19.1.2018
Drucken
Zu Merkzettel hinzufügen

Gläserner Mensch: Mehr Schutz für den Einzelnen

Am 25. Mai 2018 endet die Schonfrist, die Vorgaben der Datenschutz-Grundverordnung umzusetzen. Für die in den Unternehmen betroffenen Arbeitnehmer bietet das BFI der AK Vorarlberg maßgeschneidert einen Vortrag und einen Fachlehrgang an.

DATENSCHUTZ. Diese Verordnung soll personenbezogene Daten jedweder Art besser schützen. Die Datenschutz-Grundverordnung der EU (DSVGO) betont die Eigenverantwortung von Unternehmen und Institutionen. Verstöße gegen die neuen Regeln werden empfindlich geahndet.

Die neue EU-Verordnung muss nicht erst in nationales Recht übersetzt werden. Sie gilt sofort. In der ganzen EU. Das schafft quasi gleiches Recht für alle. Haben US-amerikanische Konzerne wie Google bisher auf europäische Regeln gepfiffen – Strafen in Höhe von 50.000 Euro zahlen sie allemal aus der Portokassa –, sieht das jetzt anders aus. Die DSVGO gilt auch für Unternehmen, die ihre Dienste in der EU anbieten, aber ihren Hauptsitz etwa in Kalifornien haben. Ab 25. Mai drohen Strafen von bis zu 20 Millionen Euro oder bis zu vier Prozent des Vorjahresumsatzes. Das nehmen auch Giganten wie Google ernst.

Sensible Daten

Sensible Daten sind Daten natürlicher Personen über ihre rassische und ethnische Herkunft, politische Meinung, Gewerkschaftszugehörigkeit, religiöse oder weltanschauliche Überzeugung, ihre Gesundheit oder ihr Sexualleben, sowie die Verarbeitung von genetischen Daten und biometrische Daten zur eindeutigen Identifizierung einer natürlichen Person.

Neue Regeln für alle

Müssen auch Klein- und Mittelbetriebe bzw. ihre mit Datenschutz beauftragten Mitarbeiter fürchten, durch solche Strafen ruiniert zu werden? Nein, beruhigt der Dornbirner Rechtsanwalt Dr. Christian Wirthensohn. Mit ihm hat das BFI der AK Vorarlberg einen ausgewiesenen Experten für zwei Vorträge und einen Fachlehrgang gewonnen. „In Wirklichkeit wird es für viele Betriebe nicht ganz so schlimm, wie es ausschaut“, so Wirthensohn im folgenden Interview. Dennoch sollten Unternehmen die neuen EU-weit geltenden Bestimmungen ernst nehmen. Sie schaffen einheitliche Standards. Und sie versuchen, einer Welt gerecht zu werden, die sich rasend schnell verändert hat. Die alte Datenschutzrichtlinie der EU gilt seit 1995. 

„1995, da tobte noch der Glaubenskrieg zwischen Netscape und Internet Explorer.“ Heute passiert alles in der Cloud und am Smartphone.

Besonders schutzwürdige Daten

Das österreichische Datenschutzgesetz (DSG 2000) kennt darüber hinaus – im Gegensatz zur EU – noch den Begriff der „besonders schutzwürdigen Daten“; darunter fallen: strafrechtliche Daten, Daten zur Beurteilung der Kreditwürdigkeit einer Person sowie Daten aus Informationsverbundsystemen (Daten, zu denen mehrere Auftraggeber Zugang haben).

Dr. Christian Wirthensohn gibt sein Expertenwissen am BFI der AK weiter. © Christian Wirthensohn

Auf welchen Prinzipien beruht die neue Verordnung der EU?

Christian Wirthensohn: Auf dem Prinzip der Datensparsamkeit – jeder darf immer nur so viele Daten verwenden, wie er wirklich braucht. Alles, was in Richtung Vorratsdatenspeicherung geht, ist grundsätzlich unzulässig. Als Zweites gilt das Prinzip der Zweckbindung. Der Arzt darf die Daten seines Patienten nur zur Behandlung verwenden. Er darf sie nicht der Versicherung weitergeben, damit die ihr Angebot optimiert. Das wäre ein völlig anderer Zweck.

Was bedeutet die Aufhebung der Meldepflicht, aber vermehrte Berichts- und Auskunftspflicht für Unternehmer?

Wirthensohn: Bisher musste der Verantwortliche im Unternehmen die Datenanwendungen beim Datenverarbeitungsregister melden. Für Tätigkeiten wie z. B. die Standardbuchhaltung galt eine Generalausnahme, aber in vielen Fällen war die Registrierung vorgeschrieben. Viele Unternehmen haben sie nicht oder nicht in vollem Umfang erfüllt. Dieses Register wird jetzt abgeschafft. Der Unternehmer muss stattdessen ein Verarbeitungsverzeichnis führen. Der Unternehmer muss sich überlegen: Welche Daten verwende ich? Wer ist der Betroffene? Wie hoch sind die Risken? Welche technischen Maßnahmen muss ich treffen? Ob er es richtig gemacht hat, erfährt er eigentlich erst, wenn er geprüft wird.

In der neuen EU-Verordnung wird auch das „Recht auf Vergessen“ verankert …

Wirthensohn: Diese Entscheidung ist auf Google bezogen. Ein Spanier hat sie erwirkt. Er ging in Konkurs. Das stand auch im Internet nachzulesen. Aber nach einer gewissen Frist sollte so eine Information auch wieder gelöscht werden. Nicht bei ihm: Wann immer er seinen Namen eintippte, erschien die Kopie seines Konkurses. Der Mann hat sich gewehrt. So kam das „Recht auf Vergessen“ zustande. Es gibt Bürgern das Recht, personenbezogene Daten über das Privat- oder Berufsleben sowie Fotos im Web löschen zu lassen. Sie können auch von Suchmaschinen verlangen, Verweise zu Inhalten, die das Recht auf Privatsphäre und Datenschutz verletzen, zu entfernen. Die Datenschutzverordnung verpflichtet den Informationsverbreiter zudem, andere darüber zu informieren, dass er die Daten gelöscht hat.

Unternehmen werden durch die Grundverordnung zur Durchführung einer Datenschutz-Folgeabschätzung verpflichtet.

Wirthensohn: Diese Folgeabschätzung wird nicht die Regel sein, sondern eher die Ausnahme. Sie wird dann notwendig, wenn ich als Unternehmer besonders hohe Risken identifiziere, wenn ich zum Beispiel eine Bonitätsdatenbank betreiben möchte oder mit Gesundheitsdaten arbeite. Dann brauche ich eine über das Verarbeitungsverzeichnis hinausreichende detailliertere Analyse. In diesem Fall muss ich als Unternehmer in Kontakt mit der Aufsichtsbehörde treten. Die ist verpflichtet, innerhalb von acht Wochen Empfehlungen auszusprechen.

In der Verordnung steht das Recht auf Datenübertragbarkeit verankert: Personenbezogene Daten können einfacher von einem Anbieter auf einen anderen übertragen werden.

Wirthensohn: In der Theorie geht das so: Ich will z. B. von Facebook zu einem anderen Anbieter wechseln. Jetzt kann ich die Betreiber von Facebook um meine Daten bitten. Nicht klar ist bis heute, welche Daten das genau sind. Sind das auch alle meine Posts? Meine Likes, Shares? Und dann: In welchem Format sollen die Daten ausgehändigt werden? Da herrscht noch viel Klärungsbedarf.

Brauchen künftig alle Unternehmen einen Datenschutzbeauftragten?

Wirthensohn: Nein, nicht alle. Aber der öffentliche Bereich zum Beispiel – Bund, Land usw. – braucht Datenschutzbeauftragte. Kleine Gemeinden überlegen sich, gemeinsam einen zu beschäftigen. Grundsätzlich muss ich mich fragen, ob ich mit sensiblen Daten handle. Und da geht's nicht um das Gehalt oder die Kreditkarte. Sensible Daten betreffen u. a. die religiöse Einstellung, biometrische Daten, Gewerkschaftszugehörigkeit, die politische, die sexuelle Orientierung, die ethnische Herkunft usw.

Wird Datenklau künftig teurer?

Wirthensohn: Ja, und zwar auch für die beklauten Unternehmen. Die müssen jeden Hackerangriff innerhalb von 72 Stunden der Behörde melden. Und wenn ich ein hohes Risiko für Klienten feststelle – Kreditkartendaten weg usw. –, muss ich auch die Betroffenen informieren. Sonst wird es wirklich teuer.

Personenbezogene Daten

Personenbezogene Daten
Laut österreichischem Recht handelt es sich dabei um Angaben über Betroffene, deren Identität mittels dieser Daten bestimmt oder bestimmbar ist (z. B. Name, Adresse, Telefon nummer, Personalnummer, Familienstand usw.)


Indirekt personenbezogene Daten
„Indirekt personenbezogen“ sind Daten für einen Auftraggeber, Dienstleister oder Empfänger einer Übermittlung dann, wenn die Identität der oder des Betroffenen mit rechtlich zulässigen Mitteln nicht herausgefunden werden kann. Ein Beispiel: Daten einer Person werden nicht unter ihrem Namen, sondern unter einer Nummer gespeichert, die nur derjenige auf den Namen rückführen kann, der rechtmäßig im Besitz des Namens und der zusammengehörenden Daten ist; Übermittlungsempfänger bekommen die Daten nur unter der Nummer (z. B. für statistische Zwecke) und wissen nicht, um wen es sich handelt. Das ist natürlich nur dann zulässig, wenn nicht andere Daten dieser Person so signifikant sind, dass man weiß, um wen es sich handelt.

Auch AK bekommt Beauftragten 

Die Arbeiterkammern bereiten sich seit Monaten auf die neue Datenschutzverordnung vor. Allein in der AK Wien sind drei Experten damit beschäftigt, die notwendigen Voraussetzungen zu schaffen. In der AK Vorarlberg wird der 29-jährige Jurist Mag. Nathaniel Heinritz die Agenden des Datenschutz-beauftragten übernehmen. „Wir nehmen das Thema sehr ernst“, betont er, die Mitgliederdaten werden bei der AK Vorarlberg wie ein Schatz gehütet.

Kursangebot BFI der AK Vorarlberg:

Der Vortrag

Damit Betroffene einen ersten Einblick in die neue Datenschutz-Grundverordnung bekommen, bietet das BFI der AK Vorarlberg an zwei verschiedenen Terminen im Februar und März 2018 einen Expertenvortrag an. In den Fachvorträgen erhalten Interessierte alle erforderlichen Informationen, um die nötigen Entscheidungen in ihrem Unternehmen bzw. ihrer Einrichtung treffen zu können. Was steht in der Grundverordnung, was im österreichischen Gesetz? Was bedeutet Datensicherheit und wie erstelle ich einen Maßnahmenplan?
Wann? Do, 22.2. 2018, von 14 bis 18 Uhr und Mi, 14.3. 2018, von 8 bis 12 Uhr
Wo? Feldkirch, BFI
Kosten: 135 Euro (108 für AK-Mitglieder), Besucher des Fachlehrgangs erhalten den Preis des Vortrags rückerstattet. 
Kursleiter: Dr. Christian Wirthensohn

Der Fachlehrgang

In April 2018 beginnt am BFI der AK der Fachlehrgang zum Datenschutzbeauftragten im Ausmaß von 40 Stunden. Z. B. Leiter von IT-Abteilungen, von Revisions- und Rechtsabteilungen oder Verantwortliche von Risiko- und Prozessmanagement sowie Mitglieder der Geschäftsführung lernen hier, wie sie mit den aktuellen gesetzlichen Vorgaben umgehen sollen.
Wann? Mo, 9.4., bis Fr, 13.4.2018, 9 bis 18 Uhr
Wo? Feldkirch, BFI
Kosten? 1750 Euro (1600 für AK-Mitglieder)
Kursleiter: Dr. Christian Wirthensohn

Anmeldung und weitere Infos unter www.bfi-vorarlberg.at

TeilenZu Merkzettel hinzufügen

Facebook-Funktion aktivieren

Drucken
Zu Merkzettel hinzufügen

Verwandte Links


Zum Seitenanfang
Um Ihnen den bestmöglichen Service zu bieten, speichert diese Website Informationen über Ihren Besuch in sogenannten Cookies. Durch die Nutzung dieser Webseite erklären Sie sich mit der Verwendung von Cookies einverstanden. Weitere Informationen über Cookies, sowie welche Daten wir wie lange speichern, finden Sie in unserer Datenschutzerklärung. Dort können Sie auch der Verwendung von Cookies widersprechen und die Browsereinstellungen entsprechend anpassen.
Diese Website verwendet Cookies. Durch die Nutzung erklären Sie sich mit der Verwendung von Cookies einverstanden. Weitere Informationen dazu sowie welche Daten wir wie lange speichern, finden Sie in unserer Datenschutzerklärung. Dort können Sie auch der Verwendung von Cookies widersprechen.
OK