DSGVO: Das Daten-Monster kommt

DSGVO: Das Daten-Monster kommt

Datenschutz: Am 25. Mai beginnt europaweit ein neues Zeitalter.

Der D-Day rückt näher: Mit 25. Mai gelten EU-weit neue Datenschutzregeln. Viele Kleinunternehmer sind noch immer überfordert oder verunsichert, wie sie die DSGVO richtig umsetzen sollen. Zwölf Tipps für Nachzügler - und wie es sie zumindest in Richtung Ziel schaffen könnten.

Stellen Sie sich vor, eine Verordnung tritt in Kraft, und es passiert nichts. Vor zwei Jahren, am 4. Mai 2016, wurde der Datenschutz EU-weit neu geregelt. Bis zum 25. Mai 2018 muss diese Verordnung von allen Betroffenen umgesetzt werden: Konzernen, Kleinunternehmern und Behörden - immer dann, wenn sie Daten von natürlichen Personen verarbeiten. Schützenswert sind dabei alle Daten, die eine Person identifizieren können. Und solche Daten fallen massenhaft und an immer mehr Orten an: vom Supermarkt, wo die Rabattkarte gezückt wird, über den Arbeitgeber, der Personalakten und Lohnverrechnungen durchführt, bis hin zum Webshop, der das Verhalten seiner Kunden genau beobachtet.

Und was ist bei einem Drittel der österreichischen Unternehmen in den vergangenen zwei Jahren passiert? Offensichtlich nichts. Ein Drittel der Unternehmer hat jedenfalls "keine einzige Maßnahme" in Sachen Datenschutz gesetzt, wie eine aktuelle KSV-Umfrage ergibt. Das wären rund 100.000 Unternehmen, die sich damit dem potenziellen Risiko aussetzen, künftig bei etwaigen Vergehen empfindliche Bußgelder dafür zu kassieren.

Warum es so schwer ist, EU-Bürgern ein in der EU-Charta festgeschriebenes Grundrecht auch im Datenwirtschaftszeitalter zu garantieren, darüber lässt sich streiten; und auch darüber, ob die Datenschutzgrundverordnung DSGVO ein gelungener Wurf ist. Wenn sich gerade einmal 13 Prozent der Betroffenen für "sehr gut informiert" halten, ist zumindest in der politischen Kommunikationsarbeit wohl einiges untergegangen.

99 Artikel, 49.300 Worte

Unbestritten geht es um eine komplexere Rechtsmaterie, die in Kombination mit notwendigen technischen Anpassungen bei vielen Unternehmen noch immer zu reflexhaften Abwehrreaktionen gegen ein "Bürokratiemonster aus Brüssel" führt. Tatsache ist, das es nicht einfach ist, alle in 99 Artikeln zusammengefassten 49.300 Worte der DSGVO zu berücksichtigen - aber es ist machbar.

Ungeplante PR brachte der DSGVO vor wenigen Wochen das Cambridge-Analytica-Gate von Facebook: Hier wurde der Weltöffentlichkeit zuletzt eindrucksvoll vorgeführt, welche Konsequenzen sorgloser Datenumgang nach sich zieht. Für solche Versäumnisse könnte Facebook künftig Milliarden Euro Strafe zahlen.

Angekommen ist die DSGVO mittlerweile aber auch beim Verbraucher. In den analogen und digitalen Briefkästen häufen sich seit Wochen mehr oder weniger verständliche Schreiben, in denen Kunden um Zustimmung zur Datenverarbeitung gebeten werden. Und die der Komplexität des Themas nicht immer gerecht werdende Berichterstattung schürt in oft unglücklicher Verknappung pure Panikmache.

Allgemeine Verunsicherung

Wie die EU-Verordnung in Österreich umgesetzt wird, bestimmt das lokale Datenschutzgesetz. Das wurde aus gegebenem Anlass wiederholt novelliert - und beabsichtigte Klärungen führen in der öffentlichen Wahrnehmung leider zu noch mehr Verwirrung.

Als der Nationalrat Mitte April kleinere Korrekturen am Datenschutzgesetz beschließt, bleibt bei vielen Unternehmern nur die Erkenntnis hängen: Dass die Behörden "ausgenommen" sind und Unternehmen in Österreich "eh nicht gestraft" würden. Achtung: In dieser Verknappung sind das "Fake News". Es wird gestraft werden, aber verhältnismäßig, wie Andrea Jelinek, Leiterin der Datenschutzbehörde, seit Monaten betont (siehe Interview).

Bei aller medialer Präsenz und Kassandrarufen aus allen möglichen Ecken ist Panik nicht angebracht - nicht einmal für jene 100.000 vornehmlich Klein- und Mittelständler, die sich noch immer nicht mit der Verordnung auseinandergesetzt haben. trend beantwortet im Folgenden die wichtigsten Fragen, gibt Tipps und Anhaltspunkte und warnt vor den gern gemachten Fehlern.



1.

20 Millionen Euro oder vier Prozent vom weltweiten Jahresumsatz? Wie ist das nun mit den Strafen und Verwarnungen?

Aufsicht und Beschwerdestelle für Datenschutzbelange ist die nationale Datenschutzbehörde. Datenverlust, Cybereinbrüche und alle anderen Arten von Datensicherheitsverletzungen personenbezogener Daten sind von Behörden und Unternehmen an diese zu melden. Betroffene können bei der Behörde Beschwerden einreichen, falls Auskunfts- oder Löschungsersuchen nicht behandelt werden.

Die Behörde führt die Verfahren, spricht Verwarnungen aus und verhängt Geldbußen. "Verhältnismäßigkeit" lautet die Losung der Behördenleiterin. Will heißen: Bei Versäumnissen oder kleineren Vorfällen bleibt es bei Verwarnungen, bei schwerwiegenden Verstößen oder wiederholter Fahrlässigkeit wird es Strafen geben. Die Verhältnismäßigkeit gilt aber auch hier: Ein kleiner Blogbetreiber, der die Richtlinien nicht einhält, wird keine 20 Millionen Euro zahlen.


2.

Was kostet die DSGVO in der Umsetzung?

Die eigene Arbeitszeit, mehr oder weniger Geld für externe Hilfestellungen und fixe Ressourcen auch in weiterer Folge. Was Einzelkämpfer und Kleinfirmen mit Checklisten, der einen oder anderen Beraterstunde und einem Termin mit dem IT-Dienstleister erledigen können, ist bei großen Unternehmen - mit riesigen Kundendatenbanken und Hunderten Mitarbeitern - ein Großprojekt, dessen Organisation und Umsetzung je nach Ausgangslage Monate dauert - oder bereits gedauert hat. Mehr Ressourcen braucht die DSGVO auch mittelfristig: Die Maßnahmen müssen regelmäßig überprüft und angepasst werden. Die Großen haben ihre Hausaufgaben aber weitestgehend gemacht.


3.

Was wird nach dem 25. Mai passieren? In Deutschland fürchten sich viele vor den berüchtigten "Abmahnwellen".

Die Zeit nach dem Stichtag ist aus jetziger Sicht mit einigen Fragezeichen verbunden. Jedenfalls ist davon auszugehen, dass Datenschutzorganisationen sich stärker engagieren werden. Deren Ziel ist aller Voraussicht nach nicht der Österreich-typische Klein- und Mittelstand, sondern Unternehmen wie Facebook und Co., die extensive Datenbewirtschaftung betreiben. Ob die Auskunfts- oder Löschbegehren Privater steigen werden, wird sich ebenso zeigen wie die Vorgangsweise der Behörden in der Praxis. In Deutschland fürchten sich viele Unternehmen vor "Abmahnwellen" findiger Anwälte, die das Einmahnen von Versäumnissen zu ihrem Geschäftsmodell gemacht haben. Falls Sie einschlägige Post oder gar Zahlungsaufforderungen bekommen sollten, zahlen Sie nicht, sondern konsultieren Sie Ihren Anwalt.


4.

Muss ich von meinen Kunden eine neue Zustimmung zur Datenverarbeitung einholen?

Nein, das müssen Sie nicht. Wenn eine aufrechte Kundenbeziehung besteht, darf man für die Vertragserfüllung die Daten ohne Zustimmung verarbeiten. Wenn man bestehende Kunden darauf aufmerksam gemacht hat und ihnen schon damals ein Opt-out angeboten hat, darf man ihnen auch Direktwerbung für eigene ähnliche Produkte oder Dienstleistungen schicken - aber nur per Post oder E-Mail. Werbeanrufe sind nur zulässig, wenn man eine Zustimmung dafür eingeholt hat. Aber das galt auch schon vor dem 25. Mai.

"Wenn Sie Visitenkarten bekommen, fragen Sie einfach nach, ob Sie die Person auf den Newsletter-Verteiler setzen dürfen, und dokumentieren Sie das auch", sagt Datenschutzexperte und Anwalt Rainer Knyrim. Bei neuen Kundenmailings und Newslettern weisen Sie darauf hin, dass Sie Direktwerbung für eigene ähnliche Produkte schicken werden, und bieten Sie den Adressaten eine einfache Möglichkeit, Nachrichten abzubestellen.

Haben Sie Adressen aus zweifelhaften Quellen, ist es besser, sie von solchen Verteilern zu löschen. Knyrim wird in seinen Seminaren oft von verunsicherten Teilnehmern bestürmt: "Natürlich können Sie auch nach dem 25. Mai noch ein Mitarbeiterfoto auf die Website stellen. Sie müssen den Mitarbeiter nur fragen. Normales Sozialverhalten macht einen meist schon ziemlich datenschutzkonform." Ergänzend sind aber künftig alle Mitarbeiter, Kunden und Lieferanten, deren Daten man ab 25. Mai erhebt, ausführlich darüber zu informieren, wie ihre Daten verarbeitet werden, wie lange sie gespeichert werden und welche Rechte die Betroffenen haben.


5.

Brauche ich einen Datenschutzbeauftragten?

Behörden brauchen jedenfalls einen, Unternehmen in den allermeisten Fällen nicht. Erforderlich ist ein Datenschutzbeauftragter nur dann, wenn sehr viele personenbezogene Daten für Überwachungszwecke gesammelt werden oder Profiling (Gewinnen neuer Erkenntnisse über eine Person durch das Zusammenführen von Informationen aus unterschiedlichen Quellen) betrieben wird. Wer in sensiblen Bereichen, etwa dem Gesundheitssektor, tätig ist, braucht ganz sicher einen. Datenschutzbeauftragte können auch Externe, etwa Anwälte oder Datenschutzspezialisten, sein. Intern empfiehlt sich aber in jedem Fall, zumindest einen Mitarbeiter mit dem Thema zu betrauen, damit Anfragen oder Aufgaben koordiniert abgewickelt werden können.


6.

Betrifft die DSGVO auch das Internet, etwa meine Website?

Ja, Sie brauchen eine Datenschutzerklärung, die dem Besucher der Website erklärt, welche Daten (IP-Adressen etc.) sie beim Besuch abfragen, wie lange sie aufbewahrt werden und an wen Sie diese zu welchen Verarbeitungszwecken weiterleiten. Für Datenverwendungen zu Werbezwecken ist eine Zustimmung nötig, genauso für den Einsatz von Cookies. Eine Checkbox darf aber nicht vorangehakt sein, der Nutzer muss sie selbst aktiv anklicken.


7.

Welche Beratung brauche ich wofür?

Datenschutzberatung ist eine zur Zeit massiv nachgefragte Dienstleistung. Um den immensen Bedarf zu stillen, wird Beratung angeboten, deren Qualität nicht immer über jeden Zweifel erhaben ist. Hinterfragen Sie die Expertise, den Wissensstand und die Motivation der Berater. Wie lange arbeiten sie schon in diesem Bereich? Sind sie unter Umständen sogar zertifiziert? Benötigen Sie tatsächlich massive Unterstützung oder doch nur einen juristischen Check Ihrer Lieferanten- und Zuliefererverträge?

Holen Sie sich alternative Angebote ein und lassen Sie sich auch nicht mit dem Verweis auf den 25. Mai unter Druck setzen. Wer komplett ahnungslos ist, läuft natürlich eher Gefahr, DSGVO-Dienstleistungen oder Produkte zu kaufen, die er vielleicht gar nicht braucht.


8.

Was hat die DSGVO eigentlich mit der IT-Sicherheit zu tun?

Ein Thema, das in den aktuellen Debatten etwas aus dem Fokus gerückt ist, ist die Datensicherheit. Rechner und Programme müssen nach dem aktuellen Stand der Technik gesichert sein - und die personenbezogenen Daten sicher vor fremden Zugriffen. Verschlüsselte Festplatten am Firmennotebook sollten ebenso Standard sein wie ein sicherer Zugriff auf Kundendatenbanken am Mitarbeiterhandy. Cybereinbrüche und Datenverlust müssen der Datenschutzbehörde binnen 48 Stunden gemeldet werden. Wird einem Mitarbeiter das Firmenhandy mit Kundendaten gestohlen, ist das meldepflichtig. Datenverlust ist mit Strafen bedroht! Beachten Sie: Immer mehr Versicherungen offerieren Unternehmen sogenannte "Cyberpolizzen". Hier müssen Datenschutzprobleme aber dezidiert abgedeckt sein - was nicht immer der Fall ist. Aber auch mit einer Polizze kann man sich nicht von einem verantwortungslosen Umgang mit Daten freikaufen.


9.

Wenn Kunden Auskunft wollen, welche Informationen muss das Unternehmen geben?

Wenn sich ein Betroffener meldet und sich ausgewiesen hat, müssen Sie in der Lage sein, ihm zu sagen, welche Daten Sie über ihn verarbeiten und, gegebenenfalls, woher Sie diese haben (Adressverlag, Netzwerke etc.). Sie müssen ihm aber auch darstellen können, warum: Entweder hat der Betroffene seine Einwilligung gegeben, oder es besteht eine aktuelle Geschäftsbeziehung oder eine sonstige Rechtsgrundlage. Die Auskunft ist binnen eines Monats und grundsätzlich kostenlos zu geben.


10.

Als eine der neuen Pflichten wird immer wieder das Verfahrensverzeichnis genannt. Was hat es damit auf sich?

Grob gesagt, müssen Unternehmen einen Überblick haben, welche personenbezogenen Daten sie verarbeiten und an wen sie diese gegebenenfalls für die Erbringung einer Dienstleistung bzw. eines Produkts weitergeben (an IT- Dienstleister, Steuerberater, Marketingagenturen etc.). Das Verfahrensverzeichnis ist dabei bei den meisten Kleinfirmen eine tabellarische Übersicht, die Mitarbeiter, Kunden und Lieferanten umfasst und in regelmäßigen Abständen aktualisiert werden sollte - das kann auch ein einfaches Excel-Sheet sein.

Wer seine Datenverarbeitung bislang ins DVR-Register der Behörde gemeldet hat, kann diese auch über die Website der Datenschutzbehörde wieder "exportieren" und direkt damit weiterarbeiten.


11.

Was geht sich bis zum Stichtag realistischerweise noch aus?

Vor dem 25. Mai noch schnell einen Anwalts- oder Beratertermin zu bekommen, ist vermutlich ebenso illusorisch, wie ein Seminar zu besuchen. Wenn Sie sich nicht selbst darum kümmern können, bestimmen Sie jemanden im Unternehmen, der das Projekt übernimmt. Der auch für Laien verständliche 40-seitige Leitfaden auf der Website der Datenschutzbehörde ist ein guter Einstieg.

Einen kleinen Vorteil haben die Spätstarter hier sogar - mehr Information und viele Referenzen: Die WKO-Website hat mittlerweile ein ausgezeichnetes Informationsangebot mit Videos, Checklisten und Informationen für die jeweiligen Sparten und umfangreiche Frage-Antwort-Listen. Wer in die Lektüre dieses Angebots ein paar Stunden investiert, kann sich danach besser orientieren. Experte Knyrim rät: "Überlegen Sie sich, ob Sie tatsächlich einen externen Berater brauchen oder nur bedarfsweise fachlichen Rat." Und: "Viele haben falsche Erwartungen an die Seminare. Sie glauben, dass mit dem Besuch das Thema erledigt ist." Hier fängt die Arbeit aber eigentlich erst an.


12.

Was bringt das Ganze außer Mühe und Kosten?

Wer sich mit der Verordnung beschäftigt und seine Datenverarbeitung, wo notwendig, angepasst hat, weiß in der Regel durchaus Positives zu berichten. Das Ausmisten und Hinterfragen eingeschliffener Abläufe stößt nicht zuletzt bei den eigenen Mitarbeitern auf gute Resonanz. Mit personenbezogenen Daten verantwortungsvoll umzugehen, zählt zum guten Ruf, und am engagiertesten sind oft die eigenen Mitarbeiter, wenn sie für das Thema sensibilisiert wurden.

Petra Heidegger, Assistentin der Geschäftsführung beim Industriezulieferer Danube Robotics, bekam die verantwortungsvolle Aufgabe gleich an ihrem dritten Arbeitstag vom Chef übertragen: "Ich habe mehrere Workshops besucht. Dann habe ich mir Fachliteratur besorgt und Newsletter abonniert." Nach der Bestandsaufnahme legte sie ein Verfahrensverzeichnis an und schulte die 24 Mitarbeiter in Eigenregie.

Viel Arbeitszeit und ein paar Tausend Euro für externe Dienstleister sind auch hier hineingeflossen, aber mit gesundem Pragmatismus und kühlem Kopf lässt sich auch dieses Bürokratiemonster besiegen - und die neue Ordnung im Unternehmen sogar ein bisschen genießen.


Der Artikel ist der trend-Ausgabe 18/2018 vom 4. Mai 2018 entnommen.

DSGVO - Datenschutz-Verordnung 2018

DSGVO und Datenschutz: Das sind Ihre Rechte als Konsument

Digital

Smartphone-Apps: Massive Lücken beim Datenschutz

DSGVO - Datenschutz-Verordnung 2018

trend-Umfrage: DSGVO und Datendämmerung