EU-DSGVO
Bild: CC0 Public Domain
Bild: CC0 Public Domain

Datenschutz-Problemzonen - Jürgen Kolb, iQSol

Die EU-DSGVO und ihre Mythen

Kein Richter und auch nicht die Datenschutzbehörde werden wegschauen, weil "nur" eine Arztpraxis, ein kleiner Gewerbebetrieb oder ein Versicherungsmakler fahrlässig mit Kundendaten umgeht. Keine Firma, kein Selbständiger ist zu klein, um für eine datenschutzrechtliche Verfehlung bestraft zu werden.

Viele glauben, dass die Hauptadressaten für die verschärften Datenschutzregeln die globalen Konzerne, die öffentlichen Stellen (die nach derzeitigem Plan für jedes Vergehen straffrei bleiben sollen) und die neuen Big Data Companies sein werden. Nichtsdestotrotz werden kein Richter und auch nicht die Datenschutzbehörde wegschauen, weil "nur" eine Arztpraxis, ein kleiner Gewerbebetrieb oder ein Versicherungsmakler mit den Kundendaten fahrlässig umgeht. Besonders Gemeinden und ihre Bürgermeister unterliegen hier einem kollektiven Trugschluss. Eine allfällige Verschonung bei Strafzahlungen ist bei einem schwerwiegenden Verstoß wahrlich kein Trost wenn sammelklagenartige Prozesse und Privathaftungen drohen. In Deutschland gibt es bereits Verurteilungen mit hohen privaten Strafzahlungen bis hin zur fristlosen Kündigung.

"Ich bin ein Kleinunternehmen und eigentlich..."

Gerade in diesem Bereich liegt viel im Argen. Werden Mitarbeiter und Privatkunden erst sensibilisiert, werden hier sehr rasch hektische Aktivitäten folgen. Formulare und Unterschriften werden die Regel sein, egal ob es sich um den Schulfotografen handelt, den Fußballverein oder eine wahlwerbende Partei. Spätestens wenn ein Betroffener Auskunft verlangt, wie und woher jemand seine Daten erlangt hat, warum diese weitergegeben wurden und warum diese nicht gelöscht wurden. Wenn diese persönlichen Daten dann noch ins Drittland (US-Cloud) abwandern, kann es heikel werden, wenn diese im Internet auftauchen.

"Das Verfahrensverzeichnis braucht man erst ab 250 Mitarbeitern"

Dies steht zwar prominent im Artikel 30, aber ist so schnell obsolet wie durchgelesen: Sobald sie regelmäßig auch in kleinerem Umfang personenbezogene Daten (Kunden- oder Mitarbeiterdatei für Lohnverrechnung) verarbeiten oder ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, ist die Ausnahme schon wieder erledigt.

"Unser Firmenanwalt sagt, erstmal abwarten..."

Selbst in größeren Unternehmen hört man öfter diese Aussage. Das Thema wird spätestens akut, wenn sich der Anwalt selbst mit der Materie beschäftigt hat und bis dahin soll ein allfälliger Mitbewerber, im schlimmsten Fall auch noch ein branchenfremder, natürlich ausgeschlossen werden. Warten Sie es nicht ab. In zwei oder drei Monaten wird ein "Wir sollten uns das allmählich ansehen, weil..." zu vernehmen sein. Wenn nicht, ist ihr Syndikus  mittlerweile in Pension. Die Zeit wird dann eng, einen kompetenten Datenschutzbeauftragten oder Datenschutzberater zu engagieren, denn der Markt in Österreich ist mehr als überschaubar. 

"Ein Datenschutzbeauftragter ist für uns nicht notwendig. Gottseidank."

Im Zuge der Recherche und je nachdem wen man fragt, hat jeder Recht, wenn man nicht gerade eine Wirtschaftsauskunftei, eine Klinik oder Bewährungshilfe betreibt oder sogar Bürgermeister ist. Die Aufgezählten benötigen natürlich alle einen Datenschutzbeauftragten. Man sollte sich im Zweifelsfall aber immer zwei, drei Gedanken machen, die täglich Realität werden können: 

  • Aus irgendeinem Grund kommen personenbezogene Daten aus dem Unternehmensbereich an die Öffentlichkeit.
  • Die Datenschutzbehörde nimmt mit Ihrem Unternehmen Kontakt auf und begehrt Informationen, natürlich nur im Zuge einer Routinekontrolle (siehe unten).
  • Irgendjemand verlangt Auskunft von Ihrem Unternehmen, wie Sie zu seinen personenbezogenen Daten gekommen sind, oder warum sie diese nicht löschten und/oder man hätte gerne "nur" eine kleine Entschädigung für Ihre Nichtauskunft (siehe oben).
  • Sollten Sie anwaltliche Post mit einem Datenschutzthema bekommen, kann Ihnen der eigene lediglich im Verfahrensweg helfen, denn die Formulare, neuen Prozesse und Security Tools kann Ihnen dieser auch nicht binnen weniger Tage oder Wochen herbeizaubern.

"Bei uns sind kaum persönliche Daten vorhanden, die vorhandenen sind geschützt und was unsere Lieferanten bzw. Kunden oder Klienten tun, weiß ich nicht"

Die Lohnverrechnung macht der Buchhalter und die Kundendateien sind mit Firewall und Antivirus geschützt. Soweit, so gut. In der Realität ist dieses KMU mit 10 oder 20 Mitarbeitern erst rudimentär datenschutzrechtlich geschützt, wenn es...

  • ...eine datenschutzrechtliche Vereinbarung mit Steuerberatung, Lohnverrechnungsbüro, Reinigungsfirma, Wachschutz, Leasingarbeitern u.v.m. vorliegen hat.
  • ...ein Verfahrensverzeichnis führt.
  • ...geordnete Prozesse für das Bewerbungsmanagement (insb. Minderjährige und Lehrlinge) vorlegen kann.
  • ...mit einer allfälligen Video- bzw. Mitarbeiterüberwachung (Zugangsschutz oder Arbeitszeitaufzeichnung) "datenschutzrechtlich sauber" ist.
  • ...die eine oder andere Regelung im Umgang mit IT-Geräten, Passwörtern, Nutzungsverhalten nachweisen kann

Fazit: Keine Firma, kein Selbständiger ist zu klein, um für eine datenschutzrechtliche Verfehlung bestraft zu werden.

PS: Mittlerweile sind neben Unternehmenshaftpflicht- und Cyber-Versicherungen auch Managerhaftpflicht-Versicherungen gespickt mit IT-Security-Themen und ausführlichen Datenschutz-Aspekten. 

Über den Autor

Jürgen Kolb, Managing Director des IT-Security-Anbieters iQSol, geht dieses Jahr in der Serie "Datenschutz-Problemzonen" regelmäßig kurz und prägnant auf einzelne Aspekte des Themas Datenschutz ein, die als Denkanstoß dienen sollen. Mehr zum Thema auch unter diedatenschuetzer.at.

Mehr Artikel zum Thema: EU-DSGVO

85% verpassen DSGVO-Deadline

Obwohl die Regulierung in einer Woche anwendbar wird,...

Weiterlesen

nic.at beschränkt Whois-Abfragen

In Hinblick auf die DSGVO hat die Domain-Registry nic.at...

Weiterlesen

DSGVO & Co.: Wer nicht verschlüsselt, ist selber schuld

Nichts erfreut Hacker und Datendiebe mehr als der Zugriff...

Weiterlesen

Kein Freibrief für Datenschutzverstöße

Wir haben den Rechtsanwalt Gerald Ganzger gefragt, welche...

Weiterlesen

DSGVO: Ein zahnloser Löwe?

Knapp einen Monat vor dem Stichtag der EU-DSGVO am 25. Mai...

Weiterlesen

DSAG löst Datenschutz-Fragezeichen

Es soll immer noch Unternehmen geben, die im freien Fall auf...

Weiterlesen

"Das ist ein Wahnsinn"

"Wir brauchen drei bis sechs Monate, um gute Leute auf...

Weiterlesen

Aus Security-Sicht ein Horror

Die Ergebnisse des jährlichen Breach Level Index von Gemalto...

Weiterlesen

Datenschutz bei der DSAG

Die EU-Datenschutz-Grundverordnung (EU-DSGVO) macht auch vor...

Weiterlesen

EU-DSGVO: Was ist noch machbar?

Die neue Datenschutz-Grundverordnung der EU steht...

Weiterlesen

DRACOON ist EU-DSGVO-ready

DRACOON, Experte im Bereich Enterprise Filesharing, erhält...

Weiterlesen

EU-Datenschutz-Grundverordnung: Die Zeit wird knapp

Die neue Datenschutz-Grundverordnung gilt ab 25. Mai 2018 in...

Weiterlesen

EU-DSGVO und die Cloud: Wer trägt welche Verantwortung?

Cloud-Computing ist kein Trend, sondern schlicht die nächste...

Weiterlesen

Orientierung im DSGVO-Dickicht

Das IT-Systemhaus NAVAX und VACE IT & SECURITY SERVICES...

Weiterlesen

EU-DSGVO: Darauf müssen Recruiter 2018 achten

Gerade bei Datenerhebung, -verarbeitung und -sicherheit...

Weiterlesen

DSGVO: Herausforderung für Personalführung

In vielen Unternehmen laufen die Vorbereitungen auf die...

Weiterlesen

Kostenlose Hilfe bei DSGVO-Umsetzung

ie WKÖ bietet ein speziell auf den Wirtschaftsbereich Handel...

Weiterlesen

NIS: Im Schatten der DSGVO

Auch wenn in der öffentlichen Wahrnehmung derzeit die...

Weiterlesen

2018 wird Jahr der DSGVO

"Eine vollständige Umsetzung der Datenschutzgrundverordnung,...

Weiterlesen