Neuer Datenschutz: Ist Ihr Betrieb schon fit?
LINZ. Datenschutz-Grundverordnung: Unternehmen, die nicht handeln, riskieren empfindliche Strafen.
Die Uhr tickt. Nur noch 112 Tage bleiben Unternehmen, Selbständigen, aber auch Vereinen, um sich fit zu machen für die Datenschutz-Grundverordnung, die am 25. Mai in Kraft treten wird. Das neue Regelwerk soll die Kontrolle der Bürger über ihre personenbezogenen Daten sicherstellen und sieht daher auch umfassende Auskunftsrechte vor. Unternehmer, die sich nicht vorbereiten, riskieren hohe Verwaltungsstrafen von bis zu 20 Millionen Euro.
Markus Gaderer, Rechtsanwalt der Kanzlei Haslinger / Nagele & Partner, ist auf das Datenschutzrecht spezialisiert und bietet einen Überblick über die wichtigsten Punkte, die alle datenverarbeitenden Betriebe beachten müssen.
Informationspflichten
Welche Daten speichert ein Betrieb von welchen Kunden und zu welchem Zweck? Aufgrund welcher Rechtsgrundlage (Gesetz bzw. vertragliche Vereinbarung) werden diese Daten verarbeitet, und wer erhält sie übermittelt? "Um die Informationspflichten zu erfüllen, empfehlen wir, diese Angaben, vergleichbar mit einem Impressum, auf der Website zu veröffentlichen", sagt Anwalt Gaderer. Dasselbe gilt für die Mitarbeiter eines Betriebes.
Angestellte, Mitarbeiter
Auch sie sind zu informieren, welche personenbezogenen Daten der Arbeitgeber speichert. Im Regelfall werden dies Namen, Adressen, Kontodaten und Zeitaufzeichnungen sein. "Zum Informieren bietet sich etwa das Intranet an, auch eine Bekanntmachung am Schwarzen Brett kann reichen. Bei zukünftigen Mitarbeitern empfiehlt es sich, diese Informationen in den Dienstvertrag hineinzuschreiben", sagt Gaderer.
Dokumentationen
Grundsätzlich müssen alle Datenverarbeiter ein "Verzeichnis der Verarbeitungstätigkeit" führen. Das ist eine Art Grundkonzept, das beschreibt, welche Daten wie und zu welchem Zweck gespeichert sind. Kleine und mittelständische Unternehmen (KMU) bis 250 Mitarbeiter sind von dieser Pflicht zwar ausgenommen. Es empfehle sich aber, solche Verzeichnisse anzulegen. Denn bei einer Überprüfung durch die Datenschutzbehörde kann ein Unternehmen dann einfacher seiner Rechenschaftspflicht nachkommen. "Brauchen Sie wirklich die Geburtsdaten aller Ihrer Kunden?" Im Rahmen der Rechenschaftspflicht muss ein Unternehmen der Behörde solche Fragen beantworten können. "Geldbußen werden bei denjenigen, die sich nichts pfeifen, sicherlich höher ausfallen als bei Betrieben, die sich nachweislich Gedanken gemacht haben", sagt der Anwalt. Ein Grundprinzip der DSGVO sei die Datenminimierung: Verarbeitet und gespeichert werden dürfen nur Daten, die für den Verarbeitungszweck erforderlich sind. Beispiel: Ist ein Gewinnspiel beendet, müssen die dafür erhaltenen E-Mail-Adressen gelöscht werden.
Datenschutzbeauftragter
"Leider gibt es keine einfache Regelung, wer einen Datenschutzbeauftragten braucht und wer nicht. Hier gibt es auch keine Ausnahme für die KMU", sagt Anwalt Gaderer. Laut der DSGVO brauchen alle Unternehmen einen Datenschutzbeauftragten, deren Kerngeschäft das Verarbeiten von Daten ist. Das Paradebeispiel sind Auskunfteien.
Auskunftsrecht
Jeder Bürger hat das Recht zu erfahren, welche Daten ein Unternehmen zu welchem Zweck gespeichert hat. Eine Auskunft muss jedenfalls binnen vier Wochen beantwortet werden. Bürger haben auch das Recht auf Löschung von Daten, spätestens sobald der Zweck, für den personenbezogene Daten erfasst wurden, erfüllt ist.
Sind sie vorbereitet?
"Ich bin überfordert mit dem Thema. Es ist ein extremer Mehraufwand und ich weiß nicht, was es den Patienten bringen soll. Ich bräuchte eine Art Checkliste, angeblich arbeitet die Ärztekammer daran.“
Petronella Gsellmann, Zahnärztin in Linz und Gallneukirchen
„Wir haben uns gut informiert. Auch das Umstellungsprozedere bei der Software ist schon fortgeschritten. Wir werden uns noch einen Praktiker ins Haus holen, der bereits andere Firmen bei diesem Prozess begleitet hat.“
Harald Wegscheider, Finanzchef von Strasser-Steine in St. Martin im Mühlkreis
„Die Infos, die wir Friseure bekommen haben, waren Wischiwaschi, und ich bin ja keine Anwältin. Unsere Innung hat ein Schreiben angekündigt, darauf warten wir jetzt.“
Angela Edinger, Inhaberin des Friseursalons Edinger in Linz
Interessieren Sie sich für dieses Thema?
Mit einem Klick auf das “Merken”-Symbol fügen Sie ein Thema zu Ihrer Merkliste hinzu. Klicken Sie auf den Begriff, um alle Artikel zu einem Thema zu sehen.
Interessieren Sie sich für diesen Ort?
Fügen Sie Orte zu Ihrer Merkliste hinzu und bleiben Sie auf dem Laufenden.
Die DSGVO ist sehr einfach und verständlich zu lesen. Auch dieser Artikel deckt sich voll und ganz mit dem, was ich aus der Verordnung entnommen habe. Die WKO hat ein 4-Blattsystem entwickelt, mit dem man auf einfache Art und Weise seinen Aufgaben nachkommen kann. Ich mache weder Profiling noch sonstiges. Deshalb war ich mit dem Ausfüllen der Blätter in 10 Minuten fertig. Diese habe ich an die Kunden, Lieferanten und MA verschickt. Mit der Kontrolle der Spendenmeldungen bin ich, so wie auch vorhergesehen weit mehr beschäftigt, da bisher keine einzige Spende auf meinem Steuerakt ersichtlich ist. Die Kirchensteuer sehr wohl.
Mit den Errungenschaften und Verbesserungen des Johann Georg werde ich mich auch weiterhin über Gebühr ärgern.
Wenn Sie keine Ahnung haben (und nur im Stande sind Politik-Bashing zu betreiben) kann man nur heilfroh sein, dass Sie keine Kunden- oder Patientendaten speichern!
Bitte welche Daten soll ein Friseur speichern, der ausser einer Rechnung nix von seiner Kundschaft weiss. Am besten eine Tafel aufhängen, dass die Kundschaft absofort anonym und ohne Gespräch ( ausser bitte und Danke) bedient wird
Wie soll ein Arzt bei dem die E Card gesteckt weerden muss und der die Daten 7 Jahre verpflichtend speichern muss, diese Daten, bei denen er mit anderen Ärzten vernetzt ist löschen, wenn der Pat es wünscht? Er kann nämlich auf den Computer von Labors und Röntgenärzten nicht zu greifen? Wie soll der Herr DR die Daten vor seinen Mitarbeitern und Sekretärinnen schützen? Muss er jetzt die Pat selbst aufnehmen und alle Krankengeschichten und Arztbriefe selber schreiben?
Dieses ganze Chaos haben ein paar Querulanten und weltfremde Juristen und Beamte angerichtet, die jetzt noch viel Geld damit verdienen und unsere Gesetzgeber stimmen zu, den die kennen sich im Berufsleben überhaupt nicht aus, weil sie nämlich nicht wissen was arbeiten heißt!