DATENSCHUTZ ALS UNTERNEHMERISCHE HERAUSFORDERUNG

datenschutz browser wird von geschäftsmann bedient

Ab 25. Mai 2018 gilt die neue Europäische Datenschutz-Grundverordnung (DSGVO). Sie regelt den Rechtsbereich Datenschutz EU-weit neu und erlegt Unternehmern bisher teils ungekannte Verpflichtungen auf bzw. verstärkt bestehende. Auch wenn die eigentliche Stoßrichtung gegen Internetgiganten wie Facebook und Google beabsichtigt war, gilt diese Verordnung auch für Klein- und Mittelunternehmen. Für Verstöße drohen Strafen bis zu EUR 20 Millionen und mehr.

Viele Pflichten, wenig Wissen

Die meisten KMUs sind für die Umsetzung der Datenschutz-Grundverordnung noch nicht ausreichend gerüstet.

Datenschutz wird mit der DSGVO zu einem wichtigen Thema, das neben der Geschäftsführung auch viele MitarbeiterInnen betrifft und sich über sämtliche Abteilungen erstreckt. Gleichzeitig fehlen jedoch Wissen und Maßnahmen hierzu in vielen Unternehmen. Vor allem kleine bis mittlere Unternehmen sind sich der auf sie zukommenden Verpflichtungen kaum bewusst und geraten nun angesichts des Strafrahmens und der Vielzahl an notwendigen Schritten unter Zugzwang.

Die qualifizierte Umsetzung der DSGVO erfordert Anstrengungen in den Bereichen Know-how-Erwerb, Analyse, Anpassung an Vorschriften, Überprüfung der IT-Sicherheit, Dokumentation, Verträge mit Dienstleistern (z.B. Steuerberater), periodisch wiederholte Überprüfungen u.v.a.m.

Empfindlich erhöhter Strafrahmen

Bis zu 20 Mio. Euro betragen in Österreich die Höchststrafen bei Nichterfüllung der DSVGO.

Die DSGVO enthält 99 Artikel und 173 Erwägungsgründe (sowie deren Auslegung) und ist teils schwer verständlich. Sie ersetzt in Österreich das Datenschutzgesetz DSG 2000, sieht allerdings für die einzelnen Mitgliedsländer 69 Öffnungsklauseln vor, welche den einzelnen Staaten abweichende Regelungen in bestimmten Bereichen erlauben. Aus diesem Grund liegt nun auch ein österreichisches Umsetzungsgesetz vor – das Datenschutz-Anpassungsgesetz 2018. Lagen Höchststrafen in Österreich bisher bei EUR 25.000, so gilt nun ein Strafrahmen von bis zu EUR 20 Millionen bzw. 4 % des weltweiten Umsatzes (es gilt die höhere Summe). Unabhängig davon kann die Datenschutzbehörde auch weitere Maßnahmen vorsehen.

Was sind personenbezogene Daten?

Die DSGVO regelt die Verarbeitung von personenbezogenen Daten, also von „Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person – betroffene Person – beziehen“ (Definition gemäß Art. 4 Z 1 DSGVO).

Hierbei werden folgende Datenarten unterschieden:

  • allgemeine Kategorie: z.B. Adresse, Geburtsdatum, KFZ-Kennzeichen,
  • besondere Kategorie: z.B. Gewerkschaft, Religion, Sozialversicherungsnummer, Gesundheitsdaten
  • strafrechtsrelevante Daten: z.B. strafrechtliche Urteile oder Ermittlungen, Waffenverbot

Der Personenbezug von Daten kann sich auch aus der Verknüpfung derselben ergeben. Daher sind sämtliche Daten in ihrem Zusammenhang zu betrachten, auch wenn kein Name etc. vorliegt.

mgz_datenschutz

Verarbeitungsgrundsätze

Die DSGVO gibt Grundsätze für die Verarbeitung von Daten vor. Unter anderem sind dies:

  • Rechtmäßigkeit
  • Verarbeitung nach Treu und Glauben
  • Transparenz
  • Zweckbindung
  • Datenminimierung (bzw. -notwendigkeit)
  • u.a.

Datenverarbeitung und -besitz

Zum Schutz von Personen werden alle Vorgänge und auch der Besitz von personenbezogenen Daten genau geregelt.

Die „Verarbeitung“ von Daten gemäß DSGVO umfasst jeden Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten. Dabei ist es unerheblich, ob diese Vorgänge mit oder ohne Hilfe automatisierter Verfahren ausgeführt werden. Darunter fallen die Erfassung, Speicherung, Anpassung und Veränderung, Verwendung, Abfrage, Übermittlung, Löschung o.ä. von Daten.

Kundendaten speichern oder löschen?

Der Umgang mit Kundendaten ist in der DSVGO penibel geregelt. Geburtstagsgrüße an Kunden sind z. B. nicht mehr ohne weiteres erlaubt.

Die DSGVO schützt alle Personen, auf die sich eine Verarbeitung bezieht und die (durch auf sie bezogene Daten) identifiziert bzw. identifizierbar werden. Verantwortlich ist jede Person bzw. jedes Unternehmen, welche(s) allein oder gemeinsam mit anderen über Mittel und Zweck der Verarbeitung entscheidet – also beispielsweise jedes Unternehmen, das den Namen seines Kunden oder auch nur dessen KFZ-Kennzeichen kennt.

Wer z.B. aufgrund eines Auftrages oder einer Buchung das Geburtsdatum seines Kunden kennt, darf diesem nicht einfach Geburtstagsgrüße senden, weil dies ohne entsprechende Rechtfertigungsgründe (z.B. ausdrückliche Zustimmung) nicht erlaubt ist. Vielmehr ist zu hinterfragen, ob man die Daten des Kunden überhaupt noch besitzen darf oder nicht zu deren Löschung verpflichtet ist. Je nach Sachlage müssen die Antworten auf derartige Fragen eventuell auch in einem Verarbeitungsregister festgehalten werden, welches bei Überprüfungen durch die Datenschutzbehörde jederzeit vorzuweisen ist. Gut vorbereitete UnternehmerInnen können bei geringen Verfehlungen auf Abmahnungen ohne Strafzahlungen hoffen, schlecht vorbereitete haben wohl mit Strafen zu rechnen.

Legitime Gründe für die Datenverarbeitung

Ohne Berechtigung geht gar nichts: Personenbezogene Daten dürfen nur dann verarbeitet werden, wenn ein legitimer Grund vorliegt.

Schon vor Geltung der DSGVO ist zu analysieren und verpflichtend zu dokumentieren, weshalb man Daten überhaupt bzw. welche Daten man wie verarbeitet. Die Berechtigung zur Verarbeitung personenbezogener Daten muss sich auf zumindest einen legitimen Grund stützen, dieser könnte sein:

  • Einwilligung: Die Zustimmung der Betroffenen hat freiwillig, informiert und eindeutig sowie für bestimmte Zwecke (zB. Werbezusendung, Newsletter etc.) zu erfolgen.
  • Vertragserfüllung bzw. Vertragsabschluss: Zu diesem Zwecke absolut notwendig sind z.B. Abwicklung Online-Einkauf, Rechnungsstellung, Buchung samt vorvertraglichen Maßnahmen. Die Berechtigung erlischt nach Abwicklung des Vertrages.
  • Rechtliche Verpflichtungen: soweit der oder die Verantwortliche hierzu gesetzlich verpflichtet ist, z.B. Aufbewahrungsfrist Buchhaltung
  • Lebenswichtige Interessen: z.B. zum Schutz der Gesundheit, Notfallmedizin. Dieser Rechtsgrund wird sehr restriktiv gehandhabt.
  • Wahrnehmung öffentlicher Interessen oder Ausübung öffentlicher Gewalt
  • Berechtigte Interessen: Im Rahmen einer Interessensabwägung sind die berechtigten Interessen von Verantwortlichen, Betroffenen und Dritten gegenüberzustellen. Die Rechte des Verantwortlichen oder Dritten müssen zumindest gleichwertig mit den Interessen des Betroffenen sein. Berechtigte Interessen können beispielsweise sein: Direktwerbung, Betrugsbekämpfung, Datenübermittlung innerhalb der Unternehmensgruppe.

Die Rechenschaftspflicht

DSVGO-Verantwortliche haften für die Einhaltung der o.a. Grundsätze. Daraus ergeben sich u.a. folgende Pflichten:

  • die Pflicht zur Führung eines Verzeichnisses der Verarbeitungstätigkeiten VdV (Erfassung und Dokumentation sämtlicher Verarbeitungstätigkeiten und Sicherheitsmaßnahmen),
  • die Pflicht zur Durchführung einer Datenschutz-Folgeabschätzung DSFA
  • die Pflicht zur Umsetzung von „privacy by design“ und „privacy by default“. Den KundInnen muss es ermöglicht werden, Geschäfte mit bestmöglichem Datenschutz zu tätigen – und zwar automatisch und ohne jedes weitere Tätigwerden. So sind beispielsweise wegklickbare Newsletter bei Bestellungen unzulässig.
  • Die Pflicht zur Meldung von Datenverlust (z.B. Datendiebstahl, u.U. Verlust eines Laptops, Handys etc.)

Rundum-Sorglos-Paket

Wir bieten Ihnen eine professionelle Rundum-Betreuung bei der Umsetzung der neuen Datenschutz-Grundverordnung.

Viele der Begriffe und Pflichten der DSGVO sind neu bzw. nicht ohne weiteres verständlich, wie Datenschutzbeauftragte, Verzeichnis der Verarbeitungstätigkeiten, Datenschutz-Folgeabschätzungen, Datenschutzmitteilung, Betroffenenrechte, Informationssicherheitsbeauftragte, Kundendatenschutz, Mitarbeiterdatenschutz, Compliance, Datenschutzbehörde usw. Trotzdem müssen Sie sich damit auseinandersetzen, wenn Sie keine empfindlichen Strafen in Kauf nehmen wollen.

Gerne unterstützen wir Sie bei diesen Herausforderungen. Wir bieten Ihnen

  • bedarfsorientierte Schulungen für Geschäftsführung und MitarbeiterInnen
  • gemeinsame Erstellung von maßgeschneiderten Verträgen
  • praxisorientierte Hilfestellung bei der Umsetzung im Unternehmen
  • dauerhafte Begleitung der Geschäftsführung, Datenschutzbeauftragten etc.
  • klare Honorarvereinbarungen, planbare Aufwendungen
  • Durchsetzung von Rechten gegenüber Dritten
  • Vertretung gegenüber Behörden und Dritten
  • Beratung

Lassen Sie Profis ran!

Die Umsetzung der DSGVO bedarf zuallererst der Beschäftigung mit dem Thema Datenschutz an sich. Wenn Sie selbst keine große Freude damit haben, sich alleine darauf einzulassen, oder schlicht von ihrem Tagesgeschäft voll in Anspruch genommen werden, unterstützen wir Sie gerne beim Wissenserwerb und beim Erreichen Ihrer Datenschutz-Compliance.

Vereinbaren Sie einen Termin mit uns, wir freuen uns auf die Zusammenarbeit!

stempel