Datenschutz: Hohe Strafen bei Verstößen
Auf den Millimeter genau misst Jörg Allinger den Bauplan für das Einfamilienhaus nochmals nach. Bei der Errichtung müssen sich seine Kollegen schließlich auf die Maße verlassen können. Seit Jahrzehnten errichtet das Bauunternehmen Schütz aus Weißenkirchen (Bezirk Krems) Häuser. Doch wenn auch nicht auf den ersten Blick ersichtlich, auch hier fallen jede Menge persönliche Daten an - von Kunden, Mitarbeitern, Lieferanten oder Subunternehmern.
Durch die neue Verordnung werden die Vorgaben in Sachen Datenschutz nun deutlich verschärft. Ab 25. Mai gilt: Werden solche Daten gesammelt, gespeichert oder weitergegeben, müssen die Betroffenen davor zustimmen. Und: „Es trifft wirklich jeden, der mit personenbezogenen Daten arbeitet“, hält Datenschutzexperte Rainer Knyrim fest.
Kunden müssen überall zustimmen
Das Bauunternehmen musste dafür alle Verträge adaptieren, erzählt Alice Schütz: „Unsere Lieferanten und Subfirmen müssen zusätzlich ein eigenes Blatt unterschreiben, auf dem aufgelistet ist, was die Datenschutzverordnung verlangt.“ Die Kunden müssen wiederum zustimmen, dass „wir projektbezogene Kontaktdaten, etwa die Adresse, an unsere Lieferanten weitergeben.“ Und auch für Fotos, die auf der Homepage verwendet werden, braucht es eine Zustimmung, selbst von Mitarbeitern.
ORF
Damit ein Betrieb Daten speichern darf, müssen Kunden oder Lieferanten künftig eindeutig erkennbar zustimmen
Laut Datenschutzexperte sei die neue Verordnung ein Verbotsgesetz: „Es ist grundsätzlich einmal alles verboten, außer es liegt eine Ausnahme vor, dass ich etwas tun darf.“ Zudem muss jeder Betrieb ein Datenschutzregister anlegen, ein elektronisches oder gedrucktes Protokoll, in dem sichtbar ist, wo welche Daten warum gespeichert werden. „Bei einer Kundendatenbank muss ich etwa hineinschreiben, welche Daten enthalten sind, wie lange ich diese aufhebe, wem ich sie schicke“, erklärt Knyrim.
Verordnung verlangt volle Transparenz
Diese Übersicht muss etwa bei Kontrollen der Datenschutzbehörde vorgelegt werden. Die erste Herausforderung sei dabei laut Knyrim alle personenbezogenen Daten, die in der Firma gespeichert sind, zu finden. Er betont dabei auch die Mitarbeiter, „denn die haben gerne Daten in irgendwelchen Ordnern gespeichert.“ Gleichzeitig müssen auch Daten, die extern verarbeitet werden oder ausgelagert wurden, etwa in der Buchhaltung, in der Personalverrechnung oder in der Cloud, aufgelistet werden.
ORF
Die Baufirma hat ihr Datenschutzregister bereits vollständig ausgearbeitet
Beachtet werden müssen künftig auch die Löschfristen, womit personenbezogene Daten nicht mehr - wie bisher - ewig gespeichert werden. Gleichzeitig hat auch jeder Kunde ein Recht zu erfahren, welche Daten über ihn gespeichert sind und dass diese Daten - auf Wunsch - gelöscht werden.
Experte: Datenschutz bisher oft ignoriert
Doch gerade bei den Löschfristen betont Knyrim, dass nicht alle Vorgaben, die jetzt diskutiert werden, neu sind: „Dass man die Daten auch wieder löschen muss, wissen wir seit zwei Jahrzehnten. Vieles hat bisher schon gegolten, wurde aber einfach ignoriert.“ Durch die hohen Strafen - bis zu 20 Millionen Euro oder vier Prozent vom Umsatz - bekomme das Gesetz aber endlich Zähne, meint der Experte.
Neben Firmen und öffentlichen Behörden müssen auch Vereine die Vorgaben erfüllen, darunter die Sportunion Mistelbach. Neue Mitglieder müssen deshalb bei der Anmeldung ein zusätzliches Datenblatt unterschreiben, wodurch sie der Datenverarbeitung zustimmen, klärt Präsident Eduard Herzog auf. Und vereinsintern können künftig nur noch Präsidenten und Kassier auf die kompletten Mitgliederlisten zugreifen.
Daten-„Sammelwut“ wird eingeschränkt
ORF
Die Sportunion Mistelbach erhebt künftig nur noch das Geburtsjahr der Mitglieder
Ein wichtiger Punkt sei auch die Zweckbindung der gesammelten Daten. Laut Verordnung dürfen nur noch jene Daten gespeichert werden, die wirklich notwendig sind. Die Sportunion will deshalb ihre Mitgliederlisten bereinigen. „Statt dem genauen Geburtsdatum brauchen wir eigentlich nur das Geburtsjahr“, erklärt Herzog, und die Adresse sei nicht mehr bei allen notwendig: "Schließlich können wir unseren Mitgliedern heute auch per E-Mail Informationen schicken.
Während die Sportunion noch knapp zwei Monate Zeit hat, erfüllt das Bauunternehmen schon die neuen Vorgaben. „Wir haben uns etwa einen Tag intensiv damit beschäftigt, und unsere Mitarbeiter geschult“, schildert Schütz, „es ist also auf jeden Fall zu schaffen.“ Allerdings empfiehlt Schütz, sich dabei von einem Experten beraten zu lassen.
Auch der Datenschutzexperte betont, dass es für Unternehmen noch nicht zu spät ist, allerdings sei es jetzt höchste Zeit: „Es ist einfach ein gewisser Aufwand erforderlich und wenn ich erst am letzten Tag beginne, werde ich im Mai nicht alle Vorgaben erfüllen können.“
Stefan Sailer, noe.ORF.at
Links:
- Aktenvernichtung am Gemeindeamt (noe.ORF.at; 14.2.2018)
- Datenschutz verzögert Smartmeter-Einführung (noe.ORF.at; 17.11.2017)
- Wirtschaftskammer Niederösterreich