Mag. Gerold Pawelka-Schmidt, CMC, Richter des Bundesverwaltungsgerichts, erläuterte überblicksweise rund 165 Mitgliedsbetrieben verschiedenster Branchen die Datenschutzgrundverordnung

Datenschutz betrifft alle Betriebe,

daher nahmen am 11.9.2017 nicht nur Mitgliedsbetriebe der ursprünglichen Initiatoren - Innungsgruppe Fahrzeugtechnik, Mechatronik und Metalltechnik in Zusammenarbeit mit dem Forum Verlag – sondern auch Betriebe der Landesinnungen Bau, Elektro-, Gebäude-, Alarm- und Kommunikationstechniker, Sanitär-, Heizungs- und Lüftungstechniker, Maler und Tapezierer, Dachdecker, Glaser und Spengler, Personenberatung und Personenbetreuung, Berufsfotografen, sowie der Fachvertretung Film - und Musikwirtschaft am Informationsabend „Datenschutz in KMU“ im Wilhelm Neusser Saal im Gewerbehaus teil.

Existenzzerstörender Strafrahmen

Zur Einleitung erläuterte Mag. Pawelka-Schmidt die rechtliche Basis der Datenschutzrichtlinie und erhöhte die Aufmerksamkeit der Anwesenden gleich mit dem Strafrahmen, der bis zu 10 bzw. 20 Millionen EURO (!) betragen kann.

Um diese hohen Strafsummen zu vermeiden, ist es besser, die teilweise umfassenden Bestimmungen durchaus ernst zu nehmen.  

Datenverarbeitung ist grundsätzlich verboten

Vorweg gilt der Grundsatz: „Datenverarbeitung ist grundsätzlich verboten, es sei denn, es liegt eine ausnahmsweise Erlaubnis vor“.

Ausnahmen vom Verbot peinlich genau prüfen

Zur Feststellung, ob eine konkrete Ausnahme vorliegt gilt es daher zunächst zu bestimmen:

  • Welche Daten werden überhaupt erfasst (und warum)?
  • Welche Daten werden gespeichert (und wie lange)?
  • Welche Daten werden gar an Dritte (Adressverlage etc.) weitergegeben (und an wen)?
  • Werden personenbezogene oder ev. auch sensible Daten verarbeitet?
  • Werden Daten veröffentlicht – wenn ja wo, wie und welche?
  • Handelt es sich um Standardanwendungen (z.B. Personalverrechnung, Kundendatei oder ähnl.).
  • Besteht entsprechender Schutz der Daten oder können diese leicht missbräulich verwendet werden?
  • Gibt es Möglichkeiten, diese rasch und sicher zu löschen?
  • Falls mehrere Mitarbeiter mit der Datenverwaltung beauftragt sind: Ist jeder Beteiligte darüber informiert, wie mit den Daten umzugehen ist?
  • Werden Daten externen Dienstleistern zur Verfügung gestellt? Ist die sichere Verarbeitung mit diesen geregelt?
  • Was passiert, wenn etwas passiert ist? (Server wurde gehackt, Datenträger sind verloren gegangen, ….). Wie können im Falle des Falles Kunden rasch darüber informiert werden?

Formales Recht und technischen Vorraussetzungen

Sind diese grundsätzlichen Fragen geklärt, müssen die Melde- und Genehmigungspflichten geklärt sowie die notwendigen Verzeichnisse oder Anträge gestellt werden und natürlich sind auch die entsprechenden technischen Maßnahmen zu ergreifen.

Verantwortung für die Kundendaten bis zur Löschung

So könnte z.B. ein Kunde die Löschung seiner Daten verlangen; sind diese an Dritte weitergegeben worden, so hat der Datenverarbeiter – in der Regel also einer unserer Betriebe – dafür Sorge zu tragen, dass die Kundendaten auch bei diesem Dritten und allfälligen weiteren gelöscht werden!

Weiters ist auch dafür Sorge zu tragen, dass Daten, die nicht mehr aktuell benötigt werden, zuverlässig automatisch gelöscht werden. Oder – sofern dies möglich ist – die Daten an einen vom Kunden genannten Verarbeiter elektronisch übermittelt werden können/müssen.

Neu ist z.B. auch, dass Kunden über geplante weitere Verwendungszwecke informiert werden müssen. 

In Kraft treten der Verordnung am 24.Mai 2018

All diese Fragen und Szenarien sind bis spätestens 24. Mai 2018 zu klären und zu lösen. Denn ab 25. tritt die neue DSGVO (Datenschutzgrundverordnung) in Kraft und ab dann könnte die Datenschutzbehörde strafen.  

Rechtzeitig auf die umfangreichen Anforderungen vorbereiten

Wir empfehlen daher allen Betrieben, sich rechtzeitig mit dieser komplexen Thematik auseinander zu setzen und möglichst rasch die entsprechenden Maßnahmen zu ergreifen. Dass dies ein sehr umfangreiches Thema ist, zeigte sich nicht zuletzt auch durch die vielen Fragen, die während des rund 2 stündigen Vortrags und im Anschluss gestellt wurden.

Vorsicht, heißt die Mutter der Porzellankiste

Schützen Sie die Daten Ihrer Kunden, vor allem aber schützen Sie sich vor hohen Strafen! Der 25. Mai 2018 kommt schneller, als man denkt!

Fotos: (c) Philipp Liparski