INARA-Doppelinterview mit Martina Sattler, MA, von der BDO und RA MMag. Johannes Duy: „Wer sich ernsthaft mit der DSGVO beschäftigt, hat nichts zu befürchten“

INARA: Genau am 25. Mai 2018, treten die neue EU-Datenschutzgrundverordnung (DSGVO) und das dazugehörige österreichische Datenschutzanpassungsgesetz 2018 in Kraft. Welche Ratschläge haben Sie in diesem Zusammenhang für EPU und kleine KMU, wie sollen die sich jetzt noch konkret vorbereiten?
Martina Sattler, MA: Auch wenn die Vorbereitungszeit eigentlich schon vorbei ist, empfehle ich, sich zumindest ab jetzt ernsthaft mit den neuen gesetzlichen Gegebenheiten auseinanderzusetzen. Man sollte aber die Kirche im Dorf lassen, Grund zur Panik besteht sicher nicht. Grundsätzlich gilt die DSGVO natürlich auch für kleine Unternehmen und EPU, wenn sie personenbezogene Daten verarbeiten. Manches, wie etwa ein Datenschutzbeauftragter, wird aber für sie nicht relevant sein.

INARA: Viel diskutiert wurde im Vorfeld bereits über den exorbitant hohen Strafrahmen, den die DSGVO vorsieht. Je nach Verstoß kann die Strafe künftig bis zu 20 Millionen Euro betragen. Das wäre nicht für nur kleine Unternehmen existenzbedrohend. Wie sehen Sie das?
MMag Johannes Duy, MBA: Die von Ihnen genannten Beträge – die Höchststrafe liegt tatsächlich bei 20 Millionen Euro oder vier Prozent des Jahresumsatzes – sind korrekt. Vor allem gegenüber der bisherigen Rechtslage, bedeutet das eine massive Verschärfung. Allerdings gehen Experten nicht davon aus, dass sehr kleine Firmen oder Einpersonen-Unternehmen ohne konkreten Anlassfall besonders im Fokus der Datenschutzbehörden stehen werden. Für den Anfang geht man davon aus, dass die Behörde bei leichteren Verstößen nicht gleich Geldstrafen verhängt, sondern die betroffenen Firmen zunächst lediglich abmahnt. Dafür wurde auch mit dem neuen § 11 DSG idF des Datenschutz-Deregulierungsgesetz 2018 (BGBl. 24/2018) eine entsprechende Rechtsgrundlage geschaffen.

INARA: Was sollte Ihrer Meinung nach jedes Unternehmen im Hinblick auf die DSGVO unbedingt beachten?
Sattler: Ganz wichtig ist es, zu dokumentieren, dass man sich mit der Materie beschäftigt hat und damit seine Rechenschaftspflichten gegenüber der Datenschutzbehörde und den Betroffenen erfüllt. Man muss sich vor allem bemühen, systematische Fehler zu vermeiden, also gegen die Grundsätze der DSGVO zu verstoßen. Dazu gehören u.a. Datenminimierung, Rechtmäßigkeit, Transparenz und Speicherbegrenzung. Alle Prozesse, in denen es um die Verarbeitung von personenbezogenen Daten geht, also Mitarbeiter, Kunden, Lieferanten, Dienstleister, Buchhaltung, Website, Newsletter usw. sollte man im Datenverarbeitungsverzeichnis erfassen. Wichtig ist weiters eine Risikoprüfung und allenfalls eine Abschätzung der Folgen, sollten Pannen auftreten. Man sollte sich also überlegen, was zu tun ist, wenn etwa Daten verloren gehen. Wenn es zu einem Data-Breach, also einer Datenpanne, kommt, sind strenge Vorschriften zu beachten. So muss man etwa eine Datenpanne wie einen Hackerangriff binnen 72 Stunden der Datenschutzbehörde melden, wenn es zu einer Verletzung des Schutzes personenbezogener Daten gekommen ist und damit ein Risiko für die Rechte und Freiheiten der Betroffenen besteht. Auf solche Fälle sollte man sich speziell vorbereiten und eine Liste bereithalten, was im Ernstfall zu tun ist. Weiters ist zu dokumentieren, welchen Virenschutz und welche Firewalls man hat, wie man mit Passwörtern umgeht, ob man heikle Daten nur verschlüsselt überträgt etc. – also alles, was zur Datensicherheit beiträgt. Je besser all das dokumentiert ist, desto eher kann man davon ausgehen, nicht in Konflikt mit der DSGVO zu kommen. Und sollte doch etwas „passieren“, können die dokumentierten Maßnahmen gemäß Artikel 83 DSGVO als „Milderungsgründe“ bei der Strafbemessung berücksichtigt werden.
Duy: Man muss sich vor Augen halten, dass es ein Grundrecht auf Datenschutz gibt. Jegliche Datenanwendung ist daher grundsätzlich verboten, soweit sie nicht aufgrund einer Ausnahme zulässig ist. Um Daten zu verarbeiten braucht man also eine Rechtsgrundlage, einen Vertrag, eine Zustimmungserklärung etc. Das gilt nicht nur für neue Kunden, man muss sich unbedingt auch den Altbestand ansehen und gegebenenfalls auch hier ergänzende oder verbesserte Einwilligungen einholen. Hierzu ist auch wichtig, dass diese jederzeit widerrufen werden können. Beruft man sich auf das Erfordernis der Verarbeitung zur Erfüllung einer vertraglichen oder gesetzlichen Pflicht oder aber auf ein überwiegendes Interesse, können Daten nur im tatsächlich notwendigen Ausmaß verarbeitet werden. Dies bedeutet auch, dass die diesbezüglich verarbeiteten Daten nicht ewig gespeichert und damit auch verarbeitet werden dürfen weshalb auch die Erstellung eines Löschkonzepts erforderlich ist.

INARA: Wer genau sind die Adressaten der DSGVO? Vor allem kleinere Unternehmen im Dienstleistungsbereich sind oft nicht sicher, ob und inwieweit sie betroffen sind.
Sattler: Ganz wichtig ist in diesem Zusammenhang die Unterscheidung zwischen den unterschiedlichen Rollen. So kann ein Unternehmen Verantwortlicher oder Auftragsverarbeiter sein.. Der Auftragsverarbeiter – früher hieß er Dienstleister – bekommt den Auftrag, Daten im Rahmen einer bestimmten Dienstleistung im Auftrag und nach Weisung des Verantwortlichen zu erbringen. Dies ist z.B. dann der Fall, wenn ein Unternehmen zur Erstellung und Wartung seiner IT Infrastruktur einen externen Dienstleister beauftragt und dieser umfangreiche Einschau und Zugriffsrechte z.B. „Admin“ Rechte hat oder aber z.B. im Fernwarteweg direkten Zugriff auf die Computer und Daten des Verantwortlichen hat.
Duy: Der Auftragsverarbeiter ist selbst auch für Verstöße gegen die DSGVO haftbar. Er kann bei eigenen Verstößen gegen die DSGVO direkt belangt werden und wird sein Verhalten auch seinem Auftraggeber, also dem Verantwortlichen zugerechnet. Wenn man selbst Aufträge vergibt, sollte man sich deshalb bestätigen lassen, dass der Dienstleister die gesetzlichen Bestimmungen einhält. In diesen Fällen ist zwischen dem Verantwortlichen und dem Auftragsverarbeiter verpflichtend ein Auftragsverarbeitervertrag abzuschließen, der hier die wesentlichen Rechte und Pflichten und insbesondere die Einhaltung von angemessenen technischen und organisatorischen Maßnahmen zum Schutz der Betroffenen festlegt.

INARA: Gibt es im technischen Bereich Dinge, auf die man achten muss?
Duy: Wenn ein Unternehmen einen Newsletter versendet, was ja auch viele kleine Firmen und EPU tun, muss es dafür die nötigen Zustimmungen haben. Vorsicht ist geboten, wenn man für seinen Newsletterversand Tools oder Programme nutzt, die von Unternehmen mit einem Sitz in einem Drittland betrieben werden, wie z.B. Mailchimp verwendet. Bei diesem Programm der Firma The Rocket Science Group LLC befindet sich der Server dafür in den USA. Diesfalls müssen hinreichende Garantien (in diesem Fall die aufrechte Privacy Shield Zertifizierung als gemäß Angemessenheitsbeschluss der Kommission ausreichender Nachweis für ein hinreichendes Schutzniveau eingeholt werden. Ähnliches gilt auch, wenn man personenbezogene Daten in einer Cloudlösung speichert bei der nicht zugesagt wurde, dass die Daten nur innerhalb der EU verarbeitet werden. Empfehlenswert ist es daher, einen Cloud-Anbieter zu wählen, der entweder den „Verbleib“ der Daten in der EU zusagt, oder aber anders DSDGVO-zertifiziert ist. In Zukunft wird es hierfür gesonderte Zertifizierungsstellen geben, die aktuell noch nicht eingerichtet bzw. definiert wurden. Damit hat man als verantwortlicher Auftraggeber das Haftungsrisiko im Griff.

INARA: Im täglichen Geschäftsleben erhält man immer wieder Visitenkarten. Darf man die darauf angegebenen Daten verwenden, ohne gegen die DSGVO zu verstoßen?
Sattler: Erhält man im Rahmen eines geschäftlichen Kontaktes die Kontaktdaten eines (potentiellen) Geschäftspartners, so wird man diesen in seiner Funktion zum Zwecke der Anbahnung bzw. Abwicklung einer diesbezüglichen Geschäftsbeziehung auch kontaktieren können. Dies gilt aber nicht uneingeschränkt für alle Zwecke – und es darf die Person daher nicht außerhalb ihrer Funktion oder abstrakt zu Werbezwecken kontaktiert werden. Wir bei der BDO würden uns allerdings wünschen, dass die Datenschutzbehörde hier noch eine genaue Auslegung liefert, um Rechtssicherheit zu schaffen.

INARA: Gibt es weitere Schutzbestimmungen in der DSGVO?
Duy: Daten von Kindern (Personen unter 14 Jahren) sind besonders geschützt, hier ist also Vorsicht geboten. Auch das „Profiling“ – dabei werden personenbezogene Daten automatisiert verarbeitet und mehrere Informationen aus teilweise unterschiedlichen Quellen kombiniert, um damit das Verhalten eines Individuums vorherzusagen und Entscheidungen darüber zu treffen – ist nur unter bestimmten Voraussetzungen erlaubt und z.B. in Bezug auf besondere Kategorien von Daten nicht erlaubt. Generell gilt ein erhöhtes Schutzniveau für besondere Kategorien von Daten, wie Gesundheitsdaten, die beispielsweise bei im Zusammenhang mit der Mitarbeiterverwaltung anfallen können. Auch die Religionszugehörigkeit, die für die Personalverrechnung benötigt wird, gilt als besondere Kategorie von Daten und ist damit besonders (angemessen) zu schützen.

INARA: Die DSGVO schreibt ja ausdrücklich auch eine Reihe von Betroffenenrechten fest, etwa das Recht auf Auskunft, Löschung bzw. Berichtigung ihrer Daten oder die Datenübertragbarkeit. Wie sehen künftig die Auskunftspflichten gegenüber Kunden aus?
Sattler: Auf Anfrage muss das Unternehmen als Verantwortlicher mitteilen, ob überhaupt Daten des Anfragenden verarbeitet werden. Ist das der Fall, muss der Kunde (Betroffene) über die Datenverarbeitung informiert werden. In der Praxis wird man den anfragenden Betroffenen zunächst bitten, seine Identität nachzuweisen. Erst danach wird man ihm die gewünschte Auskunft geben.

INARA: Wie sieht Ihre Conclusio zum heiklen Thema DSGVO aus?
Sattler: Wir bei BDO Austria sind der Auffassung, dass alle Probleme im Zusammenhang mit den neuen rechtlichen Bestimmungen lösbar sind. Wichtig ist es vor allem, sich ernsthaft damit zu befassen und alles zu dokumentieren. Dann muss man auch keine Angst vor einer möglichen Geldstrafe haben.
Duy: Auch wenn die DSGVO schon in Kraft getreten ist, ist es für weitere Umsetzungsmaßnahmen nicht zu spät. Auch kleine Unternehmen haben ein umfassendes Aufgabenpaket abzuarbeiten. Je früher man beginnt, desto eher kann man Rechtskonformität sicherstellen.

Autorin: Dr. Brigitta Schwarzer, MBA

Martina Sattler, MA, zählt zu den Experten zum Thema Datenschutz der BDO Österreich. Gemeinsam mit Mag. Gabriele Bolek-Fügl betreut sie Kunden in Zusammenhang mit datenschutzrechtlichen Fragen. Zu ihren beruflichen Schwerpunkten zählen neben Datenschutz, Forensic, Interne Revision und Compliance. Ihre diversifizierten Erfahrungen aus nationalen und internationalen Forensicprojekten, der Wirtschaftsprüfung, sowie der Erstellung von Gutachtensentwürfen für die Österreichische Staatsanwaltschaft prägen ihre professionelle Arbeitsweise. www.bdo.at

DUY Rechtsanwalt GmbH ist eine auf die Bereiche Wirtschaftsrecht und Unternehmensrecht spezialisierte Anwaltskanzlei. www.duy-rechtsanwalt.at

Fotocredit: Foto Tschank

Fotocredit: Nik Pichler; Credit: NIK PICHLER 2017