Datenschutz- und –sicherheit war uns immer schon ein besonderes Anliegen, nicht erst seit der neuen Datenschutz-Grundverordnung (EU-DSGVO) der EU. Ein sorgsamer Umgang mit Daten ist ja wesentlicher Bestandteil unserer Lösung und darf mit Fug und Recht von unseren Kunden erwartet und vorausgesetzt werden. Als Österreicher würden wir sagen “eh klar, was gibt’s darüber schon großartig zu diskutieren”. Genau, deshalb haben wir uns vor etwa einem Jahr auch noch darüber gefreut, dass mit der EU-DSGVO nun endlich EU-weit einheitliche Regeln entstanden sind. Für diejenigen die’s noch nicht wissen: wir betreuen syBOS-Kunden in Deutschland, Österreich und Italien. Das hätte uns das Leben schon etwas erleichtern können.

Doch wie es scheint haben wir uns zu früh gefreut und die Rechnung zumindest ohne den österreichischen Gesetzgeber gemacht. Dieser bringt nämlich gerade das Anpassungsgesetz zum Anpassungsgesetz auf den Weg. Also doch wieder nichts mit der EU-Einheitlichkeit.

Falls Sie sich schon etwas intensiver damit beschäftigt haben brauche ich Ihnen auch nicht zur erklären, dass trotz umfangreichem Gesetzestext und noch umfangreicheren Erläuterungen noch nicht alles für alle klar ist. Ansonsten googeln Sie doch einfach mal nach ‘DSGVO’ – viel Spaß!

Wenn Sie sich bislang aber noch überhaupt nicht damit beschäftigt haben (was Ihnen vermutlich ein paar graue Haare erspart hat), empfehle ich Ihnen ein aufmerksames Studium zumindest der nachfolgenden Zeilen. Es könnte Ihnen ein paar Jahre Gefängnisaufenthalt und/oder eine Strafe in 2-stelliger Euro-Millionenhöhe ersparen oder zumindest die Aussicht darauf vermindern.

  1. Sie benötigen (zu Ihrem Schutz und gegen Gefängnis/Strafe) eine Ergänzung zu Ihrem bisherigen Vertrag, nämlich eine “Vereinbarung zur Auftragsverarbeitung” gemäß DSGVO. Diese haben unsere Kunden bereits erhalten. Fix-fertig und mit juristischem Beistand erstellt.
  2. Sie sollten für Ihre Datenverarbeitung in Ihrer Feuerwehr (Wasserrettung, Bergrettung, KIT) ein “Verarbeitungsverzeichnis” führen. Falls Sie dafür noch etwas Inspiration benötigen haben wir ein ‘Muster-Verzeichnis’ mit Formulierungsvorschlägen verfügbar. Allerdings müssen Sie hier schon noch selbst etwas Hand anlegen, schließlich können wir nicht wissen mit welchen Werkzeugen (Software) Sie neben syBOS sonst noch personen-bezogene Daten verarbeiten.
  3. Die Homepage der Feuerwehr (Bergrettung, Wasserrettung, KIT) geht uns zwar nichts an, aber eine ‘Datenschutzerklärung‘ gemäß DSGVO an prominenter und leicht auffindbarer Stelle plaziert, würden wir Ihnen dringend empfehlen. Dafür gibt es inzwischen sogar kostenlose ‘Datenschutzerklärungs-Generatoren’ im Internet. Zur Not dürfen Sie sich auch auf unserer Homepage (sybos.net) bedienen.
  4. Im Minimum sollten Sie jene Mitarbeiter/Personen, die Zugang zu personenen-bezogenen Daten haben, mittels einer ‘Geheimhaltungsvereinbarung‘ auf ebendiese verpflichten. Diejenigen, die ihre personen-bezogenen Daten ausschließlich mit syBOS verwalten, haben auch hier einen kleinen Vorteil. Sie können ab dem 25. Mai 2018 bei allen syBOS-Benutzern die bereits erteilte Zustimmung zu den Nutzungsbedingungen zurücksetzen und verpflichtend eine neuerliche Zustimmung abverlangen. Diese Zustimmung protokollieren wir dann mit Benutzername, Datum und Uhrzeit. Laut DSGVO darf man das elektronisch machen. Wer möchte kann es auch zusätzlich noch auf Papier machen.

Wie Sie sehen, nehmen wir es mit der DSGVO locker, aber nicht lässig.

Was ich damit sagen will: Der Schutz von personen-bezogenen Daten (und nur um diese geht es in der DSGVO) ist wichtig, richtig und notwendig. Nur in der Umsetzung (der Formulierung der DSGVO) happert es noch da und dort etwas. Als Österreicher und bekennende Europäer wissen wir aber aus Erfahrung, dass sich auch die Gesetzgeber nicht immer so gut auskennen, manchmal übers Ziel hinausschießen oder einfach zuwenig weit gedacht haben. Aber das gibt sich dann mit der Zeit (und den Nachbesserungen) – ausjudizieren nennen das die Juristen. Kleines Beispiel für zuwenig durchdacht? Die Strafandrohung von 20 Millionen Euro oder 4% vom Umsatz – je nachdem was höher ist – so ganz pauschal für irgendwelche Verfehlungen finde ich persönlich schon etwas lustig. Für uns und viele andere würde das den garantierten unternehmerischen Tod bedeuten. Google, Amazon, Facebook und Kollegen bezahlen das aus der Porto-Kasse, egal welcher Betrag höher ist. Aber zumindest in Österreich hat man hier schon nachgebessert – Behörden können nicht bestraft werden 😉

 

Also warum locker?

Erstens – die meisten unserer Kunden betreiben ihre Datenverarbeitung auf irgendeiner Rechtsgrundlage. Feuerwehrgesetz, Katastrophenschutzgesetz, Zivilschutzgesetz, Rettungsgesetz, was auch immer. Das heisst, sie sind teilweise sogar verpflichtet, gewisse Sachverhalte zu dokumentieren und archivieren. Oder anders ausgedrückt – sie müssen, ob sie wollen oder nicht. Und sei es nur wegen dem Steuergesetz, das sie dann auch noch zu einer 7-jährigen Aufbewahrungsfrist zwingt.

Zweitens – wir verarbeiten keine besonders sensiblen Daten (Gesundheitsdaten, rassistische Merkmale, sexuelle Neigungen, etc.). Solche Informationen sollte man tunlichst auch nicht in einem Bemerkungsfeld speichern, das können wir leider nicht überprüfen. Aber auch nicht in einer Excel-Tabelle auf dem privaten PC des Schriftführers oder Kommandanten.

Drittens – wir betreiben kein Profiling, das überlassen wir Google, Facebook & Co. Wenn eine Feuerwehr eine Auswertung über die Leistungsbereitschaft ihrer Kameraden macht (zB wer sich wie oft an Einsätzen, Sicherheitswachen oder sonstigen Veranstaltungen beteiligt hat) so ist das noch kein Profiling.

Wahrscheinlich ist es wie so oft im Leben – die größte Gefahr in Bezug auf Datenschutz sitzt erfahrungsgemäß in der Regel VOR dem Bildschirm. Oder aber wenn Mitglieder die Organisation im Streit verlassen.

PS: Heute habe ich eine E-Mail mit dem Betreff ‘DSGVO-Auftragsverarbeitung’ von meiner Friseurin erhalten. Sie speichert meinen Namen samt E-Mail-Adresse, hat meine Telefonnummer und kennt mein Geburtsdatum. Vermutlich speichert sie auch den Haarwuchs-Index (geht kontinuierlich gegen Null…), bevorzugte Haarschneidetermine (niemals während meiner Arbeitszeit!) und die durchschnittliche Arbeitszeit (< 10 min). Davon stand allerdings nichts im Mail. Ich habe trotzdem zugestimmt, gute Friseurinnen mit DSGVO-Kenntnissen sind rar.
Aber vielleicht mache ich beim nächsten Termin von meinem Recht auf Auskunft Gebrauch – Art. 15 DSGVO.

Wie man sieht macht die DSGVO nicht mal vor Friseuren halt.