Wochenrückblick KW 03/18 – 7 Beiträge zur DSGVO
Hier finden Sie eine kurze Zusammenfassung von ausgewählten Beiträgen aus der Kalenderwoche 3/18 zum Thema DSGVO: Wie werden Konsumenten von der DSGVO Gebrauch machen (Umfrageergebnisse), DSGVO und Post, Drucken in Netzwerken, KMU und externe Datenschutz-Expertise, DSGVO und internationaler Datenverkehr, DSGVO Herausforderung für MailChimp Nutzer, Datenschutz und IT Betriebsvereinbarungen.
Wie Konsumenten die DSGVO nutzen wollen
Sarah Nollau berichtet auf it-business.de über eine Pega-Umfrage unter 7000 Konsumenten aus 7 EU Ländern (darunter 1188 aus Deutschland).
Danach wollen 90 Prozent darüber informiert werden, wie ihre Daten verarbeitet werden. Für 57 Prozent ist es sehr wichtig ihre personenbezogenen Daten direkt zu kontrollieren und 89 Prozent wollen Geschäftsbeziehungen beenden, sofern ihre Betroffenenrechte nicht entsprechend DSGVO gewährleistet werden. Das sind nur drei sehr bemerkenswerte Ergebnisse einer ganzen Reihe weiterer. Diese Ergebnisse sollten Unternehmen vorwarnen, was auf sie nach dem 25.5.2018 zukommen könnte.
Die Post und die DSGVO
Vielfach hält sich der Irrtum, dass die DSGVO ausschließlich digital verarbeitete personenbezogene Daten betrifft. Petra Tamper von der Wiener Zeitung macht daher zurecht auf eine Herausforderung aufmerksam: Sensible Daten im Briefkuvert
. Wer personenbezogene Daten per Post verschickt, ist ebenso an die DSGVO gebunden. D.h. hier ist nicht nur ein sicheres Handling der Zustellung erforderlich, sondern es müssen auch die Verarbeitungstätigkeiten wie im Gesetz vorgeschrieben genau dokumentiert werden.
Beim Drucken auf den Datenschutz achten
Stephan Lamprecht weist auf ein ganz spezielles Problem hin, das zwar allgemein bekannt ist, aber dennoch in vielen Fällen vergessen oder vernachlässigt wird. Papiergebundene Abläufe dürfen im Rahmen der DSGVO Compliance nicht übersehen werden.
Wer kennt das nicht, dass im Drucker noch Ausdrucke früherer Druckaufträge liegen, die noch nicht abgeholt oder schlicht vergessen wurden. Darunter sind nicht selten Dokumente mit personenbezogenen Daten, bei welchen das eigentlich nicht passieren dürfte. Nicht zu vergessen sind auch die Speicher der Drucker. Nach einem Ausdruck können oftmals die Dokumente noch aus dem Speicher ausgelesen oder der Druckvorgang wiederholt werden. Besonders problematisch ist das, wenn man bspw. den Druckservice von Copyshops nutzt und über USB oder SD Karte die Daten bereitstellt.
Wertvoll ist auch der Hinweis, dass Druckaufträge nicht nur direkt an die Drucker geleitet werden können, sondern oftmals auch über Clouddienste an diese weitergeleitet werden.
Der Autor verweist auf ein best practice: Der Drucker im Unternehmen gibt die Dokumente erst nach Registrierung per Schlüsselkarte oder PIN frei.
Der Beitrag verlinkt auf ein Whitepaper von Thinprint, das gegen Registrierung kostenfrei heruntergeladen werden kann. Das 12 seitige Dokument liefert gute Informationen, z.B. zu den Angriffspunkten bei Netzwerkdruckern und Druckdatenverschlüsselung. Für die, die die einschlägigen Bestimmungen der DSGVO dazu nicht erinnern, sind diese in einem Anhang zusammengestellt.
KMU mit Unterstützung unterwegs zur DSGVO Compliance
Insbesondere Klein- und Mittelbetriebe (KMU) sind durch die DSGVO gefordert, da sie die erforderlichen Ressourcen intern nicht bereitstellen können und daher auf externe Unterstützung angewiesen sind. Vorausgeschickt sei, dass die Zahl der Unternehmen, die sich aktiv um eine DSGVO Compliance bemühen, noch erschreckend gering ist. Unter jenen, die daran arbeiten, suchten nach einer Studie des Digitalverbandes Bitkom, die von Schonschek und Schmitz zitiert wird, gut 48 Prozent Unterstützung durch externe Experten. Zu 38 Prozent wurden Anwälte befasst. 62 Prozent verteilen sich wohl auf IT Experten und Unternehmensberater u.a.
Nur 25 Prozent der Unternehmen setzten zusätzliches Personal speziell dafür ein, die Anforderungen der DSGVO im Unternehmen voran zubringen, wobei in nur 5 Prozent der Fälle Personal neu eingestellt wurde.
Während in Deutschland Unterstützung bei Aufsichtsbehörden gesucht werden kann, ist dies in Österreich eher schwierig. Zu konkreten Anfragen um Unterstützung oder Auskunft erhält man bei der österr. Aufsichtsbehörde (Datenschutzbehörde) keine wirkliche Unterstützung: Es wird um Verständnis ersucht, dass im Rahmen einer Anfrage keine rechtlichen Beurteilungen zur Anwendung und Auslegung rechtlicher Bestimmungen bzw. inhaltliche Beratungsleistungen vorgenommen werden können. Diese rechtlichen Beurteilungen können auf Grund der gesetzlichen Zuständigkeit der Datenschutzbehörde nur im Zuge eines konkreten Verfahrens vorgenommen werden. Jede Vorabbeurteilung würde das Ergebnis eines allfälligen Verfahrens vor der Datenschutzbehörde vorwegnehmen.
(Siehe dazu den Beitrag: Obrigkeitsstaat Österreich: Eine Behörde ist eine Behörde
)
DSGVO und Internationaler Datenverkehr
Heide Waem meint, dass die DSGVO die Mechanismen des internationalen Datenverkehrs nicht grundsätzlich ändert, diese aber konsolidiert. Sie bezieht sich dabei auf die in der DSGVO so genannten Drittländer und führt die Bedingungen strukturiert und übersichtlich aus (englisch).
(Dazu wird es einen eigenen, ausführlicheren Beitrag auf fokus.genba geben.)
MailChimp - ein E-Mail Marketing Dienstleister und die DSGVO
In einem Blogbeitrag, auf den ich im Wochenrückblick nicht speziell einzugehen brauche, wurde MailChimp angesprochen. Dieser besonders bei KMU und Organisationen beliebte E-Mail Marketing Service mit Sitz in Atlanta verlangt besondere Umsicht, wie andere vergleichbare Dienstleister außerhalb der EU auch. Zum einen handelt es sich hier um Datenaustausch mit sog. Drittländern nach Artikel 44, 45 DSGVO. Gegenüber den U.S.A. und einigen anderen Ländern gibt es einen Angemessenheitsbeschluss der EU Kommission, wonach keine besondere Genehmigung der Aufsichtsbehörde erforderlich ist. Allerdings müssen Verantwortliche, die MailChimp einsetzen, Nutzer über die bestehenden Informationspflichten hinaus darauf hinweisen, dass die Daten in einem Drittland verarbeitet werden. Eine vertragliche Vereinbarung mit dem Auftragsverarbeiter ist empfehlenswert. Die Zustimmung zu den allgemeine Geschäftsbedingungen von MailChimp könnte ggf. nicht ausreichen.
MailChimp hat vor über einem Jahr begonnen die Anforderungen der DSGVO zu erfüllen. Nach dem Marktortprinzip ist dies auch erforderlich, da MailChimp die Dienstleistung in der EU anbietet. Sie hat dazu eine Kundeninformation in der Knowledge Base verfasst und eine Informationsbroschüre aufgelegt, der allen Nutzern von MailChimp empfohlen wird.
Trotz aller Beteuerungen seitens MailChimp ist dennoch Umsicht geboten. Ende Oktober 2017 hat MailChimp nach einem Bericht von futurezone.at eine kürzlich erfolgte Umstellung von Double-Opt-In auf Single-Opt-In für den Geltungsraum der EU aufgrund massiver User-Proteste wieder zurücknehmen müssen. Das Single-Opt-In Verfahren würde zu einer Datenschutzverletzung führen. Es ist daher dringend empfohlen, genau zu prüfen und Änderungen beim Dienstleister aufmerksam zu verfolgen.
In diesem Zusammenhang verweise ich auf einen Beitrag von Christiane Bierekoven: Datenübermittlung an EU-Drittländer und Marktortprinzip: Änderungen nach DSGVO
IT-Betriebsvereinbarungen / Datenschutz-Betriebsvereinbarungen
Ein eher spezielles Thema sei in dieser Wochenrückschau nicht vernachlässigt. Betriebliche IT-Infrastrukturen, so Psczolla-Zimmermann und Arensin in Ihrem Beitrag, führen nicht nur zur Beschleunigung und Vereinfachung der Arbeitsabläufe, sie bieten dem Arbeitgeber regelmäßig auch Überwachungsmöglichkeiten durch umfangreiche Datensammlungen.
Es braucht daher nicht ausdrücklich betont werden, dass solche Systeme und Konzepte durch die DSGVO insbesondere herausgefordert sind. Der auf deutsche Rechtsverhältnisse zielende Beitrag ist jedoch auch für österreichische Unternehmen sehr aufschlussreich. Ein Abgleich mit dem ArbVG und dem DSG sind allerdings erforderlich.
Dr. Conrad Lienhardt
Unternehmensberater
Rechtskonforme Ausgestaltung und Optimierung von Kundenbeziehungen, Datenschutz
Tel: +43 732 90 80 36 | Mobil: 0699 15 31 67 76 | E-Mail
Der Gesetzestext der DSGVO, EU-Lex
Hinweis:
Die Inhalte unserer Internetseiten werden mit größter Sorgfalt recherchiert. Dennoch kann der Anbieter keine Haftung für die Richtigkeit, Vollständigkeit und Aktualität der bereit gestellten Informationen übernehmen. Auf dieser Website werden allgemeine Informationen angeboten die keine Rechtsberatung darstellen und auch keine ersetzen können. Wir übernehmen keine Haftung für unmittelbare oder mittelbare Schäden, gleich aus welchem Rechtsgrund, die im Zuge der Nutzung dieser Website entstehen könnten. Zur Lösung von konkreten Rechtsfällen konsultieren Sie bitte einen Rechtsanwalt.
Editionsgeschichte:
Eingetragen von Dr. Conrad Lienhardt am 20.01.2018 – Last touched: 1.10.2020 – Contents updated: 1.10.2020Hinweis: Ältere Beiträge werden in der Regel nicht aktualisiert, sofern es dazu keinen konkreten Anlass gibt (z.B. Aufforderung zu Richtigstellung, Ergänzung etc.). Dennoch können Beiträge ein aktuelleres Datum einer Überarbeitung zeigen. Zumeist handelt es sich dabei nicht um inhaltliche Änderungen, sondern um technisch veranlasste Änderungen, Korrekturen der Rechtschreibung, Glättung des Stils etc. Daher werden alle LeserInnen darauf hingewiesen, die Beiträge mit Blick auf das Erstellungsdatum zu lesen und ggf. zu überprüfen, ob die Inhalte noch aktuell und gültig sind. Wir können keine Haftung übernehmen, die sich aus einer Nichtbeachtung ergeben könnten.