Ab 25. Mai gelten in Europa neue Regeln für den Datenschutz. Jenen Unternehmen, die unzureichend vorbereitet sind, drohen empfindliche Sanktionen.

Wer sich dieser Tage bei einem Unternehmer unbeliebt machen möchte, braucht nur Datenschutz zu erwähnen – ein immer noch schwer zu erfassender Begriff, doch es geht um viel. Wenn am 25. Mai die neue Datenschutzverordnung der EU (DSGVO) vollständig in Kraft tritt, haben Betroffene weitreichende Rechte und Klagemöglichkeiten gegenüber Unternehmen. Aber welche Firmen betrifft das wirklich?

Wer muss den neuen Datenschutz beachten?

Jedes Unternehmen, das personenbezogene Daten wie etwa Name, Adresse oder Telefonnummer verarbeitet, also beispielsweise speichert, bearbeitet oder weitergibt, fällt in Anwendungsbereich der neuen Datenschutzbestimmungen. Das gilt auch für Kleinunternehmer. Ausnahmen gibt es etwa für die Datenverarbeitung durch Privatpersonen ausschließlich für persönliche oder familiäre Tätigkeiten.

Was, wenn Daten nur in Papierform verarbeitet werden?

Die DSGVO unterscheidet nicht zwischen analoger und digitaler Datenverarbeitung. Sie findet demnach auch auf die analoge Verarbeitung personenbezogener Daten Anwendung, wenn diese einer Ordnung unterliegen. Werden Kunden- oder Lieferantendaten alphabetisch, geographisch oder nach Datum sortiert, unterliegen sie den Bestimmungen des neuen Datenschutzes. Lediglich Akten in Papierform, die nicht nach bestimmten Kriterien geordnet werden, fallen nicht darunter.

Was ist ein Verarbeitungsverzeichnis?

Nach der DSGVO ist für alle Verarbeitungstätigkeiten wie etwa die Personalverwaltung oder die Kundenbeziehung ein Verzeichnis zu führen. Wie detailliert dieses Verzeichnis sein muss, hängt davon ab, ob das Unternehmen beim Verarbeiten der Daten als Verantwortlicher oder Auftragsverarbeiter tätig wird. In dem Verzeichnis sind beispielsweise neben den Kontaktdaten auch der Zweck der Verarbeitung, die jeweiligen Datenkategorien, Übermittlungsempfänger, Aufbewahrungsfristen und Datensicherheitsmaßnahmen anzuführen.

Wann muss ein solches Verzeichnis geführt werden?

Ein Verzeichnis muss nur dann nicht geführt werden, wenn das Unternehmen weniger als 250 Mitarbeiter beschäftigt, es keine Risiken für Betroffene gibt, weil beispielsweise nur öffentlich verfügbare Daten betroffen sind und keine sensiblen Daten verarbeitet werden, worunter aber auch beispielsweise Krankheitstage der Mitarbeiter fallen. Zudem darf die Verarbeitung von personenbezogenen Daten nur gelegentlich erfolgen. Diese Ausnahme sollte gerade kleine und mittlere Unternehmen entlasten, was sich aber als Trugschluss erweisen dürfte. Angesichts der zunehmenden Digitalisierung, auch in kleineren Betrieben, gibt es kaum noch Unternehmen, die nicht regelmäßig und umfangreich Mitarbeiter- und Kundendaten erfassen. Da Verstöße gegen die Verpflichtung zur Führung eines Verzeichnisses mit empfindlichen Geldbußen geahndet werden können, sollte im Zweifel ein Verarbeitungsverzeichnis geführt werden.

Was ist eine Auftragsdatenverarbeitungsvereinbarung?

Bei einer Auftragsdatenverarbeitungsvereinbarung (AV oder ADV) handelt es sich um einen Vertrag, den Verantwortliche mit Dienstleistern, denen sie Daten zur Verarbeitung überlassen, abschließen müssen. Wesentlich ist, ob der Dienstleister potenziell Zugang zu personenbezogenen Daten hat. Mit dieser Vereinbarung erklärt der Dienstleister, vereinfacht gesagt, dass er die Bestimmungen der DSGVO beachtet und entsprechende Vorkehrungen zur Einhaltung der Sicherheitsvorschriften getroffen hat.

Welche Maßnahmen müssen zum Schutz der Daten ergriffen werden?

Um den Vorgaben des neuen Datenschutzrechtes gerecht zu werden, bedarf es zahlreicher Maßnahmen, die sicherstellen, dass die Einhaltung der rechtlichen Vorgaben gewährleistet ist. Dies betrifft insbesondere die Etablierung eines internen Kontrollsystems: Mitarbeiter müssen zur Geheimhaltung verpflichtet und ausreichend geschult werden. Darüber hinaus müssen geeignete Maßnahmen in Bezug auf Computer- und Netzwerksicherheit getroffen werden. Weiters gilt es abzuklären, wer für den Datenschutz im Unternehmen verantwortlich ist und wer im Falle eines Datenlecks die Datenschutzbehörde rechtzeitig verständigt. Wer kümmert sich um Auskunftsanfragen? Gibt es eine IT-Policy, ein Notfallkonzept? Diese Aufgaben sind für jedes Unternehmen eine Herausforderung und sollten nicht unterschätzt werden.

Brauche ich einen Datenschutzbeauftragten?

Unternehmer müssen einen Datenschutzbeauftragten nur dann benennen, wenn ihre Kerntätigkeit aus einer umfangreichen, regelmäßigen und systematischen Überwachung von Personen besteht, was etwa bei einem Detektivbüro der Fall ist. Oder wenn sie sensible oder strafrechtlich relevante Daten in einem umfangreichen Ausmaß verarbeiten. Darunter fallen etwa Krankenanstalten, aber auch IT-Dienstleister, die Kunden im Gesundheitssektor betreuen. Für Behörden und öffentliche Stellen gelten spezielle Voraussetzungen.

Was ist sonst relevant?

In der Regel muss die Datenschutzerklärung auf der Webseite überarbeitet und aktualisiert werden. Eine eigene Cookie-Richtlinie ist dabei zu empfehlen. Aber auch Kontaktformulare, Newsletter-Abonnements und Verträge sind an die neuen gesetzlichen Vorschriften anzupassen.

Wie wahrscheinlich ist es, dass bereits mit 25. Mai Sanktionen verhängt werden?

Ob sofort Strafen verhängt werden oder ob es eine „Schonfrist“ geben wird, lässt sich nicht mit Sicherheit sagen. Zuletzt warnte der EU-Parlamentarier Jan Philipp Albrecht, dass Unternehmer die umfangreichen Pflichten nach der DSGVO nicht unterschätzen sollten. Jedem, so Albrecht, sollte klar sein, dass sowohl gerichtliche Verfahren als auch Verfahren der Datenschutzbehörden drohen und es kein Pardon geben werde.

STEPHAN KLIEMSTEIN