Newsletter Juni 2011 Datenschutz & Datenschutzkomformes Unternehmen
Informationspflicht bei Datenmissbrauch... 2 Erpressung mit USB Stick... 2 Was heißt geringfügig?... 2 Für den Ernstfall vorbereitet... 3 Datenschutzrechtskomformes Unternehmen... 3 Verarbeiten und Übermitteln von Kunden- und Mitarbeiterdaten im Unternehmen analysieren.... 3 Zustimmungserklärungen formulieren... 4 Der Betriebsrat... 4 Dienstleistervertrag bei Outsourcing... 4 Datensicherheitsmaßnahmen... 4 Genehmigung / Meldung bei Datenschutzkommision / Datenverarbeitungsregister... 5 Viel Spaß beim Lesen dieser ausgesuchten Themen. Seite 1 von 5
Informationspflicht bei Datenmissbrauch Von der Öffentlichkeit weitgehend unbeachtet ist neben den neuen Regeln zur Videoüberwachung am 1. Jänner 2010 mit der Novelle zum Datenschutzgesetz eine neue Informationspflicht bei Datenmissbrauch in Kraft getreten. Österreich übernimmt hier neben Deutschland wieder eine Vorreiterrolle bei der Weiterentwicklung des Datenschutzrechts. Mit einer Bestimmung, die bloß zwei Sätze in einem neuen Absatz 24 Abs 2a des Datenschutzgesetzes 2000 umfasst, wird privaten Unternehmen wie öffentlichen Stellen eine Informationspflicht bei systematischer und schwerwiegend unrechtmäßiger Verwendung von Daten, bei der den Betroffenen Schaden droht eine Pflicht zur Information der Betroffenen auferlegt. Dies bedeutet, dass Vorfälle in der IT-Sicherheit wie etwa Hacker-Attacken, bei denen Kundendaten gestohlen wurden, nicht mehr unbemerkt von der Öffentlichkeit unter den Tisch gekehrt werden dürfen. Erpressung mit USB Stick Vielmehr ist künftig auch schon dann, wenn etwa ein USB- Stick verloren geht, zu prüfen, ob ein Missbrauch der auf diesem befindlichen Daten im Sinn dieser Bestimmung stattgefunden hat (etwa weil der Dieb oder zufällige Finder das Unternehmen nun mit einer Datenveröffentlichung zu erpressen versucht). Es muss überlegt werden, ob die Betroffenen zu informieren sind, also diejenigen, auf die sich die gestohlenen Daten beziehen (z.b. Kunden, Lieferanten, Personal.), wenn ihnen im Hinblick auf diesbezügliche Schritte des Diebs ein nicht bloß geringfügiger Schaden droht. In den USA ist diese Informationspflicht seit einigen Jahren als sogenannte Data Breach Notification Duty bekannt, und es gibt in den meisten US-Bundesstaaten mittlerweile ausdrückliche gesetzliche Regelungen dazu. In Europa wird die Einführung derartiger Regelungen in die Datenschutzrichtlinie seit kurzem diskutiert. Österreich hat nun im Zuge der DSG-Novelle 2010 mit 1. Jänner als zweites Land innerhalb der Europäischen Union eine solche Informationspflicht eingeführt. Die österreichische Bestimmung ist allerdings nicht besonders geglückt, da sie voll von unklaren, nicht näher definierten Begriffen ist. So ist weder klar, was ein systematischer, noch was ein schwerwiegender Datenmissbrauch genau ist. Ebenso unklar ist, was eine geeignete Form der Verständigung der Betroffenen ist. In den USA und ebenso in der seit 1. September in Deutschland gültigen Regelung ist als Form zunächst die direkte persönliche Verständigung des Betroffenen (etwa per Brief; denkbar sind aber auch E-Mail, Anruf etc.) vorgesehen. Wenn dies nicht möglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde, sind Inserate in der Zeitung (in Deutschland zwei mindestens halbseitige Inserate in zwei bundesweit erscheinenden Tageszeitungen), in den USA teilweise sogar das Schalten von Information Spots im Fernsehen vorgesehen. Was heißt geringfügig? Eine Ausnahme von der Informationspflicht sieht der zweite Satz des 24 Abs 2a DSG 2000 dann vor wenn diese angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. Es bedarf der Auslegung, was ein geringfügiger Schaden ist. Ebenso unklar ist, ab wann die Informationskosten unverhältnismäßig wären. Die sprachliche Wendung einerseits... oder... andererseits ist wohl nur als ein schlichtes oder zwischen den zwei Ausschließungsgründen zu lesen. Interessant ist, dass die österreichische Datenschutzkommission entgegen dem Trend etwa in den USA oder der Diskussion in anderen Ländern der EU weder über einen Missbrauchsfall zu informieren ist noch sonst in irgendeiner Form in die Abwicklung eines solchen Missbrauchsfalles involviert wird. Dies scheint für betroffene Unternehmen im ersten Moment zwar ein Vorteil zu sein, da es scheinbar die Möglichkeit offen lässt, Missbrauchsfälle eher unter den Tisch zu kehren. Bei näherer Betrachtung zeigt sich aber, dass Unternehmen letztlich bei der Beurteilung, ob und, wenn ja, in welcher Seite 2 von 5
geeigneten Form Betroffene über einen Missbrauchsfall zu informieren sind, vollständig allein gelassen sind. Auch im Hinblick auf mögliche zivilrechtliche Haftungen wird hier dem Unternehmen eine erhebliche Selbstverantwortung auferlegt: Zu denken wäre etwa an einen Verstoß gegen Schadensminderungspflichten oder an mögliche Haftungsfreizeichnungen von Risikoversicherungen der betroffenen Unternehmen bei Ignorieren der Informationspflicht (Schutzgesetzverletzung!). Für den Ernstfall vorbereitet Dementsprechend ist es für Unternehmen wie öffentliche Stellen ratsam, einen möglichen Ernstfall nicht unvorbereitet auf sich zukommen zu lassen, sondern pro aktiv Maßnahmen zu ergreifen, um vorbereitet zu sein. Vorbereitungsmaßnahmen sind nicht nur das Durchspielen unternehmenstypischer Risikoszenarien durch die Rechtsabteilung. Auch die gemeinsame Ausarbeitung von Notfallplänen mit verschiedenen anderen betroffenen Abteilungen, wie etwa der PR-Abteilung, der Unternehmens-IT, dem Krisenmanagement, der Geschäftsführung sowie möglicherweise betroffener Fachabteilungen gehören dazu. Datenschutzrechtskomformes Unternehmen Datenschutzrecht ist ein Thema, mit dem sich viele nicht gerne beschäftigen. Schon wenn Sie folgende Punkte beachten, können Sie die wesentlichen Fragen lokalisieren und Ihr Unternehmen datenschutzrechtlich auf Vordermann bringen. Verarbeiten und Übermitteln von Kunden- und Mitarbeiterdaten im Unternehmen analysieren. Die Verarbeitung von Kunden und Mitarbeiterdaten und deren Übermittlung an Dritte ist nur unter bestimmten Voraussetzungen zulässig, sonst ist in der Regel die Zustimmung der Betroffenen erforderlich. Analysieren Sie, welche Daten in Ihrem Unternehmen verarbeitet werden, zu welchen Zwecken dies geschieht und an wen diese übermittelt werden. Insbesondere internationale Unternehmen sollten beachten, dass es (auch) im Datenschutzrecht kein Konzernprivileg gibt. Die Datenweitergabe zwischen Konzerngesellschaften, vor allem von eigenen Personaldaten, bedarf einer besonderen betrieblichen Rechtfertigung oder einer Zustimmung durch die Betroffenen. Die Weitergabe von Personaldaten zwischen Konzerngesellschaften muss jedenfalls beim Datenverarbeitungsregister gemeldet werden, bei Kundendaten ist dies in der Regel erforderlich. Ohne Zustimmung erfordern Datenübermittlungen über die EU-Grenzen hinaus unter Umständen eine zusätzliche Genehmigung durch die Datenschutzkommission. Ein Konzern - Datenverbund, in dem mehrere Konzerngesellschaften in einer Datenbank arbeiten oder auch nur wechselseitig Einsicht nehmen können, kann ein Informationsverbundsystem sein, das von der Datenschutzkommission vorab zu genehmigen ist. Daneben sind arbeitsrechtliche Aspekte zu beachten. Seite 3 von 5
Zustimmungserklärungen formulieren In vielen Fällen ist datenschutzrechtlich eine Zustimmungserklärung von Kunden, Lieferanten oder Mitarbeitern notwendig. Beim Formulieren sind die strengen Anforderungen der Judikatur des Obersten Gerichtshofes zu beachten: Aus der Zustimmungserklärung müssen die verarbeiteten Datenarten, der Verwendungszweck und die Empfänger der Daten genau erkennbar sein. Beispielsweise wäre die Zustimmung zur Verarbeitung für Werbezwecke nach der Judikatur des OGH intransparent und würde daher schon dann nicht ausreichen, wenn Sie die Daten für Mailings an Kunden weiterverwenden wollen. Der Betriebsrat Das Arbeitsverfassungsgesetz sieht für gewisse Datenverarbeitungen, die Dienstnehmer betreffen, Informations- oder Mitbestimmungsrechte des Betriebsrats vor. Gegebenenfalls ist also auch der Betriebsrat miteinzubeziehen. Mitunter kann sogar der Abschluss einer Betriebsvereinbarung erforderlich sein. Dienstleistervertrag bei Outsourcing Sie lagern Ihre Buchhaltung, Personalverrechnung, Ihre Server oder die gesamten EDV an einen konzerninternen oder externen Dienstleister aus? In diesem Fall muss ein Dienstleistervertrag nach dem Datenschutzgesetz abgeschlossen werden. Für Outsourcing über die EU Grenzen hinaus kann zusätzlich eine Zustimmung der Betroffenen oder eine Genehmigung durch die Datenschutzkommission erforderlich sein, z.b. auch schon dann, wenn österreichische Daten bloß über einen zentralen Server in den USA laufen. Datensicherheitsmaßnahmen Datenschutzrechtlich gebotene technische Datensicherheitsmaßnahmen wie Zugangskontrollen oder Passwörter werden bei Ihnen vermutlich schon gesetzt. Darüber hinaus gibt es aber noch eine Reihe weiterer, vor allem organisatorischer Maßnahmen aus dem Datenschutzgesetz, die umgesetzt werden müssen. Beispielsweise seien hier die Anordnungspflicht, Protokollierungspflicht, Schulungspflicht, Dokumentationspflicht und die Pflicht, alle Mitarbeiter an das Datengeheimnis zu binden, genannt. Seite 4 von 5
Genehmigung / Meldung bei Datenschutzkommision / Datenverarbeitungsregister Nach einer eingehenden Analyse, welche vermeintlich alltäglichen unternehmerischen Tätigkeiten datenschutzrechtlich relevant sein könnten, ist abschließend zu prüfen, ob die allenfalls erforderlichen Genehmigungen bei der Datenschutzkommission eingeholt und die notwendigen Meldungen beim Datenverarbeitungsregister erfolgt sind. Von der Meldepflicht beim Datenverarbeitungsregister gibt es zwar mittlerweile viele Ausnahmen in Form von vordefinierten Standardanwendungen. Gerade Datenübermittlungen an Konzerngesellschaften sind jedoch auch heute noch meldepflichtig. Viele Unternehmen übersehen auch, dass die jeweiligen Meldungen auch von Zeit zu Zeit aktualisiert werden müssen. Zehn oder sogar zwanzig Jahre alte DVR-Meldungen können ein schlechtes Licht auf ein Unternehmen werfen, da das Datenverarbeitungsregister öffentlich einsehbar ist und eine zunehmend sensibilisierte Öffentlichkeit dies gerne für, bei näherer Betrachtung vielleicht unberechtigte, Angriffe auf das Unternehmen zu nützen versucht. Seite 5 von 5