Kommen Sie gerade von Facebook? Höchstwahrscheinlich. Mittlerweile wissen es fast alle: Sie hinterlassen durch jeden Klick Daten im Netz – nicht nur in weitreichenden sozialen Netzwerken, sondern auch auf den Websites und in den eShops von Unternehmen.
Unternehmen wollen diese Daten so gut wie möglich nutzen. Aber dürfen sie das? Nur eingeschränkt. Denn: Daten sind schützenswert. Niemand darf mit ihnen machen, was er will. Deshalb gibt es die Datenschutz-Grundverordnung. Sie bestimmt Regeln, nach denen personenbezogene Daten verarbeitet werden dürfen.
Jedoch herrscht häufig Unklarheit, welche Daten Unternehmen speichern dürfen – und welche nicht. Mittlerweile gibt es eigene Ausbildungen zum Thema. Zu diesem Zweck haben wir Mag. Ursula Illibauer gefragt. Die Juristin ist Expertin für Datenschutz bei der Bundessparte Information und Consulting.
WIFI: Warum gibt es die EU-Datenschutz-Grundverordnung?
Ursula Illibauer: Der gläserne Mensch ist immer wieder Thema, vor allem in Zeiten der Digitalisierung. Die Datenschutz-Grundverordnung ist eine EU-weite Vorschrift dafür, wie es datenschutzrechtlich weitergehen soll. Die letzte Richtlinie stammt immerhin von 1995. Es wurde also Zeit, das Datenschutzrecht wieder auf einen aktuellen Stand zu bringen.
Was sind zentrale Themen der EU-Datenschutz-Grundverordnung?
Ursula Illibauer: Es geht unter anderem darum, dass Unternehmen angehalten sind Rechte von betroffenen Personen zu schützen. Wie kommen Betroffene an Informationen über von ihnen gespeicherte Daten oder wie können sie der Speicherung und Verarbeitung ihrer Daten widersprechen? Wie sicher sind diese Daten? Das bedeutet für alle Unternehmen Handlungsbedarf bei Verträgen, internen Abläufen und Datensicherheitsmaßnahmen. Und es gibt verschärfte Strafdrohungen.
Gibt es Unternehmen, die von der EU-Datenschutz-Grundverordnung nicht betroffen sind?
Mag. Ursula Ilibauer
Ursula Illibauer: Datenschutz betrifft alle – vom Einzelunternehmen über den kleinen Gewerbebetrieb, vom Unternehmen mit zwei Mitarbeitern bis zum internationalen Konzern. Es gibt Unternehmer, die meinen, Datenschutz geht sie nichts an – das stimmt aber nicht. Neu ist außerdem, dass sich auch Unternehmen mit Sitz außerhalb der EU an die Datenschutz-Grundverordnung halten müssen, wenn sie sich auf die EU als Markt ausrichten.
Wann sollten sich Unternehmen auf das Gesetz, das im Mai 2018 in Kraft tritt, vorbereiten?
Ursula Illibauer: Unternehmen sollten sofort beginnen und nicht mehr warten. Es gibt einiges im Betrieb umzustellen. Es ist wichtig das Mindset zu verändern und organisatorische Änderungen in Angriff zu nehmen.
Datenschutzbeauftragter werden
Wenn man von Datenschutz spricht, welche Daten sind gemeint?
Ursula Illibauer: Es geht um personenbezogene Daten. Das sind beispielsweise Adressen, Gehälter, Krankenstände von Mitarbeitenden oder Telefonnummern, Mailadressen, Servicedaten von Kunden.
Man unterscheidet zwischen „schlichten personenbezogenen“ und „sensiblen“ Daten.
Unter „schlichten personenbezogenen“ Daten versteht man zum Beispiel auch heikle Daten wie Kreditkartennummern oder Bankdaten. Sensible Daten sind rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische oder biometrische Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung.
Nehmen wir einen Installateur mit zwei Mitarbeitern als erstes Beispiel. Was gibt es zu tun?
Ursula Illibauer: Der Installateur muss schriftlich darlegen, welche Datenverarbeitungen werden vom Unternehmen erfasst, auch wo gehen diese hin. Damit diese Aufzeichnung schnell und leicht gelingt, haben wir auf wko.at ein Muster erstellt.
Weiters sollte man eine Risikoanalyse machen. Hier geht es um die Fragen: Was kann schlimmstenfalls mit den Daten passieren? Was ist, wenn sie jemand verkauft, wenn sie verloren gehen, wenn sie jemand mitnimmt. Hier geht es darum, nach Lösungen zu suchen um Risiken einzudämmen und gegebenenfalls externe Beratungen hinzuzuziehen.
Bei welchen bestimmten Tätigkeiten muss ein Datenschutzbeauftragter nominiert werden?
Ursula Illibauer: Für heikle Kerntätigkeiten besteht eine Verpflichtung einen Datenschutzbeauftragten zu bestellen. Was ist unter heikler Kerntätigkeit zu verstehen? Das ist die umfangreiche, regelmäßige und systematische Überwachung von Personen oder die umfangreiche Verarbeitung sensibler Daten oder strafrechtlich relevanter Daten. Das kann zum Beispiel bei Banken, Versicherungen oder Krankenanstalten der Fall sein.
Der Datenschutzbeauftragte kann dann entweder ein Mitarbeiter sein oder aber auch ein externer Berater.
Was passiert, wenn Unternehmen sich nicht an das Gesetz halten?
Ursula Illibauer: Es kann sein, dass Kunden Auskunft haben möchten, welche Daten über sie gespeichert sind. Das kann jede Kundin und jeder Kunde verlangen. Wenn sie unzufrieden mit der Auskunft sind, können sie eine Beschwerde bei der Datenschutzbehörde einreichen. Eine andere Möglichkeit ist, dass die Behörde Einsicht in das Verarbeitungsverzeichnis nehmen will. Die Behörde kann auch von sich aus tätig werden. Die Strafen wurden jetzt auch erhöht.
