Overlay Background
Startseite Dienstleistungen Qualifikation Referenzen Finanzielles Kontakt Über mich Berichte Links Datenschutzerklärung Impressum
klakocer.at
EDV Lösungen und Dienstleistungen
Eyecatcher
Eyecatcher

Datenschutz-Grundverordnung

Einige Kleinunternehmer haben bis jetzt noch nichts von der Datenschutz-Grundverordnung - kurz DSGVO - gehört, andere überlegen bereits, ob es nicht einfacher wäre, das Geschäft zuzusperren und sich anstellen zu lassen - kurz gesagt ist die Unwissenheit groß und die Verunsicherung oft noch größer.

Aus diesem Grund versuche ich alles, was ich an Informationen zusammengetragen habe, hier möglichst kurz, präzise, praxisgerecht und mythenfrei zu präsentieren.

Alles fließt

Ich werde diesen Bericht in den nächsten Tagen noch überarbeiten und ergänzen, Sie finden dann an dieser Stelle eine Änderungshistorie.

Quellen

Meine Quellen habe ich bei den jeweiligen Punkten angegeben, sollte sich jemand unerwähnt fühlen, ersuche ich um Nachsicht und Hinweis per E-Mail.

Der Originaltext der Verordnung in deutscher Sprache findet sich auf EUR-Lex, eine optisch sehr schön aufbereitete Version davon auf jusline.

Im Rechtsinformationssystem des Bundes kann man Einsicht in das in Österreich gültige Datenschutz-Anpassungsgesetz 2018 nehmen.

Wie immer unverzichtbar für die Recherchen war das Computermagazin c't vom Verlag heise Medien GmbH & Co. KG, vor allem die Ausgabe 5/2018 mit dem Schwerpunkt DSGVO.

Haftungsausschluss

Obwohl ich mich seit Jahrzehnten für die rechtliche Seite der IT-Welt interessiere, habe ich nicht Jura studiert, daher betrachten Sie bitte alles, was Sie hier lesen, als meine persönliche Meinung und Interpretation, für die ich keine wie immer geartete Haftung übernehme.

Sollten Sie fundierte Rechtsberatung wünschen, möchte ich einen Anwalt empfehlen, der sich seit längerer Zeit intensiv mit der DSGVO beschäftigt und Recht businessverständlich erklären kann:

Grundlagen

Was bitte ist DSGVO?

DSGVO ist die Abkürzung für die Datenschutz-Grundverordnung, eine Verordnung der EU zur Vereinheitlichung der Regeln zur Verarbeitung personenbezogener Daten durch Unternehmen und öffentliche Stellen. Die englische Bezeichnung ist General Data Protection Regulation, kurz GDPR.

Und was sind personenbezogene Daten?

Daten gelten als personenbezogen, wenn sie eindeutig direkt oder indirekt einer bestimmten natürlichen Person zugeordnet sind, z.B.:

  • Kontodaten, Gehaltszettel
  • Postadresse, Telefonnummer, E-Mail-Adresse, IP-Adresse
  • Bilder, Videos
  • Standortdaten, Besuchsprotokolle

Einige besonders sensible Daten dürfen überhaupt nur in wenigen Fällen weiterverarbeitet werden, z.B. "zum Schutz lebenswichtiger Interessen der betroffenen Person".[5]

  • Gesundheitsdaten
  • Biometrische Daten wie Fingerabdruck oder Stimme
  • Ethnische und rassische Herkunft
  • Politische, religiöse oder sexuelle Orientierung

Die DSGVO unterscheidet nicht zwischen Kunden- und anderen Daten, d.h. Mitarbeiter- und Lieferantendaten sind im gleichen Maße von der Verordnung betroffen.

Außerdem müssen personenbezogen Daten "dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein"[7], d.h. z.B. Daten, die zur Geschäftsabwicklung erhoben wurden, dürfen nicht von kreativen Geistern für andere Geschäftsmodelle verwendet werden.

Gleiches Recht für alle

Die DSGVO gilt unmittelbar in allen EU-Mitgliedsstaaten, d.h. deutsche Kommentare zu dieser Verordnung sind auch auf Österreich anwendbar und umgekehrt.

Natürlich wäre es nicht die EU, wenn nicht die einzelnen Staaten darüber hinausgehend eigene Regelungen hätten, in Österreich das Datenschutz-Anpassungsgesetz 2018, kurz DSG, in Deutschland das Datenschutz-Anpassungs- und -Umsetzungsgesetz EU, kurz BDSG neu.

Zwar dürfen diese nationalen Rechtsvorschriften die DSGVO nicht abschwächen, aber die Verordnung enthält verschiedene Öffnungsklauseln, die es den einzelnen Mitgliedstaaten ermöglichen, bestimmte Aspekte des Datenschutzes auch im nationalen Alleingang zu regeln.

Offen: Laut Wikipedia gelten in Österreich auch Daten juristischer Personen wie Vereine als personenbezogene Daten.

Dann zahle ich halt eine Strafe

Geldbußen für Verstöße sollen "wirksam, verhältnismäßig und abschreckend sein"[1], wobei z.B, vorgenommene Maßnahmen zur Schadensminderung und die Einhaltung genehmigter Verhaltensregeln oder Zertifizierungsfahren das Strafmaß abschwächen können.

Bei besonders schwerwiegenden Verstößen können Geldbußen von bis zu EUR 20.000.000,- oder von bis zu 4% des gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres verhängt werden, je nachdem, welcher Betrag höher ist.[2]

Von der Datenschutzbehörde kann eine Geldstrafe von bis zu EUR 50.000,-[3] verhängt werden, wenn z.B. der Behörde die Einsichtnahme in die Datenverarbeitung verweigert wird, wobei schon der Versuch strafbar ist.

Ein Gericht kann eine Freiheitsstrafe bis zu einem Jahr oder eine Geldstrafe bis zu 720 Tagessätzen verhängen, wenn z.B. jemand mit dem Vorsatz sich dadurch unrechtmäßig zu bereichern, personenbezogene Daten, die ihm ausschließlich auf Grund seiner berufsmäßigen Beschäftigung anvertraut oder zugänglich geworden sind, einem anderen zugänglich macht, obwohl die betroffene Person an diesen Daten ein schutzwürdiges Geheimhaltungsinteresse hat.[4]

Da gibt es sicher eine Schonfrist

In Kraft getreten ist die DSGVO - von vielen unbemerkt - schon am 25. Mai 2016.

Nach einer Übergangsfrist von zwei Jahren wird sie nun ab dem 25. Mai 2018 ohne weitere Schonfrist exekutiert, d.h. ab diesem Zeitpunkt kann gestraft werden. Das österreichische DSG wird zeitgleich geltend.

Es ist zu erwarten, dass schon einige potentielle Kläger am Start stehen, und zu befürchten, dass die Behörden bei den ersten Fällen vielleicht härter strafen als angemessen - einerseits, weil ihnen noch das nötige Augenmaß fehlt, und andererseits, um ein Exempel zu statuieren.

Wer soll mich denn schon anzeigen

Je nach Geschäftsbereich und geographischer Lage gibt es da mehrere Möglichkeiten:

  • Abmahnungen von Mitbewerbern (unlauterer Wettbewerb)
  • Die anwaltliche Abmahnindustrie
  • Kunden
  • Die Bundesbehörden
  • Ehemalige Mitarbeiter

Ich habe alles nur auf Papier

Die DSGVO regelt jede Verarbeitung personenbezogener Daten unabhängig vom Format, gilt also auch für die Kundenkartei auf Papier, genauso die Telefonnotiz am PostIt.

Der Datenschutzbeauftragte

Gleich vorweg: Natürlich kann der Datenschutzbeauftragte auch eine Frau sein. Im deutschen Text der Verordnung wird aber ausschließlich die männliche Form verwendet, und ich habe das der Einheitlichkeit wegen hier beibehalten.

Die Ernennung eines Datenschutzbeauftragten ist in manchen Fällen verpflichtend[8], eine gute Entscheidungshilfe bietet hier die WKO.

Auszugsweise einige Passagen daraus:

  • "Grundsätzlich darf sich jeder mit Datenschutz befassen. Zum Datenschutzbeauftragten dürfen allerdings keine Personen ernannt werden, welche eine Funktion haben, die mit den Aufgaben als Datenschutzbeauftragter kollidieren, wie etwa Leiter der IT-Abteilung oder der Rechtsabteilung."
  • "Kann ich als EPU mein eigener Datenschutzbeauftragter sein? - NEIN, da Sie als Geschäftsinhaber das Kriterium der Unabhängigkeit des Datenschutzbeauftragten nicht erfüllen würden. Im Regelfall werden Sie als EPU keinen Datenschutzbeauftragten benötigen."
  • "Ein Datenschutzbeauftragter muss ein gewisses Maß an Erfahrung in datenschutzrechtlichen Dingen aufweisen. Konkrete Ausbildungen sind zwar nicht verpflichtend, doch empfehlenswert."
  • "Techniker müssen in den juristisch relevanten Gebieten geschult sein und Juristen müssen ein solches technisches Verständnis haben, dass sie die juristische Komponente von technischen Datenverarbeitungen beurteilen können."
  • "Eine Bestellung des Datenschutzbeauftragten zu einem Verantwortlichen nach §9 VStG ist nicht zulässig. Der Datenschutzbeauftragte haftet daher nur nach den allgemeinen zivilrechtlichen und allenfalls arbeitsrechtlich relevanten Regeln."

Im Zweifelsfall sollte man sich als Gewerbetreibender an die zuständige Kammer wenden, um zu klären, ob ein Datenschutzbeauftragter benötigt wird.

Externe Dienstleister

Zur Illustration der Problematik lassen Sie uns annehmen, der Kunde K überlässt dem Unternehmen U einige personenbezogenen Daten, die dieses zur Abwicklung der Geschäftsbeziehung benötigt.

U hat einen Provider P, der für U einen Internetzugang und E-Mail Konten bereitstellt, einen Webserver betreibt, und ihm ermöglicht, seine Daten und/oder Sicherungen auf einem Fileserver in der Cloud abzulegen.

Es wird schnell klar, dass personenbezogene Daten von K bei P gespeichert sind, etwas, dem K nicht zugestimmt hat.

U müsste nun von all seinen Kunden eine Zustimmung einholen, und diese bei jedem Providerwechsel erneuern.

Die DSGVO sieht für diesen Fall vor, dass U seinen Dienstleister P mit einer sogenannten Auftragsverarbeitung[7] (alt: Auftragsdatenverarbeitung) dazu verpflichtet, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten.

Allerdings hat K weiterhin das Recht, bei einem Fehlverhalten von P (z.B. Gehaltsdaten werden bei der Google Suche angezeigt) sowohl diesen als auch seinen direkten Geschäftspartner U anzuklagen.

Hat P seinen Firmensitz in einem Staat außerhalb der EU, muss dieser Staat über ein von der EU abgesegnetes Datenschutzniveau verfügen.

Bei z.B. den USA trifft das nicht zu, hier ist muss ein Unternehmen gewählt werden, das sich dem Privacy Shield unterworfen hat, dessen Zukunft unklar ist.

Manche Hoster stellen fertige Vereinbarungen zur Auftragsverarbeitung bereit, teilweise noch unter dem alten Name Auftragsdatenverarbeitung. Es ist aber auf jeden Fall darauf zu achten, dass sich das Dokument auf die DSGVO bezieht.

Die Wirtschaftskammer Österreich (WKO) stellt einen Mustervertrag für die Auftragsverarbeitung bereit, bei den Hostern war die Ausbeute eher mager: Kein einziger der von mir oder meinen Kunden verwendeten Hostern bietet derzeit einen aktuellen Vertrag zum Download an.

Muss Verschlüsselung sein?

In der DSGVO Artikel 32 steht etwa langatmig "Unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen treffen der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten".

Weiters wird ausgeführt, dass "Bei der Beurteilung des angemessenen Schutzniveaus [...] insbesonders die Risiken zu berücksichtigen" sind, "die mit der Verarbeitung verbunden sind, insbesondere durch [...] Vernichtung, Verlust, Veränderung" - die Verschlüsselung als geeignete Maßnahme ist zwar explizit aufgeführt, aber meiner Meinung nach nicht zwingend vorgeschrieben.

Dadurch ergibt sich die Notwendigkeit der Bewertung des Risikos, dass personenbezogene Daten für Unbefugte sichtbar oder einsehbar werden.

Kategorie 1 - Objekte, die im öffentlichen Raum eingesetzt werden

In diese Kategorie fällt alles, was man unterwegs mit sich herumschleppt oder im Auto herumführt, also mit Sicherheit Handys und Notebooks, eventuell noch Tablets, Navigationsgeräte und Kameras.

Dann natürlich Datenträger aller Art, wie externe Festplatten, USB Sticks, SD-Karten, optische Medien (CD, DVD, Blu-ray).

Hier ist natürlich die Wahrscheinlichkeit sehr hoch, dass diese Dinge gestohlen oder liegengelassen werden, und der neue "Besitzer" hat beliebig viel Zeit, um an die Daten zu kommen.

Welche Möglichkeiten gibt es nun, das geforderte Schutzniveau zu gewährleisten?

  • PIN, Kennwort (auf allen Geräten inzwischen unterstützt oder sogar gefordert)
  • Verschlüsselung (meistens möglich oder sogar standardmäßig aktiviert)
  • Remote Löschung, wenn das Kind in den Brunnen gefallen ist (meistens möglich, muss aber zuvor konfiguriert werden)

Darüber hinaus können noch Schutzmaßnahmen gegen einen Remotezugriff getroffen werden, also dagegen, dass jemand sich über ein drahtloses Netzwerk (derzeit WLAN, Bluetooth, unwahrscheinlicher: Handy-Netz) Zugang auf die gespeicherten Daten verschafft:

  • Programme und Apps nur wenn notwendig und nur von vertrauenswürdigen Quellen installieren
  • Virenscanner installieren und aktuell halten
  • Sicherheitsupdates installieren - leider oft mit fatalen Folgen für die Verwendbarkeit des Geräts
  • Früher: Eine Firewall installieren - ist inzwischen Standard (Windows, MacOS) oder nicht notwendig (iOS)
  • Öffentliche Netze meiden (Hotspot oder Notebook/Tablet mit eigener SIM-Karte kaufen)
  • Bluetooth deaktivieren, wenn es nicht benötigt wird, oder zumindest unsichtbar machen
  • Bei aktiviertem NFC (z.B. kontaktlos zahlen oder drucken) eine NFC-abschirmende Schutzhülle verwenden

Kategorie 2 - Objekte, die im Unternehmen im Gebäude stehen und portabel sind

Alle Objekte, die bereits Kategorie 1 sicher gemacht wurden, können wir ausblenden, bleiben also Objekte, die sich immer in einem Gebäude befinden.

Hier helfen natürlich mechanische Vorkehrungen, um das Objekt nicht mehr portabel zu machen, wie Aufbewahrung in einem versperrten Schrank oder anketten (z.B. mittels Kensington Lock).

Generell gilt: Je kleiner das Objekt, umso eher sollte es wie in Kategorie I beschrieben geschützt werden, denn ein nur Büro-interne genützter USB Stick landet - vielleicht irrtümlich - schnell einmal in einer fremden Tasche, ein Notebook eher nicht.

Damit bleiben für die Betrachtung Geräte, für deren Entwendung man sich Zutritt zum Gebäude verschaffen muss, also die typische Einbruchsbeute: Network attached storages (NAS), Fax-Geräte, Festnetztelefone und Stand-PCs - ja, die gelten nicht als portable, lassen sich aber locker unter den Arm klemmen

Thin clients fehlen in dieser Aufzählung bewusst, weil sie im Normalfall keinerlei Daten außer firmeninternen Verbindungsdaten speichern.
PCs, die nur zur Herstellung einer RDP (Remote Desktop, Terminal Server) Verbindung benutzt werden, kann man genauso betrachten.

Die Möglichkeiten zur Einhaltung des geforderten Schutzniveaus sind die selben wie in Kategorie 1 aufgezählt.

Zusätzlich bietet sich natürlich die Möglichkeit, den Gebäudeschutz zu erhöhen (Alarmanlage, Zutrittskontrolle, Qualitätsschlösser, Wachdienst, ...).

Eine Zugangskontrolle innerhalb des Unternehmens schützt meiner Meinung nach nur vor übermotivierten Mitarbeitern und neugierigen Besuchern, der Einbrecher, der sich bereits im Gebäude befindet, wird davon höchstens eingebremst.

Kategorie 3 - Objekte, die im Unternehmen im Gebäude stehen und als nicht portabel gelten

Nun ja, auch ein Eisenbahnwagon ist portabel, aber ich denke dabei eher Dinge, die man nicht alleine tragen kann, und da bleiben eigentlich nur mehr in Racks verbaute Server über.

Bei diesen Geräten sind die Festplatten für einen schnellen Tausch ausgelegt und damit auch schnell entnehmbar.

Allerdings werden diese Festplatten meistens mit einem RAID betrieben, das für eine gewisse Verwürfelung der Daten sorgt, und wenn dann auch noch Virtualisierung einsetzt wird, benötigt es so schon einen deutlichen Mehraufwand und die richtige Hardware, um entwendeten Datenträgern wieder Sinnvolles zu entlocken.

Kommunikation

Als letzter Punkt bleibt noch eine Menge an elektronischer Kommunikation zum oder vom Kunden, bei der natürlich auch personenbezogene Daten übertragen werden - eigentlich alles, was unter den Punkt Externe Dienstleister fällt.

E-Mails müssen zum/vom Provider wohl verschlüsselt werden, was so gut wie alle Provider bereits anbieten. Anwender der Kombination Office/Exchange (in aktuellen Versionen) kommunizieren bereits jetzt automatisch verschlüsselt.,

Webseiten mit der Möglichkeit, personenbezogene Daten per Formular einzugeben, müssen auf SSL umsteigen, also dafür sorgen, dass die Adresse der Webseite mit https:// beginnt.

Werden personenbezogene Daten über Internetdienste wie DropBox übertragen, muss man sich selbst darum kümmern, dass diese zuvor verschlüsselt werden.

Fazit

Es muss nicht immer Verschlüsselung sein, aber wo sie bereits vorhanden ist, dankbar sein, wo sie leicht und kostengünstig einzurichten ist, einführen - so muss wohl die Zusammenfassung lauten.

In den wenigen restlichen Fälle lohnt sich oft ein Hardwarewechsel, um Verschlüsselung gratis dazuzubekomen.

Weiterführende Literatur

Webseiten

Datenschutzerklärung

Die Datenschutzerklärung[9] muss auf der Webseite einfach zu finden sein. Ein kurzer Check bei den Webauftritten großer Firmen ergab, dass sich der Platz in der Nähe des Impressum-Links als Standard etabliert hat, also üblicherweise am unteren Ende der Seite.

Da sich einige der Pflichteinträge mit denen des Impressums überschneiden, spricht aus meiner Sicht nichts dagegen, die Datenschutzerklärung im Impressum zu führen, solange ein eigener Link direkt zu dem entsprechenden Textblock führt.

Diese Informationen sind verpflichtend:

  • Name und Kontaktdaten des Betreibers (Postanschrift und E-Mail Adresse)
  • Zweck der Datenverarbeitung
  • Rechtsgrundlage der Datenverarbeitung
  • Dauer der Datenspeicherung
  • Recht auf Auskunft, Berichtigung und Löschung von Daten. Empfohlen wird der Hinweis, dass rechtliche Aufbewahrungsfristen (z.B. für Rechnungen) das Recht auf Löschung überwiegen
  • Recht auf Widerspruch (bestreiten, dass ein Vertrag besteht)
  • Recht auf Widerruf (einen abgeschlossenen Vertrag innerhalb einer gewissen Frist kündigen)
  • Recht auf Einschränkung der Verarbeitung (Markierung gespeicherter Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken)
  • Recht auf Datenübertragbarkeit (Daten von einer Stelle zu einer anderen zu übertragen)
  • Beschwerderecht bei einer Aufsichtsbehörde (z.B. Österreichische Datenschutzbehörde, Hohenstaufengasse 3, 1010 Wien

Weiter Informationen, die verpflichtend sind, falls sie zutreffen:

  • Kontaktdaten des Datenschutzbeauftragten
  • Auftragsverarbeiter und andere Empfänger von Daten; Wenn diese ihren Sitz im EU-Ausland haben, Hinweis auf Datenschutzabkommen
  • Umstände der Bereitstellung der Daten
  • Bestehen einer automatisierten Entscheidungsfindung (z.B. Kreditfähigkeit)

Bei mehrsprachigen Webseiten muss auch die Datenschutzerklärung in allen verwendeten Sprachen vorliegen.

Cookies

Cookies sind Textinformationen, die eine Webseite über den Browser auf dem Computer des Besuchers ablegt. Bei einem neuerlichen Besuch der Seite wird die Information wieder an den Server gesendet, wodurch dieser gewisse Voreinstellungen durchführen kann, z.B. die zuletzt gewählte Sprache oder die Kundennummer.

Newsletter

Mit großer Wahrscheinlichkeit ist die über die Jahre gewachsene Sammlung von Kontakten für den Newsletter Versand nicht DSGVO-konform.

In diesem Fall empfiehlt es sich, einen finalen Newsletter zu verschicken, in dem die Kunden über die neue Rechtslage informiert werden, und die Möglichkeit haben, dem weiteren Bezug des Newsletters erneut zuzustimmen. Diese Zustimmung sollte zur Nachweisbarkeit archiviert werden.

Anderenfalls muss der Kontakt vor dem 28. Mai 2018 von der Verteilerliste entfernt werden.

Wieder einmal bietet die WKO hier Antworten auf viele Fragen zum Newsletterversand im Kontext der DSGVO.

Verzeichnis von Verarbeitungstätigkeiten

Dieses Kapitel ist noch in Arbeit.

Sichern und Wiederherstellen

Dieses Kapitel ist noch in Arbeit.


Quellen

[1] DSGVO, Artikel 83 und Artikel 84

[2] DSGVO, Artikel 83

[3] Mag. Jakob Geyer, Rechtsanwalt: "Top 5 ToDo’s für Unternehmen, Geschäftsführer, CIOs etc", Microsoft Österreich für Tech Data am 22.2.2018

[4] DSGVO, Kapitel VIII

[5] DSGVO, Artikel 9

[6] DSGVO, Artikel 5 Absatz 1

[7] DSGVO, Artikel 28

[8] DSGVO, Kapitel IV Abschnitt 4

[9] DSGVO, Artikel 13 und Artikel 14