Datenschutz-Grundverordnung: Die Uhr tickt!

v.l.n.r.: Clemens Horak, Mag. Markus Leitner, Mag. Michael Hirth

VIELE FRAGEN. Die bereits 2016 beschlossene europäische Datenschutz-Grundverordnung ist ab 25. Mai 2018 anzuwenden. Für ANWALT AKTUELL beantworten Mag. Markus Leitner und Mag. Michael Hirth (Leitner Hirth Rechtsanwälte, Graz) sowie Clemens Horak (ACP) die wichtigsten Fragen, um Missverständnisse und Strafen zu vermeiden.

Interview: Dietmar Dworschak

Die Datenschutz-Grundverordnung schwebt wie ein Damoklesschwert über uns allen. Herr Magister Hirth, gibt es solche, die sich mehr und solche, die sich weniger fürchten müssen?

 

Mag. Michael Hirth: Es betrifft alle, die in irgendeiner Weise personenbezogene Daten verarbeiten, wenn die Verarbeitung automatisch oder automationsunterstützt erfolgt.

 

Das reicht also vom Rechtsanwalt über den Konzern bis zum kleinen Modehändler, der Newsletter verschickt … Wer hat hier aus Ihrer Sicht den größten Aufholbedarf?

 

Mag. Michael Hirth: Der Mittelstand. Da ist es so, dass die einzelnen Abteilungen in der Vergangenheit oft mit Minimalaufwendungen unterwegs waren. Internationale Konzerne, die bisher bereits in den Datenschutz und die Datensicherheit investiert und eine Zertifizierung absolviert haben, sind besser aufgestellt.

 

Es geht im Kern um Dokumentation, um das Verzeichnis von Verarbeitungstätigkeiten und von Datenströmen. Was muss hier aus Ihrer Sicht ergänzt werden, Herr Horak?

 

Clemens Horak, ACP: Grundsätzlich muss ich in der Lage sein, jeder Person, die sich das wünscht, eine sie betreffende Datenverarbeitung zu belegen und zu dokumentieren. Jetzt kann ich diese Dokumentation natürlich mit einem Notizblock durchführen, nur stellt sich dies als sehr zeitraubend dar. Deshalb versuchen wir mit den XPERT-Produkten dies neben den normalen Arbeiten abzubilden. Protokollierung und Dokumentation passieren für den User fast unbemerkt. Es gibt da keine Mehraufwendungen seitens der Kunden. Auch die Erstellung verschlüsselter PDFs ist in XPERT bereits integriert. Wir bieten vor allem was die Verarbeitungsverzeichnisse, genauere Auswertungen oder Verschlüsselungen betrifft auch entsprechende Zusatzmodule an.

 

Apropos Verschlüsselung. Welchen Nachholbedarf sehen Sie hier bei Rechtsanwälten bzw. kleinen und mittleren Unternehmensstrukturen, Herr Magister Leitner?

 

Mag. Markus Leitner: Die Herausforderung ist es, Möglichkeiten zu finden, Daten auf einem sicheren Weg zu transferieren. Die meisten Kollegen arbeiten noch so, dass sie ein PDF daraus machen und dieses dann unverschlüsselt verschicken. Ich halte das in Anbetracht der Datenschutz-Grundverordnung für etwas schwierig. Wir haben mit unserer No-Spam-Proxy-Lösung eine Möglichkeit einen sicheren, verschlüsselten Datentransfer durchzuführen, ohne dass es für den Klienten einen großen Aufwand bedeuten würde.

 

Warum eigentlich kein PDF?

 

Mag. Markus Leitner: Weil ein E-Mail an sich eine Postkarte ist. Jeder, der sie unterwegs sieht, kann sie lesen. Wenn das angehängte Dokument nicht speziell gesichert ist, ist es für jeden einsehbar. Wir beschäftigen uns auch im internationalen Bereich, mit Kommunikation von Unternehmen aus Drittländern. Hier ist das Compliance-Thema schon weiter fortgeschritten als in Österreich.

 

 

 

Worauf muss jetzt noch vor Inkrafttreten der Datenschutz-Grundverordnung geachtet werden?

 

Mag. Michael Hirth: Das Wichtigste ist, dass man sich bewusst wird, in welchen Prozessen man personenbezogene Daten verarbeitet. Das erfordert meist umfangreiche Tätigkeiten, ist aber gleichzeitig auch die Chance für Unternehmer erstmals ein klares Bild über die eigene Datenlandschaft zu erhalten. Der Verarbeiter muss sich im Klaren sein, zu welchen Zwecken er Daten verarbeitet, wie lange er sie aufbewahren darf und an wen er sie allenfalls übermittelt.

 

Ein magisches Wort lautet „Zustimmungserklärung“ …

 

Mag. Michael Hirth: Genau. Aus den Grundsätzen der Informationspflicht und der Transparenz muss ich den Betroffenen, dessen Daten ich verarbeite, darüber informieren, welche Daten ich zu welchem Zweck verarbeite. In vielen Fällen kann sich der Verantwortliche auf einen Vertrag oder ein berechtigtes Interesse stützen. Etwa bei einem Rechtsanwalt, der einen Mandaten vertritt. Im Rahmen dieser Tätigkeit kann ich mich auf das Vollmachtsverhältnis stützen. Wenn aber die Verarbeitung zu anderen Zwecken erfolgen soll oder wenn ich die Daten außerhalb des Auftrages weitergeben möchte, dann brauche ich die Einwilligung.

 

Muss ich als Sender von Daten aufgrund der Datenschutz-Grundverordnung künftig etwas anders machen als bisher?

 

Clemens Horak, ACP: Ich muss mir grundätzlich überlegen, ob ich überhaupt berechtigt bin, gewisse Daten zu verwalten oder weiterzugeben. Bisher war es ja so, dass man generell versucht war, möglichst viele Daten zu speichern und zu verarbeiten. Viele davon sind aber für die Zwecke, die sie ursprünglich hatten, nicht notwendig gewesen.

 

Schaut zum Beispiel ein Newsletter, den ich hinausschicke, genau so aus wie früher?

 

Clemens Horak, ACP: Vermutlich vom Inhalt her schon. Es empfiehlt sich allerdings, bereits vor Versand beim Adressaten explizit anzufragen, ob der mit der Zusendung einverstanden ist und ob er eine aktive Zustimmung dafür gibt.

 

Mag. Michael Hirth: Bestehende Einwilligungserklärungen können weiterhin verwendet werden, mit dem großen Aber: wenn sie den Anforderungen der Datenschutz-Grundverordnung entsprechen! Am Beispiel von Newsletterversand muss ich die bestehenden Einwilligungserklärungen prüfen, da ich im Sinne der Datenschutz-Grundverordnung in der Beweispflicht bin, ob die Erklärungen wirk- sam sind.

 

Wer kontrolliert das?

 

Mag. Michael Hirth: Am Ende des Tages die Datenschutzbehörde in Wien. Allerdings gehe ich davon aus, dass es vielmehr der einzelne Betroffene sein wird, der Fragen stellt, wenn er beispielsweise einen Newsletter erhält, den er nicht erwartet.

 

Mit welchen technischen Veränderungen in den XPERT-Lösungen reagiert ACP auf die Herausforderungen der Datenschutz-Grundverordnung?

 

Clemens Horak, ACP: Die Protokollierungen waren bereits vorhanden. Zusätzlich wurden aber jetzt auch noch erfassbare Löschfristen integriert und die Möglichkeit geschaffen, Dokumente oder Personen zu pseudonymisieren oder zu anonymisieren, damit sie nicht mehr strukturell durchsuchbar sind. Sowohl die Protokollierung seitens der Verarbeitung, als auch die Möglichkeit der Steuerung der Zugriffsbeschränkungen sind massiv erweitert worden. Wer zu welchem Zeitpunkt Zugriff auf Daten gehabt hat, ist somit rasch geklärt. Zudem haben wir die XPERT-Produkte auch noch mit einem DSGVO-Register und Datenschnittstelle gergänzt, damit andere Kernapplikationen unserer Kunden nicht notwendigerweise die seitens der DSGVO erforderlichen Änderungen implementieren müssen. Aufgrund der Komplexität der DSGVO-Thematik bieten wir auch individuelle Beratungen an.

 

Gibt es auf der Liste der noch zu erledigenden Aufgaben etwas besonders Wichtiges?

 

Mag. Michael Hirth: Ganz wichtig ist es, eine gewisse Awareness herzustellen. Unternehmer müssen erkennen, personenbezogene Daten nur in dem Umfang zu verarbeiten, der tatsächlich notwendig ist. Zudem sind die Daten richtig und aktuell zu halten und zu löschen wenn der Zweck, zu dem sie verarbeitet wurden, erfüllt ist. Das ist auch die größte Hürde, da die Datenlöschung bisher nur in den seltensten Fällen durchgeführt wurde und technisch schwer umsetzbar ist.

 

Meine Herren, danke für das Gespräch.