Strengere Regeln für den Datenschutz

Strafen von bis zu 20 Millionen Euro oder vier Prozent des Umsatzes drohen Unternehmen, die sich ab 25. Mai 2018 nicht an die neuen Datenschutzregeln halten. Grund genug, sich jetzt schon darauf vorzubereiten.

Illustration: Erik Bauer

Schluss mit den Registrierungen und Bewilligungen vorab, die Unternehmer zu Recht oft kritisieren. Bei der Datenschutzgrundverordnung ging die EU daher bewusst einen anderen Weg: „Sie ist als Erleichterung für die Unternehmen gedacht. Sie überträgt ihnen die Verantwortung, wie sie die Rechte der Betroffenen schützen, die Aufsicht soll an sich nur im Nachhinein eingreifen“, schildert Ludmila Georgieva von der Ständigen Vertretung Österreichs bei der EU im Rahmen der Jahrestagung der Arge Daten in Wien. Dass neue Regelungen im Dienste des Datenschutzes her mussten, ist klar: Von Cloud-Computing über Smartphones, soziale Netze bis zum Internet der Dinge – all dies wurde erst groß, nachdem das aktuelle heimische Datenschutzgesetz im Jahr 2000 in Kraft getreten war. Mehr Rechte und mehr Transparenz für Betroffene, das ausdrückliche „Recht auf Vergessenwerden“, ein stärkerer Fokus auf Datensicherheit und auf Datenminimierung sind einige der Eckpfeiler der neuen Datenschutzgrundverordnung (DSGVO) und des ergänzend beschlossenen heimischen Datenschutzgesetzes (DSG Neu). Mit 25. Mai 2018 treten die neuen Regelungen  in Kraft.
Jedes Unternehmen betroffen!

Die neue Freiheit für Unternehmen hat aber auch ihren Preis: Die Verantwortung, wie gewissenhaft Sie die neuen Datenschutzregeln umsetzen, liegt ganz bei Ihnen. Tun Sie zu wenig, drohen hohe Strafen. Dabei gibt es kein Entkommen: Wirklich jedes Unternehmen ist von der neuen Rechtslage betroffen. Vom Ein-Personen-Unternehmen bis zum Großkonzern, selbst Unternehmen, die nur über papierene Akten verfügen. – Jeder, der personenbezogene Daten verarbeitet, fällt darunter.

Dabei sind „personenbezogene Daten alle, die eine Person direkt oder auch indirekt identifizieren, wie Namen, E-Mail-Adresse, IP-Adresse oder Ähnliches“, stellt Andreas Chvatlinsky, Geschäftsführer von Chvaco IT-Solutions und zertifizierter Datenschutzbeauftragter, klar. In jeder Personalverrechnung werden personenbezogene Daten verarbeitet, dazu hat man meist eine Kunden- bzw. eine Lieferantendatei. Damit ist „ein Tischler, ein Schlosser oder ein kleiner Handelsbetrieb ebenso zur Einhaltung der neuen Datenschutzregeln verpflichtet wie ein Mediziner oder ein Immobilienverwalter“, so Chvatlinsky. Und selbst bei unbeabsichtigter Missachtung der Regeln kann das ab Mai 2018 zu horrenden Strafen führen.

Neue Erleichterungen

Ein paar Neuerungen bringen allerdings auch Erleichterungen. So werden nun nur noch die Daten natürlicher Personen geschützt – personenbezogene Daten juristischer Personen (z. B. GmbH, AG, Vereine, Stiftungen etc.) sind nicht mehr vom Schutz umfasst.

Was auch wegfallen wird, ist die Meldepflicht an das österreichische Datenverarbeitungsregister für bestimmte Datenanwendungen.

Neu dagegen ist, dass sich ab Mai 2018 jedermann aufgrund einer Datenschutzverletzung an die Datenschutzbehörde seines eigenen Landes wenden kann, auch wenn die Verletzung selbst beispielsweise in Irland (dem europäischen Firmensitz von facebook) passiert ist. facebook-Kläger Max Schrems musste sich seinerzeit noch an die irische Datenschutzbehörde wenden. Auch Unternehmen können sich nun bei grenzüberschreitenden Fragen an ihre Behörde wenden. In Österreich bleibt übrigens die be-reits etablierte Datenschutzbehörde (www.dsb.gv.at) zuständig.

Sofort aktiv werden!

Um bis Mai 2018 fit für die DSGVO zu sein, bleibt nicht mehr allzu viel Zeit. Wie beginnt man? „Als Erstes sollte man sich die Unterstützung im Management sichern“, sowohl inhaltlich als auch finanziell, rät Rechtsanwalt Lukas Feiler von Baker McKenzie aufgrund seiner Praxiserfahrungen im Rahmen der Jahrestagung der Arge Daten.

Nachdem geklärt ist, wer im Unternehmen das Projekt betreut, „muss man sich einen Überblick verschaffen: Welche IT-Sys­teme nutzt das Unternehmen“, so Feiler, „etwa Mitarbeiterdateien wie Lohnbuchhaltung oder E-Mail-System bis zu Kundendaten, etwa vorhande-nen CRM-­Systemen sowie Lieferanten-
daten.

Dazu muss jedes Unternehmen über seine Datenanwendungen künftig ein umfassendes Verfahrensverzeichnis führen. Zusätzlich muss man sich auch klar werden, welche externen Auftragsverarbeiter derzeit eingesetzt werden – und sei es auch nur der IT-Mann, der das nächtliche Back-up durchführt. „Jedes Unternehmen muss mit dem Dienst­leister, der Daten verarbeitet, einen schriftlichen Vertrag haben“, warnt Chvatlinsky – das ist nun schleunigst nachzuholen.

Ein weiterer wichtiger Punkt ist die Prüfung der IT-Sicherheit. „Passiert eine Datenschutzverletzung, wird der Sachverständige als Erstes schauen, ob die Firewall im Unternehmen gewartet wurde, ob Updates gemacht wurden“, nennt Chvatlinsky Beispiele. Ratsam ist auch, Dateien mit besonders sensib­len Inhalten – z. B. Personaldaten – zu verschlüsseln. Auch der Mailverkehr kann ohne allzu großen technischen Aufwand – etwa zwischen Buchhaltung und Steuerberater –  verschlüsselt werden. Häufige sonstige Gefahren für „Datenlecks“ sind abhandengekommene USB-Sticks – auch hier würde Verschlüsselung helfen. Oder Mailverkehr, der über private Accounts abgerufen wird, bzw. Geschäftskorrespondenz, die über private Smartphones läuft. Dies wäre gänzlich zu verbieten.

Recht auf Vergessen

Ein weiterer von der DSGVO geforderter Punkt ist die Datenminimierung bzw. „das Recht auf Vergessenwerden“. Persönliche Daten sind bloß so lange aufzuheben, wie sie unbedingt benötigt werden. Prominentes Beispiel: „Bewerbungsunterlagen dürfen künftig grundsätzlich nur sechs Monate aufgehoben werden“, weiß Michael Straberger, geschäftsführender Gesellschafter von SC data privacy. Freilich gibt’s auch hier eine Möglichkeit, die Unterlagen länger aufzuheben: „Dann, wenn der Bewerber – am besten schriftlich – einwilligt, dass die Unterlagen länger aufgehoben werden dürfen. Etwa, damit man später nochmal auf die Bewerbung zurückkommen kann.

Schließlich müssen auch die Mitarbeiter geschult werden.

Problemfall Cloud-Lösung

Kaum ein Unternehmen, das nicht irgendwo Cloud-Lösungen nützt. Sitzt ihr Anbieter nicht in der EU, sondern in einem Drittstaat, beispielsweise in den USA, wird es aber künftig heikel. Als Erstes sollten Sie prüfen, ob Ihr US-Cloud-Anbieter auf der sogenannten Privacy-Shield-Liste steht (www.pri vacyshield.gov). Fehlt er, sollte man umgehend die Finger von ihm lassen. Doch auch wenn er drauf steht – wie es z. B. bei Dropbox oder MailChimp der Fall ist – und damit bezeugt, sich den Regeln der europäischen DSGVO zu unterwerfen, bleibt es unsicher.

Der Hintergrund: EU-US Privacy Shield ist die Nachfolgeregelung des vom Europäischen Gerichtshof (EuGH) im Jahr 2015 gekippten „Safe-Harbor-Abkommens“. Das Privacy- Shield-Abkommen liefert den Europäern zwar etwas mehr Kontrollmöglichkeiten, im Einzelfall können amerikanische Sicherheitsbehörden aber nach wie vor auf europäische Daten zugreifen, die auf US-Servern lagern. Damit erscheint fraglich, ob der EuGH nicht auch Privacy Shield eines Tages aufhebt. „Sollte man eine solche Cloud-Lösung nutzen und sich deshalb mit jemandem streiten müssen, wäre es für ein heimisches KMU auch kaum möglich, sich beim amerikanischen Lieferanten zu regressieren – dazu müsste man vor ein amerikanisches Gericht ziehen“, merkt Straberger an. Sicherer ist es, auf einen europäischen Cloud-Anbieter umzusteigen, der jedenfalls die Regeln der DSGVO befolgt.

Tipp: Wer dennoch bei seinem US-Anbieter bleiben möchte, kann – etwas aufwändig – auch anderweitig auf Nummer sicher gehen: Indem er das schriftliche Einverständnis der Personen einholt, deren Daten in die Cloud in die USA (oder ein anderes Drittland) übertragen werden sollen.

Datenschutzbeauftragter nötig?

„Ist eine Verarbeitung personenbezogener Daten untrennbarer Bestandteil der Kerntätigkeit eines Unternehmens, muss ein Datenschutzbeauftragter bestellt werden“, so Straberger, allerdings: „Wie das genau zu handhaben ist, ist derzeit nicht klar. Jedenfalls bei der Verarbeitung von sensiblen personenbezogenen Daten wird man um einen Datenschutzbeauftragten nicht herumkommen.“ Im Zweifel heißt es einen bestellen, denn bei Missachtung der Bestellungspflicht drohen hier Strafen bis zu zehn Millionen Euro bzw. bis zu zwei Prozent des Jahresumsatzes!

Der Datenschutzbeauftragte ist Ansprechpartner für die Datenschutzbehörde, er soll bei Fragen zur Umsetzung der DSGVO im Unternehmen beraten und die Einhaltung der Regeln  überwachen. Er ist den Vorgesetzten des Unternehmens gegenüber in dieser Funktion nicht weisungsgebunden, generellen Kündigungsschutz genießt er aber nicht. Er wird bei Verstößen aber auch nicht haften – die Verantwortung bleibt beim Management.
Wichtig: Unternehmen können (anders als in der Hoheitsverwaltung) auch externe Datenschutzbeauftragte bestellen. Nicht wenige IT-Dienstleister zertifizieren sich bereits dafür.

E-Mail-Marketing

Eine überraschende Erleichterung gibt es dagegen für „elektronische Post“ im Rahmen von bestehenden Geschäftsbeziehungen, wenn also beispielsweise im Zuge eines Kaufs die Daten des Kunden erfasst wurden. „Um danach nicht wieder angeschrieben zu werden, haben Kunden nun ein voraussetzungsloses und uneingeschränktes Widerspruchsrecht. Andererseits bedeutet das, dass sie nicht mehr – wie bisher – ausdrücklich zustimmen müssen, dass man sie im Rahmen der Geschäftsbeziehung anmailt“, erklärt Straberger – sofern die Nachricht in sachlichem Zusammenhang zum seinerzeitigen Kauf steht. Bisher ist die Zustimmung jeweils ausdrücklich – etwa in Online-Masken mit einem Extrahäkchen – einzuholen.

Für schon vor dem Mai 2018 vorhandene Mail-Datenbanken gilt: Oft wird man schriftlich nicht mehr beweisen können, dass man seinerzeit eine Einwilligung der Personen eingeholt hat, „weshalb erneut eine Einwilligung einzuholen ist. Denn der Verarbeiter ist in der Beweispflicht“, erklärt Straberger. Das bedeutet, dass in den nächs­ten Monaten noch viele Mails ausgeschickt werden müssen mit der Bitte, die Newsletter-Anmeldung oder Ähnliches aufgrund der nahenden DSGVO zu bestätigen.

Strabergers Resümee: „Das meiste, was man bisher mit Daten tun darf, darf man auch weiterhin.“ Man muss es nur besser als bisher mit Einwilligungen bzw. Sicherheitsvorkehrungen absichern, jedenfalls aber besser dokumentieren.
Tipp: Die Wirtschaftskammer hat unter www.wko.at/datenschutz ein ganzes Portal zum Thema zusammengestellt.

GEWINN verwendet Cookies um die Website möglichst benutzerfreundlich zu gestalten und Ihnen damit den bestmöglichen Service zu gewährleisten.
Wenn Sie fortfahren, stimmen Sie der Cookie-Nutzung zu.