Datenschutz-Grundverordnung ab 25.5.2018: Was ist für Sie im Unternehmen konkret zu tun und wie unterstützt Sie LBG Österreich rund um eine geordnete kaufmännische Organisation.

Stand: 30. April 2018

Mit der EU-Datenschutz-Grundverordnung (DSGVO) werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der verantwortlichen Unternehmen EU-weit vereinheitlicht. Die neuen Bestimmungen gelten ab 25.5.2018. Bei der praktischen Umsetzung im Unternehmen sind drei wesentliche Kernbereiche zu beachten: Rechtsfragen rund um den Datenschutz, betriebswirtschaftliche Fragen rund um eine geordnete kaufmännische Organisation im Unternehmen und Fragen der IT-Organisation und Datensicherheit. Die Bestimmungen sind sehr ernst zu nehmen, Österreichs Unternehmen strengen sich an. Panikmache durch Androhung von Millionenstrafen ist aber fehl am Platz. Österreich hat sich daher für den Weg „Verwarnen statt sofort zu strafen“ entschieden. Wir haben für Sie einen praktischen Überblick zusammengestellt und unterstützen Sie bei der kaufmännisch-organisatorischen Umsetzung in Ihrem Unternehmen.

Wo finden Sie für Ihre Unternehmenspraxis wertvolle Informationen rund um die Anforderungen der Datenschutz-Grundverordnung

Viele Interessensvertretungen haben in den letzten Monaten große Anstrengungen unternommen, um branchenspezifisch für Sie umfassende praktische Informationen zur Umsetzung der Datenschutz-Grundverordnung in Ihrem Unternehmen zur Verfügung zu stellen. Sie finden Erklärungen mit zahlreichen Checklisten, Merkblättern, Mustervereinbarungen und auch branchenspezifische rechtliche Einschätzungen etc. beispielsweise: 

• auf der Homepage der Wirtschaftskammer Österreich
• auf der Homepage der Landwirtschaftskammer Österreich
• auf den Homepages der jeweiligen Landesärztekammern sowie
• im Intranet der Österreichischen Apothekenkammer (Mitglieder-Zugangsdaten erforderlich)

Welche Rechte haben natürliche Personen hinsichtlich dem Schutz ihrer persönlichen Daten?

Natürliche Personen haben hinsichtlich ihrer persönlichen Daten das Recht auf Auskunft, Berichtigung, Löschung und auf „Vergessenwerden“ sowie auf Mitteilung über die Berichtigung, Löschung oder Einschränkung, weiters das Recht auf Datenübertragbarkeit und das Recht auf Widerspruch.

Welche Daten bzw. Datenverarbeitungsprozesse sind davon im Unternehmen betroffen?

Die Datenschutz-Grundverordnung findet Anwendung auf die

• umfassend automatisierte oder auch nur teilweise automatisierte Verarbeitung personenbezogener Daten sowie 
• auf die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen.

Umfassende gesetzliche Bestimmungen zum Datenschutz gibt es schon lange. Durch die Datenschutz-Grundverordnung gilt ab 25.5.2018 folgendes:

• Die bisherige Meldepflicht bei der Datenschutzbehörde (DVR - Datenverarbeitungsregister) entfällt.
• Statt dessen trifft Unternehmen in ihrer Rolle als „Verantwortliche“ im Zusammenhang mit der Speicherung und Nutzung von Daten oder als „Auftragsverarbeiter“ (das sind vereinfacht jene, die als Dienstleister für Dritte Daten verarbeiten) künftig eine weitreichendere Eigenverantwortung im Umgang mit dem Schutz persönlicher Daten von Kunden, Mitarbeitern, Bewerbern, Geschäftspartnern, Lieferanten, etc. Dazu ein beispielhafter Einblick:
  
   - Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen ("privacy by design/privacy by default"): Es sind geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) zu treffen, damit die Verarbeitung den Anforderungen der Datenschutz-Grundverordnung genügt und die Rechte der betroffenen Personen geschützt werden. Datenschutzrechtliche Voreinstellungen sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.
  
   - Verzeichnis von Verarbeitungstätigkeiten: „Verantwortliche“ und „Auftragsverarbeiter“ müssen künftig ein "Verzeichnis von Verarbeitungstätigkeiten" führen: Der Inhalt ist ähnlich den derzeitigen DVR-Meldungen und hat insbesondere die eigenen Kontaktdaten, die Zwecke der Verarbeitung, eine Beschreibung der Datenkategorien und der Kategorien von betroffenen Personen, die Empfängerkategorien, gegebenenfalls Übermittlungen von Daten in Drittländer, wenn möglich die vorgesehenen Löschungsfristen und eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen zu enthalten. 
  
   - Meldepflicht bei Datenschutzverletzung: Verletzungen des Schutzes personenbezogener Daten sind sowohl den nationalen Aufsichtsbehörden (ohne unangemessene Verzögerung – möglichst binnen höchstens 72 Stunden nach dem Entdecken; außer die Verletzung führt voraussichtlich nicht zu einem Risiko für die persönlichen Rechte und Freiheiten) als auch der betroffenen Person (ohne unangemessene Verzögerung, wenn die Wahrscheinlichkeit besteht, dass die Verletzung des Schutzes personenbezogener Daten ein hohes Risiko für die persönlichen Rechte und Freiheiten bewirkt) zu melden. 
  
   - Pflicht zur Datenschutz-Folgenabschätzung bei Verarbeitungsvorgängen, die (insbesondere bei Verwendung neuer Technologien) aufgrund der Art, des Umfangs, der Umstände und der Zwecke voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben.
  
   - Vorherige Konsultation der Aufsichtsbehörde, wenn aus einer Datenschutz-Folgenabschätzung hervorgeht, dass die Verarbeitung ein hohes Risiko zur Folge hätte, sofern der für die Verarbeitung Verantwortliche keine Maßnahmen zur Eindämmung des Risikos trifft.
  
   - (Verpflichtender) Datenschutzbeauftragter:  Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwortliche und Auftragsverarbeiter), wenn 

• die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Beobachtung von betroffenen Personen erforderlich machen, oder
• die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.

Rechtsfragen im Zusammenhang mit dem Datenschutz: Mit den obigen Themen können im konkreten Einzelfall in Ihrem Unternehmen oder in Ihrer Branche auch diffizile Rechtsfragen auftreten, die sorgsam gelöst werden müssen. Bitte wenden Sie sich diesbezüglich an Ihre Interessensvertretung, die dazu bereits umfassendes Wissen zusammengetragen hat oder an einen mit Datenschutzfragen vertrauten Rechtsanwalt. Wir empfehlen Ihnen auch, sämtliche in Ihrem Unternehmen bestehenden rechtlichen Vereinbarungen, wie beispielsweise Allgemeine Geschäftsbedingungen, Zustimmungserklärungen zur Datenverarbeitung, standardisierte Kunden- oder Lieferantenvereinbarungen, Dienstverträge, Online-Bestellwege etc. möglichst bald einer rechtlichen Prüfung und Aktualisierung zu unterziehen.

Betriebliche Fragen rund um eine in Hinblick auf den Datenschutz geordnete kaufmännische Organisation im Unternehmen – wir unterstützen Sie dabei!

Datenschutz und die Erfüllung der Anforderungen der Datenschutz-Grundverordnung hängen im Unternehmensalltag ganz wesentlich an einer geordneten kaufmännischen Organisation. Wir gehen auf Ihren Wunsch hin mit Ihnen strukturiert wichtige Fragen der Unternehmensorganisation mit Relevanz für den Datenschutz und einer effizienten kaufmännischen Ablauforganisation durch und helfen Ihnen, Ihrem IT-Experten oder auch Ihrem Rechtsvertreter dabei, zu guten Lösungen zu kommen und eine passende Struktur und effiziente Abläufe in Ihrem Unternehmen sicherzustellen.

Beispielhaft sind dabei folgende Themen betreffend Kunden, Lieferanten, Geschäftspartner, Mitarbeiter, Bewerber etc. zu bearbeiten: 

• Welche Stammdaten und Bewegungsdaten sind im Unternehmen zu natürlichen Personen vorhanden und werden von wem und wo überall im Unternehmen (oder gar privat) konkret gespeichert? Wer weiß das überhaupt gesichert?
• Wie erfolgt die digitale Zusammenarbeit bzw. der digitale Datentransfer im Unternehmen und mit Kunden, Lieferanten, Geschäftspartnern, Mitarbeitern, Bewerbern? Ist dieser Datenaustausch im aktuellen Umfang überhaupt zulässig?
• Wo werden personenbezogene Daten zwischengespeichert? Sind diese im Email-Postfach einzelner Mitarbeiter, auf einem Daten-Stick oder noch auf einer Uralt-Diskette, oder auf einem eigenen oder fremden Server, oder in der Cloud – und wenn ja, wo: in den USA, in Asien oder in Europa, das ist nicht irrelevant! Wer weiß das überhaupt im Unternehmen und sind alle Daten auch auffindbar für den Fall, dass eine natürliche Person ihre Rechte (siehe eingangs) wahrnimmt und auf Auskunft, Löschung, Einschränkung der Verarbeitung etc. pocht?
• Aus welchem betrieblich gerechtfertigten Grund wurden/werden diese Daten überhaupt oder überhaupt noch gespeichert? Lässt sich das als betrieblich notwendig für die Geschäftsbeziehung begründen oder bestehen berechtigte Zweifel daran? Werden gesammelte Daten vorsorglich gehortet nach dem Motto „Wer weiß, wofür wir sie noch brauchen können“? Die Datenschutz-Grundverordnung sieht vor, dass der Datenspeicherzweck einer zulässigen betrieblichen Begründung bedarf.
• Wurden erhaltene personenbezogene Daten um weitere, ergänzend dazu gesammelte personenbezogene Daten „angereichert“ (digital ergänzt) und haben diese in dieser digitalen Datenkombination einen Informationswert, mit dem die Person nicht rechnen musste oder wozu das Unternehmen eigentlich gar nicht berechtigt ist? Dies stellt eine massive Herausforderung im Bereich „Marketing & Kommunikation“ sowie „Business Development“ dar.
• Was tun, wenn ein Kunde/Lieferant/Mitarbeiter/Bewerber/Geschäftspartner berechtigt Auskunft oder die Datenlöschung einfordert und niemand im Unternehmen eigentlich weiß, in welchen der zahlreichen digitalen Archivstrukturen, internen und externen Datenspeichern und Email-Archiven Daten gespeichert sind? Möglicherweise auch außerhalb des Unternehmens. Übrigens: Ist sichergestellt, dass niemand (!) betriebliche Daten privat speichert? Welche Vorsorgemaßnahmen werden getroffen bzw. welche Konsequenzen werden gezogen, wenn dies trotzdem jemand im Unternehmen tut?
• Befinden sich personenbezogene Daten vielleicht auf Smart-Phones des Unternehmers, von Führungskräften oder Mitarbeitern oder im technisch digital aufgerüsteten Auto oder auf einem nicht im Unternehmensnetzwerk integrierten persönlichen oder dienstlichen Notebook oder auf einem anderen dienstlichen oder privaten „Digital-Device“?

Wen jetzt ein unwohles Gefühl befällt, der hat verstanden, worum es beim Datenschutz in der Praxis geht – und kann und muss handeln, um rasch adäquate, datenschutzkonforme Maßnahmen im Unternehmen festzulegen und deren Einhaltung sicherzustellen – und vor allem: auch selbst ein Datenschutz konformes Verhalten an den Tag zu legen und lieb gewonnenes Verhalten organisatorisch zu hinterfragen!

Kurz zusammengefasst ist kaufmännisch-organisatorisch im Unternehmen zu regeln: 

• Auf welchem Weg kommen welche Daten betreffend natürliche Personen berechtigt ins Unternehmen?
• Was geschieht mit diesen personenbezogenen Daten im Unternehmen: Wer hat sie, wer soll/muss zu welchen Daten überhaupt Zugang haben, was wird damit gemacht, wie sorgsam wird damit umgegangen? Besteht im Unternehmen eine „Ich-Kultur“ im Sinne von: „Ich speichere alle Daten dort, wo ich sie brauche“ oder eine „Wir-Kultur“ im Sinne von: Wir speichern Daten nicht am „individuellen digitalen Arbeitsplatz“ sondern sorgsam strukturiert auf den Unternehmenssystemen und greifen, abhängig von der Berechtigungsstruktur im Unternehmen, darauf zu. Ziel: Weg vom „Daten-Selfie“. Dies gilt auch für die Speicherung von Kontaktadressen, etc., dabei handelt es sich um Unternehmensdaten und nicht um „Privatdaten“ von Mitarbeitern oder Führungskräften im Unternehmen, die für die Kunden-, Lieferanten-, Mitarbeiter-, Bewerber- oder Geschäftspartnerbetreuung verantwortlich sind.
• Wohin gehen die im Unternehmen verfügbaren personenbezogenen Daten (z.B. an fremde Dienstleister, Kunden, Lieferanten), wozu werden sie weitergegeben und ist die Datenweitergabe überhaupt (aus dem Blickwinkel jener Personen, deren Daten davon betroffen sind) zulässig und wie ist sichergestellt, dass diese auch sorgsam verwendet werden?

All das sind primär keine IT-Fragen, sondern betriebliche Fragen der Unternehmensführung und der kaufmännischen Organisation im Unternehmen. Primär verantwortlich dafür sollten jene sein, die fachlich mit diesen Daten arbeiten (z.B. Marketing, Personalabteilung, Kundenbetreuung, Einkauf, Fachabteilungen, Führungskräfte). Diese Personen müssen alle Fragen rund um den Hintergrund von Datenschutz verstehen und auch erkennen, wo Daten, für die letztlich sie selbst verantwortlich sind, vorhanden und gespeichert sind bzw. wie diese verarbeitet werden. Dass die IT-Abteilung die technische Struktur hierfür betreibt und den technischen Datenzugriffsschutz sowie die Datenintegrität etc. sicherstellt, ist selbstredend. Die „IT-Landschaft“ darf aber keinesfalls für die Fachabteilungen eine „Black-Box“ nach dem Motto „Datenverarbeitung ist IT-Sache, davon verstehe ich nichts“ sein, denn dann wird Datenschutz im Sinne der Datenschutz-Grundverordnung mit großer Wahrscheinlichkeit im Unternehmen nicht gelingen. Umso mehr „Digitale Kompetenz“ bei jeder Führungskraft und jedem Mitarbeiter im Unternehmen aufgebaut wird, umso schneller und erfolgreicher wird das Unternehmen nicht „nur“ den Datenschutz bewältigen, sondern vor allem auch die vielfältigen Chancen, die sich jedem Unternehmen aus der „Digitalisierung“ eröffnen, erkennen und durch Effizienz und Markterfolg nützen. Und umso klarer und verständlicher werden die User auch ihre Anforderungen an die IT formulieren und daran mitwirken, dass diese adäquat erfüllt werden.

Wir unterstützen Sie bei der praktischen Durchdringung dieser betrieblichen Fragen und vermitteln zwischen Ihren Anforderungen, Ihrem IT-Dienstleister und Ihrem, allfällig mit der Klärung von Rechtsfragen beauftragten Rechtsvertreter – damit Sie auf eine gelungene kaufmännische Organisation in Ihrem Unternehmen setzen können.

Der österreichische Nationalrat hat am 20. April 2018 beschlossen: „Verwarnen statt strafen“ und weitere erleichternde Bestimmungen für Klein- und Mittelbetriebe:

Durch den Beschluss des österreichischen Nationalrates vom 20. April 2018 rund um den Datenschutz und die Datenschutz-Grundverordnung gilt im Wesentlichen:

• Verwarnen statt strafen: Das Datenschutz-Deregulierungs-Gesetz legt u.a. ausdrücklich fest, dass die Datenschutzbehörde bei der Verhängung von Strafen nach der europäischen Datenschutzgrundverordnung (DSGVO) die Verhältnismäßigkeit zu wahren hat. Insbesondere wird für erstmalige Verstöße das Prinzip "Verwarnen statt Strafen" eingeführt, demnach ist erst bei mehrmaligen Verstößen mit einer Strafe der Datenschutzbehörde zu rechnen. 
• Schutz von Geschäfts- und Betriebsgeheimnissen: Das Recht auf Auskunft der betroffenen Person besteht unbeschadet anderer gesetzlicher Beschränkungen nicht, wenn durch die Erteilung dieser Auskunft ein Geschäfts- oder Betriebsgeheimnis des Verantwortlichen bzw. Dritter gefährdet werden würde.   
• Mehr Rechtssicherheit ohne Doppelbestrafung: Unternehmensverantwortliche erhalten durch die Novelle mehr Rechtssicherheit: Bereits mit dem Datenschutz-Anpassungsgesetz 2018 wurde geregelt, dass die Datenschutzbehörde von der Bestrafung eines Verantwortlichen abzusehen hat, wenn für denselben Verstoß bereits eine Verwaltungsstrafe gegen das Unternehmen (als juristische Person) verhängt wurde und "keine besonderen Umstände vorliegen, die einem Absehen von der Bestrafung entgegenstehen". Dieser letzte Passus wurde mit dem Datenschutz-Deregulierungs-Gesetz 2018 gestrichen, d.h. die Datenschutzbehörde kann nun mit Sicherheit nicht mehr strafen, wenn eine andere Verwaltungsbehörde bereits eine Verwaltungsstrafe verhängt hat.
• Gebot der rückwirkenden Anwendungen günstigerer Strafbestimmungen: Darüber hinaus war im Datenschutz-Anpassungsgesetz 2018 noch vorgesehen, dass Verletzungen des DSG 2000, die zum Zeitpunkt des Inkrafttretens des DSG (neu) noch nicht anhängig gemacht wurden, nach der neuen Rechtslage zu beurteilen sind. Durch das Datenschutz-Deregulierungs-Gesetz 2018 wird nun dem Gebot der rückwirkenden Anwendung günstigerer Strafbestimmungen doch noch Rechnung getragen und auf einen strafbaren Tatbestand, der vor dem 25.5.2018 verwirklicht wurde, ist nun die für den Verursacher günstigere Rechtslage anzuwenden.

Ob diese vom österreichischen Nationalrat am 20. April 2018 beschlossenen Regelungen, insbesondere „Verwarnen statt strafen“ auch vor EU-Recht Bestand haben, bleibt abzuwarten. Jedenfalls wurde damit ein klares Signal gesetzt, dass die Umsetzung der Datenschutz-Grundverordnung in Österreichs Unternehmen rasch zu erfolgen hat, aber dabei in der Einführungsphase unterlaufene nachsehbare Unsicherheiten, Fehler oder Fehleinschätzungen nicht zu völlig überzogenen, drakonischen Strafen führen sollen. Es ist aber auch ganz deutlich zu vermerken, dass Datenmissbrauch wohl auf kein Verständnis stoßen wird.

Kontakt & Beratung: Unsere Expert/innen bei LBG beraten Sie gerne in Ihrer individuellen Situation. Bitte wenden Sie sich direkt an unsere Berater/innen bei LBG an unseren 30 österreichweiten Standorten (www.lbg.at) oder an welcome@lbg.at - wir bringen Sie gerne mit dem, mit Ihrem Anliegen vertrauten LBG-Experten zusammen.