Was ab Mai auf die Firmen zukommt

Ab 25. Mai 2018 müssen Unternehmer im Umgang mit personenbezogenen Daten Rechenschaft ablegen. Datenschutzgrundverordnung heißt dieses EU-Gesetz. Wer es ignoriert, muss mit gewaltigen Geldstrafen rechnen! Die Verwirrung bei den Unternehmern ist groß. prima! hat den stellvertretenden Direktor der WK-Burgenland, Dr. Harald Schermann, um klare Antworten gebeten.
Eric Sebach

Welche Daten betrifft die Datenschutzgrundverordnung?
Die DSGVO gilt für personenbezogene Daten. Das sind alle Informationen, durch die eine Person identifiziert werden kann – wie etwa Name, Adresse, Geburtsdatum oder auch Einkommen. Spezielle Regelungen gibt es für sensible Daten, wie z.B. Gesundheitsdaten oder Daten zum Sexualleben, zur ethnischen Herkunft, politischen Meinung, religiösen Überzeugung oder Gewerkschaftszugehörigkeit.

Was müssen Unternehmer nun konkret tun?
Die Unternehmer sollten sich zunächst einen Überblick verschaffen, welche Daten sie von Mitarbeitern, Kunden, Lieferanten oder anderen Geschäftspartnern überhaupt haben. Der nächste Schritt wäre die Überprüfung, ob sie die Daten überhaupt brauchen und ob die Speicherung wirklich notwendig ist. Ist dies der Fall, muss ein Verzeichnis angelegt werden.

Was muss eine solche Dokumentation beinhalten?
Dazu gibt es ein Formular, das man unter „www.wko.at/datenschutz“ downloaden kann. Angegeben werden müssen beispielsweise die eigenen Kontaktdaten, der Zweck der Verarbeitung der Daten, vorgesehene Löschungsfristen oder etwa auch eine Beschreibung der Datensicherheitsmaßnahmen im Unternehmen.

Worauf müssen Unternehmer nun verstärkt achten, wenn sie Daten von Kunden erheben?
Gegenüber dem Betroffenen bestehen detaillierte Informationspflichten über Art und Umfang sowie über den Verwendungszweck der gespeicherten Daten. Diese Informationspflicht ist schon bei der Datenerhebung und später auch auf Verlangen des Betroffenen zu erfüllen.

Welche Sicherheitsmaßnahmen muss ich als Unternehmer durchführen?
Der Unternehmer hat geeignete technische und organisatorische Maßnahmen zu treffen, die dafür sorgen, dass personenbezogene Daten sicher verwahrt und nicht für jedermann zugänglich sind. In der Praxis wird ein Unternehmer die Sicherheitsmaßnahmen wahrscheinlich am besten mit einer EDV Firma überprüfen und beispielsweise schauen, welche Software für ihn in Frage kommt. Es geht aber auch darum, dass man in seinem Unternehmen einen Datenschutzbeauftragten nominiert. Dieser ist nicht verpflichtend (außer in ganz bestimmten Branchen), aber hilfreich, denn er überwacht die Einhaltung der DSGVO.

Wie sind Kleinst- und Kleinunternehmer davon betroffen?
Die sind genauso betroffen. Möglicherweise habe sie weniger Daten und nur einige wenige Anwendungen und daher einen geringeren Dokumentationsaufwand.
Welche Daten darf man speichern?
Grundsätzlich kann man alle Kundendaten speichern. Entscheidend ist, ob eine sogenannte Rechtsgrundlage dafür besteht. Das ist beispielsweise dann der Fall, wenn man als Unternehmer eine Rechnung ausstellt. Dazu brauche ich ja personenbezogene Daten. In so einem Fall ist die Speicherung der Daten natürlich notwendig und schlüssig. Ist keine Rechtsgrundlage vorhanden, ist von der betroffenen Person eine Einwilligung einzuholen.

Muss ich einen Kunden darüber informieren, dass ich Daten von ihm habe?
Ja, wie bereits erwähnt, bestehen bei der Datenerhebung und auch auf Verlangen umfangreiche Informationsverpflichtungen gegenüber dem Betroffenen (detaillierter Verarbeitungszweck, Speicherdauer, Empfänger der Daten usw.).

Was muss ich löschen?
Generell sagt die DSGVO, dass alle nicht (mehr) benötigten Daten zu löschen sind. Dann sind im Fall des Datenverlustes auch der Schaden und die Verständigungspflichten geringer. Das ist vom Gesetz sehr ungenau definiert. Jedenfalls sind aber Daten zu löschen, für deren Verarbeitung es keine Rechtsgrundlage oder Einwilligung gibt.

Wann betrifft mich als Unternehmer die DSGVO nicht?
Die DSGVO trifft jeden Unternehmer. Auch Kundenakten, die systematisch im Schrank verwahrt werden, sind betroffen.

Am 25. Mai 2018 tritt die Verordnung in Kraft. Wer überprüft die Unternehmen, ob sie diese auch umsetzen?
Die Österreichische Datenschutzbehörde.
Eine Überprüfung wird dort stattfinden, wo ein „Kläger“ ist – also, wenn ein Kunde eines Unternehmens eine Meldung bei der Behörde macht.

Mit welchen Strafen ist zu rechnen?
Bei Unternehmern kann die Strafe bis zu vier Prozent des Jahresumsatzes betragen. Schon allein in Anbetracht der Höhe der Geldbußen ist es empfehlenswert, sich bei der Einhaltung des Gesetzes von Experten unterstützen zu lassen.

Interview aus Ausgabe 01/2018


Datenschutzgrundverordnung
Für die Verarbeitung von personenbezogenen Daten muss es eine Rechtfertigung geben. Diese kann nur aufgrund einer gesetzlichen Verpflichtung, der Einwilligung des Betroffenen oder aus überwiegendem Interesse bestehen.
Die DSGVO tritt am 25.5.2018 in Kraft.
Das müssen Unternehmer nun tun:
• Feststellung, ob und welche sensiblen Daten man überhaupt braucht
• Erstellung und Führung eines Datenanwendungsverzeichnisses
• Erweiterung der Informationspflichten gegenüber den Betroffenen
• Nominierung eines Datenschutzbeauftragten (nicht zwingend; dieser überwacht die Einhaltung der DSGVO, schult die Mitarbeiter und ist Anlaufstelle für die Aufsichtsbehörde)

Betroffene müssen bei Erstkontakt aktiv und umfassend über die Speicherung ihrer Daten vom Unternehmen informiert werden. Sie haben unter anderem das Recht auf Löschung und „Vergessen“ ihrer Daten.
Informationen und Checklisten zur DSGVO unter „www.wko.at/datenschutz“

Einen Kommentar hinterlassen: