Datenschutz-Grundverordnung: Umsetzung und erste Anfragen

Rudolf Periny hat einen Blick fürs Wesentliche. Gleich nach der Begrüßung weißt der Datenschutz-Experte auf den zwar versperrten, aber mit steckendem Schlüssel nicht ganz sicheren Server-Schrank hin.

Umsetzung

Die derzeitige Lage sieht er zweigeteilt: „Auf der einen Seite gibt es die kleine Schicht von Unternehmern, die sich auf die Medienberichte berufen und meinen, dass ihnen schon nichts passieren würde und auf der anderen Seite diejenigen, die es ernst nehmen und die Datenschutzverordnung umgesetzt haben oder in der Umsetzung sehr weit fortgeschritten sind“. Die Datenschutzverordnung scheint also zwei Jahre nach ihrer Zustimmung im EU-Parlament auch in Österreich angekommen zu sein. Die Kernpunkte der Verordnung äußern sich wie folgt: Privatpersonen haben das Recht auf Auskunft darüber, wie lange und zu welchem Zweck die Daten gespeichert werden. Außerdem haben sie das Recht auf „Vergessen“, also die Löschung gespeicherter Daten. Unerlaubter Zugriff auf diese Daten muss durch entsprechende technische und organisatorische Maßnahmen verhindert werden − ein Serverschrank muss beispielsweise verschlossen sein. Ein weiterer Punkt betrifft die Portabilität von Daten. Dabei müssen Daten in einem maschinenlesbaren Format von demjenigen, der die Daten gesammelt hat an eine gewünschte Stelle übertragen werden. „Zum Beispiel beim Wechsel eines Bankkontos. Wenn Sie ihre Bank wechseln, müssen auf Ihr Verlangen alle über Sie gesammelten Daten von einer Bank zur anderen transferiert werden“, erklärt Rudolf Periny.

Erste Anfragen

Vom Recht auf Auskunft wurde schon bei Inkrafttreten der Verordnung am 25. Mai reger Gebrauch gemacht. „Am Tag des Inkrafttretens sind um sieben Uhr früh schon die ersten Auskunfts- und Löschbegehren bei Unternehmen eingegangen“, zeigt sich der Unternehmer erstaunt. Für Unternehmer, die mit Auskunfts- und Löschbegehren konfrontiert werden gilt es − falls Zweifel bestehen − zunächst die Identität des Begehrenden festzustellen. Die Frist für die Löschung oder Auskunft beträgt in der Regel einen Monat.

Private ausgenommen

Aber für wen gilt die Datenschutzverordnung eigentlich? „Betroffen sind Unternehmen, Vereine, Behörden und öffentliche Stellen. Private sind ausgenommen“, weiß Rudolf Periny. Die eigenen, privaten WhatsApp Kontakte und Gruppen am privaten Endgerät sind ausgenommen. Vorsicht ist aber bei der privaten Nutzung von Firmenhandys geboten. Wird WhatsApp am Firmenhandy genutzt und der Zugriff aufs Telefonbuch gewährt, werden sämtliche Kontakte an die Server von WhatsApp geschickt. Kontaktdaten und Telefonnummern werden damit also ohne Zustimmung der Betroffenen an den Konzern rund um Facebook übermittelt.

Verstöße

Verstöße gegen die DSGVO werden von der Datenschutzbehörde verfolgt. „Gemäß Artikel 77 DSGVO hat die betroffene Person das Recht auf Beschwerde bei der Datenschutzbehörde, wenn sie der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt“, ist auf der Homepage der österreichischen Datenschutzbehörde zu lesen. Das heißt, dass bei Verdacht auf missbräuchlicher Verwendung oder der Ablehnung von Löschungs- und Auskunftsbegehren kein eigener juristische Beistand organisiert werden muss. Die Datenschutzbehörde leitet bei begründetem Verdacht selbst die notwendigen Schritte ein. Hohe Verfahrenskosten müssen also nicht befürchtet werden.

Noch viel zu tun

Rudolf Periny verlässt die Redaktion mit prüfendem Blick. Sein Handy klingelt zum wiederholten Mal. Für Experten wie ihn gibt es derzeit viel zu tun.