Direkt zum Inhalt

Datenschutz als Wettbewerbsvorteil

11.12.2017

Gewissenhafter Datenschutz ist allen wichtig, aber im Unternehmen mit Sensibilität und viel ­Aufwand verbunden. 2018 werden die Regeln strenger, Experten sehen aber keinen Grund zur Panik.

Ein halbes Jahr bleibt den heimischen Unternehmern, um sich den kommenden neuen Datenschutzvorgaben zu stellen. Basis ist die EU-Datenschutz-Grundverordnung (DSGVO) vom 4. Mai 2016. Sie definiert Maßnahmen „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“. Es geht darum, was von Personen – ob Mitarbeiter oder Kunde – an Daten erhoben und was davon wie lange gespeichert werden darf; es wird definiert, wer welche Daten weitergeben darf und welche Sorgfaltspflichten die an dieser Datenverarbeitung Beteiligten dabei haben.

An die EU-Vorgaben wurde vergangenen Juli im Nationalrat das aus dem Jahr 2000 stammende „Bundesgesetz über den Schutz personenbezogener Daten“ angepasst. Die neuen Regeln sind ab 25. Mai 2018 rechtskräftig. Das noch geltende Gesetz hatte einigen Novellierungsbedarf, wenn man die Entwicklungen der vergangenen 18 Jahre betrachtet: E-Mail-Fluten, Newsletter-Marketing, Unternehmensblogs, Social-Media-Aktivitäten u. v. m. – wer hätte dies alles zur Jahrtausendwende vorwegnehmen können? Und welches Unternehmen weiß in jedem Fall, in welchem Umfang dafür personenbezogene Daten gespeichert wurden und laufend weitergegeben werden? Entsprechend groß ist die Verunsicherung. Dabei geben Datenschutzexperten Entwarnung, was die Grundlagen betrifft: Prinzipiell bleibe ja alles möglich, was auch bisher erlaubt war – weil Österreich nämlich schon jetzt sehr strenge Datenschutzgesetze hat. Im Umkehrschluss war aber auch einiges von dem, was die Unternehmen nun vielleicht sorgenvoll als kommende Einschränkung sehen, schon bisher untersagt. Allerdings drohen bei Verstößen gegen den Datenschutz künftig höhere Strafen, zumindest wenn Fahrlässigkeit oder gar Vorsatz im Spiel sind.

Die „Rechtmäßigkeit der Verarbeitung“ ist zentral

In Vorträgen und Infoveranstaltungen erlebe er oft, „wie mit nun drohenden Bußgeldern Ängste geschürt werden“, sagt Michael Karl, IT Senior Consultant und Data Protection Officer bei der Delta Netconsult GmbH. Das sei der falsche Zugang, denn: Wenn ein Unternehmen „technisch und organisatorisch“ verantwortungsvoll agiere und entsprechend den Richtlinien vorgesorgt habe, werde das im Fall einer Datenschutzpanne natürlich berücksichtigt. Dies ist auch eindeutig in Artikel 83 der DSGVO vermerkt. Grundsätzlich müssen sich die Unternehmen nun einmal damit beschäftigen, welche Kriterien für die Zulässigkeit der Datenerhebung und -speicherung gelten, weshalb Karl mit Delta auch einen Zwölf-Stufen-Plan entwickelt hat, der in Form von Firmenworkshops vermittelt wird.

Katharina Bisset von der Anwaltskanzlei Gheneff – Rami – Sommer verweist auf die in Artikel 6 der DSGVO geregelte „Rechtmäßigkeit der Verarbeitung“. Als wichtigste Punkte für den unternehmerischen Alltag seien daraus die Einwilligung der betroffenen Person zur Verarbeitung ihrer Daten bzw. die Datenverwendung im Rahmen einer Vertragserfüllung zu berücksichtigen. „Was bisher an Daten gespeichert wurde, ist nicht automatisch illegal“, so Bisset. Das gilt umso mehr, wenn sich ein Unternehmen schon bisher nur im gesetzlichen Rahmen bewegte. Es gebe aber jedenfalls den Grundsatz, dass man „so wenig Daten wie nötig und diese so kurz wie möglich“ speichert. Wenn es also keine gesetzlichen Aufbewahrungsfristen für einen Datensatz gibt oder – nach Abwicklung eines Geschäfts – bestimmte personenbezogene Datensätze nicht mehr zwingend benötigt werden, sollte man sie löschen. Und diesen Vorgang auch nachvollziehbar dokumentieren.

Dass das Geburtsdatum eines Kunden zu den im Rahmen der Vertragserfüllung zweckmäßig erhobenen Infos gehören kann, scheint klar; die Frage, ob eine von aufmerksamen Kundenbetreuern im Datensatz ergänzte musikalische Vorliebe zulässig ist, hänge wiederum von weiteren Faktoren ab. Sollte der Kunde zugestimmt haben, dass ihm Werbematerialien zugesandt werden darf, könnte dies auch in Form einer Aufmerksamkeit zum Geburtstag, etwa einer CD, die auf der erwähnten Basis ausgewählt wird, geschehen.

Abwägen der Interessen auf rechtlicher Basis

Dem Wunsch einer Person auf Löschung ihrer Daten ist aber nicht in jedem Fall nachzukommen. So erklärt Michael Karl z. B. im Umgang mit Mitarbeiterinformationen, bei denen es sich natürlich genauso wie bei Kundeninfos um personenbezogene Daten handelt: Nachdem Unternehmer verpflichtet sind, einem Exmitarbeiter bis zu 30 Jahre rückwirkend ein Dienstzeugnis auszustellen, sei die Rechtmäßigkeit zur Speicherung und Aufbewahrung der personenbezogenen Daten gegeben. Selbst auf eine Verzichtsvereinbarung dürfe man sich nicht verlassen. Sollte der Mitarbeiter nämlich seine Meinung ändern und rückwirkend ein Zeugnis wünschen, gelte die Rechtsgrundlage, wonach dieses eben auszustellen wäre; wofür dann allerdings die Datenbasis fehlen würde.

Wirklich sensible Personendaten, wie sie in Artikel 9 der DSGVO definiert sind – betreffend die rassische und ethnische Herkunft, politische Meinungen, Weltanschauung sowie biometrische Daten, oder auch Daten zum Sexualleben etc. – werden in der Bauwirtschaft eher selten ein Thema sein. Jedoch stellt die Menge an Partnern und Subunternehmern wohl eine größere Herausforderung dar als in anderen Branchen. Rechtsexpertin Bisset sieht hier eine wichtige Rolle für die öffentlichen Auftraggeber, die „besonders streng“ auf die Einhaltung von Datenschutzvorschriften pochen bzw. diese von Auftragnehmern entsprechend einfordern müssten. Als Auftragnehmer heißt es wiederum, sich – neben der eigenen Verantwortung im Umgang mit Daten – einerseits gegenüber dem Auftraggeber betreffend der Verwendung von an diesen übermittelten Personendaten vertraglich abzusichern; zum anderen sind die rechtlichen Standards von beschäftigten Subunternehmern genau so einzufordern – ob vom beauftragten Installateur oder auch von der Partner- firma, deren Baggerfahrer die Baugrube aushebt. Dabei gelte es auch, sich zu versichern, „dass die ihre Daten nicht zum Beispiel bei irgendeiner kleinen Softwarebude in Asien speichern“.

Mitunter gehen auch große Unternehmen sehr lasch mit den Datenschutzregeln um, das zeigt der aktuelle Fall des US-amerikanischen Fahrtendienstvermittlers Uber. Wie Ende November bekannt wurde, gab es einen Datenleak. Mitarbeiter des Unternehmens sollen versehentlich ihre Login-Daten in einem Onlineforum veröffentlicht haben; damit hätten sich Hacker Kundendaten verschafft, deren Veröffentlichung Uber jedoch mit einer Geldzahlung verhindert haben will. Die verpflichtende Meldung an die Datenschutzbehörde erfolgte jedoch erst gut ein Jahr nach dem Vorfall, weshalb dem Unternehmen in den USA nun wohl gehöriger Zores droht.

Nichtmeldung von Leaks: kein Kavaliersdelikt

Im Falle einer Fahrlässigkeit, aufgrund derer einem österreichischen Unternehmen personenbezogene Daten abhanden kommen, sollten sich die Verantwortlichen jedenfalls sofort an die heimische Datenschutzbehörde wenden. Zumindest innerhalb der definierten Melde- frist von 72 Stunden, wie Ursula Illibauer erklärt, Referentin für Datenschutz in der Wirtschaftskammer, Bundessparte Information und Consulting. An einem einfachen Beispiel dargestellt: Wenn ein Mitarbeiter eines Unternehmens seinen Firmenlaptop im Zug liegen lässt, auf dem sich personenbezogene Daten befinden, ist die entsprechende Behördenmeldung bereits notwendig. Selbst wenn der Computer innerhalb der dreitägigen Frist wieder auftaucht: Ein eventueller Passwortschutz für das Gerät werde nicht als ausreichende Sicherung anerkannt, „und natürlich könnte zwischenzeitlich eine Kopie der Daten angefertigt worden sein“. Wer diese Meldefrist versäumt – noch dazu bewusst –, wird eine Strafe ausfassen, die wehtut; hier gelte das Prinzip, dass die Strafe zwar verhältnismäßig, aber auch abschreckend sein soll.

Selbst wenn im Vorfeld „technisch und organisatorisch“ vorbildlich gehandelt wurde: Gerade gegenüber einer juristischen Person – und in so einem Fall ist eben nicht primär der Mitarbeiter oder sein für das Meldeversäumnis verantwortlicher Vorgesetzter mit Strafe bedroht, sondern das Unternehmen – wird seitens der Behörden kaum Milde zu erwarten sein.

Besonderes Augenmerk ist auch auf die Zusammenarbeit mit „Auftragsverarbeitern“ zu legen, betont Illibauer. Das sind alle Geschäftspartner, die man mit der Verarbeitung von Personendaten beauftragt. Das ist z. B. auch für den einfachen Baumeister relevant, der als Einzelunternehmer einen Steuerberater beauftragt. Sobald diesem mit der Buchhaltung Rechnungen übermittelt werden, sind stets auch personenbezogene Daten mit im Spiel – und seien es nur die darauf enthaltenen Namen in Verbindung mit (beruflichen) Adressen, Telefonnummern und E-Mail-Adressen. Illibauer: „Wenn beim externen Auftragsverarbeiter mit diesen Daten etwas passiert, dann ist man dafür mitverantwortlich.“ Ohne Cloudservices grundsätzlich verteufeln zu wollen – gerade die großen Diensteanbieter würden sich derzeit auch um eine durchgehende DSGVO-Konformität bemühen –, wäre abzuklären, ob und wofür der Steuerberater diese nutzt. Vorsicht ist geboten, wenn eine solche Anfrage beim Gegenüber zum Aha-Erlebnis führt und offenbart, dass das Thema bisher so gar nicht im Bewusstsein war.

Die gern bei (Privat-)Kunden – auch zum Beispiel nur für einen Kostenvoranschlag – erhobene Sozialversicherungsnummer sei datenschutzrechtlich zumindest „eine graue Zone“, wie Illibauer anmerkt. Wenn damit der Verwechslung von namensgleichen Personen vorgebeugt und im weiteren Verlauf vielleicht die Kredit- würdigkeit eines potenziellen Käufers für eine Eigentumswohnung über eine Auskunftei geprüft werde, könnte die nötige Zweckmäßigkeit wohl auch in der Bau- und Immobilienwirtschaft gegeben sein. Als Standardangabe für jegliche Interessenbekundung natürlicher Personen am unternehmerischen Angebot wäre die Forderung dieser Detailinformation jedoch bedenklich. Ebenso ist es kaum nötig, das Religionsbekenntnis in einem beruflichen Bewerbungsverfahren zu erheben. Das kann nachgeholt werden, sobald jemand in ein Dienstverhältnis aufgenommen wird, um dann zum Beispiel den Anspruch auf zusätzliche gesetzliche Feiertage abzuklären. Selbst wenn man als Unternehmen schon gut dastehe – also in der Vergangenheit alles richtig gemacht oder sich über die vergangenen Monate mit der neuen Gesetzeslage beschäftigt hat –, sollte man keine Zeit verlieren, um allfällig noch bestehende Defizite abzuklären. Darüber sind sich die Experten einig, denn sechs Monate (bis zur Rechtsverbindlichkeit der neuen Datenschutzregeln) sind im unternehmerischen Kontext meist alles andere als eine lange Zeit.

Partner und Mitarbeiter sensibilisieren

Für diese gut 180 Tage lassen sich aus den Expertengesprächen nun fünf Empfehlungen ableiten:

  1. Die Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten (laut Artikel 30 der DSGVO), in dem alle Datenverarbeitungsvorgänge, inbesondere Verarbeitungszwecke, Aufbewahrungsfristen etc. erhoben und dafür Verantwortliche definiert werden. Die WKO stellt ein entsprechendes Musterdokument zur Verfügung.
  2. Wenn in diesem Rahmen die Herkunft bestimmter Datensätze nicht mehr nachvollziehbar erscheint, sollten sie auch nicht mehr verwendet, sondern gelöscht werden – und die betroffenen Personen künftig auch z. B. keinen Newsletter mehr erhalten.
  3. Eine daraus abgeleitete Löschung dieser Daten ist (wie jede weitere künftige Löschung) entsprechend zu dokumentieren.
  4. (Bestimmte) Datenbezogene Verarbeitungsprozesse sollten technisch eingeschränkt sowie nur eindeutig definierten Mitarbeitern (bzw. Funktionen) ermöglicht werden. Damit wird Missbrauch und fehlerhafter Verwendung vorgebeugt.
  5. Geschäftspartner und Mitarbeiter müssen für den rechts- konformen Datenschutz frühzeitig sensibilisiert, Letztere auch entsprechend fachlich geschult werden.

Natürlich stellen diese Empfehlungen keinen vollständigen Leitfaden zur erfolgreichen Umsetzung der ab Mai geltenden Richtlinien dar: Verbindlich ist dafür nur der Gesetzestext. Übrigens betrifft der Datenschutz auch papierene Dokumente, also z. B. Ausdrucke – die ja einen elektronischen Ursprung bedingen – oder Kopien. Geraten diese in die falschen Hände und werden daraus Daten veröffentlicht, wäre der Nachweis schwierig, dass diese „nur“ von einem Papierstück stammen und es keinen Hack der Unternehmensserver gab, wie die Experten zu denken geben. In diesem Sinn sollte auch der Büroschreibtisch stets aufgeräumt, sollten sensible Dokumente zum Feierabend weggesperrt und Archive verschlossen werden.

Jene Marktteilnehmer, die sich der Problematik gewissenhaft stellen und dies auch glaubhaft nach außen zu kommunizieren vermögen, dürften „mit einer Steigerung ihrer Reputation rechnen“, meint IT-Berater Karl abschließend. Laut Illibauer könnte das für Partner und Kunden sogar wie ein „Gütesiegel“ wirken: „Wir sind datenschutzkonform“ als Vorteil am europäischen Markt.

Autor/in:
Bernhard Madlener
Werbung

Weiterführende Themen

Recht
12.11.2018

Es ist allgemein bekannt, dass Abreden über Preise oder die Beteiligung bei Ausschreibungen verboten sind. Neu ist, dass das Bundesvergabegesetz 2018 (BVergG 2018) die Schwelle für den Ausschluss ...

Recht
12.11.2018

Im Vertragsrecht gilt „pacta sunt servanda“, Verträge sind einzuhalten! Trotzdem schwebt oft ein Vertragsrücktritt wie das Damoklesschwert über einem Bauprojekt.

Recht
19.10.2018

Bauherr und Bauunternehmer verfolgen (im Idealfall) dasselbe Ziel, nämlich den erfolgreichen Abschluss des Bauvorhabens. Damit dieses Ziel erreicht wird, treffen in der Praxis nicht nur den ...

Recht
19.10.2018

Bieterlücken werden häufig in Ausschreibungen verwendet. Dabei ist oft die Frage, ob eine nicht sorgfältig ausgefüllte Bieterlücke zum Ausscheiden des Angebots führt, zu beantworten.

Recht
09.10.2018

Nebenpflichten, die dem reibungslosen Ablauf des Werkvertrages dienen, können vertraglich vereinbart werden oder sich aus der Übung des redlichen Verkehrs sowie dem Gesetz ergeben.

Werbung