slider
News

Ja, Datenschutzgrundverordnung!

04. April 2019

Vor einem Jahr war ich bei mehreren WKO-Vorträgen zu dem Thema, bei denen sich alle Teilnehmenden die Haare gerauft haben vor Verzweiflung. Das hat sich ja nun geändert, denn dieses Mal saß ich in einem mehr als überschaubaren Publikum. Nachdem so viele Leute verhindert waren, will ich kurz zusammenfassen, was es für einen spannenden Vortrag es gegeben hat.

Frau Mag. Sehrschön von der Kanzlei Eisenberger und Herzog hat über den neuesten Stand der Dinge berichtet: Natürlich wurde die DSGVO nicht geändert, aber was es nun gibt, ist Rechtsprechung zu dem Thema und man weiß, wie die Datenschutzbehörde (DSB) im Detail verfährt. Es wurden auch bereits empfindliche Strafen ausgesprochen. Bei den Vorträgen vor einem Jahr habe ich danach im Publikum nicht nur einmal gehört, dass einzelne TeilnehmerInnen gemeint haben, sie haben ja gerade erst angefangen mit dem Unternehmen, daher gibt es ein Minus in den Bilanzen, also könnte da nichts Schlimmes passieren. Tja nun: Wie zu erwarten sind Strafen immer dem Unternehmen angepasst: Natürlich wird ein kleines Einzelunternehmen in der Höhe der Strafe anders beurteilt als eine große Firma. Weh tun wird es aber immer, wenn es denn überhaupt so weit kommt. Frau Mag. Sehrschön hat berichtet, dass die DSB sehr umgänglich ist. In Zweifelsfällen sollte man nicht zögern, sich mit Fragen hinzuwenden.

Zur DSB hinwenden muss man sich auf jeden Fall, wenn z. B. durch einen Hackerangriff möglicherweise Fremde Zugriff auf personenbezogene Daten haben. Sollte so etwas passieren, ist man verpflichtet, den Vorfall innerhalb von 72 Stunden zu melden. Auch bei eventuell passierten Unfällen, durch die Daten in falsche Hände gelangen, kann man nicht die Hände in den Schoß legen.

Das letzte Jahr hat gezeigt, dass die meisten Vorkommnisse auf Grund von menschlichem Verschulden geschahen: Nach wie vor kommt es vor, dass jemand Passwörter auf einem Zettel stehen hat, der dann auf dem Computer klebt. Mitarbeiter müssen viel besser geschult werden!

Was wichtig ist: Jede Firma sollte ein System haben, nach dem personenbezogene Daten verarbeitet und später wieder gelöscht werden. Man sollte sich bei der Löschung der Daten an den bestehenden Fristen zu orientieren. Was mich ziemlich erleichtert hat: In einem der Vorträge im letzten Jahr habe ich gehört, dass einfach und danach das Ausleeren des Papierkorbes nicht reicht, es müsse eine physische Löschung durchgeführt werden. Dazu gibt es nun die Rechtsprechung, dass ein solches Löschungsverfahren nicht zumutbar ist.

Natürlich muss weiterhin auf einen sicheren Datentransfer Wert gelegt werden. Große Firmen haben eigene Server für diesen Zweck, kleine Firmen können auf wetransfer.com oder ähnliche Services zurückgreifen. Beim Betreiber der Mailadresse wegen der Datensicherheit nachzufragen lohnt sich auf jeden Fall. Auch wenn es logisch erscheint, hat mir der Alltag etwas anderes gezeigt: Verschlüsselte Daten und die dazugehörigen Passwörter in einer Mail zu schicken ist nach wie vor ein no go!

Für mich habe ich mitgenommen, dass ich eine Ist-Zustand-Analyse machen muss. Ich werde AGB, Datenschutzerklärung, Impressum, Datenverarbeitungsverträge, Einwilligungserklärungen etc. noch einmal überprüfen, meine Adressverzeichnisse durchschauen und bereinigen. Wichtig auch: Das Datenverarbeitungsverzeichnis aktuell halten.

Man sollte das tunlichst alles zur Hand haben. Im Fall einer Anzeige (auch Selbstanzeige bei einem Vorfall) spricht die DSB einen Auftrag aus, in dem man akribisch alles offenlegen muss. Tut man das nicht, kommt eine Ermahnung. Leistet man auch dann nicht Folge, kommt es zu Verwaltungsstrafen, die wie sonst auch kumulieren.

Und wer nicht dort war, hat nicht nur die ganzen netten Plaudereien nach dem Vortrag versäumt, sondern auch die wirklich tolle Verköstigung.

G. Susanne Liedl Kahofer

Lektorat & Schreibwerkstatt

https://www.fehlerfrei.at