Die wichtigsten Fragen und Antworten zur DSGVO

Die wichtigsten Fragen und Antworten zur DSGVO

Die Europäische Datenschutz-Grundverordnung (DSGVO) gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten. Für Unternehmen ist es höchst an der Zeit, die Anforderungen umzusetzen, denn sonst drohen drakonische Strafen. Die zehn wichtigsten Fragen und Antworten.

Am Thema Datenschutz wird in den nächsten Monaten kaum ein Unternehmen vorbei kommen. Die neue EU-Datenschutz-Grundverordnung (EU-DSGVO), stellt Betriebe, die in irgendeiner Weise personenbezogene Daten verarbeiten - und im Zeitalter der Digitalisierung sind das praktisch alle - vor eine Reihe neuer Pflichten. Die zehn wichtigsten Fragen und Antworten zum Thema.

  1. WAS STECKT HINTER DER VERORDNUNG?

    Die DSGVO trat bereits am 24. Mai 2016 in Kraft, gilt ab dem 25. Mai 2018 in allen EU-Mitgliedsstaaten und muss von den Einzelstaaten individuell umgesetzt werden. In Österreich wurde dafür das Datenschutzgesetz Ende Juni im Eiltempo novelliert - unter heftigen Protesten von Kritikern, die der Regierung "Datenschutz-Pfusch" vorwerfen, weil keine der 109 Stellungnahmen berücksichtigt wurde.

  2. WAS BEDEUTET DIE VERORDNUNG?

    Für Unternehmen ist das Wichtigste, dass sie einen "Paradigmenwechsel nachvollziehen müssen", wie Felix Hörlsberger von der Kanzlei Dorda Brugger Jordis das nennt: "Ich frage nicht die Behörde, was muss ich tun, sondern ich muss die notwendigen Maßnahmen von mir aus setzen. Erst wenn etwas schiefgeht, tritt die Behörde auf den Plan. Der Grundgedanke dahinter ist, dass jeder, der Daten verarbeitet, sich selbst darum kümmern muss, dass er sie schützt."

    Mit der Verordnung kommen auch ein paar neue Begriffe auf Unternehmen zu, etwa die Datensparsamkeit (es dürfen nicht überschießend ohne Zweck Daten gesammelt werden), die Speicherbegrenzung (Daten müssen gelöscht werden, wenn sie nicht mehr benötigt werden) oder die Pseudonymisierung (Daten sollten "codiert", also nicht mit Klarnamen in Datenbanken gespeichert sein).

  3. WER IST DAVON BETROFFEN?

    Alle Unternehmen, die in irgendeiner Art und Weise personenbezogene Daten verarbeiten (Definition oben). Die Firmengröße spielt keine Rolle, auch EPU und Kleinfirmen sind betroffen, wie auch Vereine und Behörden. Wer in der EU Waren oder Dienstleistungen anbietet, ist auch dann betroffen, wenn er hier keinen Firmensitz hat: Konzerne außerhalb der EU können sich dieser Verordnung also nicht entziehen und müssen einen lokalen Vertreter bzw. Ansprechpartner nominieren. Wer einen Datenvorfall, etwa einen Hackerangriff, erlitten hat, muss ihn binnen 72 Stunden der Datenschutzbehörde melden.

  4. WELCHE RECHTE HAT DIE PERSON, DEREN DATEN GESPEICHERT WERDEN?

    Schon bisher konnten Kunden eine Datenauskunft bei Unternehmen beantragen und die Löschung bzw. Berichtigung verlangen. Mit der neuen Verordnung kommt das Recht dazu, diese Verarbeitung einzuschränken - das muss allerdings begründet werden. Die Unternehmen müssen all das innerhalb einer Frist von einem Monat erfüllen. Diese kann in besonders komplexen Fällen oder bei besonders vielen Anfragen auf drei Monate verlängert werden - was vom Unternehmen aber sehr gut begründet werden muss.

    Ebenfalls neu ist das Recht auf Datenübertragbarkeit. Betroffene sollen ihre personenbezogenen Daten von einem Unternehmen zum nächsten "mitnehmen" können, ohne dass es technische Barrieren gibt und dafür Gebühren verlangt werden. In der Praxis rechnen Experten allerdings mit größeren Schwierigkeiten in der Umsetzung. Beispiel: Als foodora-Kunde kann ich verlangen, dass meine Daten an UberEats weitergereicht werden.

  5. WER BRAUCHT EINEN DATENSCHUTZBEAUFTRAGTEN?

    Zwingend ist der nur für Behörden und öffentliche Stellen sowie Unternehmen, deren Kerntätigkeit regelmäßige umfangreiche Überwachung ist (etwa Detektive) oder die als Kerntätigkeit besondere Datenkategorien wie etwa Gesundheitsdaten verarbeiten (z. B. Krankenhäuser). Der Datenschutzbeauftragte kann ein eigener Mitarbeiter sein, man kann aber auch einen externen Datenschutzbeauftragten nominieren, etwa einen Anwalt oder einen dafür zertifizierten Anbieter.

  6. WER KONTROLLIERT, WER STRAFT?

    Üblicherweise wendet sich eine Person mit einem Anliegen wie Auskunft oder Löschung an das Unternehmen und bekommt die Auskunft oder die gewünschte Aktion durchgeführt. Gibt es hier Probleme, kann sich die Person an die nationale Datenschutzbehörde wenden, die ein Verfahren einleitet und Geldbußen von bis zu 20 Millionen Euro oder vier Prozent vom Umsatz verhängen kann. Ein erlittener Schaden muss aber nachgewiesen werden bzw. dann vor Gericht eingeklagt werden. Der Schadenersatz muss vor Gericht verhandelt werden.

  7. WAS BEDEUTET DAS FÜR EXTERNE DIENSTLEISTER?

    Unternehmer müssen sicherstellen, dass auch ihre externen Dienstleister nach der neuen Verordnung arbeiten. "Sie müssen die Verträge mit ihren Auftragsverarbeitern diesbezüglich überprüfen, sofern solche überhaupt schon bestehen", sagt Anwalt Rainer Knyrim.

    Wer Daten in eine Cloud gibt und dadurch Daten in ein Drittland übermittelt, muss sich ebenfalls vertraglich absichern, dass die Datenverarbeitung sicher ist. Sollte es etwa im Zuge eines Hackerangriffs zu einer Datenschutzverletzung beim Dienstleister kommen, haftet unter Umständen der Unternehmer, der die Cloud-Dienste in Anspruch nimmt, wenn er einen gewählt hat, der nicht über ausreichende Sicherheitsmaßnahmen verfügt.

  8. WAS MÜSSEN KLEINSTUNTERNEHMEN BEACHTEN?

    Natürlich gilt die DSGVO auch für sie. EPU müssen sich fragen, welche Daten sie von ihren Kunden haben, ob diese sicher gespeichert sind, und sie müssen bereit sein, ihrer Auskunftspflicht nachzukommen. Vorhandene Datenbanken werden damit aber nicht automatisch Makulatur. Man sollte sich aber informieren, ob für künftige Mailings oder Marketingaktionen Anpassungsbedarf besteht.

  9. WIE STELLE ICH FEST, OB ICH BEREIT FÜR DIE VERORDNUNG BIN?

    Am Beginn sollte eine Bestandsaufnahme stehen, in die führende Mitarbeiter aus den Schlüsselabteilungen eingebunden sind: Die Projektverantwortlichen sollten in den Fachabteilungen, vor allem aber in der Personal-, der IT-und der Marketingabteilung erheben, welche Daten im Unternehmen sind, wie sie verarbeitet werden und mit welchen externen Dienstleistern man zusammenarbeitet. Für absolute Neulinge im Thema könnte ein Selbstcheck (siehe unten) am Beginn stehen oder auch einschlägige Seminare. Das Zurateziehen von Experten in Form von externen Beratern ist zu empfehlen.

  10. WIE SETZT MAN SO EIN PROJEKT PRAKTISCH UM?

    Wie schon in der Bestandsaufnahme müssen auch in der konkreten Umsetzung alle Abteilungen miteinbezogen werden und alle Mitarbeiter für das Thema sensibilisiert bzw. geschult werden. In Konzernen wie einer A1 sind Tausende Mitarbeiter davon betroffen. Managementberater Lambert Gneisz sagt: "Die Datenschutz-Grundverordnung ist ein neuer Teil des betrieblichen Risikomanagements und das Risiko hat sich massiv verändert."

    Nach der Bestandsaufnahme sollten Arbeitsgruppen gebildet und Zeitpläne erarbeitet werden. Es gibt einigen administrativen Aufwand, vor allem zu Beginn: Unternehmen müssen ein Verzeichnis für Verarbeitungstätigkeiten anlegen - das meint das konkrete Niederschreiben der Datenerfassung und -verarbeitung im Unternehmen.


Wer Ihnen bei der DSGVO helfen kann

Ausgewählte Events und Initiativen

  • Online-Selbstcheck (datenschutz-phh.at): Es gibt viele Ersttests für das Thema. Die Wirtschaftskanzlei PHH hat 150 Fragen entwickelt, die HR, IT, Geschäftsführung und Marketing separat beantworten und die dann zusammengeführt werden. 3.000 Euro kostet diese Bestandsaufnahme, die bei einem Auftrag gegengerechnet wird.
  • WKO (wko.at/datenschutz): Ein Riesenthema ist die DSGVO bei der Wirtschaftskammer, die viele Information und Veranstaltungen anbietet. Für KMU und EPU gibt es zehn Workshops bis Jahresende (fast ausgebucht). Gefördert werden auch externe Beratungsleistungen. Es sind Referenten allein für dieses Thema abgestellt, um Mitgliedern Auskunft zu geben, etwa im Handel.
  • Post (post.at/data-academy): Die Post hat zum Thema ein eigenes Trainingsformat aufgesetzt und informiert in Halb- oder Ganztagesschulungen sowohl Neulinge als auch Fortgeschrittene sowie Juristen. Für November gibt es noch Termine.
  • Privacyofficers (privacyofficers.at): A1, Bundesrechenzentrum, ORF, Drei, Casinos Austria u. a. haben einen Verein gegründet, wo sie sich gegenseitig bei dem Thema helfen. Über die Website können Interessierte beitreten, und es gibt laufend neue Informationen.
  • ARGE Daten (argedaten.at): Eine weitere gute Adresse für Informationen zum Thema ist die ARGE Daten, die unterschiedliche Fachseminare anbietet und auch Datenschutzbeauftragte ausbildet.
  • Rechtsanwälte: Nicht zuletzt informieren viele Anwälte über die DSGVO, bieten ihren Kunden zahlreiche hausinterne Informationsveranstaltungen an und beraten, welche juristischen Konsequenzen die DSGVO für das eigene Geschäftsmodell hat.


Der Artikel ist der trend-Ausgabe 43/2017 vom 27. Oktober 2017 entnommen.

Digital

BAWAG P.S.K. sammelt per Mausklick Spenden ein

Digital Savannah: Tech-Kontinent Afrika

Silicon Savannah - das digitale Afrika

Digital

WU Wien bekommt Millionen für die Blockchain