Datenschutzregeln krempeln die Firmenwelt um
In wenigen Monaten tritt die neue Datenschutz-Grundverordnung in Kraft. Vor allem Unternehmen müssen in vielen Bereichen umdenken. Sogar die Betriebskantine kann betroffen sein.
Daten ohne Zweck müssen gelöscht werden
RALF HILLEBRAND SALZBURG. Ein Firmen-Newsletter. Der gleiche, den man schon seit jeher verschickt. Der Empfängerkreis ist stetig gewachsen. Denn alle neuen Kontakte wurden ungefragt in den Verteiler eingetragen. Ab Ende Mai ist das – rein rechtlich – nicht mehr möglich. Mehr noch: Wer nicht nachweisen kann, dass seine Kunden dem Newsletter-Empfang zugestimmt haben, dem drohen zum Teil drakonische Strafen.
Es ist nur eine von vielen Ebenen, auf die sich die EU-DatenschutzGrundverordnung auswirken wird. Am 25. Mai 2018 wird die DSGVO schlagend. Jahrelang wurde über die neue Gesetzesgrundlage verhandelt. Ziel war es, den Datenschutz in das 21. Jahrhundert zu hieven. Die bislang letzte europaweite Grundlage stammt aus dem Jahr 1995 – einer Zeit, in der es weder Google noch Facebook und schon gar keine iPhones gab. Der Grundgedanke der neuen Regelung ist einfach erklärt: Es soll Firmen schwerer gemacht werden, personenbezogene Daten zu sammeln.
Die Datenschutz-Grundverordnung gilt unmittelbar auf EU-Ebene. Dennoch gibt es sogenannte Öffnungsklauseln, „die die nationalen Geschmacksrichtungen berücksichtigen“, wie Peter Harlander erläutert. Der Salzburger ist Anwalt und IT-Sachverständiger, seit Monaten hält er Vorträge zur neuen Grundverordnung. „Österreich hat die DSGVO minimal ergänzt. Deutschland hat da mehr gemacht.“Doch selbst die reine Grundverordnung komme auf 88 DIN-A4-Seiten. „Da kriegt man locker eine Straßenverkehrsordnung unter.“
Doch was ändert sich mit der DSGVO konkret? Und was müssen vor allem Firmen bis zum 25. Mai berücksichtigen? Die Adaptionen könnten derart aufwendig werden, dass es für Unternehmen schon zu spät sein kann, erst jetzt damit zu beginnen. Dennoch umreißt Harlander eine Aufgabenliste. Zunächst sollte man einen hausinternen Verantwortlichen für den Datenschutz festlegen. Für diesen muss jedoch keine eigene Stelle geschaffen werden. Eine solche, also ein Datenschutzbeauftragter, sei nur dann nötig, wenn eine Kerntätigkeit der Firma in der Datenverarbeitung liege. Dieser Datenschutzbeauftragte hat dann auch „eine Betriebsrat-ähnliche Stellung“.
Das Unternehmen sollte anschließend „personenbezogene Daten aufspüren, kategorisieren, auf Rechtmäßigkeit prüfen und Sanierungsmaßnahmen durchführen“. Im Grunde gebe es drei Datenkategorien: Daten zu Straftaten, besondere personenbezogene Daten – etwa Gesundheitsdaten oder die Religionszugehörigkeit – und sonstige personenbezogene Daten. Während Daten zu Straftaten sowieso nur unter ganz speziellen gesetzlichen Auflagen erhoben werden dürfen, müssen Firmen vor allem bei den besonderen personenbezogenen Daten vorsichtig sein. „An sich ist es verboten, diese zu verarbeiten“, erläutert Harlander. Doch es gibt Einschränkungen. Etwa, wenn es arbeits- oder sozialrechtlich notwendig ist. Im Zweifelsfall sollte man sich aber „eine zweckgebundene Einwilligung holen“. Und eine solche könnte sogar in der Betriebskantine nötig sein: Gibt ein Mitarbeiter an, stets nur koschere Speisen aufgetischt haben zu wollen, könnte das auf seine Religionszugehörigkeit schließen lassen. Und schon bräuchte es eine Einwilligung des Betroffenen, dass diese Information von der Kantine vermerkt werden darf.
Die sonstigen personenbezogenen Daten sind die größte Gruppe. Zu ihnen gehören etwa Adressoder Finanzinformationen. Solche Daten dürfen im Grunde nur noch erhoben werden, wenn dies nötig ist, um einen Vertrag mit dem Betroffenen zu erfüllen, es „im berechtigten Interesse des Verantwortlichen erfolgt“– oder wenn der Betroffene eine zweckgebundene Einwilligung gibt. Nutzer müssen also im Regelfall aktiv zustimmen, dass sie einen Newsletter bekommen wollen. „Es muss ein vordefinierter Verarbeitungszweck der Daten vorliegen. Wenn es diesen nicht gibt, sind die Daten zu löschen“, beschreibt Harlander. Und auch für den Einwilligungstext gibt es Auflagen: Dieser muss leicht zugänglich, hervorgehoben und in einfacher Sprache gehalten sein sowie verschiedene Infopflichten enthalten, etwa die Widerrufsmöglichkeiten.
Peter Harlander gibt den Rat, solche Texte vorfertigen zu lassen. Dies sei ebenso nötig, wie Verarbeitungsvorgänge zu definieren, die Speicherdauer festzulegen – Daten sollten nur so lange gespeichert werden, solange sie benötigt werden –, die IT-Sicherheit „auf den aktuellen Stand der Technik zu bringen“und die Mitarbeiter zu schulen. „Sonst kann der Prozess schon an der Telefonzentrale scheitern.“
Und was passiert, wenn man sich nicht an die Auflagen hält? Auf verwaltungsrechtlicher Ebene sind Strafen bis zu 20 Millionen Euro oder vier Prozent des Jahresumsatzes möglich. Summen, die selbst Google wehtun können. Auf zivilrechtlicher Ebene können nicht nur die Betroffenen, sondern ebenso Mitbewerber klagen. Anlaufstelle ist die heimische Datenschutzbehörde. Und die Behörde kann ohne Vorankündigung kontrollieren – und zwar beinahe alles, beschreibt Harlander. „Von der DSGVO sind sämtliche personenbezogenen Daten betroffen. Auch Daten, die auf Ihren Druckern gespeichert sind oder auf einem USB-Stick hinten in der Schreibtischschublade liegen.“
Datenschutzbeauftragter hat Betriebsratsrechte