EU-DSGVO
Bild: CC0 Public Domain
Bild: CC0 Public Domain

Datenschutz-Problemzonen - Jürgen Kolb, iQSol

Die EU-DSGVO und ihre Mythen

Kein Richter und auch nicht die Datenschutzbehörde werden wegschauen, weil "nur" eine Arztpraxis, ein kleiner Gewerbebetrieb oder ein Versicherungsmakler fahrlässig mit Kundendaten umgeht. Keine Firma, kein Selbständiger ist zu klein, um für eine datenschutzrechtliche Verfehlung bestraft zu werden.

Viele glauben, dass die Hauptadressaten für die verschärften Datenschutzregeln die globalen Konzerne, die öffentlichen Stellen (die nach derzeitigem Plan für jedes Vergehen straffrei bleiben sollen) und die neuen Big Data Companies sein werden. Nichtsdestotrotz werden kein Richter und auch nicht die Datenschutzbehörde wegschauen, weil "nur" eine Arztpraxis, ein kleiner Gewerbebetrieb oder ein Versicherungsmakler mit den Kundendaten fahrlässig umgeht. Besonders Gemeinden und ihre Bürgermeister unterliegen hier einem kollektiven Trugschluss. Eine allfällige Verschonung bei Strafzahlungen ist bei einem schwerwiegenden Verstoß wahrlich kein Trost wenn sammelklagenartige Prozesse und Privathaftungen drohen. In Deutschland gibt es bereits Verurteilungen mit hohen privaten Strafzahlungen bis hin zur fristlosen Kündigung.

"Ich bin ein Kleinunternehmen und eigentlich..."

Gerade in diesem Bereich liegt viel im Argen. Werden Mitarbeiter und Privatkunden erst sensibilisiert, werden hier sehr rasch hektische Aktivitäten folgen. Formulare und Unterschriften werden die Regel sein, egal ob es sich um den Schulfotografen handelt, den Fußballverein oder eine wahlwerbende Partei. Spätestens wenn ein Betroffener Auskunft verlangt, wie und woher jemand seine Daten erlangt hat, warum diese weitergegeben wurden und warum diese nicht gelöscht wurden. Wenn diese persönlichen Daten dann noch ins Drittland (US-Cloud) abwandern, kann es heikel werden, wenn diese im Internet auftauchen.

"Das Verfahrensverzeichnis braucht man erst ab 250 Mitarbeitern"

Dies steht zwar prominent im Artikel 30, aber ist so schnell obsolet wie durchgelesen: Sobald sie regelmäßig auch in kleinerem Umfang personenbezogene Daten (Kunden- oder Mitarbeiterdatei für Lohnverrechnung) verarbeiten oder ein Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, ist die Ausnahme schon wieder erledigt.

"Unser Firmenanwalt sagt, erstmal abwarten..."

Selbst in größeren Unternehmen hört man öfter diese Aussage. Das Thema wird spätestens akut, wenn sich der Anwalt selbst mit der Materie beschäftigt hat und bis dahin soll ein allfälliger Mitbewerber, im schlimmsten Fall auch noch ein branchenfremder, natürlich ausgeschlossen werden. Warten Sie es nicht ab. In zwei oder drei Monaten wird ein "Wir sollten uns das allmählich ansehen, weil..." zu vernehmen sein. Wenn nicht, ist ihr Syndikus  mittlerweile in Pension. Die Zeit wird dann eng, einen kompetenten Datenschutzbeauftragten oder Datenschutzberater zu engagieren, denn der Markt in Österreich ist mehr als überschaubar. 

"Ein Datenschutzbeauftragter ist für uns nicht notwendig. Gottseidank."

Im Zuge der Recherche und je nachdem wen man fragt, hat jeder Recht, wenn man nicht gerade eine Wirtschaftsauskunftei, eine Klinik oder Bewährungshilfe betreibt oder sogar Bürgermeister ist. Die Aufgezählten benötigen natürlich alle einen Datenschutzbeauftragten. Man sollte sich im Zweifelsfall aber immer zwei, drei Gedanken machen, die täglich Realität werden können: 

  • Aus irgendeinem Grund kommen personenbezogene Daten aus dem Unternehmensbereich an die Öffentlichkeit.
  • Die Datenschutzbehörde nimmt mit Ihrem Unternehmen Kontakt auf und begehrt Informationen, natürlich nur im Zuge einer Routinekontrolle (siehe unten).
  • Irgendjemand verlangt Auskunft von Ihrem Unternehmen, wie Sie zu seinen personenbezogenen Daten gekommen sind, oder warum sie diese nicht löschten und/oder man hätte gerne "nur" eine kleine Entschädigung für Ihre Nichtauskunft (siehe oben).
  • Sollten Sie anwaltliche Post mit einem Datenschutzthema bekommen, kann Ihnen der eigene lediglich im Verfahrensweg helfen, denn die Formulare, neuen Prozesse und Security Tools kann Ihnen dieser auch nicht binnen weniger Tage oder Wochen herbeizaubern.

"Bei uns sind kaum persönliche Daten vorhanden, die vorhandenen sind geschützt und was unsere Lieferanten bzw. Kunden oder Klienten tun, weiß ich nicht"

Die Lohnverrechnung macht der Buchhalter und die Kundendateien sind mit Firewall und Antivirus geschützt. Soweit, so gut. In der Realität ist dieses KMU mit 10 oder 20 Mitarbeitern erst rudimentär datenschutzrechtlich geschützt, wenn es...

  • ...eine datenschutzrechtliche Vereinbarung mit Steuerberatung, Lohnverrechnungsbüro, Reinigungsfirma, Wachschutz, Leasingarbeitern u.v.m. vorliegen hat.
  • ...ein Verfahrensverzeichnis führt.
  • ...geordnete Prozesse für das Bewerbungsmanagement (insb. Minderjährige und Lehrlinge) vorlegen kann.
  • ...mit einer allfälligen Video- bzw. Mitarbeiterüberwachung (Zugangsschutz oder Arbeitszeitaufzeichnung) "datenschutzrechtlich sauber" ist.
  • ...die eine oder andere Regelung im Umgang mit IT-Geräten, Passwörtern, Nutzungsverhalten nachweisen kann

Fazit: Keine Firma, kein Selbständiger ist zu klein, um für eine datenschutzrechtliche Verfehlung bestraft zu werden.

PS: Mittlerweile sind neben Unternehmenshaftpflicht- und Cyber-Versicherungen auch Managerhaftpflicht-Versicherungen gespickt mit IT-Security-Themen und ausführlichen Datenschutz-Aspekten. 

Über den Autor

Jürgen Kolb, Managing Director des IT-Security-Anbieters iQSol, geht dieses Jahr in der Serie "Datenschutz-Problemzonen" regelmäßig kurz und prägnant auf einzelne Aspekte des Themas Datenschutz ein, die als Denkanstoß dienen sollen. Mehr zum Thema auch unter diedatenschuetzer.at.

Mehr Artikel zum Thema: EU-DSGVO

BYOD: Sicherheit und Datenschutz regeln

Seit Smartphones & Co. den Arbeitsalltag erobert haben,...

Weiterlesen

Post hilft bei DSGVO-Umsetzung

Die Österreichische Post AG berät Geschäftskunden zu allen...

Weiterlesen

10 DSGVO-Tipps für Österreichs Unternehmer

Am 25. Mai 2018 tritt die neue Datenschutzgrundverordnung...

Weiterlesen

EU-DSGVO: Dokumentation ist A&O

Wolfgang Honold, DSAG-Vorstand Österreich, beschreibt im...

Weiterlesen

DSGVO & NIS stellen Unternehmen unter Zugzwang

Ob wir es wollen oder nicht: Die EU-DSGVO wird im Jahr 2018...

Weiterlesen

Microsoft-Tools für DSGVO

Microsoft hat ein Set an kostenlosen Assessment-Tools zur...

Weiterlesen

Von EU-DSGVO bis Datenschutz-Risikomanagement

Während sich manche noch eine existierende oder noch nicht...

Weiterlesen

Kosten bei Datenpannen sinken

Laut einer Studie des Ponemon Instituts sind die...

Weiterlesen

Der DSB – gewöhnen wir uns endlich daran!

Ein neues Berufsbild entsteht und es macht Sinn. Vor allem...

Weiterlesen

Der Datenschutz in Deutschland ist rechtlich etabliert

Geht es um Normen, Standards und Richtlinien lohnt sich...

Weiterlesen

EU-Datenschutz-Grundverordnung erhöht Druck auf Mittelstand

Die neue EU-Datenschutz-Grundverordnung, die ab 2018 gilt,...

Weiterlesen

Digitaler Dreisprung zur EU-Datenschutzgrundverordnung

Mehr als ein Grund genug für Europa, mit der...

Weiterlesen

Die EU-DSGVO und der Auftragsverarbeiter

Nicht einmal "gegendert" und trotzdem hat sie jedes...

Weiterlesen

"Registrierkassenpflicht war ein Kinderspiel"

Die Stadt Wien setzt schon um, was auf alle österreichischen...

Weiterlesen

Datenschutz ist kein IT-Thema

Wir wissen mittlerweile, dass der ideale EU...

Weiterlesen

Der alte 14er (DSG) und der neue 32er (EU-DSGVO)

Bereits der Paragraph 14 im österreichischen...

Weiterlesen

Praxisorientiertes Seminar: EU-DSGVO

EU -Datenschutzgrundverordnung ist ab 25. Mai 2018...

Weiterlesen

Nichtwissen schützt nicht vor Strafe

Natürlich kennt jeder das Prinzip seit Kindestagen an, aber...

Weiterlesen

Datenschutz mal vom Ende her gedacht

Das Thema Datenschutz war seit jeher eines, das mit...

Weiterlesen