Grob gesprochen: Was sind die Aufgaben von Datenschutzbeaufragten?

Datenschutzbeauftragte haben eine aufklärende und beratende Funktion. Sie müssen in ihren Unternehmen darauf hinweisen, dass es neue Entwicklungen, Gesetze oder Urteile im Datenschutz gibt und konkrete Vorschläge machen, wie die Umsetzung erfolgen kann. Weiters haben sie die Einhaltung der DSGVO zu überwachen. In der Praxis müssen sie die Prozesse und Abläufe im Unternehmen kennen und sich z.B. in wichtigen Schnittstellen zu Personal, Marketing und IT einbringen. Damit sind sie auch die erste Anlaufstelle für alle Fragen zum Datenschutz im Unternehmen.

Was passiert, wenn sie Verstöße gegen datenschutzrechtliche Bestimmungen feststellen?

Dann ist rasches Handeln gefragt. Am Beispiel eines gestohlenen Firmenhandys müssen zunächst die sogenannten „W-Fragen“ geklärt werden: Wem ist was wann passiert und welche Daten von welchen Personen können betroffen sein? Welche Schutzziele können verletzt sein (z.B. Vertraulichkeit von Kundendaten) und welche nachteiligen Folgen können für die betroffenen Personen eintreten (z.B. Phishing-Attacken)? Besteht ein Risiko für die betroffenen Personen, ist eine Meldung an die Datenschutzbehörde zu erstatten. Ist das Risiko hoch, sind zusätzlich auch die betroffenen Kunden über den Vorfall zu informieren. Da für alle diese Schritte nur 72 Stunden zur Verfügung stehen (gesetzliche Meldefrist), sind Datenschutzbeauftragte gut beraten, sich auf mögliche Szenarien vorzubereiten.

Welche Neuerungen haben sich im Datenschutz seit Einführung der DSGVO im Jahr 2018 ergeben?

Es hat sich viel getan. In Österreich existieren mittlerweile mehr als 700 Bundes- und Landesgesetze, die einen unmittelbaren Bezug zum Datenschutz aufweisen. In der Praxis wurden Antworten auf Fragen gefunden, die früher ungelöst waren. Zudem wurden von der Datenschutzbehörde und den Gerichten richtungsweisende Entscheidungen getroffen.

Ein gutes Beispiel dafür sind die Urteile des Europäischen Gerichtshofes zum Einsatz von Cookies auf Webseiten und zur Aufhebung der „Privacy-Shield“ Vereinbarung zwischen den USA und der EU, die derzeit ganz Europa beschäftigt. Mit der E-Privacy-Verordnung, die spezielle Regelungen zur elektronischen Werbung enthalten wird, steht schon der nächste Brocken vor der Tür. Die Tätigkeit von Datenschutzbeauftragten wird dadurch weiter an Bedeutung gewinnen.

Welche Auswirkungen hat die Corona-Pandemie auf den Datenschutz?

Datenschutz macht in der Corona-Krise keine Pause, Unternehmen können damit jederzeit konfrontiert werden: Testungen von Mitarbeitern, die freiwillig oder verpflichtend sind, Erhebung und Offenlegung von Daten im Contact Tracing, Besucherlisten und betriebsinterne Abfragen privater Telefonnummern oder der Umgang mit Verdachts- und Infektionsfällen – wer im Unternehmen darf/soll über was in welcher Form informiert werden? Auch die Aufklärung von Mitarbeitern und der Umgang mit Datenschutz und Datensicherheit im Home Office, z.B. in Bezug auf den Einsatz digitaler Kommunikationsformen, wird Unternehmen nachhaltig beschäftigen.

Wie hat sich Ihrer Ansicht nach das Bewusstsein für Datenschutz in den Betrieben seit Einführung der DSGVO 2018 entwickelt?

War Datenschutz früher ein Nischenthema, ist er heute Gegenstand der regelmäßigen Berichterstattung in allen Medien und zum fixen Bestandteil der Wirtschaft und der Gesellschaft insgesamt geworden. „Datenschutzgrundverordnung“ war nicht umsonst das Unwort des Jahres 2018. Dass die fortschreitende Digitalisierung der Wirtschaft und Entwicklungen, wie wir sie aktuell z.B. im Home Office sehen, Risiken bergen, zeigen die immer professionelleren und dreisteren Cyberattacken. Haben sich Angriffe früher noch auf Konzerne und staatliche Institutionen konzentriert, sind mittlerweile auch KMU in den Fokus der Internetkriminalität gerückt. Unternehmen müssen sich dagegen rüsten und ihre Sicherheitskonzepte anpassen. Der Schutz von Daten und der eigenen Betriebs- und Geschäftsgeheimnisse kann zur Existenzfrage werden.

Welche Konsequenzen drohen Betrieben, wenn sie lax mit Datenschutzbelangen umgehen?

Unlängst wurde in Deutschland eine Geldbuße von 35 Mio. EUR verhängt, weil nach Krankenständen und Urlauben im Rahmen von „Welcome Back Talks“ sensible Daten aus dem Privatleben von Mitarbeitern abgefragt und dokumentiert wurden. Auch in Österreich wurde bereits eine Strafe in Millionenhöhe wegen der unerlaubten Weitergabe von Kundenprofilen verhängt. Neben Geldbußen können Unternehmen zivilrechtlich belangt und auf Unterlassung oder Schadenersatz geklagt werden. Schwerwiegende Vorfälle können auch zu Vertrauensverlusten bei Kunden, Geschäftspartnern und Investoren führen. Datenschutz sollte daher nicht nur auf Compliance reduziert werden, der transparente und verantwortungsbewusste Umgang mit Informationen über Menschen wird in Zukunft auch ein wichtiger Bestandteil der gesellschaftlichen Verantwortung von Unternehmen sein.

Dr. Werner Pilgermair ist Experte für Datenschutz mit eigener Kanzlei in Innsbruck. Im Interview erklärt er u.a.,

  • welch vielfältige Aufgaben Datenschutzbeaufragte zu erfüllen haben;
  • was Unternehmen in punkto Datenschutz beachten müssen;
  • wie Corona den Datenschutz beeinflusst;
  • welche Neuerungen sich in punkto Datenschutz seit Einführung der Datenschutz-Grundverordnung ergeben haben und
  • welche Konsequenzen drohen, wenn auf den Datenschutz vergessen wird.