Mit der DSGVO wird sich die Gesetzeslage zum Datenschutz in Europa grundlegend verändern. Es müssen sich alle Unternehmen mit dem Thema beschäftigen, die personenbezogene Daten verarbeiten.



Grundsätze



Rechenschaftspflicht: Ganz generell besteht künftig eine Rechenschaftspflicht für Unternehmen, dass sie die Datenschutzbestimmungen einhalten. Um das nachzuweisen, müssen alle relevanten Vorgänge und Schutzmaßnahmen ausführlich dokumentiert werden.



Betroffene Daten: Thema sind nicht nur Kundendaten sondern auch Daten von Mitarbeitern, Geschäftspartnern oder der eigenen Firma. Wer auch immer im Geschäftsalltag mit Daten einer dieser Gruppen arbeitet, muss gewährleisten, dass keine unberechtigte Person Zugriff auf sie hat, z. B. durch Passwörter oder Verschlüsselung.



Besondere Bestimmungen gelten zusätzlich für sogenannte sensible Daten, also etwa Daten zur rassischen und ethnischen Herkunft, zu politischen Meinungen, zur religiösen oder sexuellen Ausrichtung oder zum Gesundheitszustand. Deren Verarbeitung ist grundsätzlich untersagt und kann nur unter bestimmten Umständen rechtmäßig erfolgen – etwa beim Vorliegen einer ausdrücklichen Einwilligung.



Zweckbindung: Daten dürfen nur für den Zweck verarbeitet werden, für den sie erhoben wurden und nicht ohne Zustimmung an Dritte weitergegeben werden. Die Sammlung und Verarbeitung muss auf das notwendige Maß beschränkt sein. Beispiel: Bei einer Warenbestellung darf keine Telefonnummer erhoben werden, da sie für die Bestellabwicklung nicht notwendig ist.



Transparenz: Betroffene sollen wissen, dass und welche Daten in Bezug auf ihre Person erhoben werden. Wer etwa im Hintergrund seiner Website Daten der Besucher erhebt, muss zumindest in der Datenschutzerklärung transparent darüber aufklären.



Verarbeitungsverzeichnis



Jedes Unternehmen sollte sich in einem ersten Schritt einen Überblick über die bestehenden Datenverarbeitungstätigkeiten verschaffen. Auf dieser Grundlage sollte ein Verarbeitungsverzeichnis erstellt werden. Zur Führung eines solchen Verarbeitungsverzeichnisses ist künftig so gut wie jedes Unternehmen verpflichtet. Ausgenommen sind nur Einzelunternehmer, die tatsächlich keinen Computer für ihre Arbeit verwenden (und auch keine händische Kunden- oder Lieferantenkartei führen). In diesem Verarbeitungsverzeichnis müssen alle erhobenen Daten, die betroffenen Personengruppen, der Zweck der Erhebung und mehreres andere angeführt werden. Details dazu finden sich z. B. im DSGVO-Leitfaden des Handelsverbands, der online heruntergeladen werden kann.



Auftragsverarbeiter



Neue Regeln gelten auch für das Outsourcing von Datenverarbeitungstätigkeiten. Die sogenannten »Auftragsverarbeiter« dürfen Daten ausschließlich anhand konkreter Weisungen nützen. Dafür ist zwingend der Abschluss eines schriftlichen (oder elektronischen) Vertrags inkl. Verschwiegenheitsklausel notwendig. In diesem Vertrag müssen Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt werden.



Datenlöschung und Datensicherheit



Eine der schwierigsten Aufgaben, die die DSGVO mit sich bringt: Personenbezogene Daten dürfen nur so lange gespeichert werden, wie dies für die festgelegten Verarbeitungszwecke erforderlich ist. Nach Ablauf dieser Frist sind die Daten zu löschen. Dafür sind im erwähnten Verarbeitungsverzeichnis auch Regelfristen für die Aufbewahrung und Löschung der Daten anzuführen. Es braucht also ein »Löschkonzept«, das bestenfalls automatisiert funktioniert. Zu berücksichtigen sind dabei freilich auch sonstige gesetzliche Bestimmungen, etwa die steuerrechtliche Aufbewahrungspflicht (sieben Jahre) oder die Frist zur Verjährung für potentielle Schadenersatzansprüche (mind. drei Jahre).



Datenpannen



Datenschutzverletzungen oder Hackerangriffe, die etwa zur Veränderung oder Offenlegung von personenbezogenen Daten geführt haben, müssen unverzüglich, spätestens jedoch 72 Stunden nach Bekanntwerden an die Datenschutzbehörde gemeldet werden. Über Sicherheitsverletzungen, die Auswirkungen auf die Betroffenen haben können, wenn also etwa Passwörter, Zahlungsdaten oder sonstige sensible Daten betroffen sind, müssen auch die Betroffenen unverzüglich informiert werden.



Auskunftsrechte



Jede betroffene Person hat ein Anrecht darauf, zu erfahren, zu welchen Zwecken persönliche Daten verarbeitet werden, wie lange diese gespeichert werden, was mit ihnen gemacht wird und welche Folgen eine solche Verarbeitung haben kann. Auch eine Herausgabe dieser Daten als Kopie muss jederzeit möglich sein. Auch mit dem »Recht auf Vergessenwerden«, also mit der Forderung nach der Löschung aller Daten, könnten Unternehmen künftig verstärkt konfrontiert werden. Dafür, dass Daten tatsächlich gelöscht werden müssen, müssen jedoch zahlreiche Voraussetzungen erfüllt sein.



Strafen



Hauptgrund dafür, dass die so sperrige Materie in den letzten Monaten für so viel Aufsehen gesorgt hat, sind die um ein Vielfaches höheren Strafen, die künftig für Datenschutzverletzungen verhängt werden können. Im Extremfall, also bei wiederholten vorsätzlichen Verstößen, liegt der Strafrahmen bei bis zu 20 Mio. Euro der 4 % des weltweiten Jahresumsatzes. Damit soll das Bewusstsein dafür geschärft werden, dass es sich bei Verstößen gleichzeitig um Verletzungen der europäischen Grundrechte handelt. In der Praxis werden sich die Behörden jedoch besonders in der Anfangszeit mit der Verhängung von Strafen zurückhalten. Vorerst wird auf Verwarnungen und Belehrungen gesetzt. Wichtig dafür ist es auch, nachweisen zu können, dass man sich als Unternehmen mit der Materie befasst hat, dass also etwa einschlägige Schulungen besucht bzw. im Unternehmen abgehalten wurden.



Rechtsunsicherheit



Dadurch, dass mit der Verordnung auch gesetzlich völliges Neuland betreten wurde, wirft die praktische Umsetzung zahlreiche Fragen auf, die vorerst nicht einmal von den zuständigen Aufsichtsbehörden eindeutig beantwortet werden können. In vielen Punkten wird die bestehende Rechtsunsicherheit vermutlich erst nach einiger Zeit durch die Verwaltungspraxis und wohl auch durch die Gerichte geklärt werden. Auf Zeit spielen sollte aber keine Option sein. So könnten etwa Mitbewerber Wettbewerbsklagen gegen Unternehmen mit fehlender oder inkorrekter Umsetzung der DSGVO-Vorschriften initiieren. Bei einem derartig hohen angedrohten Strafrahmen wären das beunruhigende Aussichten.



Weiterführende Informationen finden Sie u. a. auf den Websiten der WKO und des Handelsverbands.

Von: Manuel Friedl