Redaktion Werbemonitor

Datenschutz in der Praxis

Fachgruppenobmann Günther Hofer im Gespräch mit dem geprüften Datenschutzexperten Andreas Daxböck. Praktische Beispiele dem Alltag von Kreativbetrieben helfen dabei, die Datenschutzgrundverordnung (DSGVO) besser zu verstehen.

Hofer: Gehen wir von einem praktischen Beispiel aus. Viele unserer Mitglieder sind Einpersonenunternehmen und arbeiten vielleicht im Home Office. Was ist im Sinne der DSGVO zu tun, wenn z. B. der PC oder der Mac den Geist aufgibt?

Daxböck: Generell sollte mit einer Analyse der Datenströme begonnen werden, welche Daten zu welchem Zweck und auf welcher Rechtsgrundlage erhoben werden. Darauf basierend sollte ein Verfahrensverzeichnis angelegt werden und wenn notwendig eine Datenschutz-Folgenabschätzung. Wenn der PC/Mac im Home Office flöten geht, sind die Folgen in erster Linie für mich als Unternehmer gravierend. Sinnvollerweise sollte man auch für diesen Fall definieren, was zu tun ist (Ersatzrechner, Datensicherung etc.). Die Rechte der Betroffenen  (z. B. Kunden) werden davon wahrscheinlich nicht berührt.

Hofer: Wenn jetzt aber zum Beispiel der Computer gestohlen wird?

Daxböck: Wenn der Computer gestohlen wird (aus dem Auto, Einbruch, im Café vergessen …), dann ist das ein gravierender Vorfall. Dieser sollte in der Datenschutz-Folgenabschätzung (DSFA) definiert werden. Sind die Daten auf dem PC entsprechend abgesichert: Passwortschutz, verschlüsselte Festplatte etc.? Wenn ja, dann kann der Dieb höchstwahrscheinlich nicht auf die Daten zugreifen. Wenn nicht, dann muss entsprechend der DSFA vorgegangen werden; also Betroffene (z. B. Kunden) informieren und ggf. auch die Datenschutzbehörde. Die  DSGVO lässt es dem Unternehmen offen, wie es die Datensicherheit umsetzt und wie es die Folgen bei einem Datenschutzvorfall (Data-Breach) einschätzt. Es kommt auch darauf an, welche Art von Geschäft man betreibt. Bei Gesundheitsbetrieben gibt es mehr Datenkategorien und eventuell zusätzliche Rechtsvorschriften als in meiner kleinen Agentur.

Hofer: Worauf willst du hinaus?
Daxböck: Es ist in jedem Fall die Sorgfalt des ordentlichen Kaufmanns einzuhalten, wenn ich ein Gewerbe betreibe. Darüber hinaus müssen bei Einsatz von IT im Unternehmen entsprechende Datenschutzmaßnahmen gesetzt werden – unabhängig von der DSGVO. Empfehlungen dazu findet man im „IT-Sicherheitshandbuch“ der WKO.

Hofer: Noch eine praktische Frage: Wenn ich längere Zeit Unternehmer bin, sammeln sich jede Menge Adressen an. Dazu zählen z. B. Aussendungen an Kunden, egal ob via Newsletter oder per Post. Da hat sich über die Jahre einiges gesammelt, möglicherweise in unterschiedlichen Dateien. Was tun? Wie gehe ich damit um?

„Zu Beginn steht die Analyse, daraus ergibt sich das Verfahrensverzeichnis und daraus die Folgenabschätzung.“
Andreas Daxböck

Daxböck: Die Chancen bei der Einführung der DSGVO im Unternehmen liegen unter anderem darin, bei „Inventur“ und „Hausputz“ alle gesammelten Daten und Datenströme zu erheben. Im ersten Schritt würde ich alle Festplatten, Ordner, Cloud-Systeme, Archive und auch analoge Ordner durchforsten und aufschreiben, welche Daten ich sammle, und sie kategorisieren.

Hofer: Was ist mit Kundendaten? Ich nehme als Grafikdesigner einen Auftrag an und muss dokumentieren, welche Quellen es zu dem Bild gibt, wer der Urheber ist, ich muss nachweisen, dass ich das Bild zugekauft und lizenziert habe.  

Daxböck: Diese Dokumentation wirst du wegen des Urheberrechtsgesetzes (UrhG) benötigen (Urheberschaft, Nutzung etc.), aber nicht wegen der DSGVO. Für die DSGVO ist eventuell ein Vertrag mit einem Auftragsverarbeiter notwendig.

Hofer: Richtig, aber jetzt sagt die DSGVO, nach zehn Jahren, wenn wir bei der Gewährleistung bleiben, darfst du deine Kunden- oder Projektdaten löschen. Das geht aber in demall gar nicht, weil ich das zeitlich uneingeschränkt nachwei-sen muss. Was tun wir in diesem Fall?

Daxböck: Einerseits sind die gesetzlich vorgeschriebenen Aufbewahrungsfristen einzuhalten. Andererseits liegt es im Ermessen des Unternehmers, die Aufbewahrungsfristen z. B. für die Wahrung von Rechtsansprüchen anzupassen und zu verlängern. Das muss aber dokumentiert werden und im Falle einer Nachfrage der DSB glaubhaft argumentiert werden können. Ein Tipp für alle, die z. B. Agentursoftware verwenden: Fagen Sie beim Hersteller nach, ob sich die Anforderungen der DSGVO in aktuellen bzw. zukünftigen Softwareversionen auswirken.

Hofer: Noch ein Beispiel: Was habe ich zu tun, wenn ich die Aussendung für meinen Kunden mache? Der Kunde übermittelt mir Daten.

Daxböck: Ab dem Zeitpunkt bist du Auftragsverarbeiter für deinen Kunden. Du brauchst dafür eine Vereinbarung, in der enthalten ist, wer wem welche Daten und zu welchem Zweck übermittelt. Hier gibt es Musterverträge seitens der WKÖ. Du bist als Auftragsverarbeiter nicht für die Daten verantwortlich, hast Pflichten. Wichtig: Du darfst die Daten nicht verändern, sonst entsteht ein Rollenwechsel.  

Hofer: Noch ein Klassiker: Der Kunde kauft von einem Adressenverlag Daten für eine Aussendung, die er mir übermittelt. Dann wird die Aussendung gemacht. Der Einfachheit halber gehen die Retouren nicht an den Kunden, sondern an mich. Wir würden nachtelefonieren, wenn sich z. B. der Ansprechpartner geändert hat. Dann würde ich ja die Daten verändern.

Daxböck: In diesem Fall würde der vorhin erwähnte Rollen-wechsel stattfinden. Die veränderten oder nicht validen Daten sollten an deinen Kunden zurückgehen, der verändert sie und liefert sie erneut an dich für eine neue Aussendung. Der in der Praxis gelebte Ablauf ist aber auch in Ordnung, wenn das im Vertrag genau so definiert ist. Im Moment klingt vieles noch sehr kompliziert, es wird sich aber sicher schnell einspielen, wenn man weiß, worauf zu achten ist.

Foto: A. Felten/Leadersnet

Als zweitgrößte Fachgruppe österreichweit im Bereich Werbung werden rund 3.400 Mitglieder mit ca. 4.200 Gewerbeberechtigungen betreut. Hier finden Sie umfangreiche Informationen sowie unterschiedliche Serviceleistungen für Ihre tägliche Praxis.

Kontakt

WKNÖ Fachgruppe Werbung und Marktkommunikation
Wirtschaftskammer-Platz 1, 3100 St. Pölten
Tel.: 02742 851 - 19712
Fax: 02742 851 - 19719
  werbung@wknoe.at