advantage: Wann kommt die Europäische Datenschutzgrundverordnung (DSGVO) zur Anwendung?

Christina Kitz-Überall: Sobald personenbezogene Daten erhoben, genutzt oder verarbeitet werden sind Unternehmen im Anwendungsbereich der DSGVO. Personenbezogene Daten sind all jene Daten, die einen Rückschluss auf eine Person zulassen (wie etwa Name, IP-Adresse, Mailadresse oder Telefonnummer). Einfach gesagt: Sobald ich Kunden und/ oder Mitarbeiter habe, falle ich in die DSGVO und bin als Unternehmer verantwortlich für die Umsetzung und Einhaltung derselbigen. Dabei ist egal, wie groß mein Unternehmen ist, wieviel Daten verarbeitet werden, ob es eine heikle Tätigkeit ist oder nicht – jedes österreichische Unternehmen ist betroffen.

Wie kann ich als Unternehmen für die Umsetzung der DSGVO Sorge tragen?

Datenschutz ist viel Arbeit, ich muss mich damit auseinandersetzen und es abbilden. Es ist wichtig, die Mitarbeiter zu schulen und entsprechend im Umgang mit personenbezogenen Daten zu sensibilisieren. Es sollten nur jene Daten verarbeitet werden, die ich als Unternehmen wirklich brauche, Stichwort: Keine Daten horten und Aufbewahrungs- und Löschfristen im Auge behalten. Des Weiteren sind Unternehmen verpflichtet ein Verarbeitungsverzeichnis zu führen, in welchem alle Datenverarbeitungen angeführt sind. Die Aufzeichnungen können zum Beispiel in Form einer Exceldatei erfolgen und in einzelne Datenverarbeitungen (wie etwa Kundendatenbank, Rechnungslegung, Buchhaltung und Mitarbeiterdaten) gegliedert sein.

Mit welchen Anfragen müssen Unternehmen in punkto DSGVO rechnen?

Durch die „Google Fonts“-Abmahnwelle ist das Auskunftsbegehren wieder stärker in den Fokus gerückt. Das heißt, etwa ein Kunde oder ein Mitbewerber fragt im Unternehmen an, welche Daten von ihm vorliegen bzw. verarbeitet werden. Das Wichtigste, was Unternehmen dabei beachten müssen: Egal, ob das Auskunftsbegehren inhaltlich beantwortet werden kann und wie ich ein Auskunftsbegehren beantworte, ich muss innerhalb eines Monates reagieren (etwa mittels eingeschriebenem Brief oder mit einem verschlüsselten E-Mail). Und: Auch wenn ich keine Daten habe, muss ich eine Auskunft erteilen!

Was ist beim Betreiben einer Firmenwebseite aus DSGVO-Sicht beachten?

Datenschutz ist nichts Statisches, sondern etwas Dynamisches. Das bedeutet, ich muss meine Webseite ständig „überwachen“. Nicht nur, weil sich eventuell die Verarbeitungstätigkeiten des Unternehmens verändern, sondern weil sich in der Rechtsprechung rund um die DSGVO immer viel tut. Beim Datenschutz spielt außerdem die technische Komponente eine zentrale Rolle. Als Betreiber einer Webseite bin ich verantwortlich für die Daten, diese Verantwortung kann nicht abgegeben werden. Ich rate daher, die Webseite jedenfalls auf den technisch und rechtlich neuesten Stand zu bringen und zu halten und dies zweimal jährlich zu überprüfen. Jeder Websitebetreiber muss sich damit auseinandersetzen, welche Daten für welchen Zweck aufgrund ­welcher Rechtsgrundlage für wie lange wo gespeichert werden, insbesondere sollte der Betreiber wissen, wenn Daten an Server in Staaten außerhalb der EU (zum Beispiel USA) übermittelt werden. Nicht zu vergessen ist auch die Prüfung, ob Cookies eingesetzt werden und ob dies auch rechtskonform erfolgt. Die Wirtschaftskammer Kärnten bietet ihren Mitgliedern dazu ein kostenloses Service an.

Unter welchen Voraussetzungen sind Unternehmen verpflichtet einen Datenschutzbeauftragten zu bestellen?

Auch das legt die DSGVO klar fest. Wenn die Kerntätigkeit darin besteht, dass sensible Daten verarbeitet werden (wie etwa Gesundheitsdaten in einem Krankenhaus) oder wenn die Kerntätigkeit dazu führt, dass systematisch überwacht wird (wie etwa bei Banken, Versicherungen, Kreditauskunfteien und Berufsdetektiven), dann bin ich als Unternehmen gesetzlich dazu verpflichtet einen Datenschutzbeauftragten zu bestellen. Alle anderen Unternehmen können einen Datenschutzbeauftragten bestellen, müssen dies aber nicht. Wenn jedoch „freiwillig“ ein Datenschutzbeauftragter bestellt wird, muss auch ­dieser namentlich der Datenschutzbehörde gemeldet und den Kunden gegenüber publik gemacht werden. Ratsam ist es aber in allen Fällen eine Person im Betrieb zu nominieren, die für die Umsetzung des Datenschutzes zuständig ist.