Stichwortsuche

iab austria lässt Vorboten der EU Datenschutzgrundsatzverordnung auf der WU Wien ankommen – BILD/VIDEO

ID: LCG17128 | 24.04.2017 | Kunde: iab austria - interactive advertising bureau | Ressort: Medien Österreich | Medieninformation

Meyer-Janzek_Neuber_Jahnel_Pachinger_Zadina © © iab austria/Hannes Winkler

Datenschutz- und Rechtsexperten zeigten in der Mensa der Wirtschaftsuniversität Wien am Donnerstagnachmittag auf Einladung des internet advertising bureau austria, was der Digitalbranche mit der EU Datenschutzgrundsatzverordnung und der ePrivacy-Verordnung bevorsteht: Chancen, Pflichten und Absurditäten.

Bilder zur Meldung auf http://presse.leisuregroup.at/iab/eudsgvo_20170420

Video zur Meldung auf https://www.youtube.com/watch?v=2UA6C3iv8YI

Wien (LCG) – „Die Uhr tickt! Wer im Mai 2018 nicht compliant ist, muss mit empfindlichen Strafen aus der EU Datenschutzgrundsatzverordnung und ePrivacy-Verordnung rechnen“, begrüßt iab austria-Geschäftsführerin Lilian Meyer-Janzek gemeinsam mit Präsidentin Martina Zadina am Donnerstagnachmittag in der restlos gefüllten Mensa der Wirtschaftsuniversität Wien. Darüber hinaus warnt Meyer-Janzek vor der in Verhandlung befindlichen ePrivacy Verordnung die droht, die in der DSGVO gefundenen Kompromisse auszuheblen und datengestützte Businessmodelle der digitalen Werbewirtschaft für europäische Unternehmen zu verunmöglichen.

Dietmar Jahnel serviert die Datenschutzgrundsatzverordnung in verdaulichen Häppchen

Datenschutzexperte Dietmar Jahnel von der Universität Salzburg weist in seiner Keynote auf wichtige Aspekte hin, die zum Stichtag am 25. Mai 2018 erledigt sein müssen. „Die Verordnung hat den gleichen juristischen Rang wie ein österreichisches Bundesgesetz“, stellt Jahnel klar. Er spricht aufgrund der zahlreichen nationalen Öffnungsklauseln von einer „hinkenden Verordnung“, da sie keinen vollständigen einheitlichen Standard im gesamten Gebiet der Europäischen Union schafft. Beispielsweise kann das Einwilligungsalter auf nationaler Ebene definiert werden. Ergänzend wird es auch ein österreichisches Datenschutzgesetz (DSG 2018) geben.

Nach derzeit geltender Rechtslage in Österreich können Verwaltungsstrafen bis zu maximal 25.000 Euro ausgeprochen werden. Ab Mai 2018 hingegen können Geldbußen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes ausmachen. „Leichte Sanktionen“ mit bis zu zehn Millionen Euro Geldbuße können bei Einwilligung durch Kinder oder Verletzung administrativer Pflichten (Verzeichnisführungspflicht, Datenschutz-Folgeabschätzung, Datenschutzbeauftrager, etc.) fällig werden. Als „schwere Verstösse“ mit einer bis zu doppelt so hohen Geldbuße gelten unter anderem Verletzungen der Betroffenenrechte (wie etwa Informationsrecht, Auskunftsrecht, Löschungsrecht und Widerspruchsrecht), Datenübermittlung in ein Drittland oder Zuwiderhandlung gegen Anweisungen der zuständigen Aufsichtsbehörde. In Österreich strebt die Verwaltung eine Kooperation zwischen Unternehmen und Datenschutzbehörde an und wird dafür Abhilfebefugnisse wie Warnung, Verwarnung und Anweisung zur Anwendung bringen. Unternehmen haben zudem die Möglichkeit, Verhaltensregeln im Vorfeld genehmigen zu lassen. Weiters besteht die Möglichkeit der Zertifizierung, die gleichsam ein Strafmilderungsgrund bei Verstößen ist.

Personenbezogene Daten  beziehen sich auf eine identifizierte oder identifizierbare natürliche Person. Dazu zählt auch eine Kennzahl, wie sie beispielsweise bei IP-Adressen oder Cookies vorkommt. Nach einem ganz aktuellen Urteil des EuGH sind dynamische IP-Adressen dann personenbezogen, wenn die Möglichkeit nach dem nationalen Recht besteht, diese über Zusatzinformationen beim Internetzugangsanbieter einer bestimmten Person zuzuordnen.

Die Pseudonymisierung wird ab 25. Mai 2018 indirekt personenbezogene Daten ersetzen: Dadurch kann der Anbieter selbst keinen Rückschluss auf die natürliche Person mehr ziehen. Gründe für die Priviligierung können unter anderem die Datenminimierung oder eine Datenschutzmaßnahme sein.

Die Verarbeitung nichtsensibler Daten ist insbesondere für die werbetreibende Wirtschaft im Falle der Einwilligung bei aktiver Nachweispflicht und jederzeitiger Möglichkeit zum Widerruf grundsätzlich möglich ist. Eine weitere Möglichkeit stellt die Interessensabwägung dar, die Direktwerbung als ein mögliches berechtigtes Interesse zulässt. Die Datenverarbeitung zu einem anderen Zweck setzt eine Einwillung und eine bestehende Rechtsgrundlage voraus. Im Kompatibilitätstest wird die Verbindung zwischen den Zwecken, der Zusammenhang der Datenerhebung, die Folgen der Weiterverweung und die Verschlüsselung oder Pseudonomisierung abgefragt.

Für die Datenverarbeitung haben Verantwortliche eine aktive Informationspflicht, die auch heute schon besteht und weitgehend ignoriert wird. Präzise, transparent und verständlich muss über den Zweck der Verarbeitung, die Dauer der Verarbeitung und die Kontaktdaten des Verantwortlichen informiert werden. Bei Direktwerbung herrscht ein sofortiges Widerrufsrecht. Alle Datenverarbeiter sind von der Verzeichnispflicht betroffen, in der unter anderem auch Fristen für die Löschung von verschiedenen Datenkategorien sowie nach Möglichkeit eine allgemeine Beschreibung der Datensicherheitsmaßnahmen angeführt werden muss.

Bei der Datenschutz-Folgeverordnung müssen Folgen der Datenverarbeitung einschließlich Profiling auf die Rechtswirkung gegenüber natürlichen Personen (beispielsweise Kredit, Handyverträge, etc.) berücksichtigt werden. Die Behörde wird jedoch eine Positivliste veröffentlichen.

Eine Pflicht zur Bestellung eines Datenschutzbeauftragten besteht unter anderem dann, wenn die Kerntätigkeit des Verantwortlichen eine regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht.

„Das Datenschutzrecht soll kein Datenverhinderungsrecht sein. Die Behörde sucht einen Ausgleich zwischen unterschiedlichen Grundrechten“, so Jahnel abschließend.

Umsetzung in Unternehmen

IT-Anwalt Michael M. Pachinger (SCWP Schindhelm) fasst die EU-DSGVO mit „mehr Schutz, mehr Rechte, mehr Pflichten“ zusammen und sieht sie als Chance für die Digitalbranche. Durch die Pflicht erhalten Unternehmen einen noch nie dagewesenen Überblick über ihre gesammelten Daten. Die neue Transparenz schafft Vertrauensbildung und daraus auch einen monetären Mehrwert für Unternehmen.

Die Interessenabwägung interpretiert er als zentralen Erlaubnisbestand, da Direktwerbung ein starkes Gewicht in der Verordnung hat. Er rät dazu, bereits jetzt in den Prozessen die Löschung und Datenminimierung zu berücksichtigen. Die Einhaltung der Vorgaben muss aktiv nachgewiesen werden („Accountability“). Die technischen und organistaorischen Grundsätze zur Einhaltung werden durch den Stand der Technik und die Implementierungskosten, dem Zweck der Verarbeitung sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken sowie Art, des Umfangs, der Umstände, des Zwecks der Verarbeitung eingeschränkt. Wichtig ist der Nachweis der Berücksichtigung von unter anderem Pseudonymisierung und Dateniminimierungsgrundsatz. Er rät dazu, möglichst zeitnahe Privacy Policies zu aktualisieren, Dokumentations- und Verzeichnispflichten zu erfüllen und einen Datenschutzbeauftragten zu definieren.

Neben dem bestehenden Recht auf Löschung, das künftig unverzüglich gewährleistet werden muss, kommt auch das Recht auf Vergessen hinzu. Als neues Betroffenenrecht kommt die Datenportabilität auf Unternehmen zu: Dabei haben Personen das Recht, ihre Daten in einem gängigen Format von einem Anbieter zu erhalten bzw. zu einem anderen übermitteln zu lassen; das kann beispielsweise auf Versicherungen oder Banken zutreffen. Personen haben ein Widerspruchsrecht gegen rein automatisierte Datenverarbeitung ohne menschliches Zutun, auf das explizit und separat hingewiesen werden muss.

Im Rahmen der Datensicherheit muss der Verantwortliche beispielsweise durch Pseudonymisierung ein „angemessenes“ Niveau sicherstellen. Datenvorfälle müssen binnen 72 Stunden an die Aufsichtsbehörde gemeldet werden, wenn personenbezogene Daten verletzt werden. Zusätzlich zur Aufsichtsbehörde müssen auch die betroffenen Personen informiert werden, wenn voraussichtlich ein hohes Risiko für die Betroffenen besteht; unter Umständen aber nicht, wenn im Vorfeld geeignete Maßnahmen im Rahmen der Accountability getroffen wurden. Trotz aller Maßnahmen im Vorfeld kann jedoch die Aufsichtsbehörde zur nachträglichen Information verpflichten.

Der Jurist rät dazu, auch die Verträge mit externen Dienstleistern, die Daten im Auftrag verarbeiten, schon heute hinsichtlich der eintretenden Verordnung zu prüfen und zu adaptieren. Unternehmen sollen bereits jetzt Risikobereiche identifizieren und entsprechende Prioritäten in der Umsetzung setzen. In der Evaluierung empfiehlt Pachinger, möglichst eng mit unterschiedlichen Abteilungen zusammenzuarbeiten, um ein gesamtheitliches Bild zu erhalten. Fileshares und Ablagemöglichkeiten sowie manuelle Tätigkeiten sollte auch Beachtung geschenkt werden. Ein Datenflussdiagramm gibt einen guten Überblick über die Gesamtstruktur und ist hilfreich bei der Erstellung neuer Prozesse und eines strukturierten Datenschutzmanagementsystems zur Erfüllung der Dokumentationspflicht.

„Wir brauchen eine ganzheitliche Datenschutzkultur und eine strategische Integration in alle Geschäftsfprozesse. Jetzt ist der Moment für die ‚Daten Due Diligence!’“, betont Pachinger.

Alles anders mit der ePrivacy-Verordnung?

Jurist Michael Neuber, der beim Deutschen Bundesverband Digitale Wirtschaft den Bereich Recht und Regulierung leitet, unterstützt die Forderung nach einem digitalen Binnenmarkt. Die EU verspricht sich durch den digitalen Binnenmarkt einen Wertschöpfungszuwachs von 643 Milliarden Euro bis zum Jahr 2020. Die aktuell vorgestellten Regulierungsansätze der EU-Kommission hält er allerdings kaum für geeignet, dieses ambitionierte Ziel zu erreichen. „Das Recht des Betroffenen auf Datenschutz auf der einen und die grundrechtlich geschütze Betätigungsfreiheit der Unternehmen auf der anderen Seite müssen ausbalanciert und letzteres nicht komplett eingeschränkt werden“, schickt er seinen Ausführungen voraus. Die ePrivacy-Richtlinie ist hier wesentlicher ein Baustein der neuen Bedingungen für florierende digitale Netze und innovative Dienste der Europäischen Union. Sie befindet sich derzeit in der Entwurfsphase und soll zusätzlich zur EU-Datenschutzgrundsatzverordnung Spezialregeln für den Bereich der elektronischen Kommunikation enthalten. Nach dem Willen der EU-Kommission soll sie ohne Übergangsfrist zeitgleich mit der EU-Datenschutzgrundverordnung am 25. Mai 2018 in Kraft treten.

Die Webfehler der ePrivacy-Verordnung erklärt Neuber an konkreten Beispielen des aktuell vorliegenden Entwurfs: Obwohl eigentlich allein für den Bereich des klassischen (Tele-)Kommunikationsschutzes gedacht, erstreckt sich der Anwendungsbereich nun auf jedweden digitalen Datenaustausch mit systemfremden Konsquenzen. Verboten sein soll nun grundsätzlich jede Verarbeitung von Kommunikations(meta)daten. Folge ist  dann die Einschränkung der Kommunikationsausübung, statt Vertraulichkeitsschutz. Erfasst sein soll darüber hinaus nicht nur personenbezogene, sondern auch machine-to-machine-Kommunikation. Neben dem Nutzer sollen Drittparteien gemäß Art. 8 Abs. 1 grundsätzlich nur noch mit Einwilligung Zugriff auf die Speicher- und Rechenkapazitäten beispielsweise eines Smartphones („Endeinrichtung“) haben. Auch das Auslesen von Hard- oder Softwarekonfigurationen soll verboten sein,  wodurch auch das Fingerprinting zur Identifikation unterbunden werden soll. Enge Ausnahmen sollen auf notwendige Zugriffe im Rahmen der Diensterbringung beschränkt sein. Daraus resultierend wären Reichweitenmessungen, wie die ÖWA, in Österreich künftig verboten, obwohl diese keine personenbezogenen Daten abfragen. Eine Gatekeeper-Rolle fällt laut Artikel 10 den Browsern zu: Sie sollen künftig verhindern, dass Dritte am Endgerät des Nutzers Informationen speichern oder gespeicherte Daten verarbeiten. Nutzer sollen eine Browser-Installation künftig nur abschließen können, wenn sie sich für eine Datenoption – welche immer auch den Ausschluss sämtlicher „third parties“ vorsehen muss – entscheiden.  „Es droht der Verlust der Auslieferungskontrolle und wir steuern auf blinde Webseiten zu, die keine Nutzungen mehr erkennen können“, zeigt sich Neuber erschüttert. Für eine Neueinstellung der Cookie-Optionen müßten Browser ein Whitelisting betreiben, um der ePrivacy-Verordnung zu entsprechen und jeden Drittanbieter nach seiner Zugangsberechtigung zum User fragen. Wie das rechtlich und technisch gehen soll, beantwortet der Entwurf nicht. Es gäbe Tendenzen in der EU, die Tracking komplett untersagen möchten, berichtet Neuber aus der politschen-Arbeit des BVDW.

„Die ePrivacy-Verordnung wird kommen und sehr restriktiv sein. Der entsprechende politische Wille ist entgegen allen rechtlichen und praktischen Bedenken vorhanden. Eine differenzierte Beschäftigung mit den sicherlich anzugehenden Privacy-Fragen einerseits und der Funktionsweise und den Monetarisierungsmechanismen im Netz andererseits ist allerdings in der politischen Debatte nicht erkennbar. Hier wird leider vieles durcheinandergeworfen“, schließt Neuber.

Die Folien und Videomitschnitte der Vorträge sind zu finden auf:

https://www.iab-austria.at/iab-infoveranstaltung-dsgvo-eprivacy

Über das internet advertising bureau austria (iab austria)

In der Österreich-Sektion des iab (internet advertising bureau – Verein zur Förderung der Online Werbung) haben sich rund 130 führende Unternehmen der digitalen Wirtschaft organisiert. Sie setzen Maßstäbe für die digitale Kommunikation, unterstützen die werbetreibenden Unternehmen mit Expertise, sorgen für Transparenz und fördern den Nachwuchs. Durch die Vielfalt der Mitglieder aus allen Bereichen der digitalen Wirtschaft, ist der ganzheitliche Blick auf die für die Branche relevanten Themen gewährleistet. Der iab austria ist in ständigem Austausch mit Politik, Öffentlichkeit und anderen Interessensgruppen. Weitere Informationen auf http://www.iab-austria.at.


+++ BILDMATERIAL +++
Das Bildmaterial steht zur honorarfreien Veröffentlichung im Rahmen der redaktionellen Berichterstattung zur Verfügung. Weiteres Bild- und Informationsmaterial im Pressebereich unserer Website auf http://www.leisure.at. (Schluss)


 

zurück zur Übersicht

Rückfragen & Kontakt

leisure communications
Alexander Khaelss-Khaelssberg
Tel.: +43 664 8563001
akhaelss@leisure.at
https://twitter.com/akhaelss

Geokoordinaten

Geokoordinaten iab austria lässt Vorboten der EU Datenschutzgrundsatzverordnung auf der WU Wien ankommen – BILD/VIDEO

1020 Wien, Welthandelsplatz 1

Kunde

iab austria interactive advertising bureau © iab austria interactive advertising bureau

iab austria - interactive advertising bureau
http://www.iab-austria.at