_ Unser Einkaufsverhalten, unser Gesundheitszustand, unsere Privatfotos, wo wir heute waren und was wir gemacht haben, welche Videos wir gesehen haben, welche Newsletter wir gelesen haben, sind nur ein Teil des digitalen Fingerabdrucks, den wir im täglichen Leben hinterlassen. Diese Daten spiegeln unsere Persönlichkeit, unser Wesen, unseren sozialen Stand und alles was uns ausmacht wider. Diese Daten sind unser digitales Ebenbild.
Wir willigen täglich in Allgemeine Geschäftsbedingungen ein, schließen Verträge ab und vertrauen darauf, dass Unternehmen, die wir oftmals nicht kennen, vertrauenswürdig mit den Daten sowie den daraus gewonnenen Informationen umgehen. Aber: Ohne passende Gesetze ist es kaum möglich, sich davor zu schützen, dass unsere Daten missbraucht, verkauft, gestohlen oder an Orten gespeichert werden, wo wir diese nicht haben möchten.
Datenschutz für die ganze EU
Das Datenschutzrecht wurde so vereinheitlicht, dass alle Rechtsgeschäfte, die innerhalb der EU getätigt werden, denselben Regeln unterliegen. So kann man sich bei Verstößen an die nationalen Datenschutzbehörden wenden, auch wenn die Datenschutzverletzung nicht im Inland begangen wurde. Exportorientierte Unternehmen benötigen nun nur noch einen Datenschutzstandard für die gesamte EU.
Wer muss sich danach richten?
Die DSGVO gilt für alle, die personenbezogene Daten verarbeiten. Daraus ergibt sich, dass natürliche Personen, Unternehmen, Behörden, Vereine, und Körperschaften gleichermaßen zum Datenschutz verpflichtet sind. Auch Cloud-Dienste und Sozialmedianetzwerke, welche Daten außerhalb der EU verarbeiten, sind verpflichtet, diese Verordnung umzusetzen, zudem auch alle Unternehmen aus Nicht-EU-Ländern, welche Geschäfte mit Personen in der EU tätigen.
Viele der bekannten Grundsätze ändern sich nicht, nur wenige sind gänzlich neu, doch sollten folgende Grundsätze beachtet werden:
Verbot mit Erlaubnisvorbehalt
Die Erhebung, Verarbeitung und Nutzung personenbezogener Daten ist grundsätzlich verboten. Die Erlaubnis kann entstehen aus Gesetzen, z. B. aus dem BDSG, TMG, EU-DSGVO oder der freiwilligen Einwilligung der betroffenen Person.
Datensparsamkeit
Der User darf nicht gezwungen werden, mehr Daten preiszugeben als zwingend notwendig.
Zweckbindung
Es dürfen nur die Daten verarbeitet werden, die für den festgelegten, eindeutigen und legitimen Zweck erhoben wurden.
Datensicherheit
Dies umfasst alle Bereiche der Verarbeitung von Daten. Die Verarbeitung der personenbezogenen Daten bezeichnet jeden Vorgang in Zusammenhang mit diesen, also das Erfassen, Speichern, Verändern, Verknüpfen oder Löschen. Der Verantwortliche muss das angepasste Schutzniveau gewährleisten.
Bei allen Datenverarbeitungsvorgängen muss überprüft werden, ob ausreichende Sicherheitsvorkehrungen getroffen worden sind, beispielsweise Datensicherung, Verschlüsselung, etc. Es ist Sorge zur Tragen, dass die eigenen technischen und organisatorischen Maßnahmen der Datenverarbeitung geeignet sind, um die Datensicherheit zu gewährleisten. Das regelmäßige Schulen der Mitarbeiter, bezüglich Verhalten und Maßnahmen zur Gewährleistung der IT-Sicherheit in ihrem Unternehmen und eine dokumentierte Datenschutz-Prozesslandschaft, zählen zu den organisatorischen Sicherheitsvorkehrungen.
Recht auf Vergessenwerden
Das ist der Anspruch darauf, dass personenbezogenen Daten gelöscht oder gesperrt werden müssen, wenn für die Verwendung der Daten keine Berechtigung mehr vorliegt. Nicht nur gegen Suchmaschinenbetreiber kann der Anspruch geltend gemacht werden, diesen kann man gegen jede Stelle geltend machen, die personenbezogene Daten verarbeitet. Konkrete Gründe für die Datenlöschung sind: Der Zweck für die Datenverarbeitung ist weggefallen, der Betroffene hat seine Einwilligung widerrufen, die Datenverarbeitung war unrechtmäßig.Die Löschung hat unverzüglich und nachweisbar zu erfolgen. Technisch ist das gänzliche Löschen oftmals schwierig, die nachweisliche Pseudonomysierung kann hierbei ein Lösungsweg sein.
Rechenschafts- und Auskunftspflicht: Die Rechenschaftspflicht birgt besondere Tücken. Auf Aufforderung müssen Datenverantwortliche die Einhaltung aller Datenschutzprinzipien nachweisen können, das ist die Beweislastumkehr.
Ein effektives Datenschutzmanagement und das Dokumentieren aller gesetzten Schritte zur Einhaltung der Datenschutzanforderungen sind ein erster Schritt. Diese Dokumentationen unterstützen auch in Bezug auf die Auskunft, da es den Verantwortlichen jederzeit und unverzüglich möglich sein muss, Auskunft über die gesamten zu einer Person gespeicherten Daten geben zu können. Hierzu zählen Einträge in Datenbanken ebenso wie gespeicherte E-Mails und Login-Informationen auf der Servicewebsite.
Bei der Dokumentationspflicht kann ein Verzeichnis von Verarbeitungstätigkeiten helfen. Anleitung hierfür bieten Interessensvertretungen.
Was sind Personendaten?
Zu den Personendaten zählen alle Angaben einer Person, deren Identität durch diese Daten bestimmt bzw. bestimmbar ist. Dies können alle anagraphischen Daten sein, zudem auch E-Mail-Adressen, IP-Adressen, Sozialversicherungsnummern, Bankdaten oder KFZ-Kennzeichen, zudem auch Cookies usw. Dabei macht es keinen Unterschied, ob es sich um Kunden, Lieferanten, Mitarbeiter oder Bewerber handelt.
Der Datenschutz unterscheidet zudem auch nach besonders schützenswerten Daten, Daten welche in die besonderen Kategorien personenbezogener Daten fallen. Zu diesen sensiblen Daten zählen neben Gesundheitsdaten, genetische, biometrische sowie Daten, aus denen sich rassische und ethnische Herkunft, Religionszugehörigkeit, sexuelle oder weltanschauliche Orientierung und andere Aussagen über die identifizierte Person treffen lassen. Sind Sie in einem Sportverein tätig und haben Informationen über Leistungsdaten oder Sie sind politisch engagiert, so sollte dringend ein Datenschutzbeauftragter zurate gezogen werden.
Alle Speicherformen sind davon betroffen, sobald Daten in einem Dateisystem gespeichert sind. Ein Dateisystem bezeichnet dabei eine strukturierte Sammlung, unabhängig ob elektronisch oder in Papierform. Beispiele sind Kunden- bzw Mitarbeiter-Datenbanken, jegliche Form von CRM-Systemen, digitale Kontaktdaten wie z. B. Excel-Listen, Outlook-Kontakte und auch offline-Daten in sortierter Form wie beispielsweise Karteikarten.
Auch die Einwilligung unterliegt bestimmten Regeln
Die DSGVO gibt in Art. 4 Abs. 11 detaillierte Regelungen zu Einwilligungserklärungen der personenbezogenen Daten vor. Insbesondere wird bei der Einwilligung betont, dass dies eine freiwillige „unmissverständlich abgegebene Willensbekundung“, bzw. „eine eindeutig bestätigende Handlung“ sein muss (Opt-In). Ein bereits angekreuztes Kästchen (Opt-Out) beispielsweise ist nicht zulässig. Ein besonderes Augenmerk muss zukünftig auch auf der Formulierung der Einwilligung liegen, da diese „in verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache“ erfolgen muss.
Dies bedeutet zudem, dass kritisch geprüft werden muss, ob die vorliegenden Einwilligungserklärungen noch den neuen Anforderungen entsprechen. Im Besonderen sind Newsletter-Zusendungen betroffen, bei diesen ist die eindeutige Zustimmung (Opt-In) ehestmöglich einzuholen und zwecks Nachweisbarkeit zu dokumentieren. Der Empfänger behält dabei das Widerrufsrecht (Opt-Out) mit Wirkung in die Zukunft.
Dabei zu beachten ist, den Verbreitungszweck aufzuführen, eine Einwilligung ist immer zweckgebunden und keine Generaleinwilligung.
Erheben Sie nur die Daten, die Sie wirklich brauchen
Die datenschutzrechtlichen Voreinstellungen sind vorwiegend für Softwareanwendungen und sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Privacy by Design/Privacy by Default. Im Sinne der Datensparsamkeit dürfen nur solche Daten erhoben werden, die zur Erbringung des Dienstes wirklich benötigt werden. Cookies sind dabei sehr gefährdet und sammeln mehr an Information als zwingend nötig.
Sobald ein weiteres Unternehmen oder eine natürliche Person etc. beauftragt wird, um von Ihnen erhobene personenbezoge Daten zu verarbeiten, muss der Verantwortliche des Unternehmens sicherstellen, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, damit die Verarbeitung im Einklang mit der DSGVO steht. Dies hat auf der Grundlage eines Vertrages mit dem Auftragsverarbeiter zu erfolgen. Verschiedene Behörden bieten Musterverträge hierzu an. Beispiele sind die Lohnverrechnung bei einem externen Unternehmen, Kunden und Ladelisten an Logistikunternehmen oder Buchungen mittels Datenträger. Sie werden zum Auftragsverarbeiter, sobald diese Adressmaterial von Baudatenbanken zukaufen.
Dienstleister müssen sensibilisiert werden
Beim Arbeiten mit Montagefirmen oder externen Gutachtern müssen personenbezogene Daten weitergegeben werden. Dies ist mit der Regelung zur Erfüllung des Vertrages festgehalten. Dennoch sind die Dienstleister auf Datenschutzrichtlinien hinzuweisen und die Prozesse zu dokumentieren. Auf Kundenseite kann dies im Einzelfall je Auftrag geregelt werden oder über die Allgemeinen Geschäftsbedingungen.
Deklarieren Sie einen Beauftragten für die Datensicherheit
Die Meldepflicht besteht für alle, die eine Verletzung des Schutzes personenbezogener Daten feststellen. Dies ist unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde des Verantwortlichen zu melden. Dies bedeutet, dass jeder Verantwortliche und dessen Vertreter im Vorfeld einen Prozess oder ein Muster für die Meldung und die zuständige Person bestimmen sollte. Mindestinhalte der Meldung sind in Art 33 Abs. 3 DSGVO geregelt.
Bis zum vollständigen Inkrafttreten der DSGVO sind es nur noch wenige Tage. Nominieren Sie eine zuständige Person (intern/extern) für die Anpassung an die DSGVO. Erheben Sie den Status Quo und analysieren Sie den Anpassungsbedarf. Darauf aufbauend wird der Maßnahmenplan für den identifizierten Anpassungsbedarf erstellt. Nutzen Sie Checklisten der Interessensvertretungen und Kammern, ebenso die Musterverträge der Behörden.—
Der Autor
Harald Hochstaffl war von 2010 bis 2016 Geschäftsführer des Softwareanbieters 3E in Österreich und zudem verantwortlich für das Stammdatenmanagement des Softwarehauses. Davor betreute er beim österreichischen Baubeschlagshersteller Maco den Beschlagskonfigurator.
