Das Thema „Datenschutz“ ist in aller Munde. Nach Inkrafttreten der Datenschutz-Grundverordnung (DSGVO) am 25. Mai 2016 hat die DSGVO – mit einer zweijährigen Übergangsfrist – nach wie vor Gültigkeit. 173 Gründe nennt der Europäische Gerichtshof für die Festsetzung dieser Verordnung. Die Hauptaussage der 88-seitigen deutschen Ausgabe ist, dass eine Verarbeitung personenbezogener Daten grundsätzlich nicht erlaubt wird. Ausgenommen von diesem Verbot ist die Verarbeitung personenbezogener Daten in folgenden Fällen:
• Einwilligung des Betroffenen • Ermöglichung der Vertragserfüllung • Erfüllung gesetzlicher Vorschriften • Öffentliches Interesse
DSGVO früher und heute Im Gegensatz zur früheren Vorgehensweise auf Basis des österreichischen Datenschutzgesetzes (DSG 2000) gibt es keine Freigabe von geplanten Datenverarbeitungen mehr. Das bedeutet, jedes Unternehmen muss für sich seine DSGVO konforme Vorgehensweise festlegen – und dokumentieren. Das ermöglicht einerseits Transparenz bei der Datenverarbeitung, andererseits kann die Datenverarbeitung auch vor Behörden, wie der Datenschutzkommission, entsprechend argumentiert werden.
Praktische Überlegungen Um DSGVO-konform zu agieren, erweist sich eine Klassifizierung der erhobenen Daten auf Basis der aktuell gültigen Gesetze als sinnvoll. Themen, wie der Vertragsabschluss, Rechnungsinhalte, Aufbewahrungsfristen oder die Gewährleistung, sind in diesen geregelt. Um bestehende Verträge auf Basis dieser Gesetze zu erfüllen, ist keine explizite Zustimmung des Betroffenen zur Verarbeitung und Speicherung personenbezogener Daten notwendig. Hier wäre eine Einwilligungserklärung schließlich kontraproduktiv: Wie sollte der Prozess gestaltet werden, wenn Betroffene nicht einwilligen? Bei zusätzlich erhobenen Daten ist zu überlegen, ob die Erhebung und Speicherung der personenbezogenen Daten sinnvoll und notwendig erscheint. Beruht die Datenverarbeitung auf keiner gültigen Rechtsnorm – wäre aber wünschenswert – so ist die entsprechende Einwilligung bei den betroffenen Personen einzuholen. Beispiele sind die Speicherung der Daten für Marketingzwecke oder auch zur Verbesserung der Kundenbeziehung im Vertrieb.
Herausforderungen und Chancen für die Beratung Die Herausforderung in der Beratung war und ist – trotz der gesetzlichen Vorschrift für die Umsetzung – gleichzeitig einen wirklichen Mehrwert für Unternehmen zu finden und zu bieten. Während der Beratung hat sich rasch branchenübergreifend gezeigt, dass Prozesse innerhalb des Unternehmens bisher wenig beachtet wurden: Welche Daten werden wann erhoben? Wo und wie werden diese gespeichert? Wie lange dauert die Speicherung der personenbezogenen Daten im Unternehmen? Gezeigt hat sich dadurch: Die verpflichtende Umsetzung der DSGVO hat sich auch in eine Prozessaufnahme, – analyse und -verbesserung gewandelt. Das wiederum bietet einen klaren Mehrwert in Bezug auf die Verbesserung der Kostenstruktur des Unternehmens.
Quo vadis DSGVO? Knapp ein Jahr nach Inkrafttreten der DSGVO lässt sich folgern: Die zuständigen Behörden haben die angedrohten Strafen noch nicht in voller Höhe verhängt. Sehr wohl wurden aber schon viele Verwarnungen ausgesprochen. Unternehmen wiederum, gegen die Strafzahlungen verhängt wurden, haben oftmals keine Maßnahmen zur Einhaltung der DSGVO gesetzt, beziehungsweise den aktuellen Stand der Technik in puncto Sicherheit und Integrität der Datenverarbeitung nicht eingehalten.
Die einzige Konstante – auch im Geschäftsleben – ist die Veränderung. Unternehmen, welche die DSGVO als Chance zur Weiterentwicklung betrachtet haben, konnten durch die zwingend einhergehende Selbstreflektion neue Wege beschreiten. team begleitet diese auch in Zukunft auf diesem Weg.