Europäischer Datenschutztag

DSGVO: "Praxisnahere Regelung wünschenswert"

BEZIRK SPITTAL (ven). Am 28. Jänner ist der Europäische Datenschutztag. Seit Mai 2018 ist die Datenschutzgrundverordnung (DSGVO) in Kraft, die nicht überall auf Gegenliebe stößt. Vor allem bürokratisch stellt sie für viele Unternehmer eine große Hürde dar. Die WOCHE fragte nach, wie es denn mittlerweile mit der Umsetzung läuft.

Doppelt betroffen

WKO-Obmann und EDV-Experte Siegfried Arztmann dazu: "Als IT-Unternehmen sind wir doppelt betroffen. Einerseits mit der Umsetzung für das eigene Unternehmen und andererseits beraten wir ja auch unsere Kunden diesbezüglich. Die Intention des Datenschutzes ist ja nur eine Seite der Medaille. Die zweite Seite ist die Aufklärung über Cybercrime. Dass man z.B. nicht unvorsichtig Bewerbungsmails mit Word-Beilagen öffnet, hinter denen sich ein Virus versteckt. Oder wenn ein Geschäftsführer seiner Buchhalterin eine Anweisung gibt, für einen geheimen Firmenverkauf
schnell mal 60.000 Euro an ein englisches Bankkonto zu überweisen", sagt er.

Vorreiter 

Er glaubt, dass sich für Unternehmen, die grundsätzlich auch vorher schon sorgfältig mit Daten umgegangen sind, nicht viel geändert hat. "Zusätzlich haben wir in unserem Unternehmen zehn Datenschutzbeauftragte ausgebildet, damit wir hier auch Vorreiter sind." Probleme gebe es mit jenen, die versuchen, die DSGVO 'auszunützen'. "Wir hatten z.B. bei unseren Kunden schon Beschwerden, wo der Beschwerdeführer ganz offen mitteilte, dass man die Beschwerde durch Gewährung eines 'Goodies' als gegenstandslos betrachten sollte. Hier raten wir den Kunden, das mit uns oder dem Rechtsanwalt zu besprechen."

Gerichtsurteil erwartet

Arztmann glaubt, dass es erst Rechtssicherheit geben werde, wenn erste Gerichtsurteile vorliegen. "Wichtig erscheint uns hier, die eigene Auslegung der DSGVO punktgenau zu dokumentieren, damit später bei einem anderslautenden Gerichtsurteil niemand vorsätzliches Handeln
unterstellen könnte. Und wenn bei einer Prüfung die Datenschutzbehörde sieht, dass man sich die Mühe einer ordentlichen Dokumentation und Auslegung gemacht hat, wird es eher zu Beratung und Verwarnung durch die Behörde kommen", ist er sich sicher.

Drei Aufforderungen

Ob es schon Beschwerden gab? "Wir hatten zwei Aufforderungen, keine Newsletter mehr zuzusenden und eine Aufforderung, Daten zu löschen. Gerade dieser Anforderung konnten wir aber nicht nachkommen,
weil es ja gesetzliche Aufbewahrungspflichten einerseits und Schadensersatzfristen bis zu 30 Jahre andererseits gibt. Aber auch das hatten wir die Jahre davor auch schon."

Vernünftige Regelung gewünscht

Ein Wunsch von ihm sei es, dass es eine vernünftige Regelung zur gesetzlich erlaubten Kontaktaufnahme zwischen Unternehmen und Menschen
gibt, die nicht gleich gesetzeswidrig ist. Immer vorausgesetzt, dass es in Ordnung ist, wenn der eine Kontakt aufnehmen möchte und der andere sagt "nein will ich nicht". "Derzeit ist es teilweise schon gesetzeswidrig, wenn ein Verkäufer eine Liste von Kunden mit bestimmten Daten, die er kontaktieren möchte, erstellt, damit er diese kontaktieren kann. Das muss möglich sein - gleich wie es nichts Schlimmes ist, wenn auf Häusern die Namen der Mieter stehen", so Arztmann. 

Massiver Mehraufwand im Krankenhaus

Auch im Krankenhaus Spittal spielt Datenschutz eine große Rolle: "Da Gesundheitsdaten eine besondere Qualität besitzen, bedeutet die DSGVO für die Verwaltung des Krankenhauses Spittal/Drau einen massiven Mehraufwand bei der Patientenaufklärung. Es ist eine besondere Herausforderung, den Patienten bzw. den Angehörigen näher zu bringen, dass man in einem Zeitpunkt Daten erheben bzw. über die Datenerhebung aufklären muss, in der der Patient vielleicht nicht in der Lage ist, sich auf diese Thematik zu konzentrieren", so Andrea Samonigg-Mahrer. Hier müsse man es den Betroffenen mit großem Einfühlungsvermögen trotzdem erklären, dass die Datenerhebung wichtig ist und nicht verschoben werden kann. 

Bestehende Grundsätze nachgeschärft

Auch gemeinnützige Vereine müssen sich mit dem Thema befassen: "Der Verein vitamin R ist von sich aus mit den Daten der Klienten sowie aller Teilnehmer unserer Angebote immer schon sehr sorgsam umgegangen. Dies gebieten die Förderverträge mit dem Bund für Familienberatungsstellen. Hier ist ein wichtiger Grundsatz seit jeher die Anonymität, Vertraulichkeit und Verschwiegenheit", so Elisabeth Tropper-Kranz. "Wir haben uns mit der DSGVO dennoch auseinandergesetzt und einige bereits bestehende Grundsätze nachgeschärft bzw. auch neue Vorgaben eingeführt. Beschwerden haben wir keine erlebt – eher Unverständnis seitens unserer Zielgruppen für weiteren bürokratischen Aufwand wie schriftliche Einverständniserklärungen und Informationsblätter, die zu unterzeichnen sind.

Erhöhter Aufwand

Für den Verein bedeute die Auseinandersetzung mit und die Einhaltung der DSGVO einen erhöhten bürokratischen Aufwand, der nur schwer zu leisten sei und vor allem mit der Unklarheit, wer kontrolliert wen mit welchen Folgen. "Die DSGVO bewirkt bei jenen, die schon bisher einen sorgsamen Datenumgang hatten für Kopfschütteln und es stellt sich die Frage, ob der Aufwand für die Menschen tatsächlich praktisch eine Verbesserung darstellt", so Tropper-Kranz.

Große Herausforderung für Stadt

"Die Umsetzung der Datenschutzgrundverordnung war und ist natürlich auch für die Stadtgemeinde Spittal an der Drau ein große Herausforderung, welche viel Arbeitsaufwand für die Umsetzung der erforderlichen Maßnahmen erfordert", so Stadtamtsdirektorin Elisabeth Huber.
Hilfreich sei dabei ist die Kooperation mit dem Städte- und Gemeindebund. So steht der Stadtgemeinde Spittal wie auch anderen Gemeinden eine vom Gemeindebund beschäftigte Datenschutzbeauftragte zur Verfügung, die bei Fragen und Problemen Hilfestellung bietet. 

Lage beruhigt

Nach dem 25. Mai 2018 habe sich allgemein die Lage beruhigt. Von Seiten der Stadtverwaltungen werde die Umsetzung der noch erforderlichen technischen und organisatorischen Maßnahmen laufend durchgeführt, um die Geheimhaltung der zu verarbeitenden personenbezogenen Daten noch besser zu gewährleisten. "Es wurden bereits Computerarbeitsplätze im Gemeindeamt und den Außenstellen mit neuen Chipkarten-Tastaturen umgerüstet, welche die Zugriffsberechtigungen gewährleisten. Die Zugänge zu allen IT-Systemen werden durch Identifikation mittels Benutzererkennung und Passwort abgesichert." Dies verursachte allerdings hohe Kosten für die Gemeinde.

Kindergärten sensibler Bereich

Schwierigkeit bereite die Trennung zwischen den Verarbeitungsprozessen der Hoheitsverwaltung und privatwirtschaftlichen Tätigkeiten einer Gemeinde.
Zu den Kindergärten sagt sie: "Das ist zweifelsohne ein sensibler Bereich. Die Anmeldeformulare wurden überarbeitet und auf das Notwendigste reduziert. Es werden nur jene Daten erhoben, die für die Betreuung der Kinder unvermeidlich benötigt werden."
Beispielsweise werden von den Eltern Unterschriften eingeholt, um die Zustimmung für Fotos zu erhalten (auch wenn es sich um die pädagogische Arbeit handelt, wie die Gestaltung eines Geburtstagskalenders). Auch hier zeige sich, dass ein vermehrter Aufwand mit der Umsetzung der DSGVO verbunden ist.

Viel Aufwand bei Anfragen

Viel Aufwand gebe es bei Anfragen. "Eine praxisgerechtere Regelung wäre wünschenswert gewesen, vor allem im Hinblick darauf, dass die Daten in der Hoheitsverwaltung aufgrund einer gesetzlichen Grundlage erhoben bzw. verarbeitet werden", schließt Huber.