Informationen rund um die DS-GVO

In den vergangenen Monaten gab es vielfach Aussendungen, Seminare und Informationsveranstaltungen rund um das Thema der EU-Datenschutz-Grundverordnung (DSGVO) welche mit 25.5.2018 in Österreich endgültig wirksam wird. Um einen ordnungsgemäßen Datenschutz zu gewährleisten, empfehle ich folgende Aktionen und mein 25minütiges Video (LINK):

A. Schreiben Sie folgende Passage in das Impressum ihrer Webseite:

DEUTSCH:

Uns ist die Sicherheit Ihrer Daten wichtig. Wir verwenden sie ausschließlich zweckgebunden und geben sie nur dann an Dritte weiter, sofern diese in unserem ausdrücklichen Auftrag zur Zweckerfüllung beitragen. Nach EU-Datenschutz-Grundverordnung (DSGVO), dem Datenschutzgesetz (LINK) bzw. dem Bundesgesetzblatt 2017/120 (LINK) der Republik Österreich mit endgültiger Wirksamkeit 25.5.2018 haben Nutzer das Recht, auf Antrag unentgeltlich Auskunft über die personenbezogenen Daten zu erhalten, die wir über sie gespeichert haben. Zusätzlich hat jeder Kunde bzw. Nutzer jederzeit das Recht auf Berichtigung unrichtiger Daten, Sperrung und Löschung ("Recht auf Vergessenwerden") seiner personenbezogene Daten, soweit dem keine gesetzliche Aufbewahrungs- oder Meldepflichtpflicht entgegensteht.

*(Datenschutzbeauftragter: Name des Datenschutzbeauftragten)

Sollten wir unserer Datenschutzpflicht nicht fristgerecht nachkommen, wenden Sie sich mit ihrer Beschwerde bitte an die:

Österreichische Datenschutzbehörde

Wickenburggasse 8
A-
1080 Wien
Telefon: +43 1 52 152-0
E-Mail: dsbdsb.gv.at

Man sollte hier eine Liste anführen, für welche Zwecke man die personenbezogenen Daten speichert und verarbeitet. Z.B.: Kundenkommunikation, Statistiken, Zimmerspiegel usw.

ENGLISCH:

We care about the security of data. We only use them emarked and only pass them on to our partners, if they contribute to the fullfillment of purpose regarding our specific assingment. According to the EU-General-Dataprotection regulation (LINK) and according to the Data Protection Act (LINK) of the Republic of Austria starting 25.5.2018 users have the right to obtain free information on request about all stored personal data. In addition each customer or user is allowed to ajust incorrect data, block, or delete ("right to be forgotten") his personal data. The only exception is that we have the legal obligation to preserve business or reporting records.

*(Data protection officer: Name des Datenschutzbeauftragten)

If we do not comply with our data protection duty in due time, please contact your complaint to:

Austrian Data Protection
Wickenburggasse 8
A-
1080 Wien
Phone: +43 1 52 152-0
eMail: dsbdsb.gv.at

Weiters sollte man bei all jenen Unterseiten einer Webseite in welchen rechtliche Informationen eingetragen sind ein Aktualisierungsdatum hinzufügen. Betroffen sind Impressum, AGBs, Datenschutzrichtlinie und die Cookie-Liste.

Es genügt der Hinweis: STAND bzw. LAST UPDATED 1.3.2018

B. Interne Dokumentation

Das bisherige in Österreich verpflichtende (!!) DVR-Meldeverfahren und das DVR selbst wird es ab 25.5.2018 nicht mehr geben. Stattdessen verpflichtet die DSGVO ein Verzeichnis von Verarbeitungstätigkeiten zu führen, das auf Anfrage der Aufsichtsbehörde vorzulegen ist. Diese Verpflichtung gilt NICHT für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die Verarbeitung erfolgt nicht nur gelegentlich.

Die DSGVO formuliert hier meiner Ansicht nach etwas schwammig und lässt viel Interpretationspielraum zu. Auch der Begriff gelegentlich ist in der DSGVO nicht klar definiert und kann daher nicht nur zeitlich gesehen werden. Wenn also ein kleiner Vermietungsbetrieb regelmäßig neue Kunden in deren Kontaktverwaltungsprogramm hinterlegt, würde die Verarbeitung nicht nur gelegentlich erfolgen und es müsste ein Verzeichnis der Verarbeitungstätigkeiten geführt werden.

Aber hier ist bei der Auslegung der Wille des Verordnungsgebers zu berücksichtigen. Klein- und Mittlere Unternehmen (KMU bis 250 Mitarbeiter) die Datenverwaltung nur als Nebentätigkeit zusätzlich zu ihren Haupttätigkeiten vornehmen sind ausgenommen. Der Begriff gelegentlich bezieht sich also auf die Unternehmenstätigkeit - noch dazu ist die Datenverarbeitung zum Großteil manuell und nicht automatisiert. KMUs, deren Haupttätigkeit Datenverarbeitung ist, können sich nicht auf die Ausnahme berufen, sondern nur solche, bei denen die Datenverarbeitung eine untergeordnete Bedeutung zum Hauptbetrieb darstellt. Und ein Ferienhotel oder eine Schlosserei haben Datenverarbeitung NICHT als deren Hauptbetrieb.

Ich empfehle dennoch, dass man in jedem Unternehmen eine kleine Liste erstellt, in welcher sämtliche Positionen an denen personenbezogene Daten ihrer Kunden, Gäste, Mitarbeiter usw. eingetragen sind. In dieses Verarbeitungsverzeichnis schreiben Sie dann folgende Informationen:

  • Speicherort/Software
  • Dauer der Speicherung (falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer)
  • Zweck der Verarbeitung
  • Betroffene Personengruppe
  • Werden die Daten an andere Organisationen insbesondere in einem Drittland (nicht EU-Land) übermittelt? (Wenn ja welche Organisation und wechles Land?)
  • Wer hat Zugriff auf diese Daten?
  • Erfolgt die Datenverarbeitung in dieser Software automatisiert oder manuell?

Ein Eintrag in diesem Verzeichnis könnte dann wie folgt aussehen:

  • Speicherort/Software = Hotelprogramm
  • Dauer der Speicherung = keine automatische Löschung vorgesehen
  • Zweck der Verarbeitung = Gästeverwaltung / Kundenkommunikation
  • Betroffene Personengruppe = Gäste (Anfrage, Buchung, Vor Ort, ehemalig)
  • Werden die Daten an andere Organisationen insbesondere in einem Drittland (nicht EU-Land) übermittelt? = Nein
  • Wer hat Zugriff auf diese Daten? = Inhaber, Direktion, Marketing, Front/Back-Office, Housekeeping
  • Datenverarbeitung automatisiert oder manuell = manuell (Bearbeitung durch Mitarbeiter)

Denken Sie in dieser Liste auch an Handydaten ("Speicherung in der Cloud"), Backup-Software oder persönliche eMail-Konten ihrer Mitarbeiter auch im "Homeoffice".

Muster - Verarbeitungsliste (als Download)

Es kann vorkommen, dass ein Unternehmen auch "sensible Daten" erhält und diese speichert. In der Hotellerie werden gesundheitsbezogene Daten (z.B. Allergien, Nahrungsmittelunverträglichkeiten, Rollstuhlfahrer oä.) gespeichert, insofern diese Infos während des Aufenthaltes von Bedeutung sind. Dies geschieht auf ausdrücklichem Wunsch durch den Kunden, der ja ein Interesse hat nicht allergisch zu reagieren und das nicht bei jedem Aufenthalt kommunizieren zu müssen.

Die DSGVO hat übrigens einen sogenannten risikobasierten Ansatz. Sprich wie hoch ist das Risiko, dass durch die diversen Verarbeitungsvorgängen und Weitergaben der personenbezogenen Daten, die Rechte und Freiheiten einer natürlichen Personen belastet werden. Diese Risikoeinschätzung nennt der Gesetzgeber Datenschutz-Folgenabschätzung (DSFA). In der DSGVO ist eine DSFA übrigens nicht für alle Verarbeitungsvorgänge verpflichtend. Eine DSFA ist nur dann erforderlich, wenn eine Form der Verarbeitung „wahrscheinlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen mit sich bringt“. Dies gilt z.B. bei Dataprofiling oder BigData. Oben bereits benannte Ferienhotels oder die kleine Schlosserei sind Stand heute meilenweit von Dataprofiling entfernt. Dies machen Firmen wie Amazon oder Facebook und ich finde das auch in Ordnung, dass hier ein wenig ein Riegel vorgeschoben wird.

Jeder Unternehmer sollte aber ein paar Maßnahmen festgelegen, um die Eintrittswahrscheinlichkeit der erkannten Risken zu minimieren. Dazu gehört z.B., dass nicht alle Mitarbeiter das Master-Passwort des Servers kennen oder, dass jeder Mitarbeiter seinen eigenen Zugang zur Kundenverwaltung bekommt.

C. Externe Dokumentation

Auch sollten sie eine Zusammenfassung erstellen, an wen sie personenbezogene Daten und warum weitergeben. Bitte denken Sie hier zum Beispiel an:

  • Buchung einer Startzeit am Golfplatz inkl. Bekanntgabe der eMail-Adresse
  • Terminvereinbarung einer Massage bei einem externen Masseur inkl. Gesundheitsdaten des Gastes
  • Weitergabe von Adressdaten an ein Unternehmen für den Postversand eines Katalogs
  • usw.

Um sich selbst abzusichern sollten Sie den Vertrag mit ihren Partnern dahingehend erweitern, dass der Vertragspartner die von ihnen zur Verfügung gestellten personenbezogenen Daten nur zweckgebunden, bis auf Widerruf und im Rahmen der Vereinbarung verwenden darf. Weiters dürfen die Daten vom Vertragspartner nicht an Dritte weitergeben werden. Wie auch schon oben bei den Mitarbeitern erwähnt, sollte auch bei der Datenweitergabe die Verschwiegenheitspflicht kommuniziert werden.

Ein möglicher Vertrags-Text könnte so aussehen:

Wir nutzen in unserem Unternehmen an unterschiedlichen Stellen personenbezogene Daten unserer Kunden, Mitarbeiter und Lieferanten. Im Rahmen unserer Zusammenarbeit, hast Du Zugriff auf einige dieser Daten (z.B.: eMail-Adressen, Postadressen oä.). Uns wurden diese Daten von den oben genannten Personen zweckgebunden zur Verfügung gestellt. Bitte bestätige uns, dass Du diese Daten bis auf Widerruf und ebenfalls nur zweckgebunden im Rahmen unserer Zusammenarbeit verwendest. Dazu ist es Dir nicht erlaubt diese Daten an Dritte weiterzugeben und Du bist zur Verschwiegenheit verpflichtet.

Auch die oben bereits erwähnten Cloud-Services sind übrigens "externe" Datenbearbeiter. Wird ein solcher Cloud-Service in Anspruch genommen, so muss eine sichere Datenverarbeitung durch diesen gewährleistet sein. Denn kommt es zu einer Verletzung des Schutzes personenbezogener Daten in der Cloud (bspw. durch einen Hackerangriff) trägt die datenschutzrechtliche Verantwortung nach außen hin der Verantwortliche. Sprich jenes Unternehmen welches die Cloud-Services in Anspruch nimmt und nicht der Cloud-Anbieter! Da wir als Unternehmen immer öfter unsere Datensysteme in der Cloud verwalten, ist es daher dringend erforderlich, die Vereinbarungen zu kennen, zu dokumentieren und regelmäßig zu überprüfen.

D. Einwilligungserklärung

Die wohl drängenste aller Fragen ist, ob der User explizit dem Erhalt eines z.B. Newsletters (nachträglich) zustimmen muss. Es geistert hier ein wenig der Zwang durch den Raum, dass der User sich unbedingt nochmal irgendwo mit Double-Opt-In registirieren muss. Dem ist eigentlich nicht so - zumindest steht davon nix in irgendeiner Verordnung!

In Artikel 7 Abs.1 der DSGVO steht nämlich unter dem Titel "Bedingungen für die Einwilligung": Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat.

Unter einer „Einwilligung“ versteht man jede freiwillige und unmissverständlich abgegebene Willensbekundung. Diese kann schriftlich, mündlich aber auch in konkludenter Form erfolgen. Die ersten beiden Punkte sind denke ich logisch und legitimieren den Erhalt eines Newsletters, auch wenn man die mündliche Form in irgendeiner Form dokumentieren sollte. Bei der konkludenten Form scheiden sich die Geister. Ich stehe auf dem rechtlichen Standpunkt, dass, wenn ein User seit zum Beispiel vier Jahren den regelmäßigen Newsletters des Unternehmens erhält und diesem nicht widerspricht (sprich abbestellt), dann kann man davon ausgehen, dass er Interesse an dieser Information hat. Warum sollte ich ihn also nachträglich nochmals um eine Einwilligung bitten?

Wer sich dennoch zusätzlich ein wenig absichern möchte, dem empfehle ich folgenden unverbindlichen Passus in die nächste Newsletter-Aussendung oder den nächsten Postwurf einzubauen:

Falls Sie Änderungswünsche betreffend Ihrer Daten haben, können Sie uns diese gerne mitteilen. Das funktioniert sehr einfach mit einem eMail an infomeinunternehmensmail.com oder auf dem postalischen Weg.

Und wenn ein User dann immer noch nicht reagiert, dann denke ich kann man davon ausgehen, dass er den Newsletter wünscht. Man muss auch in diesem Fall nicht heiliger sein als der Papst.

E. Sonstiges

  • Sollte es zu einer Datenschutzverletzung kommen (z.B.: ein Hack-Angriff) muss man diesen unverzüglich - spätestens jedoch innerhalb von 72 Stunden - an die Aufsichtsbehörde (Österreichische Datenschutzbehörde | Telefon: +43 1 521 52-25 69 oder E‑Mail: dsbdsb.gv.at) melden. Auch die betroffenen Personen und Firmen sind über Datenschutzverletzungen ideal unverzüglich (jedoch spätestens innerhalb eines Monats) zu informieren. Eine Liste aller europäischen Datenschutzbehörden und im Schwerpunkt die der BRD findet man in diesem LINK.

  • Viele der in der Datenschutz-Grundverordnung geforderten Massnahmen sind in Österreich bereits seit Jahren rechtlich bindend. Dazu gehören vor allem Massnahmen wie datenschutzfreundliche Voreinstellungen ("privacy by default") oder ein Kopplungsverbot zwischen 2 Verträgen (Beispiel: "mit Ihrer Bestellung im Online Shop erhalten sie zwangsweise auch unseren Newsletter"). Bei Software-Neuimplementierungen sollte in Zukunft weiterhin an die Grundsätze des Datenschutzes gedacht werden. Sämtliche Formulare (Anfrage, Buchung, Kontakt usw.) sollten rechtskonform umgesetzt sein ("privacy by design"). Dies bedeutet nichts anderes, dass sämtliche Formulare (Beispiel) mit Double-Opt-In versehen werden - ein User bekommt auf die hinterlegte eMail-Adresse eine Bestätigung, um nochmals die Anmeldung
    • zu beweisen ("Wir haben von dieser eMail-Adresse eine Anfrage erhalten. Sollten sie diese Anfrage nicht gemacht haben, bitte melden Sie uns das!") oder
    • zu bestätigen ("Sie haben sich mit dieser eMail-Adresse zu unserem Newsletter angemeldet. Bitte bestätigen Sie die Anmeldung!")

  • Ein *Datenschutzbeauftragter innerhalb des Unternehmens ist NICHT zwingend notwendig - ausser sie sind zum Beispiel eine Bank, eine Versicherung, ein Krankenhaus, eine Haftanstalt oder eine Köperschaft öffentlichen Rechts (z.B.: ein Tourismusverband). Siehe dazu diesen LINK. Hier geht es um sensible Daten und in diesem Fall ist es im ureigensten Interesse des Unternehmens einen Datenschutzbeauftragten zu haben. Jedoch sollte sich jeder Unternehmern Gedanken über den Datenschutz machen und sich selbst und/oder Mitarbeiter in diesem Bereich sensibilisieren. So sollten alle betroffenen Mitarbeiter unterwiesen werden, dass Datenschutz im Unternehmen einen hohen Stellenwert hat. Dies könnte bei Abteilungsbesprechungen, am Schwarzen Brett, in einer Betriebsvereinbarung oä. kommuniziert werden. Weiters sollte es arbeitsvertraglich gesichert sein, dass Mitarbeiter zur Verschiegenheit verpflichtet sind.

  • Das Zauberwort beim Datenschutz lautet TRANSPARENZ! Sprich, wenn ein User anfragt und Herausgabe, Löschung oder die Berichtigung seiner persönlicher Daten verlangt so ist dies umgehend zu erledigen. Einzig gilt es aufzupassen, dass der anfragende User auch wirklich der ist als der er sich auszugeben versucht!

  • Allen Datenschutzsorgen zum Trotz gilt in der EU das Verhältnismäßigkeitsprinzip. Darunter versteht man den Rechtsgrundsatz, dass bei Eingriffen in persönliche Rechte, die im Falle eines öffentlichen Interesses als zulässig gelten, ein gewisses Maß gehalten wird. Dies gilt auch für Unternehmen und deren Aufwand den sie für die Umsetzung der DSGVO betreiben sollen. Noch dazu hat das Österreichische Parlament im April 2018 eine Deregulierung beschlossen. Gerne an dieser Stelle der LINK zum Gesetzestext und die Anmerkung der WKO (LINK)

  • Gerne verweise ich an dieser Stelle noch auf den Leitfaden des Bundeskanlzeramtes von Jänner 2018 (LINK) und ein Interview mit einem RA im Standard zu den 5-Mythen-Rund-Um-Die-DSGVO (LINK).

Inhaltsverzeichnis

  1. Impressumsvorlage EU-Schlichtungsstelle (LINK)
  2. Datenschutz Grundverordnung 2018 (LINK)
  3. Barrierefreiheit
  4. Genderunabhängigkeit
  5. Cookies & Pixel (LINK)
  6. Pauschalreisegesetz (LINK)
  7. Bild- & Videorechte (LINK)
  8. Übersicht und Videos (LINK)