th share video content contact download event event-wifi cross checkmark close xing wko-zahlen-daten-fakten wko-wirtschaftrecht-und-gewerberecht wko-verkehr-und-betriebsstandort wko-unternehmensfuehrung wko-umwelt-und-energie wko-steuern netzwerk wko-innovation-und-technologie wko-gruendung-und-nachfolge wko-bildung-und-lehre wko-aussenwirtschaft wko-arbeitsrecht-und-sozialrecht twitter search print pdf mail linkedin google-plus facebook whatsapp arrow-up arrow-right arrow-left arrow-down calendar user home

Interview: Datenschutz jetzt neu angehen

Antworten von Frau Mag. Ursula Illibauer

Warum gibt es die EU-Datenschutz-Grundverordnung?  

Der gläserne Mensch ist immer wieder Thema, vor allem in Zeiten der Digitalisierung. Die Datenschutz-Grundverordnung ist eine EU-weite Vorschrift dafür, wie es datenschutzrechtlich weitergehen soll. Die letzte Richtlinie stammt immerhin von 1995. Es wurde also Zeit, das Datenschutzrecht wieder auf einen aktuellen Stand zu bringen. 

Was sind zentrale Themen der EU-Datenschutz-Grundverordnung?

Es geht unter anderem darum, dass Unternehmen angehalten sind Rechte von betroffenen Personen zu schützen: Wie kommen Betroffene an Informationen über von ihnen gespeicherte Daten oder wie können sie der Speicherung und Verarbeitung ihrer Daten widersprechen? Wie sicher sind diese Daten? Das bedeutet für alle Unternehmen Handlungsbedarf bei Verträgen, internen Abläufen und Datensicherheitsmaßnahmen. Und es gibt verschärfte Strafdrohungen.

Gibt es Unternehmen, die von der EU-Datenschutz-Grundverordnung nicht betroffen sind?

Datenschutz betrifft alle – vom Einzelunternehmen über den kleinen Gewerbebetrieb, vom Unternehmen mit zwei Mitarbeitern bis zum internationalen Konzern. Es gibt Unternehmer, die meinen, Datenschutz geht sie nichts an - das stimmt aber nicht. Neu ist außerdem, dass sich auch Unternehmen mit Sitz außerhalb der EU an die DSGVO halten müssen, wenn sie sich auf die EU als Markt ausrichten. 

Wann sollten sich Unternehmen auf das Gesetz, das im Mai 2018 in Kraft tritt, vorbereiten?

Unternehmen sollten sofort beginnen und nicht mehr warten. Es gibt einiges im Betrieb umzustellen. Es ist wichtig das Mindset zu verändern und organisatorische Änderungen in Angriff zu nehmen. 

Wenn man von Datenschutz spricht, welche Daten sind gemeint?

Es geht um personenbezogene Daten. Das sind beispielsweise Adressen, Gehälter, Krankenstände von Mitarbeitenden oder Telefonnummern, Mailadressen, Servicedaten von Kunden.
Man unterscheidet zwischen „schlichten personenbezogenen“ und „sensiblen“ Daten. Unter „schlichten personenbezogenen“ Daten versteht man zum Beispiel auch heikle Daten wie Kreditkartennummern oder Bankdaten. Sensible Daten sind rassische und ethnische Herkunft, politische Meinungen, religiöse und weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische/ biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung. 

Nehmen wir einen Installateur mit zwei Mitarbeitern als erstes Beispiel. Was gibt es zu tun?

Der Installateur muss schriftlich darlegen, welche Datenverarbeitungen werden vom Unternehmen erfasst, auch wo gehen diese hin. Damit diese Aufzeichnung schnell und leicht gelingt, haben wir auf wko.at ein Muster erstellt.
Weiters sollte man eine Risikoanalyse machen. Hier geht es um die Fragen: Was kann schlimmstenfalls mit den Daten passieren? Was ist, wenn sie jemand verkauft, wenn sie verloren gehen, wenn sie jemand mitnimmt. Hier geht es darum, nach Lösungen zu suchen um Risiken einzudämmen und gegebenenfalls externe Beratungen hinzuzuziehen.

Neben dem Verarbeitungsverzeichnis und der Risikoanalyse ist weiterhin die ITSicherheit ein Thema?

Es geht weiterhin um alle Themen, die mit der IT-Sicherheit verbunden sind. Vom Virenschutz über die Schulung der Mitarbeitenden bis zur Sicherung der Daten. Da gibt es eigene Checklisten, Ratgeber und Broschüren, die unter it-safe.at Hilfe bieten. 

Bei welchen bestimmten Tätigkeiten muss ein Datenschutzbeauftragter nominiert werden?

Für heikle Kerntätigkeiten besteht eine Verpflichtung einen Datenschutzbeauftragten zu bestellen. Was ist unter heikler Kerntätigkeit zu verstehen? Das ist die umfangreiche, regelmäßige und systematische Überwachung von Personen oder die umfangreiche Verarbeitung sensibler Daten oder strafrechtlich relevanter Daten. Das kann zum Beispiel bei Banken, Versicherungen oder Krankenanstalten der Fall sein. Der Datenschutzbeauftragte kann dann entweder ein Mitarbeiter sein oder aber auch ein externer Berater.  

Wie sieht das für EPU aus?

Angenommen ein EPU veranstaltet einen Workshop am Wochenende. Online Anmeldung ist möglich, die Bezahlung über Kreditkarte auch. Da werden eine Menge an personenbezogener Daten gespeichert. Und schon ist man von der EU-DatenschutzGrundverordnung betroffen. Jede Art der elektronischen Kundendatenbank ist schon eine Datenverarbeitung und daher auch datenschutz-relevant.

Was passiert, wenn Unternehmen sich nicht an das Gesetz halten?

Es kann sein, dass Kunden Auskunft haben möchten, welche Daten über sie gespeichert sind. Wenn sie unzufrieden mit der Auskunft sind, können Sie eine Beschwerde bei der Datenschutzbehörde einreichen. Eine andere Möglichkeit ist, dass die Behörde Einsicht beispielsweise in das Verarbeitungsverzeichnis nehmen will. Die Behörde kann auch von sich aus tätig werden. Die Strafen wurden jetzt auch erhöht. Strafen bis vier Prozent des weltweiten Konzernumsatzes des vorangegangenen Geschäftsjahres beziehungsweise bis zu 20 Millionen Euro sind möglich. 

Hat das strengere Gesetz auch Vorteile für Unternehmen?

Datenschutz ist ein Thema, das in Österreich immer schon recht streng gehandhabt wurde. Das wurde immer international geschätzt. Dieses gute Niveau beizubehalten ist das Ziel. Datenschutz kann ein Qualitätskriterium für Betriebe sein. Auch Zertifizierungen in diesem Bereich sind möglich. 

Können Sie einen zusammenfassenden Überblick über die Bereiche geben, die es zu beachten gilt?

Es geht jetzt sehr viel um Selbstverantwortung im Unternehmen, um ordentliche Protokollierung dessen, was man tut, Risiken selbst einzuschätzen und um Datensicherheitsmaßnahmen, um diese Risiken einzudämmen. 

Haben Sie eine weitere Empfehlung anlässlich der EU-Datenschutz-Grundverordnung?

Unternehmen sollten diese zum Anlass nehmen einmal alles zu durchforsten, ihre Allgemeinen Geschäftsbedingungen, die Website, das Impressum. Diese Dinge werden meist nur einmal erstellt, geraten dann in Vergessenheit und sind dann veraltet. Sie sind oft ein wunder Punkt – jetzt kann man das zum Anlass nehmen, Vieles zu aktualisieren, vorrangig jetzt natürlich im Hinblick auf Datenschutz.

Wo erhalten Unternehmerinnen und Unternehmer Unterstützung?

In den Serviceabteilungen in den Länderkammern und online. Es gibt schon zahlreiche Infoblätter, Muster und Checklisten. Neu sind auch zwei Onlineratgeber, bei denen ein individualisiertes Merkblatt, ein Muster, mit Ansprechpersonen und Links generiert wird.

Kurzbiografie Expertin

Mag. Ursula Illibauer arbeitet als Referentin der Bundessparte Information und Consulting der WKÖ. Sie hat Rechtswissenschaften an der Universität Wien studiert und publizierte unter anderem über die Datenschutz Grundverordnung und das Österreichische und Europäische Verbraucherrecht.

WIFI Unternehmerservice

Das WIFI Unternehmerservice der Wirtschaftskammer Österreich hat die Unternehmerin und den Unternehmer im Fokus. Ziel ist es, die Unternehmerkompetenzen zu erweitern. Zum aktuellen Thema „Digitalisierung“ werden Webinare, Veranstaltungen und Publikationen angeboten. Für weitere Fragen wenden Sie sich bitte an unternehmerservice@wko.at.

Im Rahmen des KMU DIGITAL Förderprogramms der Wirtschaftskammer und des BMWFW (www.kmudigital.at), bietet das WIFI Unternehmerservice bis Ende 2018 mehrere jeweils einstündige Webinare an. Unter www.kmudigital.at/diewebinare finden Sie alle Infos dazu, Video-Aufzeichnungen von Webinaren, Services und Ansprechpartner/innen.

Bitte wählen Sie oben ein Bundesland aus, um Kontakte und Serviceangebote des Bundeslandes zu erhalten.