Im Mai ist es so weit: EU-weit treten mit der Datenschutzgrundverordnung die neuen Regeln im Datenschutz in Kraft. Für Unternehmen ist es daher höchste Zeit, rechtlichen Rat etwa bei den steirischen Rechtsanwälten einzuholen, um interne Abläufe und vor allem den Umgang mit Privatkunden den neuen rechtlichen Vorschriften anzupassen.
Datenschutz-Pflichten
„Unter den wichtigsten Neuerungen sind hier die Informations- und Dokumentationspflichten zu nennen, die Unternehmen treffen“, sagt der Vizepräsident der Steiermärkischen Rechtsanwaltskammer, Dr. Michael Kropiunig. Bisher war bei Datenanwendungen in den Unternehmen eine Meldung zum Datenverarbeitungsregister nötig – die bekannte „DVRNummer“. Künftig ist es aber so, dass dieses Verzeichnis im Unternehmen selbst geführt werden muss. Dieses „Verarbeitungsverzeichnis“ muss allerdings einige Anforderungen erfüllen, erklärt Dr. Michael Kropiunig. In diesem Verzeichnis ist aufzunehmen, wie und vor allem welche Daten erhoben werden und welchen Verarbeitungsschritten sie danach unterzogen werden. Wichtig dabei: Es ist auch anzuführen, an wen die Daten weitergegeben
werden.
„Diese Dokumentationspflichten können durchaus komplex werden – man denke nur an Unternehmen, die zur Auftragsabwicklung zahlreiche Kundendaten anderen Unternehmen oder Behörden übermitteln müssen“, informiert Dr. Kropiunig. Grundsätzlich gilt: Erfasst werden müssen Daten von Personen, nicht von Unternehmen. „Eine spezielle Form, wie dieses Verzeichnis zu führen ist, schreibt die Datenschutzgrundverordnung nicht vor“, so Dr. Kropiunig. Auch wenn es keine besonderen Formvorschriften gibt, muss dieses Verzeichnis dennoch einige Pflichtangaben enthalten. Im Detail: Zweck der Verarbeitung, die betroffenen Personenkategorien, die einzelnen Datenkategorien, Empfänger der Daten, Datensicherheitsmaßnahmen und sehr wichtig: Angaben, wie lange die Daten gespeichert werden.
Daten-Lösungen
„Unternehmen müssen sich eine Art ,Löschungsplan‘ zurechtlegen, weil eine willkürlich lange Speicherung von Daten künftig nicht mehr zulässig ist“, rät Dr. Kropiunig. So sind Daten etwa zur direkten Auftragsabwicklung nur eine begrenzte Zeit für das Unternehmen von Relevanz und müssen daher nach einer gewissen Zeit gelöscht werden – etwa, wenn nach zwei oder drei Jahren die Gewährleistungsfristen ausgelaufen sind.
Hohe Strafen
Unternehmen sollten das Thema Datenschutz und auch die technische Sicherung von Daten keinesfalls auf die leichte Schulter nehmen. In der Verordnung sind hohe Strafen bei Verstößen gegen die Datenschutz-Normen vorgesehen – bis zu vier Prozent des Konzernumsatzes oder bis zu 20 Millionen €. Sollte es tatsächlich zu einem Hackerangriff kommen, müssen die Kunden, deren Daten nach außen gelangt sind, von dem Vorfall verständigt werden.
Darüber hinaus sieht die Datenschutzgrundverordnung Schadenersatz für die Betroffenen vor. Es ist nicht auszuschließen, dass zukünftig vermehrt Sammelklagen gegen Unternehmen geführt werden – der Schaden eines Angriffs besteht daher dann nicht nur in einer Strafe durch die Datenschutzbehörde, sondern auch in Ersatzzahlungen, die geleistet werden müssen. Daher ist eine rechtliche Risikoanalyse mit einem Anwalt unerlässlich – auch, wenn es darum geht, eine geeignete Versicherung zur Deckung dieser Risiken zu finden, die mittlerweile bereits am Markt angeboten werden.
Foto: Dr. Michael Kropiunig, Vizepräsident der Steiermärkischen Rechtsanwaltskammer
Fotocredit: René Strasser
