DSGVO: Time is running out

| Q1-online » COMPLIANCE » DSGVO: Time is running out

EU Datenschutzgrundverordnung:
Time is running out

Datenschutzgrundverordnung (DSGVO) (c) iStock
Datenschutzgrundverordnung (DSGVO) (c) iStock

Am 27. April 2016 wurde von der EU die neue Datenschutzgrundverordnung (EU-DSGVO) erlassen. Sie gilt ab 25. Mai 2018, macht umfangreiche Dokumentationserfordernisse, Prüfungen und teilweise massive Umstellungen notwendig. Aus Gesprächen mit Unternehmensvertretern, Rechtsanwälten und Unternehmensberatern kristallisiert sich heraus, dass maximal 30 bis 40 Prozent aller betroffenen Unternehmen Vorkehrungen getroffen und am Stichtag alle nforderungen erfüllt haben werden.
Text: MAG. MARKUS LENOTTI

Da es zu empfindlich hohen Strafen kommen kann, sollten Unternehmen trotzdem mit einer Art Notfallprogramm versuchen, die größten Risiken zu beseitigen. Im Umkehrschluss bedeutet dies, dass auch nach Ende Mai noch viel Arbeit wartet, um bittere Konsequenzen zu
vermeiden. Die Thematik darf also keinesfalls ignoriert werden. Oder wie es ein Kollege treffend ausgedrückt hat, wir haben vielleicht 5 von 42 Kilometer des Marathons absolviert und dieser endet nicht am 25.5.2018.

 

Sanktionen

Wo drohen Ihnen nun die höchsten Risiken? Werfen wir zuerst einen Blick auf die Befugnisse der Datenschutzbehörde und mögliche Sanktionen (Art. 58 & 83).

 

Die Datenschutzbehörde kann:

1. Maßnahmen anordnen

2. eine Verarbeitung rügen

3. eine Verarbeitung untersagen

4. Geldbußen verhängen

 

Finanzielle Sanktionen kommen in zwei Stufen: Die geringere Stufe (2 Prozent, EUR 10 Mio. Höchstbetrag) droht bei Verletzung der Pflichten von Verantwortlichen und Auftragsverarbeitern, die Höchststrafe mit bis zu 4 Prozent, EUR 20 Mio.) droht, wenn die Rechte Betroffener verletzt werden.

 

Risikominimierung

Die folgende Aufzählung von Bereichen richtet sich nach der Höhe der finanziellen Sanktionen und nach Art des Geschäftsmodelles, die unterschiedlich hohe Gefährdungen mit sich bringen. Welche Aufgaben sind nach der Datenschutzgrundverordnung also in jedem Fall zu erfüllen?

 

Fehlendes Verfahrensverzeichnis

Ohne ein sorgfältig erstelltes Verfahrensverzeichnis geht es nach der DSGVO gar nicht. Ein fehlendes Verfahrensverzeichnis ist das offensichtlichste Versäumnis eines Verantwortlichen und wird mit Strafen bis zwei Prozent oder zehn Millionen Euro des Konzernumsatzes sanktioniert. Ohne das Verzeichnis können Sie auch die Informationspflichten, die Beantwortung von Betroffenenanfragen und die verpflichtende Meldung von Datenschutzvorfällen an die Behörde oder Betroffene nicht seriös erfüllen. Auch droht Ihnen durch Anzeige unzufriedener Betroffener (zum Beispiel Kunden oder Mitarbeiter) an die Datenschutzbehörde weitere Gefahr.

 

Fehlende Rechtsgrundlage

Eine Verarbeitung personenbezogener Daten ohne Rechtsgrundlage ist – außer im privaten Bereich – untersagt. Sie müssen daher eine korrekte Rechtsgrundlage sicherstellen. Meist wird das ein Vertrag, eine Einwilligung oder das berechtigte Interesse (dieses muss gut begründet werden) sein. Einwilligungen müssen diversen formellen Anforderungen genügen, wie etwa klare einfache Sprache, Information über Rechte, Freiwilligkeit et cetera. Nicht vorliegende Einwilligungen müssen Sie einholen und vertragliche Lücken über Zusatzvereinbarungen schließen. Kontrollieren Sie alle Auftragsverarbeiterverträge, um ein Auswahlverschulden und eine solidarische Haftung zu vermeiden.

 

Fehlende Datenschutzfolgeabschätzung – Verarbeitungen personenbezogener sensibler Daten

Eine Risikofolgenabschätzung für die Verarbeitungen sensibler Daten (zum Beispiel Sozialversicherungsnummer, Gesundheitsdaten, Religion und so weiter) ist ein Muss. Beschreiben Sie Abwägungen und notwendige Maßnahmen zur Risikominimierung beziehungsweise Compliance. Für HR-Daten, Lohnverrechnung, Videoüberwachung müssen Sie immer eine Datenschutzfolgeabschätzung vornehmen. Befand sich eine Verarbeitung bisher in der Standard- und Musterverordnung 2004 idgF, so können Sie nicht automatisch davon ausgehen, dass nach der Datenschutzgrundverordnung alle bisher umfassten Anwendungen in die zukünftig sogenannte White-List übernommen werden und Sie somit keine Datenschutzfolgeabschätzung vornehmen müssen!

 

Awareness und Schulung

Bei vielen Führungskräften abseits von Rechts-, Compliance oder IT-Abteilungen ist noch ein geringes Bewusstsein vorhanden. Sorgen Sie für eine ausreichende Schulung der Führungskräfte und aller Mitarbeiter. Diese Schulungsmaßnahmen sollten Sie im eigenen Interesse dokumentieren. Es handelt sich um eine Compliance-Materie, hier ist der „tone from the top“ wichtig. Die Aussage der Geschäftsleitung, dass das Thema von der IT- und Rechtsabteilung ohne Involvierung der Führungskräfte abgedeckt wird, reicht nicht aus. Auch wenn Sie dies an den CIO oder IT-Mitarbeiter delegieren, gelten die Sorgfaltspflichten der Geschäftsleitung nach § 25 GmbHG oder § 84 AktG. Bei schuldhafter Verletzung der Sorgfaltspflicht droht Ihnen im Rahmen der DSGVO Schadenersatz mit Beweislastumkehr.

 

Geschäftsmodell

Welche Geschäftsmodelle sind nun betroffen? Insbesondere B2C Geschäftsmodelle mit vielen Privatkunden (zum Beispiel Energieversorger, Hausverwaltungen, Banken, Versicherungen et cetera) oder Betriebe mit vielen Mitarbeitern und/oder Betriebsrat sind besonders gefährdet. Hier droht von zwei Seiten Gefahr. Die Wahrscheinlichkeit, dass eine Beschwerde eine Nachschau der Behörde auslöst, ist höher. Müssen Sie viele Anfragen Betroffener zeitaufwendig beantworten, kann auch dies das Tagesgeschäft massiv behindern. Das Risiko eines B2B Industriekomponentengroßhändlers ist hier wesentlich geringer.


Bestellung eines Datenschutzbeauftragten

Art. 37 DSGVO verpflichtet manche Verantwortliche, einen Datenschutzbeauftragten zu ernennen. Fehlt der Datenschutzbeauftragte trotz Notwendigkeit stellt dies eine Pflichtverletzung dar. Dem Datenschutzbeauftragten (-koordinator) kommt eine wesentliche Brückenfunktion zu: Er muss interdisziplinär rechtliche, technische, betriebswirtschaftliche und organisatorische Themen kompetent behandeln und moderieren können, da es sich bei Datenschutzthemen um eine Querschnittsmaterie handelt. In vielen Fällen wird die Bestellung eines Datenschutzbeauftragten für österreichische Unternehmen (ACHTUNG: Regelungen in Deutschland sind strenger) nicht notwendig sein.

 

Erfüllung Informationspflichten & Betroffenenrechte

Art. 13 - 21 der Datenschutzgrundverordnung spezifizieren mannigfache Informationspflichten für Verantwortliche beziehungsweise Auftragsverarbeiter und Rechte für Betroffene (zum Beispiel Löschung, Änderung, Datenportabilität et cetera). Diese Pflichten sind mit kurzen Fristen versehen. Den Informationspflichten und der Aufklärung der Betroffenen müssen Sie unbedingt nachkommen. Arbeiten Sie auf diesen nach außen sichtbaren Flanken schlampig, ist das eine Einladung für unzufriedene Kunden, missgünstige Wettbewerber und andere, Ihnen Aufwand, Ärger und finanziellen Schaden zu verursachen. Dabei müssen Sie jegliche nach außen weisende Kommunikation über analoge (Papier) oder digitale Kanäle (wie Homepage), die Verträge, AGBs, Einwilligungserklärungen, Website Checkboxes et cetera enthalten, berücksichtigen.
Stellen Sie die effiziente Erfüllung der Betroffenenrechte über standardisierte Prozesse sicher. Bündeln Sie Anfragen an einer organisatorischen Stelle und stellen Sie vorab Mustervorlagen zusammen.


Privacy by design und by default erfüllt?

Anwendungen müssen Sie vorab technisch so gestalten und einstellen, dass ein größtmögliches Maß an Datenschutz gewährleistet ist. Beispiele wären die Verschlüsselung sensibler Daten oder das Verbot auf Webseiten Checkboxes bei Zustimmungserklärungen vorab auszufüllen.


Vorbereitung Meldung von Verstößen gegen die DSGVO

Verantwortliche müssen nach den Bestimmungen der Datenschutzgrundverordnung sofort, längstens aber 72 Stunden nach Kenntnis einer Datenpanne eine Meldung an die Datenschutzbehörde und nach Maßgabe auch an Betroffene erstatten. Für diesen Notfall sollte vorab ein Notfall-Team gebildet und notwendige Schritte in einem Prozess abgebildet sein. Sonst ist keine zeitnahe Reaktion gewährleistet und dann drohen sehr wahrscheinlich hohe Strafen.

 

Prüfung/Überarbeitung rechtlich relevanter Dokumentation?

Sie müssen Vertragsmuster, AGBs, Standardvertragsklauseln, Betriebsvereinbarungen, Dienstverträge, Verträge mit Auftragsverarbeitern, Einwilligungserklärungen et cetera prüfen, aktualisieren und gegebenenfalls neu einholen. Das gleiche gilt für interne Richtlinien und Policies. Kurzum, Sie müssen die gesamte betroffene Dokumentation identifizieren, prüfen und gegebenenfalls anpassen. Dabei sollten Sie für die Betroffenen eine einfache und verständliche Sprache verwenden.

 

Betriebsrat und Arbeitnehmerrechte

Betroffene sind auch Mitarbeiter. Existiert ein Betriebsrat, so sind nach §91 ff ArbVG die Mitwirkungsrechte des Betriebsrats zu berücksichtigen. Der Betriebsrat sollte eingebunden werden, viele Regelungen betreffend personenbezogene Daten von Mitarbeitern (zum Beispiel Telefonanalagen-Logdateien, Daten der Zutrittskontrollsysteme et cetera) sollten mit einer Betriebsvereinbarung oder Vereinbarungen im Dienstvertrag abgedeckt werden.

 

Einführung eines DSMS - Periodische Überprüfung

Die oben beschrieben Maßnahmen sind keine Einmalübung. Art. 24 der DSGVO verlangt eine periodische Überprüfung der getroffenen Maßnahmen. Mittel- und langfristig bedeutet das für mittlere und große Organisationen die Einführung eines (Datenschutz)managementsystems (DSMS) analog eines Information-Security Systems (ISMS) nach ISO 27001. Um doppelte Aufwände bei der periodisch notwendigen Überprüfung zu vermeiden, sollten insbesondere große Organisationen mit komplexen Verarbeitungen an automatisierte Tools zur Erstellung des Verarbeitungsverzeichnisses und der Risikofolgenabschätzungen denken. Leider sind viele der derzeit angebotenen Tools noch nicht ausgereift, in der Bedienung komplex und auch zu teuer. Trotzdem sollten das Verarbeitungsverzeichnis und die Risikofolgenabschätzung zumindest in strukturierter Form (= in einer Tabellenkalkulation und nicht als Textdokument) erfasst werden, um eine automatisierte Überleitung zu erleichtern.


Abschliessende Betrachtungen zur DSGVO

Für Unternehmen, die mit der Umsetzung spät dran sind oder gerade begonnen haben, kann es nur noch darum gehen, bis Ende Mai die vorher angeführten größten Risiken und offenen Flanken zu beseitigen. Am besten versetzen Sie sich in die Position des Betroffenen: Wie könnte man Sie als Verantwortlichen am meisten stören und behindern? Aus diesen Überlegungen leiten sich jene Maßnahmen ab, die Sie gemäß der Datenschutzgrundverordnung unbedingt erfüllen müssen. Dieser Artikel kann keine detaillierte Abklärung betriebswirtschaftlicher, technischer oder organisatorischer Maßnahmen sowie die notwendige rechtliche Beratung ersetzen. Oft ist die Realität viel komplexer. Die angerissenen Themen ermöglichen Ihnen, sich auf größten Risiken für Ihre eigene Organisation zu fokussieren.
Hat man seine Umsetzungsmaßnahmen sorgfältig dokumentiert, so ist es unwahrscheinlich, dass die Datenschutzbehörde bei Mängeln eine Strafe aussprechen wird (Beweislastumkehr!), sie wird es wohl bei einer Anordnung, Rüge oder einer Aufforderung zu Verbesserung belassen. Als Nebeneffekt erlangen die Mitarbeiter ein besseres Verständnis für die verwendeten Informationsbestände und deren Wert.

 

bezahlte Anzeige

DIESE BEITRÄGE KÖNNTEN SIE AUCH INTERESSIEREN

bezahlte Anzeige

PMA Sky ROS Juli bis Oktober 2018

ÜBER DEN AUTOR

Keine Beiträge gefunden.

ANFRAGE ZUM BEITRAG

Sie möchten nähere Details zu diesem Beitrag? Haben Fragen zu den dargestellten Themen oder zu vorgestellten Produkten und Lösungen? Schreiben Sie uns Ihr Anliegen und wenn wir die Antwort nicht parat haben, finden wir sie gerne für Sie heraus.

Please enter your name.
Please enter a subject.
Please enter a message.

Zur Beantwortung Ihrer Frage speichern wir die von Ihnen eingegebenen Daten. Unsere Datenschutzrichtlinien können Sie hier einsehen.

You must accept the Terms and Conditions.

BÜCHER ZUM BEITRAG

Buchcover Compliance-Management_FOTO_©-Austrian-Standards
Buchcover EU-DSGVO

AM MEISTEN GELESEN