Bundesland...
Sachthema...

Datenschutz neu – bald wird es teuer

 
Auch Klein- und Mittelbetriebe sind betroffen
 
Sie verschicken Newsletter? Sie übermitteln Ihrem Steuerberater Unterlagen für die Buchhaltung? Sie lassen Ihre Produkte zu Kunden liefern? Kunden können per E-Mail oder über die Website bestellen? Dann betrifft Sie die neue europäische Datenschutz­verordnung (DSGVO), denn Sie nutzen und verarbeiten Daten von Personen.
 
Hier ein ausführlicher Artikel aus dem Fachmagazin Der Winzer, gestaltet von MMag. Birgit Harasser, Rechtsanwältin bei Brand Rechtsanwälte GmbH.
 


Datenschutz neu – bald wird es teuer
 
Datenschutz wurde bislang von vielen Unternehmen nicht übermäßig ernst genommen, was schon ein Blick ins Datenverarbeitungsregister (DVR) zeigt. Die Regis­trierung aller Datenanwendungen im DVR ist bereits seit Jahren verpflichtend, aber viele Unternehmen haben gar keine Registrierung oder es wurden lediglich sog. „Standardanwendungen“ (z.B. Kundenverkehr, Per­sonalverwaltung) registriert - und damit in den meisten Fällen nicht alles, wofür Daten verwendet werden. Das ist zwar nicht rechtskonform, aber passiert ist nichts.
 

Nun stehen massive Änderungen bevor. Die EU-Datenschutz-Grundverordnung (DSGVO) tritt am25. Mai 2018 in Kraft und führt zu einer echten ­Revolution im Datenschutzrecht. Die neue Verordnung trifft jedes Unternehmen, die Größe des Unternehmens spielt keine Rolle – sie gilt für One-Man-Shows genauso wie für multinationale Konzerne und sieht bei Verstößen drakonische Strafen vor – bis zu 20 Mio. Euro.

Datenschutz ist ein Grundrecht

Der Schutz von personenbezogenen Daten ist ein Grundrecht jedes EU-Bürgers und in der EU-Grundrechte­charta festgelegt – im Kapitel „Freiheiten“, wie auch das Recht auf Freiheit und Sicherheit, Religionsfreiheit und das Recht auf freie Meinungs­äußerung. Dem Datenschutz wird also ein außerordentlich hoher Stellenwert zugemessen. Mit der DSGVO soll dieses Grundrecht – insbesondere im Hinblick auf die zunehmende Digitali­sierung und die Globalisierung des Datenaustausches – gewahrt werden. Das erklärt die Verschärfung der Verpflichtungen für diejenigen, die personenbezogene Daten verar­beiten, durch die Verordnung und die drastischen Strafandrohungen bei Verstößen. 

Die Verordnung ist EU-weit in jedem Mitgliedstaat unmittelbar anwendbar, ohne weitere Gesetze in den einzelnen Ländern. Aber es gibt mehr als 60 „Öffnungsklauseln“, d.h., Bereiche, in denen die Mitgliedstaaten nationale Regeln erlassen können. In Österreich wurde dazu das Datenschutz-Anpassungsgesetz 2018 (DSG) beschlossen. Unternehmen aus Drittländern, die ihre Dienstleistungen in der EU anbieten, müssen die neue Verordnung ebenso anwenden, also auch Google, Amazon, Facebook etc.

Wesentliche Änderungen

Mit der DSGVO wird die Meldepflicht beim DVR abgeschafft. An ihre Stelle tritt die Eigenverantwortlichkeit der Unternehmen. Die Verordnung bezeichnet die Nutzer der Daten, also Unternehmen, auch folgerichtig als „Verantwortliche“. Jedes Unternehmen muss ab Mai 2018 seine Datenverwendung selbst dokumentieren und bei der Datenschutzbehörde nachweisen können, dass die Verarbeitung aller Daten im Unternehmen rechtmäßig erfolgt – und dies jederzeit.

Die wichtigsten Punkte der DSGVO für Unternehmen sind:

Sie müssen die Verordnung nicht nur einhalten, sondern auch jederzeit nachweisen können, dass Sie es tun – also brauchen Sie eine Dokumentation. 

  • Sie müssen ein Verzeichnis mit allen Datenverwendungen führen. 
  • Website, AGB und Newsletterversand werden Sie anpassen müssen. 
  • Sie haben Informationsverpflichtungen gegenüber Mitarbeitern, Kunden und Geschäftspartnern. 
  • Mit Dienstleistern müssen Sie datenschutzkonforme Verträge abschließen. 
  • Sie brauchen ein Sicherheitskonzept, wie Sie Ihre Daten schützen. 
  • Ihr IT-System müssen Sie datenschutzkonform machen. 
  • Eventuell brauchen Sie einen Datenschutzbeauftragten. 
  • Passiert eine Datenschutzverletzung, müssen Sie dies binnen 72 Stunden melden. 
  • Sie müssen innerhalb festgelegter Fristen jemandem über seine Daten Auskunft erteilen, diese richtig stellen oder löschen.

Erhöhtes Haftungsrisiko mit drakonischen Strafen

Die erstmalige Umsetzung der erforderlichen Maßnahmen ist zeit- und kostenintensiv. Dennoch muss sie schon aufgrund der drastischen Strafdrohungen der DSGVO unbedingt durchgeführt werden. Die Strafdrohung liegt je nach Verstoß bei bis zu 20 Mio. € oder bis zu 4% des welt­weiten Umsatzes – je nachdem, welcher Betrag höher ist. Zum Vergleich: Im österreichischen Datenschutzgesetz, das noch bis zum 25. Mai 2018 gelten wird, liegt die maximal angedrohte Geldstrafe bei 25.000 €.

Ein einfaches Beispiel verdeutlicht den Unterschied: Bereits nach dem geltenden österreichischen Datenschutzgesetz können Personen Auskunft darüber verlangen, welche Daten zu ihrer Person gespeichert sind. Kommt der Verantwortliche diesem Ersuchen nicht nach, so tritt mit 25. Mai 2018 anstelle der Strafdrohung von 500€ eine Strafdrohung von bis zu 20 Mio. € oder 4% des ­Umsatzes.


Welche Strafen dann konkret verhängt werden, ist noch ungewiss, aber klar ist: Die Geldbußen sollen wirksam, verhältnismäßig und abschreckend sein, damit Datenschutz künftig ernst genommen wird. 


Bislang war nicht nur die mögliche Strafhöhe begrenzt, sondern auch das Risiko, dass eine Datenschutzverletzung überhaupt aufgegriffen wird. Die Datenschutzbehörde hatte geringe Kontrollmöglichkeiten. Auch das ändert sich. 


Ein kleines Beispiel: Haben Sie schon einmal einen Newsletter versendet, in dem die Empfänger sichtbar sind? Das ist ein Datenschutzverstoß. Jeder der Empfänger kann Sie künftig belangen, denn „Betroffene“ – das sind die Personen, deren Daten Sie verwenden – können direkt Beschwerde bei der Datenschutzbehörde einbringen oder auf Schadenersatz klagen oder auch beides. Schadenersatz kann künftig nicht nur wegen materieller Schäden, sondern auch wegen immaterieller Schäden geltend gemacht werden. 


Es haftet der Verantwortliche, jedes Unternehmen ist hinsichtlich der verwendeten Daten „Verantwortlicher“ im Sinne der DSGVO. Geschäfts­führer müssen sicherstellen, dass 
die Daten­schutz-Bestimmungen der DSGVO eingehalten werden. Pflicht­verletzungen, die zur Zahlung von Geldbußen oder zu Schadenersatz führen, können den Geschäftsführer ersatzpflichtig machen. Zwar haften Geschäftsführer grundsätzlich nur ­gegenüber der Gesellschaft und nicht direkt gegenüber Dritten, aber bei Verletzung von Schutzgesetzen ist auch eine direkte Haftung gegenüber den Geschädigten möglich. Auch wenn ein freiwilliger interner Datenschutzbeauftragter bestellt wird, entfällt die Haftung des Geschäftsführers nicht, dies kann nur das Risiko einer Pflichtverletzung mindern. 

Um welche Daten geht es?

Im Fokus der DSGVO steht klar der Verbraucherschutz. Jeder soll künftig klare Informationen erhalten, wer zu welchem Zweck seine persönlichen Daten speichert und weiterverarbeitet und mehr Kontrolle über seine persönlichen Daten bekommen. Betroffen sind alle Daten, die ausreichend Informationen enthalten, damit eine Person identifiziert wird oder zumindest identifizierbar ist (Abb. 1), also: Name, Adresse, Telefonnummer, Geburtsdatum, Bankdaten, SV-Nummer, IP-Adresse etc. 

Der Begriff „Datenverarbeitung“ ist sehr weit gefasst und umfasst jede Art der Datenverwendung, wie Erhebung, Erfassung, Organisation, Speicherung, Änderung, Anpassen und Ordnen von Daten. Nicht relevant ist, ob die Datenverarbeitung automatisiert oder manuell mit Papierdokumenten erfolgt.

Wann dürfen Daten verwendet werden?

Es gilt der Grundsatz: Datenverarbeitung ist grundsätzlich verboten, außer es gibt eine ausdrückliche Erlaubnis. „Rechtmäßig“ ist eine Datenverarbeitung nur dann, wenn eine Einwilligung vorliegt (z.B. Unterschreiben einer Einwilligungserklärung, Anklicken eines Kästchens auf der Website), wenn sie für die Erfüllung eines Vertrages (z.B. Lieferung einer Kundenbestellung) oder einer recht­lichen Verpflichtung (z.B. Arbeitszeitaufzeichnungen) notwendig ist, wenn sie lebenswichtige Interessen der betroffenen Person schützt oder – und hier wird es vage – zur Wahrung der berechtigten Interessen des Unternehmens, wenn nicht die Interessen, Grundrechte oder Grundfreiheiten der betroffenen Personen überwiegen (Interessenabwägung).

Wichtig ist hier, dass als berechtigtes Interesse eines Unternehmens auch die Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung angesehen werden kann. Aber Achtung: Für elektronische Kommunikation gelten spezielle Regeln, die „e-Privacy-Verordnung“ der EU soll gleichzeitig mit der DSGVO in Kraft treten, ist aber bislang noch nicht beschlossen.

Neben der Rechtmäßigkeit der Verarbeitung sind die Grundsätze der Datenverarbeitung einzuhalten: 

  • Verarbeitung nach Treu und Glauben, Transparenz
  • Zweckbindung
  • Datenminimierung
  • Richtigkeit
  • Speicherbegrenzung
  • Integrität und Vertraulichkeit

Ein ganz wesentlicher Grundsatz ist die Zweckbindung: Jede Datenverarbeitung muss für einen im Vorhinein festgelegten Zweck erfolgen. Dabei ist die Datenverarbeitung immer nur für diesen bestimmten Zweck zulässig. Wenn Sie die Adressdaten eines Kunden für eine Lieferung benötigen (Erfüllung einer vertraglichen Verpflichtung), heißt das noch nicht, dass Sie ihm auch einen Newsletter per E-Mail senden dürfen, dazu brauchen Sie seine Einwilligung.

Umfangreiche Dokumentationspflichten

Sie müssen jederzeit nachweisen können, dass Ihre Datenverwendungen DSGVO-konform sind: Dokumentation der Einwilligungserklä­rungen, Verarbeitungsverzeichnis, Dokumentation der Sicherheitsmaßnahmen, Dokumentation der Risikoabschätzung, Dokumentation der Verträge mit Auftragsverarbeitern, Weisungen an Auftragsverarbeiter etc.

Vor allem muss dokumentiert werden, über welche personenbezogenen Daten Sie verfügen, woher sie kommen, wozu Sie benötigt werden und mit wem Sie sie teilen. Die Pflicht, ein solches Verzeichnis der Verarbeitungstätigkeiten zu führen, gilt für Unternehmen mit weniger als 250 Mitarbeitern dann nicht, wenn die Verarbeitung nur gelegentlich erfolgt, kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt und keine Verarbeitung besonderer Datenkategorien (sensible Daten) umfasst. Eine Ausnahme wird wohl nur auf wenige Unternehmen zutreffen.

Das Verarbeitungsverzeichnis muss folgende Informationen zwingend enthalten:

  • Name und Kontaktdaten des Verantwortlichen – also Ihres Unternehmens 
  • Beschreibung der Datenverarbeitung und der mit ihr verfolgte Zweck 
  • Beschreibung der betroffenen Personenkategorien: Kunden, Lieferanten, Vertriebspartner, Mitarbeiter etc. 
  • Welche personenbezogenen Daten werden genutzt, z.B. Namen, Adressen, Telefonnummern, E-Mail-Adresse, Sozialversicherungsnummern 
  • Kategorien von Empfängern (intern und extern): Buchhaltung, Steuerberater, Marketingagentur, Vertriebspartner, Sozialversicherungsträger etc.


Es gibt bereits verschiedene IT-Anwendungen, mit denen ein Verzeichnis generiert werden kann, oder Add-Ons zu bestehenden Programmen, aber ebenso kann eine Excel-Tabelle verwendet werden. Tab. 1 zeigt ein einfaches Beispiel, andere Gliederungen sind natürlich möglich, etwa die Einteilung nach Personenkategorien.


Datenschutzbeauftragter (DSB) 

Ein Datenschutzbeauftragter ist dann zu bestellen, wenn die Haupt­tätigkeit des Unternehmens in der umfangreichen, systematischen und regelmäßigen Überwachung und Verarbeitung von personenbezogenen (sensiblen) Daten liegt. Damit wird für viele Unternehmen kein Datenschutzbeauftragter nötig sein, eine freiwillige Bestellung eines internen oder auch externen DSB ist aber immer möglich.
 

Datenschutzfolgeabschätzung (DSFA)

Unabhängig von der Unternehmensgröße ist eine Datenschutz-Folgenabschätzung durchzuführen, wenn die Datenverarbeitung für die Rechte von Personen voraussichtlich ein hohes Risiko in sich birgt. Ein solches Risiko wird vermutet, wenn neuartige Technologien zur Datenverarbeitung genutzt werden. Neben dieser sehr vagen Formulierung wird in der DSGVO auch die „systematische und umfassende Überwachung öffentlich zugänglicher Bereiche“ angeführt. Darunter versteht man z.B. Überwachung des Firmengebäudes und seiner Umgebung durch Videokameras. Vom Inhalt her verlangt die Datenschutz-Folgeabschätzung vor allem Angaben über die Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung sowie eine Bewertung der Risiken und eine Beschreibung der Maßnahmen zur Risikominimierung.

Datenschutz durch Datensicherheit

„Privacy by Design“ und „Privacy by Default“ – was verbirgt sich hinter diesen Begriffen?

Risiken für die Sicherheit von Daten können organisatorischer oder technischer Natur sein: Netzwerkausfälle, Fehlfunktionen der Software, Störungen der Stromversorgung oder Klimatisierung, Brand- und Wasserschäden, Bedienungs- und Wartungsmängel, fehlende Schulungen, ungeklärte Zuständigkeiten, Nichtbeachtung von Sicherheitsmaßnahmen, Datendiebstahl, Hacking etc.

Die Sicherheit von Daten – insbesondere die IT-Sicherheit – erhält durch die DSGVO einen sehr hohen Stellenwert. Die Pflicht, geeignete technische und organisatorische Maßnahmen für die Datensicherheit zu treffen, ist ein Grundsatz der DSGVO. Dazu gehören der Datenschutz durch Technik (Privacy by Design) und durch datenschutzfreundliche Voreinstellungen (Privacy by Default).

„Default“ bezieht sich auf Standardeinstellungen. „Privacy by Default“ heißt, dass z.B. eine Website standardmäßig so eingestellt ist, dass ein Setzen von Cookies nur mit Zustimmung des Nutzers möglich ist.

„Privacy by Design“ heißt, dass bereits bei der Planung und bei der Datenverarbeitung geeignete technische und organisatorische Maßnahmen gesetzt werden, um den Datenschutz zu gewährleisten. Dazu gehören:

  • Zutrittskontrolle (z.B. Gebäude­sicherung und Raumsicherung: Sicherheitsschlösser, Chipkarten, Alarmanlagen)
  • Zugriffskontrolle (z.B. Berechtigungskonzept, Benutzerkennung mit Passwort, gesicherte Schnittstellen wie USB, Netzwerk)
  • Eingabe- und Weitergabekon­trolle (Benutzeridentifikation, Protokollierung, VPN, Firewall)
  • Schutz gegen Zerstörung oder Verlust (Brandschutz, unterbrechungs­freie Stromversorgung, Klimaanlage, Datensicherung, Backup-Konzept, Virenschutz, Schutz vor Diebstahl)
  • Pseudonymisierung und Verschlüsselung der Daten
Falls es dennoch zu einem Datenzwischenfall kommt, muss unverzüglich, spätestens jedoch nach 72 Stunden, eine Meldung an die Daten- schutzbehörde erstattet werden.

Externe Dienstleister – datenschutzkonforme Verträge

An den Lieferanten wird eine Liste mit zu beliefernden Kunden weitergegeben, die Lohnverrechnung wird an einen Steuerberater ausgelagert, von einer Agentur werden Fotos auf Social Media des Unternehmens hochgeladen oder Daten werden in einer Cloud gespeichert: In all diesen Fällen bedient man sich externer Dritter, die eine Datenverarbeitung in Ihrem ­Auftrag vornehmen, das sind sog. „Auftragsverarbeiter“. Die DSGVO schreibt Regeln für die Beauftragung von solchen Dienstleistern vor.

Es dürfen nur solche Auftragsverarbeiter herangezogen werden, die ausreichende Garantie dafür bieten, dass sie DSGVO-konforme technische und organisatorische Maßnahmen zum Schutz der Daten getroffen haben. Es muss ein schriftlicher Vertrag abgeschlossen werden. Im Vertrag müssen Gegenstand, Dauer, Art und Zweck der Verarbeitung der personenbezogenen Daten, die Kategorien betroffener Personen und die Pflichten und Rechte des Verantwortlichen festgelegt sein. Der Auftragsverarbeiter muss zur Vertraulichkeit verpflichtet sein, muss Weisungen des Verantwortlichen befolgen, alle erforderlichen Sicherheitsmaßnahmen ergreifen und darf ohne Genehmigung die Datenverarbeitung nicht weitergeben. Auch der Auftragsverarbeiter muss alle Informationen zum Nachweis der Einhaltung seiner Verpflichtungen und zur Einhaltung der Bestimmungen der DSGVO nachweisen können und sie dem Auftraggeber bei Bedarf (z.B. bei Prüfungen) zur Ver­fügung stellen.

Bisherige Dienstleisterverträge, die nur den Mindestinhalt nach dem bislang geltenden österreichischen Datenschutzgesetz enthalten, entsprechen nicht dem Mindestinhalt nach der DSGVO. Sie müssen daher bis 25. Mai 2018 neu abgeschlossen werden, denn auch hier werden Missstände mit hohen Strafen sanktioniert.

Website, AGB & Newsletter

Auch für den Außenauftritt des Unternehmens bringt das neue Datenschutzrecht Änderungen. 

Auf allen Websites muss eine Datenschutzerklärung eingerichtet werden, in der klar und transparent beschrieben wird, welche Daten für welche Zwecke gespeichert werden und was damit gemacht wird. Diese Information betrifft nicht nur die Daten­verwendung durch Ihr Unternehmen (z.B. durch ein Kontaktformular auf der Website), sondern auch Dienste Dritter, die genutzt werden: etwa ein Social-Media-Plugin mit ­Verlinkung auf Ihre Facebook-Seite. Darunter fällt auch die Nutzung von Cookies, durch die das Surfverhalten gespeichert und analysiert wird, etwa wenn „Google Analytics“ genutzt wird. Google und andere Anbieter stellen den Nutzern vorgefertigte Daten­schutzerklärungen unter Anführung aller durch diese Art von Cookies durchgeführten Datenverarbeitungen zur Verfügung. Auch bei Cookies darf zukünftig die Erhebung von Daten erst dann stattfinden, wenn der Homepage-Besucher in die Verwendung von Cookies einwilligt – bis dahin muss die Homepage so konzipiert sein, dass sie zum einen keine Daten erhebt und zum anderen keine gravierenden Nachteile in der grundlegenden Funktionalität aufgrund der Verweigerung der Einwilligung mit sich bringt. 

Ein E-Mail-Newsletter ist nach der neuen Rechtslage nur noch dann zulässig, wenn der Empfänger im Vor­hinein eingewilligt hat, ein sog. „Opt-in“. Abgelöst wurden dadurch – nun unzulässige – „Opt-outs“, in der eine Kontaktaufnahme grundsätzlich so lange zulässig war, bis man dieser wider­sprach. Im Bereich von E-Mail-Newslettern besteht darüber hinaus die Besonderheit, dass ein „Double Opt-in“ notwendig ist: Nicht nur der zukünftigen Kontaktaufnahme über die Newsletter muss zugestimmt werden, auch die Aufnahme in eine Abonnentenliste bedarf in einem zweiten Schritt der Zustimmung. Dies kann beispielsweise durch ein separates E-Mail erfolgen, in dem ­mittels Anklicken eines Buttons die Bestätigung der Einwilligung gegeben wird (DOI- oder auch Checkmail). 

Auch Ihre AGB müssen Sie anpassen und durch eine rechtskonforme Datenschutzerklärung ergänzen.

Erweiterte Rechte für EU-Bürger

Betroffene, also Personen, deren ­Daten Sie verwenden, haben erweiterte Rechte und Sie als Unternehmen damit Informationspflichten:
  • Auskunftsrecht (welche Daten werden verarbeitet, geplante Speicherdauer)
  • Recht auf Berichtigung der Daten
  • Recht auf Löschung (inklusive Recht auf „Vergessenwerden“ bei veröffentlichten Daten)
  • Recht auf Einschränkung der Verarbeitung (d.h., Sie dürfen die Daten nur mehr speichern, aber keine Verarbeitungsschritte setzen)
  • Mitteilungspflicht bei Berichtigung, Löschung oder Einschränkung an alle Empfänger, denen Sie die Daten weitergeleitet haben
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht
  • Regelungen betreffend Profiling

Informationserteilung und Durchführung sind unverzüglich und grundsätzlich spätestens innerhalb eines Monats zu erledigen. Kommen Sie dem nicht nach, kann eine betroffene Person eine Beschwerde bei der Datenschutzbehörde einreichen.

Fazit

Jedes Unternehmen muss bis Mai 2018 einen umfangreichen und komplexen Katalog von Pflichten umsetzen. Das kostet Zeit und Geld und bindet Ressourcen. An der Umsetzung kommt man nicht vorbei, also sehen Sie es auch als Chance: Sie müssen Ihren gesamten Datenbestand sichten und kategorisieren – nutzen Sie dies, um Ihre Daten neu zu strukturieren. Mit gut strukturierten Daten können Sie den Service für Kunden verbessern, auch die Logistik, Marketingverteiler etc. 

Heute ist es ein Zeichen von Kompetenz und ein Pluspunkt im Vergleich zu Mitbewerbern, wenn Sie auf der Website oder in Ihren Newslettern Kunden und Interessenten transparent und verständlich erklären, wie Sie mit ihren persönlichen Daten umgehen. Durch die neue Verordnung wird das Bewusstsein über den Schutz von persönlichen Daten steigen, alle Unternehmen müssen nachziehen und künftig wird mangelnder Datenschutz ein negatives Unterscheidungsmerkmal am Markt sein. 

Der Aufwand und die benötigte Zeit für die Umsetzung der DSGVO sollten nicht unterschätzt werden. Wenn Sie noch nicht begonnen haben, tun Sie es rasch, damit Sie ab 25. Mai 2018 die gesetzlichen Anforderungen er­füllen können. Es kann sonst richtig teuer werden.

Die Autorin

MMag. Birgit Harasser, Rechtsanwältin bei Brand Rechtsanwälte GmbH.
Für die bevor­stehenden Änderungen im Datenschutz hat die Kanzlei eine „Task Force DSGVO 2018“ eingerichtet und stellt auch Informationen auf einer Website zur Verfügung:

www.datenschutz2018.at