Daten und Sicherheit: Die durchwachsene 100 Tage-Bilanz der DSGVO

07. September 2018 Drucken
Daten und Sicherheit: Die durchwachsene 100 Tage-Bilanz der DSGVO
© pixabay

Seit 25. Mai ist die Datenschutzgrundverordnung DSGVO in Österreich in Kraft. Die Steuerberatungskanzlei Artus hat in einem Blogbeitrag eine erste Bilanz gezogen – und erklärt noch einmal, wie sich KMU schützen sollen. 

Rund 100 Tage nach Inkrafttreten der DSGVO zieht die Wiener Kanzlei erste Bilanz. Das Urteil fällt durchwachsen aus. Viele Fragen – vor allem in den kleinen und mittelständischen Unternehmen – sind immer noch offen.

Gefälle nach Unternehmensgröße

Laut Artus zeigen sich in der Umsetzung der DSGVO Größenunterschiede: Je größer ein Unternehmen, umso intensiver die Beschäftigung mit der Verordnung. Konzerne greifen auf die bereitgestellten Personalressourcen zurück. Auch größere Mittelständler dürfen als vorbereitet gelten. Defizite weisen nach Stichproben im Internet und nach Klientenreaktion vor allem kleine und kleinste Unternehmen auf. Der meist genannte Hauptgrund liege in der – oft falschen – Annahme, nicht von der DSGVO betroffen zu sein.

Um diese Unternehmen geht es

Österreich verfüge seit jeher über strenge Datenschutzregelungen (gemeinsam mit dem Telekomgesetz). Daher habe sich inhaltlich nicht allzu viel verändert. Nur die Sanktionen wurden härter. Der Blogbeitrag unterstreicht: Betroffen ist jedes Unternehmen, das in irgendeiner Form personenbezogene Daten verarbeitet – egal, ob dies Einzelpersonen, Personen- oder Kapitalgesellschaften bzw. Vereine sind. Sobald beispielsweise Personendaten für eine Rechnungslegung oder für ein Dienstverhältnis gespeichert werden, gilt es, die DSGVO-Regeln zu beachten. Nur wenn bei Adressen ausschließlich Firmennamen und Anschriften genannt werden und jeglicher Personenbezug fehlt – keine Ansprechpartner, keine Geschäftsführer -, dann greift die Verordnung nicht: Die DSGVO schützt ausschließlich die Rechte von betroffenen natürlichen Personen.

Wann darf gespeichert werden

Grundsätzlich ist die DSGVO ein Verbotsgesetz, das untersagt, personenbezogene Daten zu verarbeiten. Es sei denn, dass es dafür einen Rechtsgrund und einen Zweck gibt. Die DSGVO sieht hauptsächlich vier Ursachen im Rahmen des Artikels 6 vor:

  • Es gibt ein Vertragsverhältnis mit der Person (Kauf, Anstellung, Werksvertrag, etc..). Es reicht dabei schon, die Anbahnung eines Vertragsverhältnisses in die Wege zu leiten.
  • Es verpflichten gesetzliche Vorschriften zur Datenspeicherung. Dies ist beispielsweise bei Umsatzsteuerrechnungen oder steuerlichen bzw. sozialversicherungsrechtlichen Archivierungspflichten der Fall: Diese Vorgaben sind so stark, dass auch Löschbegehren der Betroffenen nicht durchgreifen.
  • Es gibt eine Einverständniserklärung. Die ist der typische Fall bei der Zustimmung zu einem Newsletter-Abonnement. Diese Zustimmiung ist jederzeit widerrufbar.
  • Es existiert ein berechtigtes Interesse (Art 6 Abs 1 Lit f): Dabei übertrifft „das berechtigte Interesse des Verantwortlichen (= Datenverarbeiter)“ das „subjektive Datenschutzrecht des Betroffen“. Die Einschätzung, was überwiegt, obliegt dem Verantwortlichen.
    Hier liegt die Besonderheit dieser Regelung: Der Verantwortliche speichert und nutzt die Daten solange, bis der Betroffene Widerspruch einlegt – und im Worst Case die Datenschutzkommission anruft, die dessen Einschätzung prüft. In diesem Passus liegt noch ein weiter und ungeklärter Rechtsraum.

Ohne Rechtsgrundlage muss gelöscht werden

Wenn die Rechtsgrundlage wegfällt, muss der Anwender die Daten löschen. So ist der Anwender beispielsweise verpflichtet, sieben Jahre nach Ende eines Verkaufsvertrages oder eines Dienstverhältnisses die gespeicherten Betroffenen-Daten zu löschen. Ausnahmen sind Mitarbeiterdaten, die benötigt werden, um ein einfaches Dienstzeugnis auszustellen. Diese Daten müssen 30 Jahre lang archiviert/gespeichert werden.

Der Zweck bleibt heilig

Wichtig: Wenn ein Verantwortlicher Daten auf Grund eines Rechtsgrundes – bspw. eines Kaufvertrages – speichert, darf er diese Daten nicht für einen anderen Zweck verwenden. Die Nutzung der Daten für die Zusendung eines Newsletters kann uU zum Problem werden.

Hausaufgabe: Erstellung des Verarbeitungsverzeichnisses

Die erste Hausaufgabe eines betroffenen Unternehmens ist die Erstellung eines Verarbeitungsverzeichnisses. Artus unterstreicht, dass in diesem Punkt die größten Umsetzungsschwierigkeiten zu finden sind. Die auf den ersten Blick komplizierte Liste aus Namen, evtl. Löschfristen und Kategorien verwirre. Nach kurzer Beschäftigung mit dem Thema würden aber die Berührungsängste fallen. Die WKO stellt dabei nützliche Musterbeispiele zur Verfügung. 

Das muss gelistet werden

Das Verarbeitungsverzeichnis ist keine Datenbank mit allen im Unternehmen vorhandenen Daten, sondern soll der Datenschutzbehörde einen Überblick über die im Unternehmen vorhandenen Datenverarbeitungen bieten. Das Verarbeitungsverzeichnis muss daher folgende Informationen enthalten:

  • Den Zweck der Verarbeitung (Kaufvertrag, Dienstverhältnis, Newsletter, Abonnent, etc)
  • die Kategorien der betroffenen Personen (Kunde, Mitarbeiter, Zulieferer, etc)
  • und die Kategorien der personenbezogenen Daten (Adressen, Geburtsdaten, SV-Daten, Gehaltskonto, etc..)
  • die Kategorien von Empfängern
  • gegebenenfalls die Übermittlung von personenbezogenen Daten an ein Drittland
  • die vorgesehene Speicherdauer. Es wird festgehalten, wann die Datei gelöscht werden muss. Dies kann nicht immer angegeben werden, bspw. bei unbefristeten Verträgen. Dann nützt es, als Löschdatum „nach Ablauf des Vertrages“ anzugeben.
  • Abschließend nützt eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung (Firewall, Zugangsberechtigte, versch. Speicherorte)

Die Erstellung des Verarbeitungsverzeichnisses nimmt in der Realität den größten (Zeit)Raum ein. Erste externe Unterstützung hilft sehr effizient, die weiteren Schritte selbst setzen zu können.

Hausaufgabe 2: Erstellung einer Datenschutzerklärung

Die Erstellung einer Datenschutzerklärung repräsentiert nach der Erstellung des Anlagenverzeichnisses die zweite unverzichtbare Hausübung für ein betroffenes Unternehmen. Es sei empfehlenswert, eine derartige Datenschutzerklärung im Impressum festzuschreiben und in den Schriftsätzen des Unternehmens darauf zu verweisen. Finden Sie hier eine Mustererklärung der WKO.

In der Praxis wichtig

Die Erstellung einer Datenschutzerklärung und deren Online-Veröffentlichung ist von hoher praktischer Relevanz. Jeder Datenempfänger kann auf diese Art feststellen, ob sich ein Unternehmen mit der DSGVO auseinandergesetzt hat oder nicht. Rückschlüsse auf weitere Verfehlungen lassen dann nicht auf sich warten.

Hohe Strafen

Die Datenschutzbehörde orientiert sich vor Verhängung einer Geldbuße an der Verhältnismäßigkeit und wird im Erstfall eine Verwarnung aussprechen. Bei bestimmten besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20 Mio. oder im Fall eines Unternehmens von bis zu vier Prozent seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden. Aktive Kontrollen entsprechen derzeit nicht der Rechtswirklichkeit. Allerdings muss die Behörde auf Grund von Anzeigen aktiv werden. Und dann gilt es, die entsprechenden Vorkehrungen vorzuweisen.

Mehr zum Thema