Was steckt hinter der Abkürzung DSGVO?
Es handelt sich um die Datenschutzgrundverordnung der EU. Sie gilt ab 25. Mai für alle EU-Bürger auf der ganzen Welt. Sie ersetzt eine Regelung aus dem Jahr 1995, die nicht mehr zeitgemäß ist.
Was ändert sich?
Vieles. Hat man bisher einem Unternehmen seine persönlichen Daten gegeben, waren diese Besitz der Firma. Die DSGVO dreht das nun um. Persönliche Informationen sind Eigentum der Person. Unternehmen dürfen nur noch mit ausdrücklicher Zustimmung sogenannte „personenbezogene Daten“ sammeln und verarbeiten.
Was sind eigentlich „personenbezogene Daten“?
Alle Daten, die zur Identifikation einer Person herangezogen werden können: Namen, Geburtsdaten, Geburts- und Wohnort, Arbeitgeber und Religionsbekenntnis, Telefonnummer und E-Mail-Adresse, Kreditkarten- und Passnummer, IP-Adressen, Standortdaten (am Smartphone), Cookies etc. Von der DSGVO betroffen sind sämtliche Betriebe, die in irgendeiner Art personenbezogene Daten verarbeiten – egal ob Einpersonenunternehmen oder großer Industriekonzern.
Kann ich verhindern, dass eine Firma meine Daten sammelt?
Daten dürfen nur für einen klar definierten Zweck gesammelt werden.
Ein Beispiel: Sie fahren mit Ihrem Auto in eine neue Werkstatt, um das Pickerl zu machen. Für die Rechnung braucht die Werkstatt Name und Anschrift, für das Pickerl die Daten aus dem Zulassungsschein. Diese Daten darf das Unternehmen verarbeiten. Verboten ist allerdings die Verwendung der Adresse, um Sie zur Präsentation eines neuen Modells einzuladen. Dem müssten Sie ausdrücklich zustimmen. Die Erlaubnis
der Datennutzung können Sie jederzeit widerrufen.
Woher soll ich wissen, welche Daten eine Firma von mir hat?
Ein zentraler Bestandteil ist das Recht auf Auskunft. Die Informationen müssen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren Sprache geliefert werden. Auch über den Zweck der Datenspeicherung muss Auskunft gegeben werden. Sind die Daten falsch, gibt es ein Recht auf Berichtigung.
Was ist mit Daten, die von Firmen schon gesammelt wurden?
Die DSGVO setzt auch das „Recht auf Vergessen“ um. Das bedeutet, dass jedes Unternehmen auf Verlangen verpflichtet ist, Daten zu löschen. Ausgenommen sind gesetzliche Aufbewahrungspflichten wie bei Rechnungen.
Und wenn eine Firma sich weigert, meine Daten zu löschen?
Für die Kontrolle der DSGVO ist die Österreichische Datenschutzbehörde zuständig. Sie gehört zum Justizministerium. Wird Auskunft oder Löschung verweigert, können Sie sich direkt an diese Behörde wenden. Sie kann dann Strafen verhängen.
Warum sollten sich Firmen von Strafen abschrecken lassen?
Die Bußgelder sollen einen abschreckenden Charakter haben. Es drohen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Umsatzes, je nachdem welche Summe höher ist. Deshalb halten sich Konzerne an die neuen EU-Regeln.
Muss jetzt jedes mittelständische Unternehmen mit Strafen in Millionenhöhe rechnen?
Es ist laut DSGVO möglich, dass die Datenschutzbehörde Firmen nur verwarnt, wenn diese sich aktiv um den Schutz der Kundendaten kümmern und nur einen kleinen Fehler gemacht haben. Ignoriert ein Unternehmen den Datenschutz komplett, wird wohl sofort gestraft werden. Da Geldbußen EU-weit geregelt sind, ändert daran auch das jüngst beschlossene Gesetz nichts, nach dem in Österreich im Erstfall nur verwarnt werden sollte.
Roman Vilgut