Neuer, einheitlicher EU-Datenschutz beschäftigt auch heimische Unternehmer

Spätestens seit dem jüngsten Vortrag von Software-Entwicklungsserater Harald Schenner in der Regionalstelle der WKO Südsteiermark werden so manche Unternehmer gehörig ins Schwitzen gekommen sein, angesichts des bevorstehenden bürokratischen Tsunamis, der da bis zum 26. Mai 2018, dem Inkrafttreten der neuen EU-Datenschutzrechtslage, auf sie zukommt.

Neuer, einheitlicher EU-Datenschutz

Die vom EU Parlament beschlossene Datenschutz-Grundverordnung (DSGVO) vereinheitlicht ab 25. Mai 2018 EU-weit die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen. Jedes Unternehmen, das in irgendeiner Art und Weise personenbezogene Daten verarbeitet, ist davon betroffen und muss nun seine Datenanwendungen rechtzeitig an die neue Rechtslage anpassen.
Das komplett neue EU-Datenschutzrecht wird in nächster Zeit Unternehmer und Betriebe ordentlich auf Trab halten, will man zeitgerecht den gesetzlichen Vorgaben entsprechen. Ohne Beratung und Tipps von Experten wird es nicht abgehen, das steht nun fest, wenn man Datenschutz-Grundverordnung (DSGVO) im Detail ansieht.

Datenschutz wird komplexer

Was dieses EU-Datenschutzinstrument für Unternehmen und deren Mitarbeiter in der Praxis wirklich bedeutet, erläuterte der Gleisdorfer Software-Entwicklungsberater Harald Schenner in der WKO Regionalstelle Südsteiermark in Leibnitz eindrucksvoll einer interessierten Runde. Der Experte brachte beim Seminar über den neuen EU-Datenschutz Licht ins Dunkel der komplizierten Materie und ortete dringenden Handlungsbedarf in den heimischen Unternehmen. Fazit: Strukturiertes Vorgehen bei der Umsetzung mit entsprechender Beratung der Experten der Wirtschaftskammer ist angesichts der notwendigen datenschutzkonformen Datenverarbeitung entsprechend der ab 26. Mai 2018 geltenden Rechtslage dringend angesagt. Bei Verstößen blühen dem Unternehmen nämlich saftige Strafen von bis zu 25.000 Euro oder vier Prozent des Konzernumsatzes für Großkonzerne.

Generelles Verbot

„Die Rechtmäßigkeit der Verarbeitung von personenbezogenen Daten von natürlichen Personen ist zunächst einmal generell verboten. Ausnahmen vom generellen Verbot bestehen bei Wahrung eines berechtigten Interesses des Verantwortlichen etwa zur Betrugsverhinderung oder Direktwerbung, bei Einwilligung des Betroffenen sowie bei anonymisierter oder pseudonymisierter Verarbeitung von Daten, die keine Identifizierung betroffener Personen ermöglicht“, betonte Harald Schenner. „Die Pflicht des Beweises der Existenz einer Zustimmung des Betroffenen zu Verarbeitung seiner Daten trifft das Unternehmen. Daher werden schriftliche Einwilligungen dringend empfohlen“, mahnte der Vortragende.

Verschluss der Daten

„Das verantwortliche Unternehmen muss Sorge dafür tragen, jeden fremden Zugriff auf Daten durch ordnungsgemäßen Verschluss zu verhindern. Dazu sind die Datenquellen zu erheben und Informationen zu sammeln, was mit den gespeicherten Daten passiert. Damit man dann dem Betroffenen nachweisen kann, wohin Daten gehen. Eine Übermittlung von Daten mittels E-Mail ist wie eine Postkarte, die jeder lesen kann. Daher Rechnungen nur verschlüsselt übermitteln“, forderte Schenner die Unternehmer auf.
Ganz besondere Schutzmaßnhamen sind, so Schenner, für sensible Daten zu treffen. So etwa für wie rassische oder ethnische Herkunft, politische Meinung, Weltanschauung, Gewerkschaftszugehörigkeit, Religion, sexuelle Orientierung, Gesundheitsdaten oder genetische und biometrische Daten.

Was ist zu tun?

Man muss als Unternehmer unbedingt wissen, wie man richtig aufklären muss und was alles zu tun ist, um den neuen Regelungen zu entsprechen und den empfindlichen Strafen zu entgehen. Es braucht zumindest ein Verfahrensverzeichnis, den Prozess der Informationsbegehren und den Prozess der Meldung von Datenschutzverstößen. Vor allem aber sind jedoch technische und organisatorische Maßnahmen zu treffen. „So etwa die Pseudonymisierung und Verschlüsselung personenbezogener Daten, die Fähigkeit, Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen oder die Fähigheit, die Verfügbarkeit personenbezogener Daten und den Zugang bei einem Zwischenfall rasch wiederherzustellen. Die letztere Maßnahme erfordert unbedingt die Erstellung eines Backup-Konzepts“, erläuterte Schenner.

Neues Auskunftsrecht

So bekommen bald Kunden, Mitarbeitern, Bewerber oder Videoüberwachte ein Auskunftsrecht, welche Daten ein Unternehmen von ihnen hat. Das Informationsbegehren richtet sich an den Verantwortlichen, der innerhalb eines Monats zu antworten hat. Grundlage für die Datennachschau ist das Verfahrensverzeichnis (für das die DSGVO einen Mindestinhalt vorschreibt) und ein festgelegter Auskunftsprozess. Daraus wird sich ergeben, ob es für die betrieblich gespeicherten Daten eine gesetzliche Grundlage oder eine explizite Einwilligung gibt. „Daher bitte nicht warten, bis es soweit ist und jemand Auskunft verlangt, sondern zeitgerecht jetzt gleich anschauen und sich Gedanken darüber machen, welche technische und organisatorischen Maßnahmen zu treffen sind“, bat Schenner die Teilnehmer seines Vortrages.

Maßnahmen bei Datendiebstahl

Bei einem Störfall, wenn also im Unternehmen vom Verantwortlichen ein Datenklau entdeckt wird und ein Risiko für Rechte und die Freiheit natürlicher Personen besteht, so muss der Verantwortliche im Unternehmen binnen 72 Stunden eine Meldung an die Aufsichtsbehörde machen. Den Verarbeiter der Unternehmensdaten wiederum trifft beim Entdecken des Datendiebstahls eine unverzügliche Pflicht, dem Verantwortlichen die Art der Schutzverletzung, die Personenkategorie, die Anzahl der betroffenen Personen, den Namen und die Kontaktdaten der Datenschutzbehörde, die Folgenbeschreibung, Behebungs- und Abmilderungsmaßnahmen zu melden.
„Der Zugriff auf Daten durch einen IT-Dienstleister, der das System für das jeweilige Unternehmen wartet oder durch einen Externen, der mit der Verwaltung der Datenbank beauftragt ist, muss vertraglich geregelt werden. Besteht kein Vertrag über den Zugriff auf die Daten, liegt ein Teilverstoß gegen die DSGVO vor“, mahnte der Vortragende.

Recht auf Vergessenwerden

Besonders verwies Harald Schenner bei seinem Vortrag auf das Recht auf Vergessenwerden. „Haben sie einem Kunden auf dessen Wunsch ein Anbot für eine Dienstleistung erstellt und mit der Angebotslegung personenbezogene Daten gespeichert, sind diese Daten zu löschen, wenn keine Auftragsvergabe erfolgt“, warnte Schenner. Sinngemäß gelte dieses neue Recht auch für Stellenausschreibungen. „Die Daten von Stellensuchenden, die sich auf eine Ausschreibung hin gemeldet haben, aber dann die Stelle nicht bekommen, sind ebenfalls zu löschen. Außer diese werden mit der Absage gefragt, ob sie weiter in Evidenz gehalten werden wollen und dem zustimmen“, so Schenner.
Nähere Informationen unter: www.dsgvo2018.at oder www.sevian7.com