DSGVO: Die Praxis wird's richten

Nach Vorstellung und Erklärung eines Gesetzes hat es sich nicht angefühlt, das Seminar an der Wirtschaftskammer zum neuen österreichischen Datenschutzgesetz, basierend auf der EU-Datenschutzgrundverordnung. Mehrfach wurde auf noch offene Punkte hingewiesen, obwohl zwei Jahre Zeit für Vorbereitung und Anpassung waren. Die DSGVO wurde am 25. Mai 2016 vom Europäischen Parlament beschlossen und gilt seit 25. Mai 2018 in Österreich. Sie ersetzt damit das bislang geltende Datenschutzgesetz 2000. Dazu passend die Zahlen des KSV aus einer aktuellen Umfrage: Nur 13 Prozent der Befragten halten sich in Bezug auf die DSGVO für sehr gut informiert, 39 Prozent für eher gut, 41 Prozent für mangelhaft und sieben Prozent für nicht informiert. Das DSGVO ist zwar eine europäische Verordnung, sieht aber gewisse Spielräume vor, um nationale Änderungen und Adaptionen zu ermöglichen.

Diese hat Österreich auch genutzt. Kurt Einzinger, seit 1990 Mitglied des Österreichischen Datenschutzrates, externer Datenschutzbeauftragter und Geschäftsführer von netelligenz sowie Leiter des Seminars, bemerkt dazu: »Die Vorgangsweise war aber, auf Wienerisch gesagt, recht hatschert.« Aufgrund der fehlenden Zweidrittelmehrheit im Parlament konnten die Verfassungsbestimmungen des DSG 2000 nicht geändert werden. So wurde nur mit dem Datenschutz-Anpassungsgesetz das alte Gesetz novelliert und in Datenschutzgesetz, kurz DSG, umbe­nannt. Die Verfassungsbestimmungen bleiben gleich. Gerhard Wagner, Geschäftsführer des Kreditschutzverbandes: »Es gibt noch keine Judikatur. 2020 werden wir für manche Themen Klarstellungen haben.«

Grundgedanke Personenschutz

Die Forderung, personenbezogene Daten zu schützen, ist europaweit angekommen. Betroffen ist jedes Unternehmen, vom Großbetrieb bis zum EPU. Das neue Datenschutzgesetz sollte laut Fachleuten als Anstoß gesehen werden, sich mit gespeicherten Personendaten auseinanderzusetzen und nach eingehender Bestandsanalyse neue Prozesse und dafür notwendige IT-Strukturen einzuführen.

Was ist neu?

Beim Datenschutzgesetz sind Abwägung und Hausverstand gefragt. Mit einer guten Erklärung kann dem Datenschutz entsprochen werden, etwa zur benötigten Dauer, zum Umfang und zum Zweck der Speicherung personenbezogener Daten. Auf der sicheren Seite ist man in jedem Fall mit einer Einwilligung der betroffenen Person. Grundsätzlich benötigen Unternehmen eine Einwilligung zum Verarbeiten personenbezogener Daten. Für bestehende E-Mail-Verteiler, für die bereits eine Einwilligung erfolgt ist, müssen Firmen jedoch keine neuerliche Einwilligung einholen.

Bild: Fabasoft bietet mit einer »EU-DSGVO Toolbox« eine SaaS-Lösung aus der Cloud. »Ab einer gewissen Komplexität des Unternehmens macht es Sinn, sich bei der DSGVO-Konformität durch ein Software-Tool unterstützen zu lassen. Das Führen des Verzeichnisses von Verarbeitungstätigkeiten ist ein zentraler Bestandteil der Toolbox. Es können auch die Prozesse zu den Betroffenenrechten digitalisiert und verwaltet werden«, bekräftigt Andreas Dangl, Geschäftsführer Fabasoft.

Umstritten war beim Wirtschaftskammer-Seminar der Begriff der Datenverarbeitung, der in der DSGVO nicht definiert ist. Als Verarbeiten gilt jedes Hantieren mit personenbezogenen Daten – zum Beispiel das Erfassen, Ordnen, Speichern, Übermitteln, Ablegen und Vernichten – unabhängig davon, ob dies mittels Computer oder in Papierform erfolgt. E-Mails zählen laut Einzinger im Sinn der DSVGO aber eher als Kommunikationsmittel, ebenso ein betriebliches Adressbuch.

Klar und ersichtlich ist, wen die DSGVO betrifft: natürliche Personen. Juristische Personen wie Gesellschaften und Vereine haben nicht länger Anspruch auf Schutz personenbezogener Daten, im Gegensatz zu veröffentlichten personenbezogene Daten, die Datenschutz genießen. UnternehmerInnen sollen personenbezogene Daten nur insoweit verwenden, als dies zur Ausübung ihrer Geschäftstätigkeit notwendig ist, sonst sollen sie gelöscht werden. Das erfordert laut Datenschützern einen Paradigmenwechsel in der IT. Einzinger, selbst jahrelang als EDV-Leiter tätig: »Bisher war der Grundsatz jedes Rechenzentrums und jedes Datenverarbeiters, dass nichts verlorengehen darf. Es wurde möglichst dreimal gespeichert.«

Bild: Datenschutz-Experte Kurt Einzinger empfiehlt, personenbezogene Daten nur dann zu verwenden, wenn dies zur Ausübung einer Geschäftstätigkeit unbedingt notwendig ist.

Mit der Forderung der Löschung stellt sich vielfach die Frage der Machbarkeit, etwa in großen Datenbanksystemen. Hier hat Österreich seinen Spielraum genutzt: Wenn eine Löschung aus technischen Gründen nicht möglich oder sehr schwierig umzusetzen ist, reicht eine Einschränkung der Verarbeitung, das heißt, die Daten dürfen nicht mehr verwendet, müssen aber nicht gelöscht werden.

Eine weitere Forderung des neuen Datenschutzgesetzes: Führung eines Verzeichnisses von Verarbeitungstätigkeit ähnlich den derzeitigen DVR-Meldungen. Dieser Punkt ist nicht eindeutig, da der Begriff Verarbeitung nicht ausformuliert ist, es gibt auch keine Formvorschriften. Laut Datenschutzexperten müssen im Verzeichnis folgende Punkte enthalten sein: eigene Kontaktdaten, Zweck der Verarbeitung, Beschreibung der Datenkategorien und der Kategorien betroffener Personen, Empfängerkategorien, gegebenenfalls Übermittlung von Daten in Drittländer und vorgesehene Löschungsfristen. Zudem werden die »TOMs«eingefordert, geeignete technische und organisatorische Maßnahmen zum Datenschutz (siehe unten).

Bei einem voraussichtlich hohen Risiko für die Rechte und Freiheiten natürlicher Personen, etwa bei Gesundheitsdaten oder im Zusammenhang mit der Kreditwürdigkeit, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.

Die Verpflichtung zur Bestellung eines Datenschutzbeauftragten sieht Einzinger als gering. »Er muss nur dann ernannt werden, wenn schützenswerte Daten in größerem Volumen oder Datenverarbeitung für dauernde Überwachung der Betroffenen vorliegen.« Der Begriff »größerer Umfang« ist dabei wieder Ermessenssache.

Auch beim Recht auf Datenübertragbarkeit zeigt sich der Datenschutzexperte skeptisch. »Wie das sinnvoll angewendet werden kann, ist mir rätselhaft. Das wird sich in der Praxis zeigen.«

Bild: In Kooperation mit VACE IT & Security Services bietet das heimische IT-Systemhaus Navax Initialworkshops zum Thema DSGVO an. Geschäftsführer Oliver Krizek: »In weiterführenden Workshops werden gemeinsam oder einzeln erarbeitete Schritte gemäß den vier Säulen Ermitteln, Verwalten, Schützen, Berichten in die Tat umgesetzt.« Webinare zum Thema ergänzen das Angebot.

Abschreckende Wirkung

Die angeführten Strafen »bis zu 20 Millionen Euro oder vier Prozent vom Jahresumsatz« sollen abschreckend wirken, auch für Unternehmen, die laut Kurt Einzinger Strafen von ein paar 100.000 Euro aus der Portokassa bezahlen. Der überwiegende Part der Wirtschaft muss nicht mit Strafzahlungen rechnen. »Datenschutz ist ein Zivilrecht. Jemand muss sich erst in seinen Rechten verletzt fühlen, damit die Behörde aktiv wird«, so Einzinger. Interessant: Künftig kann auch immaterieller Schaden angezeigt werden. Wie sich das entwickelt, werde man sehen. Denn bei Datenschutz ist immaterieller Schaden generell schwer festzustellen und nachzuweisen.

DSGVO - Tipps

1. Für jede Datenverarbeitung gilt:

♦ Rechtmäßigkeit – bestehende Newsletter-Adressen dürfen weiter verwendet werden, bei neuen Daten braucht es eine Einwilligung.
♦ Zweckbindung – Daten dürfen nur für den Zweck verwendet werden, für den es die Einverständniserklärung gibt.
♦ Datenminimierung – Datensammlung soll auf den Zweck beschränkt werden.
♦ Richtigkeit
♦ Sicherheit (siehe TOM, weiter unten)
♦ Speicherbegrenzung – Daten dürfen nur so lang aufgehoben werden wie benötigt.
♦ Rechenschaftspflicht – per Logbuch müssen Aktionen nachgewiesen werden, etwa die beantragte Löschung von Daten.

2. Informationspflicht für Websites:

Neben dem verpflichtenden Impressum auf einer Website wird eine allgemeine Datenschutzerklärung zu folgenden Punkten empfohlen: Art und Weise der Verarbeitung personenbezogener Daten, Hinweis auf Betroffenenrechte und Beschwerdemöglichkeit, Kontaktdaten des Verantwortlichen sowie eine Beschreibung, wie die Website mit personenbezogenen Daten verfährt, zum Beispiel Log-Files, Cookies oder Google Analytics. Bei Formularen, für die personenbezogene Daten erhoben werden, wie etwa die Anmeldung zu einem Newsletter, braucht es einen zusätzlichen Informationstext mit Namen und Kontaktdaten des Verantwortlichen, Zweck der Verarbeitung und der Rechtsgrundlage. Die Anführung eines zusätzlichen Links zur Datenschutzerklärung ist sinnvoll.

3. "TOM":

Bei der Verarbeitung personenbezogener Daten sind technische und organisatorische Maßnahmen – TOM – zu ergreifen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Es braucht Kontrollen hinsichtlich Zugang zu Verarbeitungsanlagen, Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern, Verhinderung der Nutzung automatisierter Verarbeitungssysteme, Zugriffs-, Übertragungs-, Eingabekontrolle, Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können, Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können sowie Datenintegrität, d.h. Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden.