Inhalt:

Daten und Sicherheit: Die 100-Tage Bilanz der DSGVO

31/8/
2018
Ihr Ansprechpartner zu diesem Thema ist

Seit 25. Mai ist die Datenschutzgrundverordnung DSGVO in Österreich in Kraft. Die erste Bilanz ist durchwachsen.

Mit Herannahen des Datums im Mai ist die Aufmerksamkeit in der Öffentlichkeit gegenüber der neuen Datenschutz-Regelung immer größer geworden. Die Aufregung stieg mit der Verunsicherung der Unternehmen. Heute – rund 100 Tage später – lässt sich eine erste Bilanz ziehen: Zum einen: Die Welt steht noch. Zum anderen: Viele Fragen – vor allem in den kleinen und mittelständischen Unternehmen – sind immer noch offen.

Gefälle nach Unternehmensgröße

Nach unserer Wahrnehmung zeigen sich in der Umsetzung der DSGVO Größenunterschiede: Je größer ein Unternehmen, umso intensiver die Beschäftigung mit der Verordnung. Der Hintergrund ist einfach erklärt: Konzerne greifen auf die bereitgestellten Personalressourcen zurück. Auch größere Mittelständler dürfen als vorbereitet gelten. Defizite weisen nach Stichproben im Internet und nach Klientenreaktion vor allem kleine und kleinste Unternehmen auf. Der meist genannte Hauptgrund liegt in der – oft falschen – Annahme, nicht von der DSGVO betroffen zu sein.

Um diese Unternehmen geht es

Österreich hat schon immer über relativ strenge Datenschutzregelungen (gemeinsam mit dem Telekomgesetz) verfügt. Daher hat sich inhaltlich nicht allzu viel verändert. Nur die Sanktionen wurden härter. Betroffen ist jedes Unternehmen, das in irgendeiner Form personenbezogene Daten verarbeitet – egal, ob dies Einzelpersonen, Personen- oder Kapitalgesellschaften bzw. Vereine sind. Sobald beispielsweise Personendaten für eine Rechnungslegung oder für ein Dienstverhältnis gespeichert werden, gilt es, die DSGVO-Regeln zu beachten. Nur wenn bei Adressen ausschließlich Firmennamen und Anschriften genannt werden und jeglicher Personenbezug fehlt – keine Ansprechpartner, keine Geschäftsführer -, dann greift die Verordnung nicht: Die DSGVO schützt ausschließlich die Rechte von betroffenen natürlichen Personen.

Chapter 1: Wann darf gespeichert werden

Grundsätzlich ist die DSGVO ein Verbotsgesetz, das untersagt, personenbezogene Daten zu verarbeiten. Es sei denn, dass es dafür einen Rechtsgrund und einen Zweck gibt. Die DSGVO sieht hauptsächlich vier Ursachen im Rahmen des Artikels 6 vor:z

  1. Es gibt ein Vertragsverhältnis mit der Person (Kauf, Anstellung, Werksvertrag, etc..). Es reicht dabei schon, die Anbahnung eines Vertragsverhältnisses in die Wege zu leiten.
  2. Es verpflichten gesetzliche Vorschriften zur Datenspeicherung. Dies ist beispielsweise bei Umsatzsteuerrechnungen oder steuerlichen bzw. sozialversicherungsrechtlichen Archivierungspflichten der Fall: Diese Vorgaben sind so stark, dass auch Löschbegehren der Betroffenen nicht durchgreifen.
  3. Es gibt eine Einverständniserklärung. Die ist der typische Fall bei der Zustimmung zu einem Newsletter-Abonnement. Diese Zustimmung ist jederzeit widerrufbar.
  4. Es existiert ein berechtigtes Interesse (Art 6 Abs 1 Lit f): Dabei übertrifft „das berechtigte Interesse des Verantwortlichen (= Datenverarbeiter)“ das „subjektive Datenschutzrecht des Betroffen“. Die Einschätzung, was überwiegt, obliegt dem Verantwortlichen.
    Hier liegt die Besonderheit dieser Regelung: Der Verantwortliche speichert und nutzt die Daten solange, bis der Betroffene Widerspruch einlegt – und im Worst Case die Datenschutzkommission anruft, die dessen Einschätzung prüft. In diesem Passus liegt noch ein weiter und ungeklärter Rechtsraum.

Ohne Rechtsgrundlage muss gelöscht werden

Wenn die Rechtsgrundlage wegfällt, muss der Anwender die Daten löschen. So ist der Anwender beispielsweise verpflichtet, sieben Jahre nach Ende eines Verkaufsvertrages oder eines Dienstverhältnisses die gespeicherten Betroffenen-Daten zu löschen. Ausnahmen sind Mitarbeiterdaten, die benötigt werden, um ein einfaches Dienstzeugnis auszustellen. Diese Daten müssen 30 Jahre lang archiviert/gespeichert werden.

Der Zweck bleibt heilig

Wichtig: Wenn ein Verantwortlicher Daten auf Grund eines Rechtsgrundes – bspw. eines Kaufvertrages – speichert, darf er diese Daten nicht für einen anderen Zweck verwenden. Die Nutzung der Daten für die Zusendung eines Newsletters kann uU zum Problem werden.

Chapter 2: Erstellung des Verarbeitungsverzeichnisses

Die erste Hausaufgabe eines betroffenen Unternehmens ist die Erstellung eines Verarbeitungsverzeichnisses. Die Beratungswirklichkeit von ARTUS unterstreicht, dass in diesem Punkt die größten Umsetzungsschwierigkeiten zu finden sind. Die auf den ersten Blick komplizierte Liste aus Namen, evtl. Löschfristen und Kategorien verwirrt. Nach kurzer Beschäftigung mit dem Thema fallen aber die Berührungsängste. Die WKO stellt dabei nützliche Musterbeispiele zur Verfügung. EPU und KMU mit einem durchschnittlichen Kunden- und Mitarbeiterbestand lösen die Aufgabe in einem Nachmittag – Ausnahmen sind freilich möglich.

2d illustration Safety concept: Closed Padlock on digital background

Das muss gelistet werden

Das Verarbeitungsverzeichnis ist keine Datenbank mit allen im Unternehmen vorhandenen Daten, sondern soll der Datenschutzbehörde einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Das Verarbeitungsverzeichnis muss daher folgende Informationen enthalten:

Die Erstellung des Verarbeitungsverzeichnisses nimmt in der Realität den größten (Zeit)Raum ein. Niemand soll sich davon abschrecken lassen. Erste externe Unterstützung hilft sehr effizient, die weiteren Schritte selbst setzen zu können.

Chapter 3. Erstellung einer Datenschutzerklärung

Die Erstellung einer Datenschutzerklärung repräsentiert nach der Erstellung des Anlagenverzeichnisses die zweite unverzichtbare Hausübung für ein betroffenes Unternehmen. Es ist empfehlenswert, eine derartige Datenschutzerklärung im Impressum festzuschreiben und in den Schriftsätzen des Unternehmens darauf zu verweisen. Finden Sie hier eine Mustererklärung der WKO.

Die Erstellung einer Datenschutzerklärung und deren Online-Veröffentlichung ist von hoher praktischer Relevanz. Jeder Datenempfänger kann auf diese Art feststellen, ob sich ein Unternehmen mit der DSGVO auseinandergesetzt hat.

Hohe Strafen

Die Datenschutzbehörde orientiert sich vor Verhängung einer Geldbuße an der Verhältnismäßigkeit und wird im Erstfall eine Verwarnung aussprechen. Bei bestimmten besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Aktive Kontrollen entsprechen derzeit nicht der Rechtswirklichkeit. Allerdings muss die Behörde auf Grund von Anzeigen aktiv werden. Und dann gilt es, die entsprechenden Vorkehrungen vorzuweisen.

Schlagworte: ,

Relevante Beiträge

Es wird darauf hingewiesen, dass trotz sorgfältiger inhaltlicher Prüfung keine Haftung oder Gewährleistung für die auf dieser Website veröffentlichten Informationen übernommen werden kann. Diese sind lediglich allgemeiner Natur und können eine Beratung im Einzelfall nicht ersetzen.

Weiterempfehlen

Comments are closed.

Persönliche Beratung

Unser Team freut sich
auf Ihre Anfrage

Ferdinand  Pongracz

Mag. Ferdinand Pongracz

Chief Information Officer

T: +43-1-5137900

Jetzt kontaktieren

Neueste Blogbeiträge

18.6.19 - Abzugsfähigkeit von steuerlichen... Steuerberatungskosten können von Unternehmern als Betriebsausgaben bzw. steuermindernd geltend gemacht werden. Unter folgenden Voraussetzungen können sie der Höhe nach unbegrenzt auch von Privaten als Sonderausgaben abgesetzt werden. Es sind... mehr lesen... 12.6.19 - Datenschutzbericht 2018: Wie die DSGVO den... Der aktuelle Datenschutzbericht des Jahres 2018 hat einen besonderen Fokus: Die Datenschutzbehörde DSB liefert erstmals seit Inkrafttreten der DSGVO am 25. Mai 2018 eine Übersicht, wie sich die neue Gesetzeslage ausgewirkt hat. Der Trend dabei:... mehr lesen...

Veranstaltungen

ARTUS Seminar: Fehler und Fallen im... Unternehmerische Entscheidungen haben oftmals arbeitsrechtliche Konsequenzen, die Folgen nach sich ziehen, denen wir uns nicht immer bewusst sind. Mit dem ARTUS Seminar Fehler und Fallen im Arbeitsrecht vermeiden verfolgte unsere... mehr Informationen... GmbH für Ärzte? Rechtliche und steuerliche... Am Dienstag, 16.4.2019, fand in Billrothhaus die Veranstaltung "GmbH für Ärzte? Rechtliche und steuerliche Möglichkeiten zur Optimierung der Ordination" statt. Neben Dr. Oliver Völkel, Rechtsanwalt für Ärzte- und Krankenanstaltenrecht - Stadler... mehr Informationen...

Independent Member of BKR International

Kontakt | Impressum | Nützliche Links | Datenschutz

Folgen Sie uns auf: Facebook LinkedIn Xing Twitter


nach oben
Diese Seite verwendet Cookies, die für eine uneingeschränkte Nutzung der Website nötig sind.
Detaillierte Informationen über den Einsatz von Cookies auf dieser Website finden Sie in der Datenschutzerklärung.
Dort kann auch der Verwendung von Cookies widersagt werden.
Akzeptieren