„Sobald ich Kunden und/ oder Mitarbeiter habe, falle ich in die DSGVO und bin als Unternehmer verantwortlich für die Umsetzung und Einhaltung derselbigen!“
Foto: WK Kärnten
Christina Kitz-Überall: Sobald personenbezogene Daten erhoben, genutzt oder verarbeitet werden sind Unternehmen im Anwendungsbereich der DSGVO. Personenbezogene Daten sind all jene Daten, die einen Rückschluss auf eine Person zulassen (wie etwa Name, IP-Adresse, Mailadresse oder Telefonnummer). Einfach gesagt: Sobald ich Kunden und/ oder Mitarbeiter habe, falle ich in die DSGVO und bin als Unternehmer verantwortlich für die Umsetzung und Einhaltung derselbigen. Dabei ist egal, wie groß mein Unternehmen ist, wieviel Daten verarbeitet werden, ob es eine heikle Tätigkeit ist oder nicht – jedes österreichische Unternehmen ist betroffen.
Datenschutz ist viel Arbeit, ich muss mich damit auseinandersetzen und es abbilden. Es ist wichtig, die Mitarbeiter zu schulen und entsprechend im Umgang mit personenbezogenen Daten zu sensibilisieren. Es sollten nur jene Daten verarbeitet werden, die ich als Unternehmen wirklich brauche, Stichwort: Keine Daten horten und Aufbewahrungs- und Löschfristen im Auge behalten. Des Weiteren sind Unternehmen verpflichtet ein Verarbeitungsverzeichnis zu führen, in welchem alle Datenverarbeitungen angeführt sind. Die Aufzeichnungen können zum Beispiel in Form einer Exceldatei erfolgen und in einzelne Datenverarbeitungen (wie etwa Kundendatenbank, Rechnungslegung, Buchhaltung und Mitarbeiterdaten) gegliedert sein.
„Sobald ich Kunden und/ oder Mitarbeiter habe, falle ich in die DSGVO und bin als Unternehmer verantwortlich für die Umsetzung und Einhaltung derselbigen!“
Foto: WK Kärnten
Durch die „Google Fonts“-Abmahnwelle ist das Auskunftsbegehren wieder stärker in den Fokus gerückt. Das heißt, etwa ein Kunde oder ein Mitbewerber fragt im Unternehmen an, welche Daten von ihm vorliegen bzw. verarbeitet werden. Das Wichtigste, was Unternehmen dabei beachten müssen: Egal, ob das Auskunftsbegehren inhaltlich beantwortet werden kann und wie ich ein Auskunftsbegehren beantworte, ich muss innerhalb eines Monates reagieren (etwa mittels eingeschriebenem Brief oder mit einem verschlüsselten E-Mail). Und: Auch wenn ich keine Daten habe, muss ich eine Auskunft erteilen!
Datenschutz ist nichts Statisches, sondern etwas Dynamisches. Das bedeutet, ich muss meine Webseite ständig „überwachen“. Nicht nur, weil sich eventuell die Verarbeitungstätigkeiten des Unternehmens verändern, sondern weil sich in der Rechtsprechung rund um die DSGVO immer viel tut. Beim Datenschutz spielt außerdem die technische Komponente eine zentrale Rolle. Als Betreiber einer Webseite bin ich verantwortlich für die Daten, diese Verantwortung kann nicht abgegeben werden. Ich rate daher, die Webseite jedenfalls auf den technisch und rechtlich neuesten Stand zu bringen und zu halten und dies zweimal jährlich zu überprüfen. Jeder Websitebetreiber muss sich damit auseinandersetzen, welche Daten für welchen Zweck aufgrund welcher Rechtsgrundlage für wie lange wo gespeichert werden, insbesondere sollte der Betreiber wissen, wenn Daten an Server in Staaten außerhalb der EU (zum Beispiel USA) übermittelt werden. Nicht zu vergessen ist auch die Prüfung, ob Cookies eingesetzt werden und ob dies auch rechtskonform erfolgt. Die Wirtschaftskammer Kärnten bietet ihren Mitgliedern dazu ein kostenloses Service an.
Auch das legt die DSGVO klar fest. Wenn die Kerntätigkeit darin besteht, dass sensible Daten verarbeitet werden (wie etwa Gesundheitsdaten in einem Krankenhaus) oder wenn die Kerntätigkeit dazu führt, dass systematisch überwacht wird (wie etwa bei Banken, Versicherungen, Kreditauskunfteien und Berufsdetektiven), dann bin ich als Unternehmen gesetzlich dazu verpflichtet einen Datenschutzbeauftragten zu bestellen. Alle anderen Unternehmen können einen Datenschutzbeauftragten bestellen, müssen dies aber nicht. Wenn jedoch „freiwillig“ ein Datenschutzbeauftragter bestellt wird, muss auch dieser namentlich der Datenschutzbehörde gemeldet und den Kunden gegenüber publik gemacht werden. Ratsam ist es aber in allen Fällen eine Person im Betrieb zu nominieren, die für die Umsetzung des Datenschutzes zuständig ist.