GDPR, DSGVO, Datenschutzerklärungen, Cookies, Tracking – ziemlich viel geistert rund um diese Themen herum. Dabei ist Datenschutz gar nicht so kompliziert und keinesfalls sinnlos. Es ist ziemlich smart, sich bewusst zu sein, dass wir alle Daten verarbeiten und sich Gedanken zu machen, wie wir das verantwortungsvoll machen.
Hier kommen meine drei Checklisten zu diesem Thema.
Checkliste 1: Grundsätze des Datenschutzes
Beim Datenschutz geht es immer um personenbezogene Daten. Die rechtlichen Grundlagen dafür sind die Datenschutz-Grundverordnung auf EU-Ebene (kurz DSGVO bzw. GDPR – General Data Protection Rule) sowie das nationale Datenschutz-Gesetz (DSG). Die DSGVO baut auf folgenden vier Grundsätzen auf:
- Rechtmäßigkeit und Transparenz: Um Daten zu verarbeiten, braucht es einen klaren Auftrag oder Grund (siehe nächsten Absatz), den du klar kommunizieren solltest.
- Datenminimierung: Erfasse nur jenen Daten, die du wirklich brauchst. Wenn du nicht sinnvoll begründen kannst, dass du diese Informationen brauchst, lass es lieber. Sehr oft widerspricht die Erfassung des exakten Geburtsdatums genau diesem Grundsatz.
- Speicherbegrenzung: Lege fest, nach welchem Zeitraum du Daten wieder löscht und warum – sofern die Speicherdauer nicht ohnehin gesetzlich festgelegt ist.
- Integrität und Vertraulichkeit: Die vertrauliche Behandlung von Daten liegen in meiner Verantwortung (Stichwort: Auftragsverarbeitungs-Verträge).
Darüber hinaus musst du einige weitere Regeln und Gesetze beachten, wie etwa das Telekommunikationsgesetz oder das E-Commerce-Gesetz.
Checkliste 2: Jede Datenverarbeitung bedarf einer Rechtsgrundlage
Im Artikel 6 der Datenschutz-Grundverordnung sind folgende sechs Gründe für eine rechtlich begründbare Datenverarbeitung geregelt:
- Vertrag: Ein bestehendes Vertragsverhältnis (Kaufvertrag, Auftrag, etc.) berechtigt zur Verarbeitung und Speicherung von Daten.
- Gesetz: Aufgrund einer gesetzlichen Bestimmung oder Vorgabe kannst du ebenfalls verpflichtet sein, personenbezogene Daten zu verarbeiten und speichern (zB Buchhaltung).
- lebenswichtige Interessen (zB Weitergabe der Blutgruppe an Ärzt*innen)
- öffentliches Interesse (kommt vor allem für öffentliche Einrichtungen infrage)
- berechtigtes Interesse: Dein Interesse wird der Schutzbedürftigkeit der Betroffenen gegenübergestellt – und du musst dieses nachvollziehbar argumentieren können.
- Einwilligung: Darfst (bzw. sollst) du nur heranziehen, wenn keine der anderen Rechtsgrundlage zutreffen.
Tipp: Aufgrund von Unsicherheit und Unwissenheit gehen viele davon aus, dass es für die Datenverarbeitung immer eine Einwilligung benötigt. Das ist falsch. Oft ist die Datenverarbeitung schon alleine anhand eines Vertrags (zB bei der Zusammenarbeit mit Kund*innen) oder aufgrund eines berechtigten Interesses (zB technisch-notwendige Cookies auf einer Website) erforderlich. Es geht lediglich um die saubere rechtliche Argumentation.
Datenschutz in der Praxis Drei konkrete Beispiele zum besseren Verständnis
- Du bietest als Buchhandlung den Versand von Büchern an. Das ist ohne die Postadresse deiner Kund*innen gar nicht möglich – du wirst diese Informationen also benötigen und speichern müssen In diesem Fall brauchst du keine gesonderte Einwilligung, Rechtsgrundlage ist der Vertrag (Abs. 6 DSGVO, Z1).
- Auf deiner mehrsprachigen Website verwendest du ein Cookie, das die zuletzt verwendete Spracheinstellung der User*innen speichert. Das ist eine wesentliche und sinnvolle Funktionalität deiner Website – es besteht ein berechtigtes Interesse, diese Daten zu speichern (Abs. 6 DSGVO, Z5) und es gibt in diesem Fall keine besondere Schutzbedürftigkeit für die User*innen. Du kannst die Cookies ohne aktive Zustimmung nutzen, vermerke es jedoch unbedingt in deiner Datenschutzerklärung.
- Du möchtest Cookies für Statistik-Zwecke (zB Google Analytics) nutzen. Das Schutzbedürfnis der User*innen ist in diesem Fall jedoch größer als dein Interesse an den personenbezogenen Daten. Um diese Cookies nutzen zu dürfen, brauchst du also eine aktive Einwilligung durch die User*innen (Abs. 6 DSGVO Z6).
Tipp: Eine Reihe von konkreten Anwendungsfällen und wie die österreichische Datenschutzbehörde (dsb) dazu steht bzw. wie sie entscheidet, findest du auf der Fragen & Antworten-Seite der dsb.
Checkliste 3: Notwendige Dokumente für DSGVO-konforme Umsetzung
Was musst du also tun, um den Datenschutz sauber umzusetzen? Arbeite die folgenden Schritte ab, dokumentiere und lege die Dokumente bei dir ab (Dokumentationspflicht laut DSGVO Art. 5 Abs. 2).
- Verarbeitungsverzeichnis: Erfasse in einer Liste, welche Daten du wie verarbeitest (mit Zweck, einer kurzen Beschreibung, Kategorien der Daten, Kategorien der Personen und Empfänger*innen, falls vorhanden: Empfänger*innen in Drittländern, den Löschfristen sowie eventuellen Auftragsverarbeiter*innen). Im Internet findest du dazu zahlreiche Vorlagen und Beispiele, etwa am Unternehmensservice Portal der Republik Österreich.
- Liste der technischen & organisatorischen Maßnahmen (TOMs): In diesem Dokument legst du fest, wie du mit den Themen Datenspeicherung, -verschlüsselung & -sicherung, der Nutzung und dem Zugang zu Kommunikationsmitteln & IT-Infrastruktur, dem sicheren Umgang mit Daten, regelmäßigen Updates, einem Löschkonzept oder einer möglichen Geheimhaltungsvereinbarung mit Mitarbeiter*innen bzw. Kooperationspartner*innen umgehst.
Tipp: Die Punkte aus der Liste der technischen und organisatorischen Maßnahmen umzusetzen, ist der Auftrag für die Zukunft. Die TOMs sind also deine Datenschutz-To-do-List.
- Schließe Auftragsverarbeitungsverträge mit allen externen Dienstleistern ab, die Daten in deinem Auftrag weiterverarbeiten – sehr oft kannst du das über Online-Formulare (zB MailChimp, Dropbox) anfordern und bekommst automatisiert Antworten. US-Firmen machen das meist nur bei kostenpflichtigen Versionen, wie etwa der GoogleSuite. Das frei verfügbare GoogleDrive reicht dafür nicht aus.
- Risikoanalyse & Folgenabschätzung: Bewerte das Risiko der im Verarbeitungsverzeichnis angeführten Datenverarbeitungen und welche Folgen dadurch entstehen (können). Sollte sich ein potenziell hohes Risiko ergeben, musst du dir Vorsorgemaßnahmen überlegen.
- Entscheidung über Datenschutzbeauftragten: Verpflichtend ist ein Datenschutzbeauftragter nur in den seltensten Fällen (unter anderem, wenn das Geschäftsmodell auf einer „umfangreichen“ Verarbeitung von Daten basiert) – basierend auf der Risikoanalyse und Folgeabschätzung. Meist reicht es, einen Verantwortlichen zu definieren. Dieser sollte sich neben der DSGVO vor allem mit Betroffenenrechten, dem richtigen Umgang bei einem Datendiebstahl (Data Breach) sowie der Umsetzung des Löschkonzeptes beschäftigen und sich regelmäßig weiterbilden.
- Datenschutzerklärung auf der Website – idealerweise gegliedert in Datenschutz allgemein sowie mit spezifischen Informationen für die Website. Ein möglicher Aufbau dafür ist: Empfänger der Daten, Zwecke der Datenverarbeitung, Speicher- & Löschfristen, Datenschutzverantwortlicher inkl. Kontaktmöglichkeit, Hinweis- und Auskunftspflichten
Tipp: Die Datenschutzerklärung ist das einzige Dokument, das veröffentlicht wird (idealerweise auf der Website). Die restlichen Infos bleiben intern, zB in einem physischen oder digitalen Ordner abgelegt.
Woher kommt mein Interesse an dem Thema? Als Vorbereitung auf meine Gründung habe ich an zwei Datenschutz-Workshops teilgenommen: einmal im Rahmen des Unternehmensgründungsprogramms des AMS bei Christian Toller sowie bei Tobias Tretzmüller über die Wirtschaftsagentur Wien. Die wichtigsten Punkte daraus habe ich in den drei Checklisten zusammengefasst – als kleine Hilfe für alle, die sich ebenfalls damit beschäftigen müssen.
Ich fand das Thema recht spannend und kann jederzeit gerne weiterhelfen.
Ich schließe häufig Kaufverträge ab, deshalb hat mich der Datenschutz dabei interessiert. Gut zu wissen, dass die Datenverarbeitung unter Artikel 6 der Datenschutz-Grundverordnung geregelt ist. Und für all meine Kaufverträge gilt eine Berechtigung zur Verarbeitung und Speicherung von Daten. Supi, jetzt weiß ich Bescheid.