(März 2018)
Gastartikel
Dr. Thomas Lutzer
Leiter der Fachbereichsbibliothek Rechtswissenschaften der Universität Wien
Gerade von der Montage zurück finden Sie am Schreibtisch eine Nachricht vor: "Fr. Müller bittet um Rückruf unter der Nummer 987 65 43, weil es in ihrer Wohnung in der Mustergasse 1 in 1010 Wien von der Decke tropft". Auf diesem einfachen Zettel finden sich jede Menge Daten.
Alle Unternehmen sind heute auf personenbezogene Daten ihrer Kunden angewiesen. Sie stellen ein wichtiges Kapital dar und werden üblicherweise in irgendeiner Form strukturiert aufbewahrt. Sobald Sie die Daten von Fr. Müller in einer Kartei aufnehmen, oder - was wahrscheinlicher ist - in ihrem Computer eine neue Kundin anlegen oder sonst irgendwie die Daten strukturiert aufbewahren, beginnt die Datenschutz-Grundverordnung zu greifen, da jetzt eine strukturierte Datensammlung vorliegt. Nicht anwendbar ist die Verordnung auf Datensammlungen im Familienbereich. Sie dürfen also weiterhin Familienfotos systematisch sammeln und aufbewahren, ohne sich über Datenschutz Gedanken zu machen.
Die Datenschutz-Grundverordnung (DSGVO) tritt in Österreich sowie in allen anderen EU-Staaten am 25. Mai 2018 in Wirkung und ist anzuwenden, wenn eine Verarbeitung von Daten stattfindet. Unter Verarbeitung versteht man Erheben, Erfassen, die Organisation, Ordnen, Speichern, Auslesen, Abfragen, Verwenden, Weitergeben, Verarbeiten, Bereitstellen, Abgleichen, Verknüpfen, Löschen von Daten.
Die Person, die Daten sammelt und verarbeitet, wird von der DSGVO als Verantwortlicher bezeichnet.
Die Verordnung ist dann nicht anzuwenden, wenn es sich um keine personenbezogenen Daten handelt oder es de facto unmöglich ist, die Daten mit einer Person in Verbindung zu bringen.
Was darf ich denn speichern?
Welche Daten von Fr. Müller dürfen Sie jetzt aufheben? Grundsätzlich gilt der Grundsatz der Datenminimierung! Das bedeutet, dass Sie nur die Daten speichern dürfen, die sachlich relevant sind. Außerdem müssen Sie sich überlegen, zu welchem Zweck Sie Daten speichern.
Weiters muss das Speichern rechtmäßig sein. Eine solche Rechtmäßigkeit stellt beispielsweise ein Vertragsverhältnis oder ein gesetzlicher Auftrag dar. So wird die Reparatur des Wasserschadens bei Fr. Müller auf Basis eines Werkvertrags erfolgen. Ein Rauchfangkehrer wiederum hat einen gesetzlichen Auftrag, in seinem Gebiet für Sicherheit zu sorgen, der ihn berechtigt, Daten der dort lebenden Personen zu verarbeiten.
Alternativ können Sie auch die Einwilligung des Betroffenen zur Verarbeitung der Daten für einen oder mehrere Zwecke einholen.
Wie lange darf ich die Daten speichern?
Was passiert mit den Daten, wenn der Wasserschaden bei Fr. Müller behoben ist? Müssen die personenbezogenen Daten von Fr. Müller dann gelöscht werden? Grundsätzlich müssen diese Daten gelöscht werden, wenn kein Zweck und keine Rechtsgrundlage für die weitere Speicherung und Verarbeitung vorliegt. Ist der Wasserschaden behoben und somit das Vertragsverhältnis beendet, fehlt die Rechtsgrundlage für die weitere Speicherung der Daten. Sie müssen gelöscht werden. Anders beim Rauchfangkehrer oder bei Ihrem Steuerberater, wobei Ersterer eine gesetzliche Grundlage und Zweiterer ein Vertragsverhältnis hat, das ihn aufgrund einer rechtlichen Erfordernis dazu zwingt, Ihre Daten mehrere Jahre lang aufzuheben. Aber auch hier gilt der Grundsatz der Datenminimierung, der es erlaubt, nur die notwendigen Daten zu bewahren.
Dies ist im Ergebnis sehr unerfreulich, da ja die Speicherung von Daten auch im Interesse des Kunden liegen kann. Denken Sie hier an Pläne, aus denen ersichtlich ist, wo z.B. Strom- und Wasserleitungen verlaufen. Eine solche Information könnte bei einem späteren Umbau sehr wichtig sein.
Was sollte ich machen, um auf der sicheren Seite zu sein?
Es empfiehlt sich, bei Abschluss eines Vertrags eine Datenschutzerklärung als fixen Bestandteil anzuschließen. Diese sollte als eigenständiges Formular vorliegen und darf sich nicht irgendwo verstecken. Darin sollten Sie anführen, welche Daten Sie zu welchem Zweck speichern, gegebenenfalls auch wie lange. Einer solchen Erklärung muss Ihr Vertragspartner ausdrücklich zustimmen und kann diese Einwilligung auch widerrufen.
Ebenso sollten Sie umgehend ein Verarbeitungsverzeichnis anlegen. Dieses muss alle Verarbeitungstätigkeiten enthalten, die in Ihre Zuständigkeit fallen. Zu empfehlen ist hier ein gut strukturiertes nicht zu detailliertes Verzeichnis, das nach verschiedenen Themenbereichen gegliedert ist (z.B. Personalverwaltung, Kundenverwaltung, etc.).
Vor allem in der Umstellungsphase auf das neue Datenschutzregime kommt folglich eine Menge Arbeit auf Sie zu, da Sie wahrscheinlich - wie beinahe alle KMUs - bisher keine Einwilligungserklärungen Ihrer Kunden eingeholt haben. Bereiten Sie also zunächst eine Einwilligungserklärung vor, damit Sie diese bei neuen Vertragsverhältnissen gleich mit unterschreiben lassen können. Machen Sie einen Plan, wie Sie mit den bisherigen Kunden in Kontakt treten, um von diesen ebenfalls Einwilligungserklärungen zu erhalten. Niemand erwartet, dass Sie im Mai bereits alle diese Erklärungen eingeholt haben. Aber Sie sollten zu diesem Zeitpunkt ein Verarbeitungsverzeichnis, das Formular der Einwilligungserklärung und einen Plan für das weitere Vorgehen vorweisen können.
All jene Daten, zu deren Aufbewahrung Sie keine Einwilligungserklärung Ihrer Kunden erhalten haben, müssen Sie löschen.
Treffen mich noch weitere Verpflichtungen?
Da die Rechte der Betroffenen von der DSGVO sehr weit abgesteckt sind, treffen Sie als Sammler von Daten gewisse Verpflichtungen. So müssen Sie jederzeit unverzüglich und unentgeltlich Auskunft darüber geben, welche Daten zur betroffenen Person gespeichert sind.
Zu löschen sind Daten, wenn sie für die Zwecke, für die sie erhoben wurden, nicht mehr benötigt werden oder die Einwilligung widerrufen wurde.
Eine weitere Verpflichtung trifft Sie in Zusammenhang mit Ihren IT-Systemen. Sie müssen sicherstellen, dass das System belastbar und die Vertraulichkeit garantiert ist. Sie übernehmen eine Art Garantie dafür, dass die Daten Ihrer Kunden gut aufbewahrt sind. Ein aktueller Virenschutz, eine Firewall und ein räumlich getrennt aufbewahrtes Backup der Daten erscheinen mir hier ein unumgängliches Kriterium zu sein. Neben technischen Maßnahmen müssen Sie auch Organisatorisches beachten wie beispielsweise: Welcher Mitarbeiter kann auf welche Daten zugreifen, sind Mitarbeiter im Umgang mit Daten geschult; sind Aktenschränke mit Kundenrechnungen versperrt?
Sollte dennoch etwas passieren, so müssen Sie umgehend den Betroffenen und die Datenschutzbehörde informieren und alles tun, um eventuelle Schäden vom Betroffenen fernzuhalten.
Muss ich Daten selbst verwalten?
Nein, das müssen Sie nicht. Sie als Verantwortlicher können die Verarbeitung auch mittels Vertrags auf einen sogenannten Auftragsverarbeiter auslagern. Dieser unterliegt dann dem gleichen Zweckbindungsgrundsatz wie Sie selbst. Selbstverständlich muss der Auftragsverarbeiter dann für angemessene Sicherheit der Daten sorgen und er unterliegt einer Verschwiegenheitspflicht. Außerdem ist es Ihre Pflicht zu überprüfen, was mit den von Ihnen übergebenen Daten passiert.
Fazit
Die DSGVO erhöht sehr stark die Sensibilität, die mit dem Umgang mit Daten verbunden ist. Während Großunternehmen schon längst mit solchen Vorgangsweisen vertraut sind, ist für KMUs ein großer Anfangsaufwand notwendig. Machen Sie daher unverzüglich einen Plan, damit Sie möglichst viele Daten, die Sie für Ihr Geschäftsfeld benötigen, erhalten können.