Da war was los! Wir von senft & partner haben die fabelhafte Event-Location Lutz Bar vor einigen Tagen exklusiv gemietet, um gemeinsam mit der Wiener Rechtsanwaltskanzlei Dorda (ehemals Dorda Brugger Jordis) unsere Kunden fit für die im Mai 2018 eintretende EU-Datenschutz-Grundverordnung zu machen.

Das zahlreiche Erscheinen und die aktive Teilnahme hat unser Gefühl bestätigt: Es besteht viel Unsicherheit, und es bedarf noch viel Aufklärungsarbeit. Die deutsche Sprache ist ja bekannt für Zusammenfügungen mehrerer Wörter, die nicht nur für Nicht-Deutschmuttersprachler schnell zu Zungenbrechern werden. Doch was verbirgt sich hinter diesem Bandwurmwort „Datenschutz-Grundverordnung“?

Mit 25. Mai 2018 wird die EU-Datenschutz-Grundverordnung, kurz DSGVO gültig. Die DSGVO ist mit 99 Artikeln deutlich umfangreicher als das bestehende Datenschutzgesetz in Österreich.Bei der neuen DSGVO geht es um zwei wesentliche Neuerungen: Einerseits werden die Betroffenenrechte ausgeweitet, und andererseits werden die Pflichten der verantwortlichen Unternehmen umfangreicher.

Den natürlichen Personen werden mehr Rechte eingeräumt: Auskunftspflicht von Unternehmen, das Recht auf Vergessenwerden (gilt v.a. für Suchmaschinen-Anbieter) sowie die Daten-Portabilität. Unternehmen haben in Zukunft noch mehr Sorgfalt zu tragen im Umgang mit personenbezogenen Daten.

Diese sechs Tipps helfen Ihnen dabei, Ihr Unternehmen auf das neue Gesetz vorzubereiten.

Die rechtliche Grauzone

In der Juristerei werden Sätze oftmals eingeleitet: „Das kann man nicht eindeutig mit Ja oder Nein beantworten“ oder „Das ist eine rechtliche Grauzone“ oder „Das ist noch nicht ausjudiziert“. Auch in Bezug auf die DSGVO treffen diese Floskeln zu, denn viele Bereiche sind noch nicht klar definiert und festgelegt. Das erschwert Managern den Arbeitsalltag. Vom Praktikanten bis zum Top Management sind alle für den Konzern oder ihr Unternehmen mitverantwortlich. Klar ist, dass Datenschutz bereits jetzt ein echtes Compliance Thema ist und es mit dem neuen Gesetz im Ernstfall zu einer erhöhten Strafe kommen kann. Deswegen sehen wir die Notwendigkeit, bereits jetzt diesem Thema vermehrt Aufmerksamkeit zu widmen.

Tipp 1: Vorbereitung ist die halbe Miete: Etablieren Sie interne bzw. konzernübergreifende Verhaltensregeln für alle Abteilungen!

Gleiche Regeln für alle?!

Ja, was bringt sie denn nun, diese neue Datenschutz-Grundverordnung? Außer, dass sie ein schleichendes Gefühl von Unbehagen verbreitet? Die EU strebt eine Harmonisierung der bereits bestehenden Richtlinie an. Wie in Österreich üblich, folgt einem Gesetzesverstoß ein langer behördlicher, also zeit- und geldintensiver Weg. Grundsätzlich sollen die Spielregeln für alle Länder gleich gelten, wobei auch hier die Ausnahme immer die Regel bestätigt. So gilt das aktuelle Datenschutzgesetz auf Basis der Datenschutzrichtlinie in Österreich aktuell sowohl für natürliche als auch für juristische Personen, während sie in Deutschland (und den meisten anderen Ländern) nur bei natürlichen Personen greift. In Zukunft werden die Bestimmungen der DSGVO in Österreich ausschließlich für die Verarbeitung personenbezogener Daten natürlicher Personen gelten.

Tipp 2: Besser heute als morgen: Stellen Sie die Erfüllung neuer Informationspflichten sicher!

Der ominöse Datenschutzbeauftragte

Was hat es eigentlich mit dem Datenschutzbeauftragten auf sich? Während in Österreich in nur seltenen Fällen eine Person aus dem Unternehmen beauftragt werden muss, ist es in Deutschland gang und gäbe. Grundsätzlich lässt sich festhalten, dass zumindest die öffentliche Hand verpflichtet ist, einen Mitarbeiter zum Datenschutzbeauftragten zu ernennen und zu schulen. Auch Unternehmen, deren Hauptzweck die Verarbeitung von Daten ist, wie zum Beispiel die Überwachungsindustrie oder solche, die mit sensiblen Daten umgehen müssen, sind zur Einberufung eines Datenschutzbeauftragten verpflichtet. Alle anderen Unternehmen sind davon nicht betroffen.

Tipp 3: Besonders IT-Experten haben hier eine tragende Rolle: Jetzt ist es an der Zeit, um die Sicherheitsmaßnahmen anzupassen!

Weg von der „Schau-ma-mal-Kultur“…

… hin zum amerikanischen System, das auf die Eigenverantwortung von Unternehmen pocht. „Spam“ und „Cold Calling“ könnten in Zukunft noch schneller und härter bestraft werden, so man nicht mit viel Empathie und Fingerspitzengefühl an die Sache, den Menschen, den Kunden herangeht. Neue Regelungen verpflichten, dass die Einwilligung für die Daten- und Kontaktaufnahme auf Websites

  • freiwillig
  • für den bestimmten Fall
  • in informierter Weise und
  • unmissverständlich sein muss.

Vor-aktivierte Clickboxes sind in Zukunft ungültig. Ansprechpartner für Beschwerden wird weiterhin die Datenschutzbehörde sein, die sich aufgrund der neuen Regelung intern neu aufstellen bzw. aufstocken muss. Von Insidern und Branchenkennern wird erwartet, dass mit dem Inkrafttreten der Verordnung in der ersten Zeit besonders viele Beschwerden einlangen und diese dann mit der Zeit abflauen werden. Hier wurde die Empfehlung getätigt, mit viel Vernunft und Pragmatismus vorzugehen.

Tipp 4: Höchste Zeit, um alte Dokumente aufzuräumen: Passen Sie die Einwilligungserklärungen an!

Sorgfältige Dokumentationspflicht

Als Unternehmen hat man noch ein Jahr Zeit, um das Unternehmen und seine Mitarbeiter vorzubereiten. Es geht darum, Strukturen und Prozesse niederzuschreiben, um folglich im Ernstfall nachweisen zu können, dass man Bemühungen getätigt hat. Langfristig geht es darum, die Sorgfaltspflicht einzuhalten – insbesondere bei sensiblen Daten wie Informationen über die religiöse, politische oder sexuelle Ausrichtung von Personen. Eine Einwilligung zur Verwendung personenbezogener Daten muss nachweisbar vorab eingeholt werden. Ein einfacher Vermerk im CRM sowie das korrekte Ablegen von Zustimmungserklärungen kann da schon präventiv viel ausrichten.

Tipp 5: Vorsicht besonders bei sensiblen Daten: So viele Daten wie nötig, aber so wenig wie möglich speichern!

Wer ist PIA?

Hinter dem Kürzel PIA versteckt sich der Begriff „Privacy Impact Assessment“: Das betrifft die Datenschutz-Folgeabschätzung sowie die Dokumentation und die Risikomeldung. Fragen wie: „Welche Hard- und Software wird für die Datenverwaltung verwendet?“ oder „Welche Berichtslinien bestehen im Unternehmen?“ oder „Wie sind die Zuständigkeiten im Unternehmen?“ oder „Wie werden die Mitarbeiter dafür intern geschult?“ werden hier behandelt – um Risiken abschätzen zu können. Mit der entstehenden ISO-Norm zum Datenschutz werden Prozesse und Maßnahmen dann auch automatisch in das Qualitätsmanagement der Unternehmen einfließen.

Wird eine Beschwerde bei der Aufsichtsbehörde eingebracht, dann muss ein Unternehmen innerhalb von 72 Stunden auf Basis des PIA-Prozesses Auskunft über die betreffenden Daten geben. Ist keine ausreichende Dokumentation vorhanden und/oder wird nicht innerhalb der Frist reagiert, kann das mitunter weitreichende Folgen haben.

Tipp 6: Bekannt aus dem Qualitätsmanagement: Dokumentieren Sie die Verarbeitungsvorgänge und gliedern Sie diese in den Arbeitsalltag ein!

Nach dem informationsgeladenen Zwei-Stunden-Vortrag von Dorda folgte eine intensive Fragerunde und ein hilfreicher Austausch unter den Teilnehmern. Aber am Ende des Tages wird vermutlich nicht so heiß gegessen wie gekocht. Voraussetzung für die Abkühlung ist, dass man unternehmensintern Vorsorge getroffen hat, um Fehler zu vermeiden. Noch ist ein Jahr Zeit für die Vorbereitung. Um alles professionell auf die Beine zu stellen, hilft es, im Vorfeld juristische Beratung einzuholen.

Bei Fragen, oder wenn Sie juristische Beratung in Anspruch nehmen möchten, wenden Sie sich bitte direkt an Axel Anderl oder Nino Tlapak von DORDA.

+43-1-533 4795-0
www.dorda.at

 

Fotos: Gabriele Diwald