Blog

Daten und Sicherheit: Die 100-Tage Bilanz der DSGVO

Datenschutzgrundverordnung

date icon 31. August 2018

Seit 25. Mai ist die Datenschutzgrundverordnung DSGVO in Österreich in Kraft. Die erste Bilanz ist durchwachsen.

Mit Herannahen des Datums im Mai ist die Aufmerksamkeit in der Öffentlichkeit gegenüber der neuen Datenschutz-Regelung immer größer geworden. Die Aufregung stieg mit der Verunsicherung der Unternehmen. Heute – rund 100 Tage später – lässt sich eine erste Bilanz ziehen: Zum einen: Die Welt steht noch. Zum anderen: Viele Fragen – vor allem in den kleinen und mittelständischen Unternehmen – sind immer noch offen.

Gefälle nach Unternehmensgröße

Nach unserer Wahrnehmung zeigen sich in der Umsetzung der DSGVO Größenunterschiede: Je größer ein Unternehmen, umso intensiver die Beschäftigung mit der Verordnung. Der Hintergrund ist einfach erklärt: Konzerne greifen auf die bereitgestellten Personalressourcen zurück. Auch größere Mittelständler dürfen als vorbereitet gelten. Defizite weisen nach Stichproben im Internet und nach Klientenreaktion vor allem kleine und kleinste Unternehmen auf. Der meist genannte Hauptgrund liegt in der – oft falschen – Annahme, nicht von der DSGVO betroffen zu sein.

Um diese Unternehmen geht es

Österreich hat schon immer über relativ strenge Datenschutzregelungen (gemeinsam mit dem Telekomgesetz) verfügt. Daher hat sich inhaltlich nicht allzu viel verändert. Nur die Sanktionen wurden härter. Betroffen ist jedes Unternehmen, das in irgendeiner Form personenbezogene Daten verarbeitet – egal, ob dies Einzelpersonen, Personen- oder Kapitalgesellschaften bzw. Vereine sind. Sobald beispielsweise Personendaten für eine Rechnungslegung oder für ein Dienstverhältnis gespeichert werden, gilt es, die DSGVO-Regeln zu beachten. Nur wenn bei Adressen ausschließlich Firmennamen und Anschriften genannt werden und jeglicher Personenbezug fehlt – keine Ansprechpartner, keine Geschäftsführer -, dann greift die Verordnung nicht: Die DSGVO schützt ausschließlich die Rechte von betroffenen natürlichen Personen.

Chapter 1: Wann darf gespeichert werden

Grundsätzlich ist die DSGVO ein Verbotsgesetz, das untersagt, personenbezogene Daten zu verarbeiten. Es sei denn, dass es dafür einen Rechtsgrund und einen Zweck gibt. Die DSGVO sieht hauptsächlich vier Ursachen im Rahmen des Artikels 6 vor:z

  1. Es gibt ein Vertragsverhältnis mit der Person (Kauf, Anstellung, Werksvertrag, etc..). Es reicht dabei schon, die Anbahnung eines Vertragsverhältnisses in die Wege zu leiten.
  2. Es verpflichten gesetzliche Vorschriften zur Datenspeicherung. Dies ist beispielsweise bei Umsatzsteuerrechnungen oder steuerlichen bzw. sozialversicherungsrechtlichen Archivierungspflichten der Fall: Diese Vorgaben sind so stark, dass auch Löschbegehren der Betroffenen nicht durchgreifen.
  3. Es gibt eine Einverständniserklärung. Die ist der typische Fall bei der Zustimmung zu einem Newsletter-Abonnement. Diese Zustimmung ist jederzeit widerrufbar.
  4. Es existiert ein berechtigtes Interesse (Art 6 Abs 1 Lit f): Dabei übertrifft „das berechtigte Interesse des Verantwortlichen (= Datenverarbeiter)“ das „subjektive Datenschutzrecht des Betroffen“. Die Einschätzung, was überwiegt, obliegt dem Verantwortlichen.
    Hier liegt die Besonderheit dieser Regelung: Der Verantwortliche speichert und nutzt die Daten solange, bis der Betroffene Widerspruch einlegt – und im Worst Case die Datenschutzkommission anruft, die dessen Einschätzung prüft. In diesem Passus liegt noch ein weiter und ungeklärter Rechtsraum.

Ohne Rechtsgrundlage muss gelöscht werden

Wenn die Rechtsgrundlage wegfällt, muss der Anwender die Daten löschen. So ist der Anwender beispielsweise verpflichtet, sieben Jahre nach Ende eines Verkaufsvertrages oder eines Dienstverhältnisses die gespeicherten Betroffenen-Daten zu löschen. Ausnahmen sind Mitarbeiterdaten, die benötigt werden, um ein einfaches Dienstzeugnis auszustellen. Diese Daten müssen 30 Jahre lang archiviert/gespeichert werden.

Der Zweck bleibt heilig

Wichtig: Wenn ein Verantwortlicher Daten auf Grund eines Rechtsgrundes – bspw. eines Kaufvertrages – speichert, darf er diese Daten nicht für einen anderen Zweck verwenden. Die Nutzung der Daten für die Zusendung eines Newsletters kann uU zum Problem werden.

Chapter 2: Erstellung des Verarbeitungsverzeichnisses

Die erste Hausaufgabe eines betroffenen Unternehmens ist die Erstellung eines Verarbeitungsverzeichnisses. Die Beratungswirklichkeit von ARTUS unterstreicht, dass in diesem Punkt die größten Umsetzungsschwierigkeiten zu finden sind. Die auf den ersten Blick komplizierte Liste aus Namen, evtl. Löschfristen und Kategorien verwirrt. Nach kurzer Beschäftigung mit dem Thema fallen aber die Berührungsängste. Die WKO stellt dabei nützliche Musterbeispiele zur Verfügung. EPU und KMU mit einem durchschnittlichen Kunden- und Mitarbeiterbestand lösen die Aufgabe in einem Nachmittag – Ausnahmen sind freilich möglich.

2d illustration Safety concept: Closed Padlock on digital background

Das muss gelistet werden

Das Verarbeitungsverzeichnis ist keine Datenbank mit allen im Unternehmen vorhandenen Daten, sondern soll der Datenschutzbehörde einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Das Verarbeitungsverzeichnis muss daher folgende Informationen enthalten:

  • Den Zweck der Verarbeitung (Kaufvertrag, Dienstverhältnis, Newsletter, Abonnent, etc)
  • die Kategorien der betroffenen Personen (Kunde, Mitarbeiter, Zulieferer, etc)
  • und die Kategorien der personenbezogenen Daten (Adressen, Geburtsdaten, SV-Daten, Gehaltskonto, etc..)
  • die Kategorien von Empfängern
  • gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland
  • die vorgesehene Speicherdauer. Es wird festgehalten, wann die Datei gelöscht werden muss. Dies kann nicht immer angegeben werden, bspw. bei unbefristeten Verträgen. Dann nützt es, als Löschdatum „nach Ablauf des Vertrages“ anzugeben.
  • Abschließend nützt eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung (Firewall, Zugangsberechtigte, versch. Speicherorte)

Die Erstellung des Verarbeitungsverzeichnisses nimmt in der Realität den größten (Zeit)Raum ein. Niemand soll sich davon abschrecken lassen. Erste externe Unterstützung hilft sehr effizient, die weiteren Schritte selbst setzen zu können.

Chapter 3. Erstellung einer Datenschutzerklärung

Die Erstellung einer Datenschutzerklärung repräsentiert nach der Erstellung des Anlagenverzeichnisses die zweite unverzichtbare Hausübung für ein betroffenes Unternehmen. Es ist empfehlenswert, eine derartige Datenschutzerklärung im Impressum festzuschreiben und in den Schriftsätzen des Unternehmens darauf zu verweisen. Finden Sie hier eine Mustererklärung der WKO.

Die Erstellung einer Datenschutzerklärung und deren Online-Veröffentlichung ist von hoher praktischer Relevanz. Jeder Datenempfänger kann auf diese Art feststellen, ob sich ein Unternehmen mit der DSGVO auseinandergesetzt hat.

Hohe Strafen

Die Datenschutzbehörde orientiert sich vor Verhängung einer Geldbuße an der Verhältnismäßigkeit und wird im Erstfall eine Verwarnung aussprechen. Bei bestimmten besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Aktive Kontrollen entsprechen derzeit nicht der Rechtswirklichkeit. Allerdings muss die Behörde auf Grund von Anzeigen aktiv werden. Und dann gilt es, die entsprechenden Vorkehrungen vorzuweisen.

Mehr aus dieser Kategorie Mehr von diesem Autor

Sie haben Fragen?

Wir beraten Sie gerne zu diesem Thema unter info@artus.at

Jetzt informieren