Der 25. Mai 2018 ist ein wichtiger Stichtag für alle Unternehmer in der EU. Mit diesem Tag endet die 2-jährige Übergangsfrist zur Umsetzung der sogenannten DSGVO – Datenschutzgrundverordnung (span. RGPD - Reglamento General de Protección de Datos). Wie schon in der letzten Ausgabe erwähnt, steht mit diesem Stichtag eine wesentliche Änderung an, wie z. B., dass das Nutzen der Applikation WhatsApp für Unternehmer untersagt und unter Strafe gestellt wird. Der Einfachheit halber verwenden wir in Folge nur die Kurzbezeichnung DSGVO. Wir baten daher Bernhard Knötig, der seit Jahrzehnten in der IT-Branche tätig ist (siehe Kasten), uns die Regelungen „laientauglich“ zu erklären. Mit diesem EU-weiten Regelwerk werden einheitliche Standards für Datenschutz innerhalb der Gemeinschaft geschaffen. Sie gelten auch für Unternehmen, die zwar nicht in der EU angesiedelt sind, jedoch personenbezogene Daten von EU-Bürgern verarbeiten.
Ziel ist es, einen sehr hohen Schutz dieser Daten zu erreichen und zu verhindern, dass Unternehmen (personenbezogene) Daten ohne stichhaltigen Grund sammeln und somit zum Beispiel Persönlichkeitsprofile erstellen können. Zudem enthält diese Verordnung auch das „Recht auf Vergessen werden“. Eines gleich vorweg: selbst offizielle Stellen geben teilweise die Auskunft „naja, es wird nichts so heiß gegessen wie es gekocht wird, die haben ja noch nicht einmal das nationale Recht übernommen.“
Dazu eine ganz klare Aussage: Das ist insofern falsch, als eine EU-Verordnung (im Gegensatz zu einer Richtlinie) unabhängig von nationalem Recht gilt. Die einzige Möglichkeit von Abweichungen sind sogenannte Öffnungsklauseln, die allerdings in der Regel nur Verschärfungen zulassen. In Deutschland z.B. das BDSG (Bundesdatenschutzgesetz) oder in Österreich das DSG (Datenschutzanpassungsgesetz 2018). In Spanien ist noch kein Gesetz diesbezüglich verabschiedet worden. Ein Vorprojekt eines Gesetzes zum Schutz persönlicher Daten (span. Anteproyecto de ley orgánica de protección de datos de carácter personal) gibt es zwar im Entwurf, beschlossen ist jedoch noch nichts. Die wichtigsten Punkte: Whistleblowing in Unternehmen betreffend Verstößen gegen den Datenschutz wird ausdrücklich erlaubt, Kinder können ab 13 Jahren die Einwilligung zur Speicherung ihrer Daten abgeben, Datenschutzbeauftragte (siehe weiter unten) werden in vielen Unternehmen Pflicht.
Sogenannte personenbezogene Daten dürfen nur mehr für klar definierte Zwecke verwendet werden. Klar definierte Zwecke sind zum Beispiel bei einem Kauf eines Gegenstandes der mit Gewährleistung verkauft wird (bei Privatpersonen in der EU zwei Jahre) dürfen b.z.w. müssen die Daten des Kunden zwei Jahre aufgehoben werden, um diese im Anspruchsfall zur Hand zu haben. Nach Ablauf der Gewährleistungsfrist müssen diese in aller Regel gelöscht werden. Ausnahmen sind dann Serviceverträge oder ähnliches.
Ihr Recht auf Auskunft und vergessen werden: Auf Ihre Aufforderung hin muss ein Unternehmen innerhalb eines Monats (in Ausnahmefällen drei Monate) Ihnen Auskunft geben, welche Daten von Ihnen gespeichert sind und zu welchem Zweck. Auf Ihre Aufforderung hin muss das Unternehmen dann diese Daten löschen. Wiederum: Es gibt Ausnahmen, wie z.B. die Krankenakte eines Arztes, der verpflichtet ist diese über viele Jahre vorzuhalten.
• Was sind eigentlich personenbezogene Daten?
Personenbezogene Daten sind laut DSGVO (wörtlich Art. 4.1.) „alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.“
Eine zusätzliche Klassifizierung stellen sensible Daten dar, das sind unter anderem Daten zu Religion, politischer Anschauung, sexueller Orientierung oder Gesundheitsdaten. Diese Daten sind besonders schützenswert und dürfen nur im unbedingt notwendigen Ausmaß gespeichert werden. So ist es beispielsweise Firmen gestattet, in den Personalakten das Religionsbekenntnis zu speichern, um Arbeitnehmern an bestimmten Feiertagen frei zu geben. Die sexuelle Orientierung darf jedoch ebenso wenig abgespeichert werden wie gesundheitsbezogene Daten. Auch hier gibt es Ausnahmen, wie z. B. Invalidität, wenn damit Einschränkungen in der dienstlichen Verwendbarkeit gegeben sind.
Gibt es Unternehmen, die keine personenbezogenen Daten verarbeiten? Unwahrscheinlich, da jeder Kundenkontakt, die Daten von Angestellten und auch von Lieferanten personenbezogene Daten beinhalten.
Ein wichtiger Punkt dem in vielen Unternehmen noch zu wenig Aufmerksamkeit geschenkt wird: Personenbezogene Daten in der Cloud dürfen nur noch dort gespeichert werden, wo die Einhaltung der DSGVO Standards gewährleistet ist! Damit sind JEGLICHE SERVER in den USA als Datenspeicherort ganz klar verboten. Microsoft hat darauf reagiert und stellt Kunden innerhalb Europas Rechenzentren in der EU zur Verfügung und garantiert, dass diese Daten nicht in die USA weitergegeben werden. Dies wurde auf Rückfrage von der österreichischen Datenschutzbehörde bestätigt. Amazon beispielsweise schreibt auf ihrer AWS Seite (Amazon Web Services, Stand 12. April 2018), dass sie DSGVO-konform sein werden, wenn diese in Kraft tritt. Auch Google verspricht die Richtlinien der DSGVO einzuhalten. Die Verantwortung liegt letztendlich beim Unternehmen selbst und bedingt zumindest eine schriftliche Vereinbarung mit dem Cloud-Anbieter (siehe unten).
• Datenverarbeitung im eigenen Haus
Wenn Sie personenbezogene Daten innerhalb des eigenen Unternehmens verarbeiten, dann müssen Sie jede Verarbeitung in einem eigenen „Verzeichnis der Verarbeitungstätigkeiten“ festhalten. U. a. enthält dieses Verzeichnis den Zweck der Verarbeitung (z.B. Adressen für den Versand einer Zeitschrift an Abonnenten), ob diese Daten weitergegeben werden (z. B. an die Druckerei, um die Adress-Etiketten zu drucken), vorgesehene Fristen zur Löschung (z. B. bei Kündigung des Abonnements). Wenn Sie Daten außer Haus geben ist das im Sinne der DSGVO eine sogenannte Auftragsdatenverarbeitung. Ein klassisches Beispiel wäre die Lohnverrechnung. Es ist zwingend vorgeschrieben, dass Sie mit jedem Dienstleister einen Vertrag zur Auftragsverarbeitung (AV-Vertrag gemäß Art. 28 DSGVO) abschließen.
Ist es nicht notwendig, dass Personen in weitergegebenen Daten eindeutig identifiziert werden können (zum Beispiel für Statistiken, Programmtests etc.) sind die Daten zu pseudonymisieren. Das heißt, dass die Daten so unkenntlich gemacht werden, dass kein Rückschluss auf eine einzelne Person gezogen werden kann. In der Praxis bedeutet das, dass zum Beispiel mit eindeutigen Nummern versehene Datensätze weitergegeben werden, wo innerhalb der Datei willkürlich Namen und/oder Adressen vertauscht werden.
• Ein Berufsbild erlangt hohe Bedeutung: Der Datenschutzbeauftragte
Während Unternehmen mit eigenen IT-Abteilungen mit umfangreichen Datenverarbeitungen, Behörden, öffentliche Stellen (ausgenommen Gerichte) gesetzlich dazu verpflichtet sind, einen speziell geschulten Fachmann zu verpflichten (als Dienstnehmer oder externen Berater), kommen die meisten Klein- und Mittelbetriebe ohne diesen aus. Im spanischen Gesetzentwurf werden ausdrücklich noch Bildungseinrichtungen, Unternehmen die Netzwerke und elektronische Kommunikationsdienste anbieten, Serviceprovider die für ihre Dienste persönliche Daten sammeln, Kreditinstitute und Unternehmen zur Beurteilung der Kreditwürdigkeit, Versicherungen, Energieversorger etc. genannt. Der Gesetzesentwurf sieht auch vor, dass ein Datenschutzbeauftragter spätestens 10 Tage nach Ernennung der spanischen Datenschutzbehörde namhaft gemacht werden muss. Selbst als Kleinunternehmer sind Sie nicht von der Verpflichtung entbunden sich aktiv mit dem Thema Datenschutz auseinanderzusetzen und für den Fall, dass Mitarbeiter im Unternehmen mit personenbezogenen Daten zu tun haben, diese auch entsprechend zu unterweisen und über diese Unterweisung schriftliche Aufzeichnungen zu führen.
Taxativ möchten wir hier nennen: Bildschirme auf denen personenbezogene Daten angezeigt werden können, dürfen nicht so stehen, dass unberechtigte Dritte Einblick auf diese Daten bekommen. Bei Verlassen des Arbeitsplatzes müssen solche Bildschirme gesperrt werden. Es ist verboten personenbezogene Daten an anderen als den festgelegten Orten zu speichern, insbesondere diese auf externe Datenträger zu ziehen bzw. außer Haus zu verwenden.
Wichtig ist in diesem Zusammenhang auch, dass eventuelle Home-Office Plätze speziell gesichert werden. Dass Kinder auf ein und demselben PC spielen, auf dem Mutter oder Vater beruflich arbeiten ist definitiv nicht zulässig!
Auch sollten Sie sich fragen, was passiert, wenn Mitarbeiter auf mobilen Endgeräten (Notebook, Tablet, Smartphone) personenbezogene Daten haben und diese abhandenkommen?
In jedem Fall sind Sie als Verantwortlicher verpflichtet unverzüglich (innerhalb 72 Stunden) nachdem eine Datenschutz-Verletzung bekannt wurde, dies der zuständigen Datenschutzbehörde (in Spanien die Agencia Española de Protección de Datos) zu melden.
Wird hier wieder einmal heißer gekocht als gegessen? In der DSGVO sicher nicht! Erstmals wird sogar ein proaktiver Schutz gefordert, gegebenenfalls überprüft und die Nichteinhaltung bzw. Verletzung mit exemplarisch hohen Strafen belegt. Der Strafrahmen für Verstöße beträgt bis zu 20 Millionen Euro bzw. 4 Prozent vom weltweiten Umsatz eines Unternehmens. Es gilt der jeweils höhere Wert!
Bernhard Knötig
Steckbrief Bernhard Knötig
Knötig ist IT-Spezialist, lebt in Wien, London und Gran Canaria. Er ist seit vielen Jahren mit den Themen Compliance und Datenschutz vertraut und hat mit Partnern für österreichische Behörden und Unternehmen Workshops zum Thema DSGVO entwickelt, die von mittlerweile mehreren hundert Teilnehmern besucht wurden.
Kontakt
Bernhard Knötig
Email: office@grancanaria-live.com