Printausgabe der Tiroler Tageszeitung vom Mo, 23.04.2018


Datenschutzregelung

Datensicherheit: Frist läuft ab

Unternehmen mit drei oder mehreren tausend Mitarbeitern, Bienenzucht- und Sportverein: Die neue Datenschutzregelung gilt für jeden. Die Zeit drängt, längst nicht alle sind vorbereitet.

© Vanessa Rachlé / TTDie Mitgliedsstaaten der EU haben die neue Datenschutzgrundverordnung beschlossen, rechts IT-Experte Markus Reitshammer mit den Gesetzesbüchern.Fotos: APA/Rachlé



Von Michaela S. Paulmichl

Innsbruck — „Braucht man das wirklich?" „Worum geht es da überhaupt? Können Sie mir das bitte noch einmal erklären?" Wenige Wochen vor Inkrafttreten der EU-Datenschutzgrundverordnung DSGVO am 25. Mai sieht sich IT-Sicherheitsexperte Markus Reitshammer noch immer mit vielen Fragen dieser Art konfrontiert. „In meiner täglichen Arbeit treffe ich auch jetzt noch auf viele Unternehmer und Geschäftsführer, die sich über die Tragweite und die Konsequenzen nicht im Klaren sind und vor allem noch nicht erkannt haben, dass dringendst Schritte gesetzt werden müssen, um annähernd DSGVO-kompatibel zu werden."

Reitshammer hält Seminare, in denen Unternehmen und Organisationen auf die Neuregelung vorbereitet werden. Bei der EU-weit einheitlichen Regelung geht es in erster Linie um einen verbesserten Datenschutz, EU-Bürger sollen dadurch wieder mehr Kontrolle über ihre eigenen Daten bekommen und erkennen können, was damit geschieht. Alle Unternehmen und Organisationen müssen ihre Datenanwendungen bis dahin an die neue Rechtslage anpassen. Bei Verstößen drohen hohe Strafen wie Geldbußen von bis zu 20 Millionen Euro oder bei Unternehmen von bis zu vier Prozent des weltweiten Jahresumsatzes. Komplett neu ist eine Löschfrist, die bisher im österreichischen Datenschutzgesetz nicht vorgesehen war.

Reitshammer schätzt, dass sich weniger als die Hälfte der Kleinstbetriebe vorbereitet haben, dabei ist die Verordnung schon 2016 in Kraft getreten, nun geht auch die zweijährige Übergangsfrist zu Ende. Bei den kleinen und mittleren Unternehmen sei das Bewusstsein viel höher. Vielen Organisationen oder Vereinen sei gar nicht bewusst, dass die Regelungen auch für sie gelten, „auch für den Bienenzucht- oder den Sportverein".

Für den IT-Sicherheitsexperten gilt es drei Akteure zu unterscheiden: die Betroffenen, deren Daten verarbeitet werden und die geschützt werden müssen, die Verantwortlichen — Firmen, Vereine, Organisationen, die Daten erheben und verarbeiten — und jene, die im Auftrag der Unternehmen Daten verarbeiten — zum Beispiel Adressverlage, die postalisch Kataloge verschicken, Steuerberater, Buchhaltungsbüros oder auch Cloudprovider.

Auf der Homepage der Wirtschaftskammer Tirol, www.wko.at , ist unter „meist besucht auf wko.at" eine ausführliche Checkliste über die DSGVO und das österreichische Ergänzungsgesetz DSG zu finden. Unter den Themen Wirtschaftsrecht und Gewerberecht gibt es unter Datenschutz außerdem gesetzliche Regelungen zur Verwendung personenbezogener Daten zum Nachlesen. Der Blog von Markus Reitshammer: https://informationssicherheit.jetzt/

Die sieben Prinzipien der DSGVO

1. Datenminimierung: Es dürfen nur so viele Daten gesammelt und verarbeitet werden wie unbedingt nötig, um einen Auftrag erfüllen zu können.

2. Speicherbegrenzung: Ist die Ware geliefert und bezahlt, sollten die Daten gelöscht werden. Hier herrscht aber noch große Unklarheiten über den Zeitraum, da etwa laut Gesetz Belege sieben Jahre lang aufbewahrt werden müssen.

3. Zweckbindung und Koppelungsverbot: Daten dürfen nur für die übereingekommenen Zwecke und nicht darüber hinaus verarbeitet, verwendet und gespeichert werden, unter anderem betrifft das die Frage nach der E-Mail-Adresse des Kunden, verbunden mit der nicht autorisierten Zusendung von Newslettern.

4. Richtigkeit: Der Verantwortliche ist verpflichtet, die eingegebenen Daten zu überprüfen, sie müssen richtig und aktuell sein. Durch falsche Angaben könnten etwa Bankkunden als säumige Ratenzahler eingestuft werden, mit oft weitreichenden Folgen. Geschädigte haben ein Recht auf Richtigstellung, Unternehmen sind verpflichtet, Auskunft zu geben.

5. Integrität und Vertraulichkeit: Es muss sichergestellt werden, dass Daten nicht verfälscht werden und außerdem vertraulich bleiben.

6. Rechenschaftsverpflichtung: Der Verantwortliche muss die Erfüllung des Datenschutzes dokumentieren und auch nachweisen können.

7. Rechtmäßigkeit und Verarbeitung nach Treu und Glauben: Daten dürfen nur auf rechtmäßige, nachvollziehbare und transparente Weise verarbeitet werden. Betroffenen muss klar sein, wofür ihre Daten verwendet werden.