schwer. rechtlich relevante Daten verarbeitet, Darüber hinaus ist durch die Bestellung das heißt, Daten über die Religionszuge- weltweit anerkannte Zertifizierung für des Datenschutzbeauftragten nicht hörigkeit, die ethnische Zugehörigkeit, Datenschutzexperten. Hier in Öster- alles erledigt. Ganz im Gegenteil – der politische Meinung, Gewerkschaftszu- reich den Leuten in der Praxis zu helfen, Datenschutzbeauftragte hat eigentlich gehörigkeit, Gesundheitsdaten, biometri- eine solche Zertifizierung zu erwerben, „nur“ die Aufgabe, das Unternehmen sche Daten und genetische Daten. liegt mir persönlich sehr am Herzen, da zu beraten und Datenverarbeitungen dies schlussendlich für die Karriere der im Unternehmen zu überwachen. Es ist Eine spannende Information für alle Teilnehmerinnen und Teilnehmer extrem hingegen nicht seine Aufgabe, wirklich Unternehmen, die einen Datenschutz- förderlich ist. Compliance herzustellen. Die unterneh- beauftragten bestellen müssen: Diesen mensinternen Dokumentationspflichten Frühling wurde der neue Lehrgang Sie haben im Verlag Österreich drei zu führen, insbesondere das Verzeichnis „Datenschutzbeauftragte(r) Privacy Bestseller (unter anderem gemeinsam der Verarbeitungstätigkeiten, ist nicht Professional“ an der Sigmund Freud mit Nikolaus Forgó und Bernhard Horn) seine Aufgabe. Einen Datenschutzbeauf- PrivatUniversität in Wien ins Leben zum Thema Datenschutz veröffentlicht. tragten zu bestellen löst das Problem gerufen. Was zeichnet diese Weiterbil- Was dürfen unsere Leser erwarten? mitnichten. dung aus? Was dürfen die Teilnehmer- Generell sollte sich jedes Unternehmen innen und Teilnehmer erwarten? Feiler: Jedes der drei Bücher hat seine fragen, ob es tatsächlich einen eigene Funktion. Das Buch „Umsetzung Datenschutzbeauftragten benötigt oder Feiler: Der Lehrgang setzt sich zum Ziel, der DSGVO in der Praxis“ (Feiler/Horn) die rechtlich korrekte Umsetzung der eine praxisorientierte Ausbildung für ist ein absolutes Praktikerwerk. Es bietet neuen DSGVO auf einem anderen Wege Leute zu bieten, die in diesem Bereich einen Umsetzungsplan der Datenschutz- garantiert werden kann. Insbesondere beruflich tätig sind bzw tätig sein möch- grundverordnung in zwölf Schritten, 100 kleinere Unternehmen müssen nicht ten. Wir haben sehr darauf geachtet, Fragen und Antworten zur DSGVO und
IM BLICK FRÜHJAHR/SOMMER 2018 ein kleines DSGVO-Wörterbuch. So kann man wirklich von Null an in die Materie einsteigen und sich sehr schnell einen Überblick verschaffen. Zum Kommentar „DSGVO“ (Feiler/Forgó) sollte man vor allem dann greifen, wenn man Dinge sehr fundiert wissen möchte und spezifische Einzelfragen hat, die zum Teil relativ stark in die Tiefe gehen. Der Kommentar ist, wenn Sie so wollen, die fundierte dogmatische Grundlage für all jene, die tatsächlich juristisch in die Materie einsteigen wollen und Detailprobleme haben. Als Drittes gibt es das „Gesetzbuch Datenschutzrecht“ (Feiler) für all jene, die viel mit der Verordnung als solche arbeiten. In der Praxis stellt sich die erste Herausforderung darin, dass die Verordnung selbst in Englisch verhandelt wurde. In Österreich arbeitet man naheliegender Weise primär mit dem deutschen Text, der an vielen Stellen aber tatsächlich ein bisschen von der englischen Sprachfassung abweicht. Jedoch ist die englische Sprachfassung schlussendlich aber ausschlaggebend, weil es das ist, was die Mitgliedstaaten ausverhandelt haben. Alles andere haben dann die Übersetzungsbüros bzw die Übersetzer der europäischen Kommission gemacht. Um ein Beispiel zu nennen: In der deutschen Sprachfassung heißt es, dass der Datenschutzbeauftragte die Betroffenen zu beraten habe. In der englischen Sprachfassung heißt es hingegen, dass die Betroffenen den Datenschutzbeauftragten kontaktieren können. Da ist doch ein ziemlich großer Unterschied zwischen Kontaktstelle sein und Berater sein. Tatsächlich ist der Datenschutzbeauftragte nicht Berater der Betroffenen, er ist ausschließlich Berater des Unternehmens – ein häufiges Missverständnis in der Praxis, das auf eine schlechte Übersetzung zurückzuführen ist. Deswegen ist es ganz wichtig, die englische Sprachfassung zu kennen. Darum bietet das „Gesetzbuch Datenschutz“ zweispaltig nebeneinander aufbereitet sowohl die englische als auch die deutsche Fassung der Verordnung. Zusätzlich präsentiert es alle einschlägigen Stellungnahmen der „Artikel-29-Datenschutzgruppe“, demnächst umbenannt in „Europäischer Datenschutzausschuss“. Für all jene, die sehr fundierte Informationen wünschen, sind im Werk auch die einschlägigen Stellungnahmen abgedruckt. Beispielsweise wird im Moment sehr ausführlich diskutiert, wo die Abgrenzung zwischen Auftragsverarbeiter und Verantwortlichem ist. Der Auftragsverarbeiter ist jener, der nur auf Anweisung eines Verantwortlichen handelt, der Verantwortliche ist eben jener der bestimmt, was mit den Daten passiert. Was ist nun zum Beispiel ein Reisebüro, das von einem Unternehmen beauftragt wird, Reisen für dessen Mitarbeiter zu buchen? Ist das Reisebüro Verantwortlicher oder Auftragsverarbeiter? Zu dieser und vielen anderen Detailfragen gibt es in diesem Buch hilfreiche Stellungnahmen. Lassen Sie uns zum Abschluss einen Blick in die Zukunft werfen: Was wird sich heute in einem Jahr im Bereich Datenschutz in Österreich verändert haben? Feiler: Meine Prognose ist, dass wir private Rechtsdurchsetzungen – „Private enforcement“ – viel stärker als in anderen Rechtsbereichen sehen werden. Die Verordnung gibt den Betroffenen sehr starke Rechtsinstrumente in die Hand, insbesondere das Recht, ihren immateriellen Schaden im Fall einer Datenschutzverletzung einzuklagen, und darüber hinaus das Recht, eine Datenschutz-NGO zu beauftragen, das in ihrem Namen zu tun. Und das wird im Ergebnis – auch weil es hier Sonderbestimmungen in der DSGVO gibt, die das begünstigen – zu Sammelklagen führen. Dort werden sich meiner Meinung nach tatsächlich die schnellsten und wichtigsten Entwicklungen im Datenschutzrecht abspielen. Aus Unternehmenssicht ist deshalb ein ganz besonderes Risiko dort zu verorten, wo eine Datenschutzverletzung eine sehr große Anzahl an Betroffenen in ihren Rechten verletzen kann. Sich in einer solchen Sammelklage wiederzufinden, ist eines der größten Risiken für Unternehmen. Daraus resultieren dann schlussendlich auch die neuen Compliance-Maßnahmen, die die Unternehmen risikobasiert implementieren, um sich entsprechend an diese sich verändernde Risikolandschaft anpassen zu können. Es ist im Interesse aller, dass das Datenschutzrecht ein effektives Recht ist. Man kann natürlich darüber diskutieren, ob das, was in der Verordnung steht, auch immer zu hundert Prozent Sinn ergibt. Aber es einerseits beschlossen zu haben und es andererseits in der Praxis zu ignorieren erzeugt Willkür und verzerrt – wenn das Thema nur in Einzelfällen sehr ernst genommen wird – den Wettbewerb. DR. LUKAS FEILER ist Leiter der Praxisgruppe Information Technology/Intellectual Property bei Baker McKenzie in Wien. 2015 wurde Lukas Feiler durch die International Association of Privacy Professionals (IAPP) als CIPP/E (Certified Information Privacy Professional/Europe) zertifiziert und ist seit 2018 inhaltlicher Leiter des neuen Lehrgangs „Datenschutzbeauftragte(r) Privacy Professional“ an der Sigmund Freud PrivatUniversität in Wien. 7 DATENSCHUTZ
Seite 1 und 2: IM BLICK Recht, Wirtschaft, Steuern
Seite 3 und 4: IM BLICK FRÜHJAHR/SOMMER 2018 3 17
Seite 5: IM BLICK FRÜHJAHR/SOMMER 2018 verf
Seite 9 und 10: • IM BLICK FRÜHJAHR/SOMMER 2018
Seite 11 und 12: IM BLICK FRÜHJAHR/SOMMER 2018 PRAX
Seite 13 und 14: IM BLICK FRÜHJAHR/SOMMER 2018 13 S
Seite 15 und 16: IM BLICK FRÜHJAHR/SOMMER 2018 15 A
Seite 17 und 18: IM BLICK FRÜHJAHR/SOMMER 2018 3 di
Seite 19 und 20: IM BLICK FRÜHJAHR/SOMMER 2018 19 V
Seite 21 und 22: IM BLICK FRÜHJAHR/SOMMER 2018 21 B
Seite 23 und 24: IM BLICK FRÜHJAHR/SOMMER 2018 23 A
Seite 25 und 26: IM BLICK FRÜHJAHR/SOMMER 2018 DAS
Seite 27 und 28: IM BLICK FRÜHJAHR/SOMMER 2018 INKL
Seite 29 und 30: IM BLICK FRÜHJAHR/SOMMER 2018 29
Seite 31 und 32: Die innovativste Rechtsrecherche Ö

IM BLICK Frühjahr/Sommer 2018

Sie wollen auch ein ePaper? Erhöhen Sie die Reichweite Ihrer Titel.

Template löschen?

Als Template speichern?