(Zuletzt aktualisiert am 20. November 2020)
Zusammenfassung des Vortrags von Dr. Rainer Knyrim (Wien)
am 22. Mai 2017 in der WKO Steiermark
- Eine Zusammenfassung der wichtigsten Punkte als Video findet Ihr unter: http://www.wko.tv/play.aspx?c=8727 –> ANSCHAUEN!
- Die Vortragsunterlagen von Dr. Knyrim (Folien) findet Ihr zum Download unter: http://wko.at/stmk/rs/va –> HERUNTERLADEN! (Ich beziehe mich unten in der Zusammenfassung auf diese Folien)
Ab Mai 2018 tritt die europäische Datenschutz-Grundverordnung in Kraft, und jede/r Unternehmer/in ist davon betroffen. Es stehen noch lange nicht alle Bestimmungen fest, aber es gibt vier wesentliche Punkte, die man als Unternehmerin beachten muss, dann ist man auf der sicheren Seite:
- Ein „Verfahrensverzeichnis“ anlegen
- Die detaillierte Zustimmung meiner Kundinnen einholen
- Verträge mit allen meinen Dienstleisterinnen abschließen
- Die Sicherheit der bei mir gespeicherten Daten sicherstellen
Schauen wir uns diese Punkte jetzt im Detail an.
Inhaltsverzeichnis
1. Ein „Verfahrensverzeichnis“ anlegen
Bisher mussten Dienstleister/innen nicht unbedingt eine DVR Nummer haben; in Zukunft wird das DVR Verzeichnis abgeschafft, dafür muss JEDES Unternehmen ein so genanntes „Verfahrensverzeichnis“ anlegen. Ein sperriger Begriff für eine Liste, die einfach einen Überblick über alle Eure datenverarbeitenden Aktivitäten gibt. Ein Praxisbeispiel dafür findet Ihr in den Vortragsfolien auf Seite 30+31: Ihr müsst unter anderem zusammenstellen, welche Datenarten Ihr über Eure Geschäftspartner und Kundinnen speichert, wo die Daten liegen und wann ihr sie wieder löschen werdet. (Das ist neu, dass man sich über die Löschung Gedanken machen muss.)
Also zum Beispiel:
- Mailchimp: für Newsletter – Name, Adresse, Telefonnummer, E-Mail Adresse – bis drei Jahre nach der letzten Interaktion mit der Kundin
- Buchhaltungsprogramm: zur Bearbeitung von Bestellungen und Rechnungen – Name, Adresse, … – wird sieben Jahre aufbewahrt weil Pflicht gegenüber dem Finanzamt
- Outlook: zum Kontakt per Mail – Name, Adresse, Telefonnummer,… – (Überlegen, wie lange man diese Daten aufbewahren wird? Was ist sinnvoll? Das Adressverzeichnis regelmäßig durchforsten nach veralteten Kontakten und diese löschen. Oder die Kunden anschreiben und über die bevorstehende Löschung informieren.)
- Ein CRM (Customer Relationship Management) Programm wie Salesforce, Insightly etc.: zur Dokumentation der Kundenbeziehungen – Name, Adresse, Telefonnummer, E-Mail Adresse, Bestellhistorie, Interaktionen auf Facebook, Interaktionen auf Twitter, Bewertungen,…
Konkret heißt das: Setzt Euch hin, überlegt Euch, welche Daten Ihr in welchen Programmen zu welchen Zwecken und wie lang speichert, an wen ihr diese Daten eventuell weitergebt (externe Buchhalterin? Steuerberater?) und schreibt das alles in einer Excel-Tabelle zusammen. Also NICHT alle Daten aller Eurer Kund/innen, sondern nur welche Programme ihr verwendet und welche Datensorten ihr darin verarbeitet.
Ihr dürft nur jene Datensorten speichern, die ihr unbedingt für Eure Geschäftstätigkeit braucht. Besonders bei sensiblen Daten (Religionsbekenntnis, sexuelle Orientierung, Gesundheitsdaten, politische Überzeugung, …) muss man einen sehr guten Grund haben, warum man diese Daten speichern möchte, und braucht das explizite Einverständnis der Personen.
Es ist gut, diese Liste bald zusammenzustellen. Bei einer Überprüfung durch die Behörde braucht man sie. Damit zeigt man, dass man sich Gedanken gemacht hat und dass man weiß, was man tut. Dann ist die Behörde zufrieden.
2. Die detaillierte Zustimmung meiner Kundinnen einholen
Grundsätzlich ist jede Speicherung von Daten verboten, außer es liegen gute Gründe vor, wie ein Geschäftsfall oder freiwillige Zustimmung einer Person (Folie 19). In Zukunft muss man die Kundinnen am besten noch VOR der Speicherung der Daten genau darüber informieren, welche Daten man von ihnen für welche Zwecke speichern wird. Das macht man am Besten bei einem Online-Bestellvorgang mittels Kasterl zum Anklicken, oder bei einem persönlichen Vertragsabschluss z.B. auf einer schriftlichen Vertragsbestätigung, die man aushändigt. Ein schlechtes Beispiel ist von Nestlé (Folie 24), wo man nicht genau weiß welche Daten gespeichert werden und an wen sie weitergegeben werden. Ein besseres Beispiel ist von der WKO (Folie 25).
Wenn sich eine Person zu einem Newsletter anmeldet oder Dir ihre E-Mail Adresse gibt, dann gibt sie aktiv ihre Zustimmung zur Datenverarbeitung, das ist schon in Ordnung. Zum Beispiel auch eine Adressenliste auf Papier, die man bei einer Veranstaltung gesammelt hat. Noch besser ist das so genannte „double opt in“, wo sich die Person zum Newsletter anmeldet und dann noch einmal per Klick in einem Mail bestätigen muss, dass sie das auch wirklich möchte.
3. Verträge mit allen meinen Dienstleisterinnen abschließen
Man muss sich in Zukunft auch genau überlegen, welche Kundendaten man an welche Dritte weitergibt, z.B. an den Buchhalter oder die Steuerberaterin. Das nennt sich „Auswahlverschulden„: Ich bin also durch meine Auswahl meiner Dienstleisterin dafür mit verantwortlich, wenn bei ihr etwas schief läuft. (Zum Beispiel wenn ich die billigste Firma wähle, deren billigste, unzufriedene Mitarbeiterin die Daten weiter verkauft…)
Mit jeder meiner Dienstleisterinnen sollte ich künftig einen Vertrag abschließen in dem wir regeln, wie sie die ihr übergebenen Daten zu behandeln hat. Das gilt natürlich auch umgekehrt, wenn ich Dienstleisterin für ein anderes Unternehmen bin. Weil ich in Zukunft mit verantwortlich dafür bin, wie meine Dienstleister mit den ihnen anvertrauten Daten umgehen, muss ich mir gut überlegen, welche Dienstleister ich beauftrage, ob die vertrauenswürdig sind, und wo die wiederum die Daten speichern. Ich muss auch die Dienstleister-Kette im Auge haben! In welchem Land dann im Endeffekt die Daten liegen ist oft gar nicht so einfach rauszufinden (z.B. Scans der Buchhaltungsbelege werden auf den Philippinen eingegeben…)
Einen solchen Mustervertrag für Dienstleister im Inland könnt Ihr Euch hier herunterladen: http://archiv.dsb.gv.at/site/6208/default.aspx (Es wird neue Musterverträge geben, wenn die neue Verordnung in Kraft tritt.)
Rein datenschutztechnisch sollte man Dienstleister aus Außer-EU-Staaten eher vermeiden. Überleg Dir, welche Cloud-Lösung du verwendest und ob es dafür auch Anbieter in Europa oder Kanada gibt. Ab 2018 müssen sich zwar auch amerikanische Teilnehmer am Europäischen Markt unseren Datenschutzbestimmungen beugen, aber wie das dann konkret aussehen wird und wie schnell die das umsetzen, weiß noch keiner. Man sollte daher Anbieter aus der EU, Schweiz oder Kanada bevorzugen, die es mit dem Datenschutz jetzt schon genau nehmen.
4. Die Sicherheit der bei mir gespeicherten Daten sicherstellen
Das ist ein technischer aber auch ein ganz praktischer Aspekt. Ich muss sicherstellen (so weit es in meiner Macht steht), dass die Daten bei mir nicht gestohlen werden können. Was passiert z.B. wenn ein Einbrecher bei mir reinspaziert, meinen Laptop und die Festplatten sowie mein papiernes Adressbüchl mitnimmt? Oder sind die wichtigen Unterlagen im Schreibtisch eingesperrt, wenn ich nicht zu Hause bin, und mache ich es einem Einbrecher auf diese Art schwerer?
Oder was passiert, wenn sich ein Hacker in mein Firmennetzwerk reinhackt? Habe ich die Software auf dem letzten Stand gehalten und auch die neuesten Updates reingespielt, um einem Einbruch vorzubeugen?
Wir müssen jetzt nicht alle Computerfachfrauen werden, aber wir müssen nachweisen können, dass wir die grundlegenden und zumutbaren Dinge getan haben: Zum Beispiel dass wir uns darum gekümmert haben, dass wir neue, sichere Software verwenden. Dass wir unsere Software updaten, vor allem wenn Sicherheitslücken bekannt geworden sind. (Windows XP z.B. ist inzwischen ein absolutes no-go! Hat viele Sicherheitslücken und wird nicht mehr unterstützt.) Dass wir die Daten am eigenen Computer zum Beispiel verschlüsselt speichern (bei Apple geht das relativ einfach), damit niemand außer uns selbst darauf zugreifen kann. Dass wir regelmäßig Sicherungskopien der Daten anlegen und sicher verwahren. (Z.B. auch in der Cloud speichern, aber am besten bei einem europäischen Anbieter.)
Soweit alles klar?
Wenn nicht, stellt bitte Eure Anfragen an die WKO: rechtsservice@wkstmk.at oder 0316/601-601.
Zum Weiterlesen
- Schön griffig und plakativ bringt dieser Artikel der WKO Steiermark die Sache auf den Punkt und zeigt auf, warum die Neuregelung für die Unternehmer auch Vorteile bringt.
- Einen übersichtlichen Kurzüberblick und Zeitplan für die Umsetzung stellt die WKO Steiermark ebenfalls zur Verfügung, sowie eine Checkliste, an der man sich orientieren kann.
Danke dir, liebe Gabriela, für diese tolle Übersicht und die Links zu den weiterführenden Unterlagen! Spitze! Genau sowas habe ich gesucht!
Mit Herzensgrüßen, elke
Hallo Elke, ich freu mich sehr über Deine Rückmeldung! Schön, dass Du die Auflistung brauchbar findest, genau dafür habe ich sie zusammengestellt. lg, Gabi
Vielen Dank für diese Tipps zu den neuen Datenschutzrichtlinien. Da wir eine Non-Profit-Organisation sind haben wir mit vielen Daten von Spendern und freiwilligen zu tun. Wir werden uns nun mal hinsetzen und die Datenarten zusammenstellen, die an den Steuerberater und andere Dienstleister gehen.
Fein, dass Sie meine Tipps brauchen können. Wenn Sie Schwierigkeiten haben, melden Sie sich bei mir, gut?