Datenschutz: Darf ich eigentlich noch ...?
Von Christine Klafl
Großbetriebe leisten sich Experten und bereiten sich schon seit zwei Jahren auf den Start der Datenschutz-Grundverordnung vor. Die Großen können daher ruhig Blut bewahren, wenn dieses Wortungetüm DSGVO in Kraft tritt. Und die vielen Kleinen, die das Rückgrat der heimischen Wirtschaft ausmachen? Viele von ihnen sind im Verzug, weil sie sich nicht betroffen fühlen; und weil der Chef, der sich dem stellen sollte, mit dem Abarbeiten von Aufträgen alle Hände voll zu tun hat. Aber: Jedes Unternehmen verfügt über mehr oder weniger personenbezogene Daten, um deren Schutz es geht.
Rainer Knyrim (Bild), Gründer und Partner der Wiener Kanzlei Knyrim Trieb Rechtsanwälte, ist Experte in Sachen Datenschutz. Er ist auch Autor bzw. Herausgeber von Büchern zu diesem Thema. Der KURIER hat ihn daher gebeten, Fragen aus der Praxis von kleinen und mittleren Unternehmen zu beantworten. Das Motto dabei: „Darf ich eigentlich noch ...?“
Ich bin Installateur und arbeite bei der Sanierung von Badezimmern mit Fliesenlegern und Tischlern zusammen. Darf ich meine Kundendaten auch künftig an die weitergeben?
Ja, wenn dies zur Vertragserfüllung nötig ist und die Kunden vorher informiert werden.
Als Fußpflegerin hätte ich gerne eine WhatsApp-Gruppe mit meinen Kundinnen, um freie Termine mitzuteilen. Darf ich das?
Ja, wenn die Kundinnen dem vorher zustimmen.
Darf ich, wenn ich eine Visitenkarte bekomme, die Daten für meinen Newsletter verwenden?
Ja, wenn Sie bei deren Übergabe frage, ob Sie das dürfen und die Einwilligung dazu erhalten und diese dokumentieren (z.B. mit einer Bestätigungs-Email).
Meine kleine Übersiedlungsfirma hat noch viele ganz analoge Aktenordner, z.B. mit Daten über die Kunden und die fünf Kleintransporter. Kann ich das weiter so machen?
Ja, wen die Aktenordner sicher verwahrt sind (z.B. in der Firma im Kasten versperrt) und Sie die Akten nach Ablauf der Aufbewahrungsfrist für die Buchhaltung (7 Jahre) vernichten (schreddern), wenn es sonst keinen Grund gibt, sie aufzuheben.
Meine
Gärtnerei hat die Lohnverrechnung ausgelagert, weil sie zu viel Zeit gekostet hat. Muss ich jetzt irgendetwas unternehmen?
Ja, es ist mit dem Lohnverrechner eine schriftliche Auftragsverarbeitervereinbarung nach Datenschutz-Grundverordnung zu schließen (Muster auf www.wko.at/datenschutz).
Vom Lagerplatz meiner Baufirma kommt immer wieder Material weg, z.B. Zementsäcke oder Rohre. Darf ich den Platz mit Kameras überwachen? Und wenn ja: Wie lange darf ich die Aufnahmen aufheben?
Ja, wenn keine öffentliche Straße dabei gefilmt wird und nicht länger als 72 Stunden gespeichert wird und wenn Warnhinweise über die Kameras (mit Ihrem Namen darauf) bei der Einfahrt angebracht werden.
Die Autos meiner Außendienst-Mitarbeiter sind mit GPS ausgestattet. Darf ich mir die Bewegungsprofile anschauen, um zu kontrollieren, dass sie wirklich die angegebenen Routen gefahren sind?
Ja, wenn Sie mit dem
Betriebsrat eine Betriebsvereinbarung darüber geschlossen haben und die Auswertung nur Stichprobenartig und im Vier-Augen-Prinzip erfolgt.
In unserer Gemeinschaftspraxis stehen die Patientendaten natürlich allen Kollegen zur Verfügung, die gerade Dienst haben. Ist das auch weiterhin in Ordnung?
Nein, jeder sollte nur auf seine Patienten und die, die er tatsächlich benötigt, zugreifen können. Überdies ist eine Vereinbarung über die gemeinsame Verantwortlichkeit nach Datenschutz-Grundverordnung zu schließen.
In unserer Firma gibt es Firmenhandys, die auch privat genutzt werden. Ändert sich da jetzt etwas?
Ja, es muss eine Risikoanalyse gemacht werden, es müssen technisch/organisatorische Maßnahmen getroffen werden, um die Datensicherheit zu gewährleisten – z.B. technische Trennung beruflich/private Daten, Verschlüsselung der beruflichen Daten oder Ablage in besonderen „Datencontainern“, sicheres Passwort etc.
Muss ich meine Kunden und Mitarbeiter künftig mehr darüber informieren, was ich für Daten über sie verarbeite?
Ja, ab 25. Mai besteht die Pflicht, jeden, dessen Daten man erhebt, im Zeitpunkt der Erhebung ausführlich darüber zu informieren, welche Daten zu welchem Zweck verarbeitet werden, wohin sie übermittelt werden, wie lange sie gespeichert werden und was für Rechte die Betroffenen haben.
Ändert sich punkto Werbung etwas gegenüber Konsumenten oder im Geschäftskundenbereich?
Telefonanrufe zu Werbezwecken bleiben weiterhin immer ausnahmslos verboten, für Email- und Postsendungen gibt es weiterhin ein paar Ausnahmen. Werbe-Zustimmungsklauseln dürfen aber nicht mehr in
AGBs versteckt werden.