Die Datenschutz-Grundverordnung (DSGVO) ist in Anbetracht von deren mit 25.5.2018 eintretenden vollumfänglichen Verbindlichkeit derzeit in aller Munde. Gerade klein- und mittelständische Unternehmen stellt die Verordnung – immerhin 88 Seiten stark – vor große administrative Herausforderungen.
An dieser Stelle sollen nicht ein weiteres Mal theoretische Grundlagen der DSGVO (derer genug kursieren), sondern vielmehr die wesentlichen praktischen Auswirkungen der DSGVO, die typische KMUs betreffen, zusammenzufassen und klare Empfehlungen ausgesprochen werden.
Grundsätze der Datenverwendung
Personenbezogene Daten dürfen nur nach folgenden Grundsätzen verarbeitet werden:
Datenminimierend
Personenbezogene Daten dritter Personen sollen in möglichst geringem Umfang verarbeitet werden. Die Speicherung großer Datenmengen rein auf Vorrat ist als kritisch zu beurteilen. Erheben Sie daher, welche Daten Sie zur Erfüllung gesetzlicher oder vertraglicher Verpflichtungen überhaupt verarbeiten müssen, und entschlacken Sie alle Hilfsmittel, mit denen Sie Daten systematisch verarbeiten – sei es Ihr Outlook-Adressbuch, Ihre sonstige IT oder physische Karteien und Register.
Rechtmäßig
Jede Datenverarbeitung hat auf einer nachweisbaren, geeigneten Rechtsgrundlage zu erfolgen. Dokumentieren Sie daher, auf welcher Rechtsgrundlage Sie personenbezogene Daten Ihrer Kunden und Partner verarbeiten. Eine geeignete Grundlage wäre etwa die Erfüllung eines Auftrags, den Ihnen der Betroffene erteilt hat.
Speicherbegrenzend
Entgegen häufig festzustellender Praxis dürfen personenbezogene Daten nicht mehr zeitlich uneingeschränkt gespeichert werden. Zulässig ist es jedenfalls, Daten solange zu verarbeiten und zu speichern, als dies zur Erfüllung eines aufrechten Vertrags erforderlich ist. Nach Abschluss eines Vertragsverhältnisses dürfen Daten noch gespeichert werden, solange gesetzliche Aufbewahrungspflichten bestehen oder Schadenersatzansprüche realistischer Weise drohen und abgewehrt werden müssten.
Transparent
Die Herstellung großer Transparenz ist eines der Hauptanliegen der DSGVO. Führen Sie deshalb ein schriftliches Verzeichnis, in dem alle Vorgänge, durch die Sie personenbezogene Daten verarbeiten, systematisch dargestellt werden („Verzeichnis der Verarbeitungstätigkeiten“).
Vertraulich
Der Schutz personenbezogener Daten vor unberechtigtem Zugriff dritter Personen ist sicherzustellen. Dies hat mannigfaltig zu erfolgen: Etwa indem Rechner und Datenträger (etwa USB-Sticks, die leicht verloren gehen können) passwortgeschützt oder Daten nur in sicher verschlüsselter Form in der Cloud gespeichert werden, wofür sich nach dem aktuellen Stand der Technik eine Verschlüsselung mit zumindest 256 Bit anbietet.
Zweckgebunden
Personenbezogene Daten dürfen nur für festgelegte, eindeutige und legitime Zwecke verarbeitet werden. Dokumentieren Sie diese Zwecke im bereits genannten Verzeichnis der Verarbeitungstätigkeiten.
Betroffenenrechte
Die Rechte der Betroffenen, deren personenbezogenen Daten verarbeitet werden, werden weiter ausgebaut. Sie stellen sich wie folgt dar:
Auskunft
Betroffene haben einen grundsätzlich uneingeschränkten Anspruch auf Auskunft darüber, welche personenbezogene Daten über Sie verarbeitet werden. Der Unternehmer erhält für die Erteilung von Auskünften nur in Ausnahmefällen ein Entgelt (etwa bei schikanöser Rechteausübung). Erarbeiten Sie ein System, durch das Auskunftsansprüche Betroffener aufwandminimierend befriedigt werden können.
Berichtigung
Betroffene haben das Recht, dass Sie betreffende unrichtige oder unvollständige Daten richtiggestellt werden. Halten Sie personenbezogene Daten daher up to date.
Information
Betroffene sind über den Umstand und die Erhebung Ihrer personenbezogenen Daten transparent zu informieren. Überarbeiten Sie vor diesem Hintergrund Datenschutzmitteilungen, die Sie auf Ihrer Website abrufbar haben oder Ihre Vertragspartner am Beginn einer Geschäftsbeziehung unterzeichnen lassen.
Löschung
Auf Ersuchen des Betroffenen hin sind dessen personenbezogene Daten zu löschen (oder auf Wunsch nur einzuschränken), außer berechtigte Gründe sprechen gegen die Löschung. Dies wäre etwa der Fall, wenn und soweit die Daten zur Erfüllung gesetzlicher oder vertraglicher Pflichten noch verarbeitet werden müssen.
Übertragbarkeit von Daten
Betroffenen sind deren personenbezogene Daten, die sie zur Verfügung gestellt hat, strukturiert zur Verfügung zu stellen. Es ist sicherzustellen, dass der Betroffene auf diese Daten leicht zugreifen und diese weiterverwenden kann.
Widerspruch
Der Betroffene hat das Recht, jederzeit gegen die Verarbeitung seiner personenbezogenen Daten Widerspruch einzulegen, es sei denn, es bestehen schutzwürdige Gründe für die weitere Datenverarbeitung. Ein spezifisches Widerspruchsrecht besteht gegen die Datenverwendung zu Werbezwecken.
Spezifische Todos für Verarbeiter
Bestimmte Verarbeiter personenbezogener Daten haben folgende konkrete weitere Vorsorge zu treffen:
Verzeichnis von Verarbeitungstätigkeiten
Unter bestimmten Voraussetzungen – die jedoch auf die allermeisten KMU zutreffen dürften – hat ein Unternehmer ein Verarbeitungsverzeichnis zu führen. Darunter ist eine systematische Darstellung zu verstehen, in der vor allem dargelegt wird, welche personenbezogene Daten welcher Personen zu welchen Zwecken wie verwendet werden und an welche Personen solche Daten weitergegeben werden. Die Erstellung eines solchen Verzeichnisses kann mitunter sehr aufwändig sein, beginnen Sie daher zeitgerecht mit den Vorbereitungsarbeiten.
Datenschutzbeauftragter
Unter gewissen Voraussetzungen hat ein Datenverarbeiter einen Datenschutzbeauftragten zu bestellen. Dies trifft etwa dann zu, wenn die Kerntätigkeit eine Verarbeitungstätigkeit darstellt, die eine umfangreiche, regelmäßige und systematische Überwachung von betroffenen Personen erforderlich macht, oder wenn in größerem Umfang sensible Daten (etwa Gesundheitsdaten) verarbeitet werden. Der Datenschutzbeauftragte hat einerseits eine beratende Funktion, ist aber auch zur Umsetzung konkreter Maßnahmen zum Datenschutz verpflichtet.
Datenschutz-Folgenabschätzung
Sofern die Art der Datenverarbeitung voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten der Betroffenen mit sich bringt, hat der Verarbeiter außerdem eine Datenschutz-Folgenabschätzung zu erstellen. Dies wird etwa auf Krankenanstalten oder große Anwalts- und Steuerberatungskanzleien zutreffen. Die Folgenabschätzung hat unter anderem eine Einschätzung der Risken der Betroffenen und konkret zu ergreifende Maßnahmen zur Vermeidung von Missbrauch bzw im Missbrauchsfall zu enthalten. Die Erstellung einer Datenschutz-Folgenabschätzung kann mitunter sehr aufwändig sein, beginnen Sie daher zeitgerecht mit den Vorbereitungsarbeiten.
Zusammenfassung
Durch die DSGVO wird das aktuell anwendbare österreichische Datenschutzrecht signifikant verschärft. Die Einhaltung der Vorgaben der DSGVO ist möglich, sollte jedoch zeitgerecht sichergestellt werden, da die Implementierung einer DSGVO-konformen Unternehmensstruktur mit beachtlichem Aufwand verbunden sein kann.