"Den Begriff Datenschutz will schon niemand mehr hören; dennoch ist er geltendes Recht, das – wie die Entscheidungen der Datenschutzbehörde zeigen – auch vollzogen wird. Die Wiener 'Klingelbrett-Affäre' hat deutlich gemacht, welche absurden Folgerungen aus der DS-GVO gezogen werden. Dabei ist unbestritten, dass die digitale Transformation stattfindet, niemand kann sie aufhalten", fasst Univ.-Prof.in Dr.in Elisabeth Staudegger, wissenschaftliche Leiterin des Universitätskurses Datenschutzbeauftragte/r die Stimmung zur DS-GVO zusammen. Gerade im betrieblichen Bereich beschäftigt man sich immer wieder mit einer allfällig gemeinsamen Verantwortung der Beteiligten oder dem "klassischen" datenschutzrechtlichen Rollenverhältnis. "Herausfordernd ist der korrekte Umgang mit erhöhten Sicherheitsmaßnahmen sowie der Umgang mit Auskunftsfragen", erklärt RA Hon.-Prof. Dr. Clemens Thiele, Vortragender im Universitätskurs.
Stolpersteine in der Unternehmenspraxis
Trotz besten Gewissens birgt der unternehmerische Alltag datenschutzrechtliche Hürden. "In der Praxis am häufigsten sind bislang Fragen zur sogenannten 'Data Breach Notifications', d.h. die Meldungen von Datenpannen an die Behörde und zum Teil auch an Betroffene, aufgetreten. Hier muss erst Routine entwickelt werden, bzw. anhand von Checklisten in der Realität Datenpannen erkannt und zuverlässig eingeschätzt werden", legt Rechtsanwalt Thiele offen. Ein weiterer Stolperstein betrifft die Unterscheidung von Datensicherheit und Datenschutz. Denn: "Datensicherheit ist nicht gleich Datenschutz", bestätigt der Experte. Datensicherung beleuchtet nämlich nur einen Teil der Umsetzung der DS-GVO im Unternehmen. "Dass Datenzugriffe beschränkt und damit kontrolliert werden, sollte eine Selbstverständlichkeit sein." Beim Datenschutz kommt es darüber hinaus darauf an, bereits im Vorfeld die Einführung neuer Technologien bzw. von IT-Systemen auf ihre Datenschutztauglichkeit überprüfen zu lassen. Thiele: "Wer Datenschutz durch Technikgestaltung realisiert und mit kurzen Speicherfristen arbeitet, hat im Nachlauf keine Verstöße gegen das Datenschutzrecht zu befürchten."
Achtung, Kamera läuft!
In der Praxis stellt vor allem auch die rechtlich ausreichende Kennzeichnung von Videoüberwachungsanlagen und der sorgsame Umgang mit Kundenpasswörtern ein Thema dar. "Hier fehlt zum Teil noch die notwendige Aufmerksamkeit, denn das Argument, die Kamera liefert ohnehin sichere Bilder nur an bestimmte Personen, reicht eben nicht aus, wenn die Kennzeichnung fehlt bzw. die Kamera so positioniert ist, dass auch der öffentliche Raum, zum Beispiel vor einem Geschäftslokal, mitgefilmt wird", konstatiert Thiele. Vorsicht ist auch bei der Verwendung von WhatsApp auf Mitarbeiterhandys geboten. Denn nach derzeitigem US CLOUD-Act liefert WhatsApp die Daten an die USA und dort wird sämtlicher Personenbezug auf Anforderung der Behörde offengelegt. Das lässt sich mit der DS-GVO nicht vereinbaren. Thiele gibt vor allem geschäftsführenden Verantwortlichen den Tipp: "Das Verarbeitungsverzeichnis immer am neuesten Stand zu haben, technische Neuerungen vorab datenschutzrechtlich prüfen lassen und regelmäßig Schulungen der MitarbeiterIn in Datenschutzangelegenheiten durchführen lassen." Denn Datenschutz bringt nicht nur den Wettbewerbsvorteil, viel besser über die unternehmensinternen Abläufe selbst Bescheid zu wissen, sondern auch effektiv vor teuren Abmahnungen der Konkurrenten schützen zu können. Staudegger ergänzt: "Der Universitätskurs 'Datenschutzbeauftragte/r' trägt dazu bei, grundlegende Kenntnisse zu vermitteln, damit Datenschutz zu dem wird, was er sein soll: Der Schutz der Menschen bei gleichzeitiger Ermöglichung freien Datenverkehrs, also Datenwirtschaft unter Beachtung der Grundrechte."
Alle Infos und Anmeldung zum Universitätskurs Datenschutzbeauftragte/r