Inhalt:

Daten und Sicherheit: Die 100-Tage Bilanz der DSGVO

31/8/
2018
Ihr Ansprechpartner zu diesem Thema ist

Seit 25. Mai ist die Datenschutzgrundverordnung DSGVO in Österreich in Kraft. Die erste Bilanz ist durchwachsen.

Mit Herannahen des Datums im Mai ist die Aufmerksamkeit in der Öffentlichkeit gegenüber der neuen Datenschutz-Regelung immer größer geworden. Die Aufregung stieg mit der Verunsicherung der Unternehmen. Heute – rund 100 Tage später – lässt sich eine erste Bilanz ziehen: Zum einen: Die Welt steht noch. Zum anderen: Viele Fragen – vor allem in den kleinen und mittelständischen Unternehmen – sind immer noch offen.

Gefälle nach Unternehmensgröße

Nach unserer Wahrnehmung zeigen sich in der Umsetzung der DSGVO Größenunterschiede: Je größer ein Unternehmen, umso intensiver die Beschäftigung mit der Verordnung. Der Hintergrund ist einfach erklärt: Konzerne greifen auf die bereitgestellten Personalressourcen zurück. Auch größere Mittelständler dürfen als vorbereitet gelten. Defizite weisen nach Stichproben im Internet und nach Klientenreaktion vor allem kleine und kleinste Unternehmen auf. Der meist genannte Hauptgrund liegt in der – oft falschen – Annahme, nicht von der DSGVO betroffen zu sein.

Um diese Unternehmen geht es

Österreich hat schon immer über relativ strenge Datenschutzregelungen (gemeinsam mit dem Telekomgesetz) verfügt. Daher hat sich inhaltlich nicht allzu viel verändert. Nur die Sanktionen wurden härter. Betroffen ist jedes Unternehmen, das in irgendeiner Form personenbezogene Daten verarbeitet – egal, ob dies Einzelpersonen, Personen- oder Kapitalgesellschaften bzw. Vereine sind. Sobald beispielsweise Personendaten für eine Rechnungslegung oder für ein Dienstverhältnis gespeichert werden, gilt es, die DSGVO-Regeln zu beachten. Nur wenn bei Adressen ausschließlich Firmennamen und Anschriften genannt werden und jeglicher Personenbezug fehlt – keine Ansprechpartner, keine Geschäftsführer -, dann greift die Verordnung nicht: Die DSGVO schützt ausschließlich die Rechte von betroffenen natürlichen Personen.

Chapter 1: Wann darf gespeichert werden

Grundsätzlich ist die DSGVO ein Verbotsgesetz, das untersagt, personenbezogene Daten zu verarbeiten. Es sei denn, dass es dafür einen Rechtsgrund und einen Zweck gibt. Die DSGVO sieht hauptsächlich vier Ursachen im Rahmen des Artikels 6 vor:z

  1. Es gibt ein Vertragsverhältnis mit der Person (Kauf, Anstellung, Werksvertrag, etc..). Es reicht dabei schon, die Anbahnung eines Vertragsverhältnisses in die Wege zu leiten.
  2. Es verpflichten gesetzliche Vorschriften zur Datenspeicherung. Dies ist beispielsweise bei Umsatzsteuerrechnungen oder steuerlichen bzw. sozialversicherungsrechtlichen Archivierungspflichten der Fall: Diese Vorgaben sind so stark, dass auch Löschbegehren der Betroffenen nicht durchgreifen.
  3. Es gibt eine Einverständniserklärung. Die ist der typische Fall bei der Zustimmung zu einem Newsletter-Abonnement. Diese Zustimmung ist jederzeit widerrufbar.
  4. Es existiert ein berechtigtes Interesse (Art 6 Abs 1 Lit f): Dabei übertrifft „das berechtigte Interesse des Verantwortlichen (= Datenverarbeiter)“ das „subjektive Datenschutzrecht des Betroffen“. Die Einschätzung, was überwiegt, obliegt dem Verantwortlichen.
    Hier liegt die Besonderheit dieser Regelung: Der Verantwortliche speichert und nutzt die Daten solange, bis der Betroffene Widerspruch einlegt – und im Worst Case die Datenschutzkommission anruft, die dessen Einschätzung prüft. In diesem Passus liegt noch ein weiter und ungeklärter Rechtsraum.

Ohne Rechtsgrundlage muss gelöscht werden

Wenn die Rechtsgrundlage wegfällt, muss der Anwender die Daten löschen. So ist der Anwender beispielsweise verpflichtet, sieben Jahre nach Ende eines Verkaufsvertrages oder eines Dienstverhältnisses die gespeicherten Betroffenen-Daten zu löschen. Ausnahmen sind Mitarbeiterdaten, die benötigt werden, um ein einfaches Dienstzeugnis auszustellen. Diese Daten müssen 30 Jahre lang archiviert/gespeichert werden.

Der Zweck bleibt heilig

Wichtig: Wenn ein Verantwortlicher Daten auf Grund eines Rechtsgrundes – bspw. eines Kaufvertrages – speichert, darf er diese Daten nicht für einen anderen Zweck verwenden. Die Nutzung der Daten für die Zusendung eines Newsletters kann uU zum Problem werden.

Chapter 2: Erstellung des Verarbeitungsverzeichnisses

Die erste Hausaufgabe eines betroffenen Unternehmens ist die Erstellung eines Verarbeitungsverzeichnisses. Die Beratungswirklichkeit von ARTUS unterstreicht, dass in diesem Punkt die größten Umsetzungsschwierigkeiten zu finden sind. Die auf den ersten Blick komplizierte Liste aus Namen, evtl. Löschfristen und Kategorien verwirrt. Nach kurzer Beschäftigung mit dem Thema fallen aber die Berührungsängste. Die WKO stellt dabei nützliche Musterbeispiele zur Verfügung. EPU und KMU mit einem durchschnittlichen Kunden- und Mitarbeiterbestand lösen die Aufgabe in einem Nachmittag – Ausnahmen sind freilich möglich.

2d illustration Safety concept: Closed Padlock on digital background

Das muss gelistet werden

Das Verarbeitungsverzeichnis ist keine Datenbank mit allen im Unternehmen vorhandenen Daten, sondern soll der Datenschutzbehörde einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Das Verarbeitungsverzeichnis muss daher folgende Informationen enthalten:

Die Erstellung des Verarbeitungsverzeichnisses nimmt in der Realität den größten (Zeit)Raum ein. Niemand soll sich davon abschrecken lassen. Erste externe Unterstützung hilft sehr effizient, die weiteren Schritte selbst setzen zu können.

Chapter 3. Erstellung einer Datenschutzerklärung

Die Erstellung einer Datenschutzerklärung repräsentiert nach der Erstellung des Anlagenverzeichnisses die zweite unverzichtbare Hausübung für ein betroffenes Unternehmen. Es ist empfehlenswert, eine derartige Datenschutzerklärung im Impressum festzuschreiben und in den Schriftsätzen des Unternehmens darauf zu verweisen. Finden Sie hier eine Mustererklärung der WKO.

Die Erstellung einer Datenschutzerklärung und deren Online-Veröffentlichung ist von hoher praktischer Relevanz. Jeder Datenempfänger kann auf diese Art feststellen, ob sich ein Unternehmen mit der DSGVO auseinandergesetzt hat.

Hohe Strafen

Die Datenschutzbehörde orientiert sich vor Verhängung einer Geldbuße an der Verhältnismäßigkeit und wird im Erstfall eine Verwarnung aussprechen. Bei bestimmten besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Aktive Kontrollen entsprechen derzeit nicht der Rechtswirklichkeit. Allerdings muss die Behörde auf Grund von Anzeigen aktiv werden. Und dann gilt es, die entsprechenden Vorkehrungen vorzuweisen.

Schlagworte: ,

Relevante Beiträge

Es wird darauf hingewiesen, dass trotz sorgfältiger inhaltlicher Prüfung keine Haftung oder Gewährleistung für die auf dieser Website veröffentlichten Informationen übernommen werden kann. Diese sind lediglich allgemeiner Natur und können eine Beratung im Einzelfall nicht ersetzen.

Weiterempfehlen

Comments are closed.

Persönliche Beratung

Unser Team freut sich
auf Ihre Anfrage

Ferdinand  Pongracz

Mag. Ferdinand Pongracz

Chief Information Officer

T: +43-1-5137900

Jetzt kontaktieren

Neueste Blogbeiträge

27.2.20 - Fahrtenbuch für einen halben Sachbezug Ein Fahrtenbuch sollte folgende Punkte beinhalten: Grundsätzlich Name des Arbeitnehmers Marke/Type des PKWs Kennzeichen zusätzlich pro Fahrt sowohl privat als auch beruflich Datum Zeit der Abfahrt/Ankunft Reiseweg (von-über-nach) ... mehr lesen... 25.2.20 - Zusammenlegung der Krankenkassen Mit Wirkung ab 1.1.2020 wurden die neun Gebietskrankenkassen zur Österreichischen Gesundheitskasse (ÖGK) zusammengeschlossen. Infolge dieser Fusion wurden die bisherigen Gebietskrankenkassen zu bloßen Landesstellen der neuen ÖGK... mehr lesen...

Veranstaltungen

ARTUS Seminar: Bilanzen richtig lesen Ein Jahresabschluss ist kein Zahlenfriedhof, wie es auf den ersten Blick oftscheinen mag. Viel mehr kann aus diesen „trockenen Zahlen“ eine Vielzahlan sinnvollen Informationen herausgelesen werden, wenn man denn weiß,worauf zu achten ist. Gewusst... mehr Informationen... Arbeitsrecht Update 2020 Arbeitsrecht & Steuerrecht sind genauso dynamische wie komplexe Rechtsbereiche mit ständigen gesetzlichen Neuerungen. Sowohl Ende 2019 als auch Anfang 2020 sind von zahlreichen Änderungen geprägt, begleitet von neuen Entscheidungen der... mehr Informationen...

Independent Member of BKR International

Kontakt | Impressum | Nützliche Links | Datenschutz

Folgen Sie uns auf: Facebook LinkedIn Xing Twitter


nach oben
Diese Seite verwendet Cookies, die für eine uneingeschränkte Nutzung der Website nötig sind.
Detaillierte Informationen über den Einsatz von Cookies auf dieser Website finden Sie in der Datenschutzerklärung.
Dort kann auch der Verwendung von Cookies widersagt werden.
Akzeptieren