Dauerbrenner DS-GVO: Darauf müssen KMU achten


Die Datenschutz-Grundverordnung (DS-GVO) beschäftigt Unternehmer seit eineinhalb Jahren: Ein aktueller Überblick (Foto: HEROLD Business Data)

Schreckgespenst DS-GVO: Nach 1,5 Jahren hat sich zwar die Furcht vor einer Bußgeld- und Abmahnflut nicht bewahrheitet, die DS-GVO ist jedoch vor allem für KMU nach wie vor mit vielen Unklarheiten verbunden.


Mag. Isabell Lichtenstrasser, LL.M. ist als Rechtsanwältin auf den Bereich Datenschutzrecht spezialisiert. Im Interview mit HEROLD erklärt sie, warum es auch für KMU keine Alternative zu einer Auseinandersetzung mit der DS-GVO gibt und worauf Unternehmen achten müssen.


Frau Mag. Lichtenstrasser, im Mai 2018 wurde die Datenschutz-Grundverordnung verabschiedet. Seitdem fragen sich viele KMU: Was ist eigentlich der Zweck der DS-GVO ?

Seit 25. Mai 2018 regelt die Datenschutz-Grundverordnung der Europäischen Union die Verarbeitung personenbezogener Daten. Sie ermöglicht es, den internationalen Datenverkehr nach einer einheitlichen EU-Richtlinie sicherzustellen. Maßnahmen zum Datenschutz existierten im Datenschutzgesetz natürlich auch schon davor.


Welche Daten stehen unter dem Schutz der DS-GVO?

Die DS-GVO schützt personenbezogene Daten. Das sind einerseits Daten von natürlichen Personen, andererseits spielen auch unternehmerische Daten eine Rolle, insbesondere Daten von Einzelunternehmen.


Was sind die größten Herausforderungen für KMU, die im Gegensatz zu großen Unternehmen keinen eigenen Datenschutzbeauftragten im Haus haben?
(Fotocredit: Philipp Lipiarski)

Die wichtigste Herausforderung besteht darin, einen rechtskonformen Umgang mit personenbezogenen Daten zu schaffen und zu gewährleisten. Dazu zählen ausnahmslos alle Daten, die zum Zwecke der geschäftlichen Tätigkeit verarbeitet werden:

  • Kundendaten,
  • Mitarbeiterdaten,
  • Lieferantendaten.

Ganz wesentlich ist das Bewusstsein dafür, dass man diese Daten ausschließlich und ausnahmslos zu vorab genau definierten Zwecken verwenden darf. Diese Zwecke dürfen auch nicht erweitert werden und selbstverständlich darf ein Unternehmen Daten nicht an Dritte weitergeben, wenn dies für den definierten Zweck nicht erforderlich ist.


Unternehmen sind darüber hinaus auch verpflichtet, Datensicherheitsmaßnahmen zu setzen, diese zu evaluieren und bei Datenschutzverstößen entsprechend zu reagieren.


Die zweite große Herausforderung liegt im Marketing: Unternehmen müssen sich damit auseinandersetzen, wie sie marketingrelevante Daten verarbeiten können, ohne datenschutzrechtliche Regelungen zu verletzen.


Stichwort Online-Marketing: Worauf muss man bei einer DS-GVO-konformen Website achten?

Bei Websites sind einige Aspekte zu beachten.

Generell gilt: Sobald Daten über eine Website gesammelt werden, muss der Betreiber sich fragen, ob diese Datensammlung zweckmäßig ist. Denn: Für jede Datensammlung benötige ich eine entsprechende Rechtsgrundlage.


Wenn ich Daten für mein Online-Marketing erheben möchte, bedarf es der Einwilligung der User. Das gilt insbesondere bei der Verwendung von Cookies.


Bei einem Webshop benötige ich gewisse Daten für die Vertragserfüllung, dafür ist dann zwar keine Einwilligung erforderlich, aber für den Kunden muss klar ersichtlich und nachvollziehbar sein, welche Daten verarbeitet werden.


Bei jeder Datenermittlung müssen Informationen, insbesondere zu folgenden Themen, bereitgestellt werden:

  • Welche Daten werden ermittelt?
  • Was passiert mit den Daten?
  • Welche Rechte hat die Person?

Gerade KMU sind daher bestens beraten, sich in Sachen Online-Marketing von zertifizierten Anbietern unterstützen zu lassen.


100% DS-GVO-konforme Website? Der HEROLD bringt’s zamm!

Welche Richtlinien gelten für E-Mail-Korrespondenz?

Wenn es um eine einfache Auftragsabwicklung geht, ist E-Mail-Verkehr an sich unproblematisch.


Anders sieht die Situation in Sachen Werbung und Newsletter-Marketing aus: Für werbliche Inhalte gibt es eine Regelung im Telekommunikationsgesetz, die besagt, dass man niemandem unaufgefordert E-Mails zu Werbezwecken schicken darf.


So genannte Kaltakquise ist in Österreich somit verboten.


Besondere Vorsicht ist daher auch im Newsletter-Marketing geboten: Wenn sich ein Nutzer für einen Newsletter anmeldet, sollte das Unternehmen dem User eine E-Mail zusenden, in der er seine Anmeldung ausdrücklich bestätigt und seine E-Mailadresse verifiziert.


Welche Vorschriften gelten für Kundendatenbanken?

Die Kundendatenbank mit allen Kundenkontakten darf ausschließlich der Auftragsabwicklung dienen (Rechnungsausstellung, Versand von Produkten, Erbringung von Dienstleistungen).


Sie darf nicht an Dritte weitergeleitet oder verkauft werden. Darüber hinaus müssen Unternehmen dem Kunden mitteilen, welche personenbezogenen Informationen in der Kundendatenbank gespeichert werden. Die Verwendung der Daten zu Werbezwecken ist unter bestimmten Voraussetzungen zulässig.


Kommen wir nun zu jenem Punkt, der Unternehmer wohl am meisten beschäftigt: Wie kann es zu Verurteilungen kommen, wo finden betroffene Unternehmen Unterstützung und mit welchen Strafen ist zu rechnen?

Wenn ein Unternehmen die DS-GVO verletzt, können Beschwerden an die Datenschutzbehörde die Folge sein. Diese wird in weiterer Folge den Sachverhalt prüfen und das Unternehmen auffordern, eine entsprechende Stellungnahme abzugeben. Wird tatsächlich eine Rechtsverletzung festgestellt, ist mit einer Geldstrafe zu rechnen.


Wie sollen Unternehmen auf eine Beschwerde reagieren?

Im Falle einer Beschwerde kann eine auf Datenschutz spezialisierte Rechtsberatung helfen.


Immer wieder geistert der Begriff „Abmahnwelle“ durch die Medien – können Sie das bestätigen?

In Österreich gab es bis dato keine Abmahnwelle. Beschwerden von betroffenen Einzelpersonen direkt an die Datenschutzbehörde werden jedoch durchaus häufig verzeichnet.


Wo können sich KMU über die DS-GVO informieren?

Die WKO bietet Informationsveranstaltungen zum Thema Datenschutz. Auf der Website finden interessierte Unternehmen rechtlich sichere Informationen und Broschüren zum Download.

Weitere Artikel