Die Datenschutz-Grundverordnung ist am 25. Mai 2018 in Geltung getreten. Wie es Unternehmen damit geht und was auch technisch beachtet werden sollte, beantworten die beiden Gründungspartner der Kanzlei Knyrim Trieb Rechtsanwälte.
(+) plus: Wie geht es den Unternehmen mit der Umsetzung der DSGVO? Beschäftigen sich vor allem die Größeren damit?
Rainer Knyrim: Vor dem 25. Mai hatten viele das Thema Datenschutz nicht ernst genommen. Heute bemüht man sich allerorts, den Anforderungen der DSGVO zu entsprechen, unabhängig von der Größe des Betriebes und der Branche.
Es gibt eine Basis von gleichen Datenanwendungen, die sicherlich jedes Unternehmen hat: eine Software für die Personalverwaltung, für die Buchhaltung, Marketinginstrumente oder eine automationsunterstütze Lagerhaltung – plus weitere branchenspezifische Anwendungen. Damit verarbeitet jedes Unternehmen personenbezogene Daten, die geschützt werden müssen.
Gerald Trieb: Es hängt immer von der Art der Anwendungen ab – und wie datengetrieben das Unternehmen ist. So kann eine österreichische Niederlassung eines internationalen Unternehmens vielleicht nur 50 Mitarbeiter haben, hat aber ein Verarbeitungsverzeichnis wie ein börsennotierter Konzern.
Wir sehen generell, dass datenschutzrechtliche Fragen heute viel ernster genommen werden. Alle Mitarbeiter in Unternehmen setzen sich damit auseinander – nicht nur die Rechtsabteilung. Früher hatte man mit einem mittelschweren Risiko bei Datenschutzangelegenheit, offen ausgesprochen, leben können. Heute ist selbst ein geringes Risiko oft schon zu hoch.
(+) plus: Ende Mai herrschte in vielen Unternehmen eine gewisse Aufregung – man wusste nicht, wie schnell und hart Prüfungen durch die Datenschutzbehörde folgen werden.
Trieb: Auch wenn der ganz große Hype abgeflacht ist und auch die großen Strafen durch die Behörde in Österreich bislang ausgeblieben sind – das Thema Datenschutz hat nun eine große Bedeutung in den Unternehmen. Viele hatten um den 25. Mai herum das Wichtigste erledigt – ein Verarbeitungsverzeichnis geschaffen und Informationen zur Datenverarbeitung auf die Homepage gestellt. Seither hat sich die Arbeit in Richtung Organisation verlagert. Man versucht, das aufzuarbeiten, was man nicht geschafft hat: alle Verarbeitungstätigkeiten zu analysieren, Auftragsverarbeiter-Verträge nachzuziehen und dazu gewisse Strukturen ins Unternehmen zu bekommen. Das betrifft etwa Datenschutz-Policies, die nun implementiert werden.
Das Thema Datenschutz ist mit 25. Mai nicht abgeschlossen gewesen, sondern ein laufender Prozess. Der braucht Personalressourcen, eine darauf abgestimmte Organisation und auch entsprechend technische Systeme, welche diese Anforderungen unterstützen.
Knyrim: Die Auskunftsersuchen hatten am 25. Mai in der Früh begonnen und das ebbt auch nicht mehr ab. Die Menschen wissen um ihr Recht, Auskunft über personenbezogene Daten von den Unternehmen zu bekommen. Und sie machen davon auch Gebrauch.
(+) plus: Technisch auf Knopfdruck alle gespeicherten Daten zu einer Person zu bekommen – gibt es diese Lösungen für Unternehmen bereits?
Knyrim: Es gibt sie, allerdings nur in Teilbereichen, innerhalb einzelner IT-Lösungen. Aus der Kernanwendung der Personalverwaltung lassen sich vielleicht auf Knopfdruck Stammdaten zu einem Mitarbeiter herausziehen. Das hilft bei einem Auskunftsersuchen aber wenig, da eine Information über sämtliche Daten gefordert ist. Personenbezogene Informationen liegen auch in anderen Systemen. Das können etwa im Produktionsbereich die Log-Files einer Drehmaschine betreffen. Der Mitarbeiter meldet sich mit seinem Personalchip in der Früh an der Maschine an und loggt sich am Abend aus; dazwischen wird dann oft jeder Handgriff an der Maschine eingespeichert.
Die meisten dieser Lösungen sind nicht darauf ausgelegt, die Daten datenschutzkonform zu verwalten. Man kann nur hoffen, dass die Hersteller die sich aus diesen ergebenden Anforderungen möglichst bald hineinprogrammieren.
Trieb: Die technischen Anforderungen betreffen nicht nur die Erfüllung von Betroffenen-Begehren – also etwa Lösch- oder Auskunftsbegehren –, sondern auch das Einschränken von Zugriffsmöglichkeiten, die Implementierung von Speicherfristen und ein automatisiertes Löschen von Daten.
Es ist immer wieder auch ein Streitthema, wer für die Kosten der Nachrüstung der IT-Systeme aufkommt. Unserer Erfahrung nach waren auch die großen IT-Dienstleister nicht genügend auf die DSGVO vorbereitet, obwohl nahezu alle Anforderungen schon nach alter Rechtslage zu erfüllen waren– nun fordern es die Kunden eben ein.
Knyrim: Die Unternehmenskunden sind der berechtigten Ansicht, dass die angebotene Software gesetzeskonform gestaltet sein muss. Das ist natürlich auch eine Sache des Servicevertrages. Hat man eine Business-Software einmalig vor Jahren gekauft, ist die Möglichkeit einer Anpassung etwas anderes als in einem Mietmodell oder bei einem laufenden Vertrag, der Updates inkludiert. Wir erwarten, dass hier Bewegung in den Markt kommen wird. Das betrifft auch die großen, bekannten Hersteller von Business-Software – auch die europäischen.
(+) plus: Wenn ein Unternehmen überhaupt kein Consumer-Business hat, sind es also die Mitarbeiterdaten, die datenschutzrechtlich relevant sind?
Knyrim: Das ist ein Irrtum, denn verkauft wird stets an Menschen, etwa den Einkäufer des Kunden. Dadurch haben Unternehmen immer personenbezogene Daten gespeichert. Auch ein Name auf einer Rechnung fällt in diese Kategorie. Die Unternehmen sind mit personenbezogenen Daten regelrecht kontaminiert – man kommt hier kaum aus.
(+) plus: Wie sieht eigentlich die Rechtslage bei der Verwendung von Fotos von Firmenveranstaltungen aus?
Trieb: Ein berechtigtes Interesse an der Aufnahme von Fotos kann rechtlich argumentiert werden, solange dies in der jeweiligen Erwartungshaltung der betroffenen Person ist, diese also damit rechnen muss, aufgenommen zu werden. Dies gilt auch für die Verwendung des Bildes. Geht diese jedoch darüber hinaus, muss die Einwilligung eingeholt werden.
Auf der sicheren Seite ist ein Veranstalter aber mit der schriftlichen Einwilligung seiner Besucher. Bei einer Verwendung in Social Media braucht man eine Einwilligung auf jeden Fall.