Direkt zum Inhalt
 © Delta, Bisset, Illibauer © Delta, Bisset, Illibauer © Delta, Bisset, Illibauer © Delta, Bisset, Illibauer

Datenschutz als Wettbewerbsvorteil

15.03.2018

Gewissenhafter Datenschutz ist allen wichtig, aber im Unternehmen mit Sensibilität und viel ­Auf-wand verbunden. 2018 werden die Regeln strenger, Experten sehen aber keinen Grund zur Panik.

Wenige Monate bleibt den heimischen Unternehmern, um sich den kommenden neuen Datenschutzvorgaben zu stellen. Basis ist die EU-Datenschutz-Grundverordnung (DSGVO) vom 4. Mai 2016. Sie definiert Maßnahmen „zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Verkehr solcher Daten“. Es geht darum, was von Personen – ob Mitarbeiter oder Kunde – an Daten erhoben und was davon wie lange gespeichert werden darf; es wird definiert, wer welche Daten weitergeben darf und welche Sorgfaltspflichten die an dieser Datenverarbeitung Beteiligten dabei haben.

Die neuen Regeln sind ab 25. Mai 2018 rechtskräftig. Das noch geltende Gesetz hatte einigen Novellierungsbedarf, wenn man die Entwicklungen der vergangenen 18 Jahre betrachtet: E-Mail-Fluten, Newsletter-Marketing, Unternehmensblogs, Social-Media-Aktivitäten u. v. m. Welches Unternehmen weiß in jedem Fall, in welchem Umfang dafür personenbezogene Daten gespeichert wurden und laufend weitergegeben werden? Entsprechend groß ist die Verunsicherung.

Dabei geben Datenschutzexperten Entwarnung, was die Grundlagen betrifft: Prinzipiell bleibe ja alles möglich, was auch bisher erlaubt war – weil Österreich schon jetzt sehr strenge Datenschutzgesetze hat. Im Umkehrschluss war aber auch einiges von dem, was die Unternehmen nun vielleicht sorgenvoll als kommende

Einschränkung sehen, schon bisher untersagt. Allerdings drohen bei Verstößen gegen den Datenschutz künftig höhere Strafen. 

Die „Rechtmäßigkeit der Verarbeitung“ ist zentral

In Vorträgen und Infoveranstaltungen erlebe er oft, „wie mit nun drohenden Bußgeldern Ängste geschürt werden“, sagt Michael Karl, IT Senior Consultant und Data Protection Officer bei der Delta

Netconsult GmbH. Das sei der falsche Zugang, denn: Wenn ein Unternehmen „technisch und organisatorisch“ verantwortungsvoll agiere und entsprechend den Richtlinien vorgesorgt habe, werde das im Fall einer Datenschutzpanne natürlich berücksichtigt. Dies ist auch eindeutig in Artikel 83 der DSGVO vermerkt. Grundsätzlich müssen sich die Unternehmen nun einmal damit beschäftigen, welche Kriterien für die Zulässigkeit der Datenerhebung und -speicherung

gelten, weshalb Karl mit Delta auch einen Zwölf-Stufen-Plan entwickelt hat, der in Form von Firmenworkshops vermittelt wird.

Katharina Bisset von der Anwaltskanzlei Gheneff – Rami – Sommer verweist auf die in Artikel 6 der DSGVO geregelte „Rechtmäßigkeit der Verarbeitung“. Als wichtigste Punkte für den unternehmerischen Alltag seien daraus die Einwilligung der betroffenen Person zur Verarbeitung ihrer Daten bzw. die Datenverwendung im Rahmen einer Vertragserfüllung zu berücksichtigen. „Was bisher an Daten gespeichert wurde, ist nicht automatisch illegal“, so Bisset. Das gilt umso mehr, wenn sich ein Unternehmen schon bisher nur im gesetzlichen Rahmen bewegte. Es gebe aber jedenfalls den Grundsatz, dass man „so wenig Daten wie nötig und diese so kurz wie möglich“ speichert. Wenn es also keine gesetzlichen Aufbewahrungsfristen für einen Datensatz gibt oder – nach Abwicklung eines Geschäfts – bestimmte personenbezogene Datensätze nicht mehr zwingend benötigt werden, sollte man sie löschen. Und diesen Vorgang auch nachvollziehbar dokumentieren. 

Dass das Geburtsdatum eines Kunden zu den im Rahmen der Vertragserfüllung zweckmäßig erhobenen Infos gehören kann, scheint klar; die Frage, ob eine von aufmerksamen Kundenbetreuern im Datensatz ergänzte musikalische Vorliebe zulässig ist, hänge wiederum von weiteren Faktoren ab. Sollte der Kunde zugestimmt haben, dass ihm Werbematerialien zugesandt werden darf, könnte dies auch in Form einer Aufmerksamkeit zum Geburtstag, etwa einer CD, die auf der erwähnten Basis ausgewählt wird, geschehen. 

Abwägen der Interessen auf rechtlicher Basis

Dem Wunsch einer Person auf Löschung ihrer Daten ist aber nicht in jedem Fall nachzukommen. So erklärt Michael Karl z. B. im Umgang mit Mitarbeiterinformationen, bei denen es sich natürlich genauso wie bei Kundeninfos um personenbezogene Daten handelt: Nachdem Unternehmer verpflichtet sind, einem Exmitarbeiter bis zu 30 Jahre rückwirkend ein Dienstzeugnis auszustellen, sei die Rechtmäßigkeit zur Speicherung und Aufbewahrung der personenbezogenen Daten gegeben. Selbst auf eine Verzichtsvereinbarung dürfe man sich nicht verlassen. Sollte der Mitarbeiter nämlich seine Meinung ändern und rückwirkend ein Zeugnis wünschen, gelte die Rechtsgrundlage, wonach dieses eben auszustellen wäre; wofür dann allerdings die Datenbasis fehlen würde.

Wirklich sensible Personendaten, wie sie in Artikel 9 der DSGVO definiert sind – betreffend die rassische und ethnische Herkunft, politische Meinungen, Weltanschauung sowie biometrische Daten, oder auch Daten zum Sexualleben etc. – werden in der Bauwirtschaft eher selten ein Thema sein. Jedoch stellt die Menge an Partnern und Subunternehmern wohl eine größere Herausforderung dar als in anderen Branchen. Rechtsexpertin Bisset sieht hier eine wichtige Rolle für die öffentlichen Auftraggeber, die „besonders streng“ auf die Einhaltung von Datenschutzvorschriften pochen bzw. diese von Auftragnehmern entsprechend einfordern müssten. Als Auftragnehmer heißt es wiederum, sich – neben der eigenen Verantwortung – einerseits gegenüber dem Auftraggeber betreffend der Verwendung von an diesen übermittelten Personendaten vertraglich abzusichern; zum anderen sind die rechtlichen Standards von beschäftigten Subunternehmern genau so einzufordern – ob vom beauftragten Installateur oder auch von der Partnerfirma, deren Baggerfahrer die Baugrube aushebt. Dabei gelte es auch, sich zu versichern, „dass die ihre Daten nicht zum Beispiel bei einer kleinen Softwarebude in Asien speichern“.

Nichtmeldung von Leaks: kein Kavaliersdelikt

Im Falle einer Fahrlässigkeit, aufgrund derer einem österreichischen Unternehmen personenbezogene Daten abhanden kommen, sollten sich die Verantwortlichen jedenfalls sofort an die heimische Datenschutzbehörde wenden. Zumindest innerhalb der definierten Meldefrist von 72 Stunden, wie Ursula Illibauer erklärt, Referentin für Datenschutz in der Wirtschaftskammer, Bundessparte Information und Consulting. An einem einfachen Beispiel dargestellt: Wenn ein Mitarbeiter eines Unternehmens seinen Firmenlaptop im Zug liegen lässt, auf dem sich personenbezogene Daten befinden, ist die entsprechende Behördenmeldung bereits notwendig. Selbst wenn der Computer innerhalb der dreitägigen Frist wieder auftaucht: Ein eventueller Passwortschutz für das Gerät werde nicht als ausreichende Sicherung anerkannt, „und natürlich könnte zwischenzeitlich eine Kopie der Daten angefertigt worden sein“. Wer diese Meldefrist versäumt – noch dazu bewusst –, wird eine Strafe ausfassen, die wehtut; hier gelte das Prinzip, dass die Strafe zwar verhältnismäßig, aber auch abschreckend sein soll.

Besonderes Augenmerk ist auch auf die Zusammenarbeit mit „Auftragsverarbeitern“ zu legen, betont Illibauer. Das sind alle Geschäftspartner, die man mit der Verarbeitung von Personendaten beauftragt. Das ist z. B. auch für den einfachen Baumeister relevant, der als Einzelunternehmer einen Steuerberater beauftragt. Sobald diesem mit der Buchhaltung Rechnungen übermittelt werden, sind stets auch personenbezogene Daten mit im Spiel – und seien es nur die darauf enthaltenen Namen in Verbindung mit (beruflichen) Adressen, Telefonnummern und E-Mail-Adressen. Illibauer: „Wenn beim externen Auftragsverarbeiter mit diesen Daten etwas passiert, dann ist man dafür mitverantwortlich.“ Ohne Cloudservices grundsätzlich verteufeln zu wollen – gerade die großen Diensteanbieter würden sich derzeit auch um eine durchgehende DSGVO-Konformität bemühen –, wäre abzuklären, ob und wofür der Steuerberater diese nutzt. Vorsicht ist geboten, wenn eine solche Anfrage beim Gegenüber zum Aha-Erlebnis führt und offenbart, dass das Thema bisher so gar nicht im Bewusstsein war.

Die gern bei (Privat-)Kunden – auch zum Beispiel nur für einen Kostenvoranschlag – erhobene Sozialversicherungsnummer sei datenschutzrechtlich zumindest „eine graue Zone“, wie Illibauer anmerkt. Wenn damit der Verwechslung von namensgleichen Personen vorgebeugt und im weiteren Verlauf vielleicht die Kreditwürdigkeit eines potenziellen Käufers für eine Eigentumswohnung über eine Auskunftei geprüft werde, könnte die nötige Zweckmäßigkeit wohl auch in der Bau- und Immobilienwirtschaft gegeben sein. Als Standardangabe für jegliche Interessenbekundung natürlicher Personen am unternehmerischen Angebot wäre die Forderung dieser Detailinformation jedoch bedenklich. 

Ebenso ist es kaum nötig, das Religionsbekenntnis in einem beruflichen Bewerbungsverfahren zu erheben. Das kann nachgeholt werden, sobald jemand in ein Dienstverhältnis aufgenommen wird, um dann zum Beispiel den Anspruch auf zusätzliche gesetzliche Feiertage abzuklären.

Selbst wenn man als Unternehmen schon gut dastehe – also in der Vergangenheit alles richtig gemacht oder sich über die vergangenen Monate mit der neuen Gesetzeslage beschäftigt hat –, sollte man keine Zeit verlieren, um allfällig noch bestehende Defizite abzuklären. 

Jene Marktteilnehmer, die sich der Problematik gewissenhaft stellen und dies auch glaubhaft nach außen zu kommunizieren vermögen, dürften „mit einer Steigerung ihrer Reputation rechnen“, meint IT-Berater Karl abschließend. Laut Illibauer könnte das für Partner und Kunden sogar wie ein „Gütesiegel“ wirken: „Wir sind datenschutzkonform“ als Vorteil am europäischen Markt.

Werbung
Werbung