Viele Unternehmen meinen, es wäre ausreichend, die Kundendaten richtig zu verwalten. Aber auch Urlaubs-, Dienst- und Zeitlisten der Mitarbeiter, Lebensläufe von Bewerbungen, Unterschriftsproben, Daten des Betriebsrates und E-Mails würden unter den Datenschutz fallen, warnt der Datenschutzexperte Wolfgang Fiala. [...]
Datenschutz muss immer gesamtheitlich betrachtet werden. Dazu zählt eben auch der analoge Austausch von Daten, wie zum Beispiel mittels Visitenkarte. Diese Frage ist noch nicht gänzlich geklärt, aber man kann davon ausgehen, dass Visitenkarten, die geschäftlich (z.B. im Rahmen einer Messe o.ä. ausgehändigt wurden) verarbeitet werden dürfen. Hingegen sind die Daten von Visitenkarten, die „privat“ übergeben wurden vertraulich und daher ebenfalls zu schützen sind. Ohne Zustimmung dürfen sie eigentlich nicht gespeichert und verarbeitet werden. Dies hat zur Folge, dass auch ein sorgfältiger Umgang mit Visitenkarten gefragt sein wird.Bisherige Gespräche haben mir gezeigt, dass den meisten Unternehmen nicht klar ist, welche Aufgaben auf sie zukommen. Es steht und fällt alles mit der Bestandsaufnahme: Welche Daten werden überhaupt erhoben, wie hat man die Einwilligung für diese Daten erhalten und warum sammelt man sie? Dazu muss ich aber wissen, welche Daten im Detail betroffen sind – und da beginnt der Teufelskreis.
Risikoeinschätzung: Auf „Nummer Sicher“ gehen
Erste praktische Erkenntnisse im Zusammenhang mit der Risiko-Analyse und der Datenschutz-Folgenabschätzung zeigen, dass es einen großen Spielraum gibt, wie schwerwiegend ein Risiko ist (Beispiel Datenverlust durch Notebook-Diebstahl). Der Schweregrad beeinflusst aber wesentlich die Festlegung der Technisch Organisatorischen Maßnahmen (TOMs).
In solchen Fällen empfiehlt es sich, die Gründe für die Einschätzung des Risikos zu dokumentieren. Dadurch besteht die Möglichkeit des Nachweises gegenüber der Datenschutzbehörde, dass man mit dem Thema nicht sorglos umgegangen ist und entsprechende Vorkehrungen (TOMs) getroffen hat.
In Deutschland ist der Datenschutzbeauftragte (DSB) ab 10 Mitarbeitern verpflichtend, in Österreich ist er nur für Behörden und öffentlichen Stellen (zB Kammern) zwingend vorgesehen, und wenn die Verarbeitung personenbezogener Daten zu den Kernaufgaben des Unternehmens gehört. In allen anderen Fällen ist die Benennung eines DSB freiwillig.
Ob der DSB nun Mitarbeiter im Unternehmen ist oder ein externer Fachmann beauftragt wird, ist dabei dem Unternehmen überlassen. Externe Datenschutzbeauftragte entlasten aber vielfach das Unternehmen: Diese große Verantwortung kann für einzelne Personen, deren Kernaufgaben eigentlich andere sind, zur Belastung werden. Es ist in jedem Fall ratsam gründlich zu prüfen, welche Variante für das spezielle Unternehmen die meisten Vorteile bringt. Im Zweifelsfall sollte man sich aber jedenfalls externe Unterstützung holen.
*) Dipl. Ing. Wolfgang Fiala ist Österreichs erster staatlich befugter und beeideter Ziviltechniker für Informatik und seit über 25 Jahren im Datenschutz-Umfeld tätig.
Be the first to comment