Um hier in Österreich die Verwirrung und den Aufwand noch etwas zu steigern, bleibt das DatenSchutzGesetz 2000 (DSG2000) in Teilen weiter gültig. Damit wir uns besser damit zurechtfinden, wurde hierfür das Datenschutz Anpassungsgesetz 2018 geschaffen. (siehe Links am Ende des Artikels)
Wieso jedoch kommt es zu dieser katastrophenartig anmutenden Situation, obwohl es die DSGVO eigentlich schon seit zwei Jahren gibt?
Nun, zum einen beschäftigen wir uns im modernen Management gerne erst mit Problemstellungen, wenn sie tatsächlich auftreten. Zuvor werden weder Ressourcen noch Mittel freigegeben, um zumindest einen gleitenden Übergang zu ermöglichen. Im Kleinunternehmertum ist es dagegen so, dass es zumeist wirklich an den zeitlichen Ressourcen fehlt und erforderliche Geldmittel knapp bemessen sind. Lediglich Firmen, die sich ohnedies intensiver mit Datenschutz auseinandersetzen müssen, haben hier ein wenig die Nase vorn.
So kommt es wie es kommen musste. Viele Unternehmer haben jetzt erst begonnen sich einzulesen und stehen daher vor einem Wust an Des-/Informationen, die sie nicht ausreichend einordnen, geschweige denn in Arbeitsabläufe und To-Do‘s umwandeln können. Die Medien und die unendliche Meinungsvielfalt des Internets – selbst wenn gut gemeint, sind wie so oft, gar nicht hilfreich. Die DSGVO wiederum bietet selbst keinerlei Arbeitsanleitungen und lässt freilich mehr Fragen offen, als sie beantwortet. Da es im Moment auch noch keine Judikatur gibt, die man zu Rate ziehen könnte, kann guter Rat teuer werden. Eine Alternative wäre nun, sich auf einem der mittlerweile restlos ausgebuchten, obwohl zahlreich angebotenen, und gar nicht so billigen Kurse, zum zertifizierten Datenschutzbeauftragten ausbilden zu lassen. Sofern man aus rechtlichen Gründen dies nicht ohnehin tun muss, kann natürlich auch ein externer Datenschutzbeauftragter angeheuert werden. Oder, was besonders EPUs und KMUs bevorzugen werden, die Sache selbst in die Hand zu nehmen.
Zielscheibe Webshop
Sieht man sich beispielsweise in Foren um, wo sich Webshop-Betreiber mit dem Thema auseinandersetzen, bekommt man wirklich alle Meinungen zu lesen. „Ich warte ab, bis es soweit ist. Wird schon nicht so wild werden!“, „Interessiert mich nicht! Die Datenschutzbehörde hat eh keine Zeit sich mit mir abzugeben!“ und ähnlich klingt es einem entgegen. Dass empfindliche Strafen, nämlich bis zu 4% des Jahresumsatzes oder 20 Mio. Euro Strafe(!) drohen, scheint diese Leute nicht zu erschrecken. Im Gegenteil – viele erwarten, dass die Handhabung der DSGVO ähnlich lasch betrieben wird, wie zu Zeiten, wo Betriebe nur eine DVR-Nummer benötigt haben. Anderen hingegen merkt man die zunehmend aufkommende Panik an, da sie sich vor ein für sie offensichtlich unlösbares Problem gestellt sehen. Kein Wunder – gilt es doch IT-Investitionen zu erheben, Personal für Recherchen und interne Schulungen bereitzustellen, Anpassungen bei der Erhebung von personenbezogenen Daten vorzunehmen und deren Dinge mehr. In Summe keine so kleine Aufgabe.
Doch gerade Webshop-Betreiber sollten sich in Acht nehmen. Durch ihre exponierte Lage im Internet und die Vielzahl an Kanälen, über die sie personenbezogene Daten verarbeiten und weitergeben, macht sie zur leichten Beute für aggressive Mitbewerber, abmahnsüchtige Rechtsanwaltskanzleien, böswillige (Ex-)Kunden und (ehemalige) Mitarbeiter. Schon eine einzige Anfrage, welche Daten von einer Person gespeichert sind, kann die Lawine ins Rollen bringen. Von ungenügend formulierten Datenschutzerklärungen erst gar nicht zu reden. Wer der Behörde im Falle einer Anzeige kein einigermaßen gut ausgearbeitetes Datenschutzkonzept vorweisen kann und wie die DSGVO im Betrieb Umsetzung findet, insbesondere wenn die Anzeige von einem Rechtsanwalt eingebracht wurde, sollte jedenfalls ein dickes Polster auf der hohen Kante haben.
Wie aber kann man sich rüsten?
Die DSGVO sieht vor, dass man unter bestimmten Voraussetzungen keinen internen Datenschutzbeauftragten auf der Lohnliste benötigt. Datenschutzbeauftragter kann im Übrigen (fast) jeder Mitarbeiter im Unternehmen werden. Es wird keine Zertifizierung benötigt. Um allerdings zu einem brauchbaren Datenschutzkonzept zu kommen, das auch im Ernstfall hält, sollten zumindest ausgewählte Schulungen zur DSGVO besucht oder ein externer Datenschutzbeauftragter ins Boot geholt werden. Ungeachtet dessen muss man sich – je nach Größe und Art eines Unternehmens – auf viel Arbeit einstellen. Denn auch ein Datenschutzbeauftragter weiß nur, wie ein Konzept beschaffen sein muss, aber nicht welche personenbezogenen Daten wo im Unternehmen anfallen, verarbeitet und gespeichert werden, welche Anwendungen dazu benutzt werden, noch an welche (externen) Empfänger bzw. Auftragsdatenverarbeiter Daten weitergegeben werden. Diese unternehmensspezifischen Informationen finden sich nur auf Seiten des Betriebes. Im Zuge der Evaluierung tauchen dann u.a. Redundanzen auf, mit denen keiner gerechnet hat, verbesserte Prozess- und Workflows entstehen und das Bewusstsein für Datenschutz wird angehoben. Es ist wie ein Frühjahrsputz in den Archiven.
Die App-Alternative für Do-it-Yourself-Verantwortliche
Es gibt für jene, die es wirklich komplett in die eigene Hand nehmen möchten, noch eine weitere Alternative. Zufällig bin ich durch einen meiner Dienstgeber auf eine Schulung der Firma www.consult24.at aufmerksam geworden. Gemeinsam mit deren Geschäftspartner, der Firma Lukmann Consulting GmbH, die Entwickler und Herausgeber des Tools „DSGVO APP“ unter dem gleichnamigen Link www.dsgvoapp.at ist, wird Interessierten die rechtliche Materie und wie man mit Hilfe der App ein schlüssiges Datenschutzkonzept erstellt, im Rahmen einer 1-Tages-Intensivschulung, kostengünstig nahe gebracht. Spätestens am Schluss des Schulungstages hat man erkannt, welche Aufgaben zu bewältigen sind und warum die DSGVO in vieler Hinsicht sogar eine echte Weiterentwicklung des Datenschutzrechts darstellt. Selbst wenn wir letzteres nur widerwillig hinnehmen wollen.
Ganz besonders bei kleineren Unternehmen können im Zuge der Durchforstung zusätzliche positive Nebeneffekte entstehen. Durch die strukturierte Aufarbeitung des eigenen Betriebes (Datenspeicher, Ordner, Ablagen), werden in einigen Fällen sicher erstmals Geschäftsprozesse als solche definiert, geschäftliche Schnittstellen evaluiert, Arbeitsabläufe neu geordnet, schlechte Angewohnheiten abtrainiert, was wiederum dem Unternehmen mehr Agilität und Sicherheit im Mitbewerb verleiht.
Doch wie auch immer man sich den Herausforderungen der DSGVO stellen wird – don’t panic!
Thematische Links:
Österreichische Datenschutzbehörde (dsb) – https://www.dsb.gv.at/datenschutz-grundverordnung
WKO – Übersicht zum Thema Datenschutz – https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenschutz.html
WKO – Datenschutz Anpassungsgesetz 2018 – https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-datenschutz-anpassungsgesetz-2018.html
RIS – DSG2000 – https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597
Lukmann Consulting GmbH – 14-Tage-Testversion downloadbar – www.dsgvoapp.at
consult24 GmbH – www.consult24.at – wer bei der Bestellung der App den Gutscheincode CONSULT24 eingibt, erhält EUR 10,- Rabatt (bis auf Widerruf; es gelten die AGB der Anbieter)
Diskussion auf:
