rating service  security service privacy service
 
2012/10/10 Herbst bringt wichtige Datenschutz-Neuerungen für Unternehmen
Seit Anfang September ist DVR-Online in Betrieb - die ARGE DATEN bringt erste Erfahrungsberichte - seit Mitte September ist die neue Standard- und Muster-Verordnung in Kraft - sie bringt erhebliche Erleichterungen für Konzerne

DVR-Online - erste Erfahrungen

Seit Anfang 2010 angekündigt, ging das elektronische Datenverarbeitungsregister (DVR-Online) am 1. September unter https://dvr.dsk.gv.at/ in Betrieb. Die ARGE DATEN nutzte die letzten Wochen zu einem ausführlichen Praxistest des DVR-Online.


Verbesserte Information der Bürger

Positiv ist der einfache Zugang für den Bürger. Er kann zu jedem Unternehmen anonym nachsehen, welche Datenverarbeitungen es betreibt. Dazu sind keine Zugangsvoraussetzungen notwendig. Auch der persönlich Verantwortliche für die Registrierung kann abgefragt werden. Die Eingabe der DVR-Nummer oder des Unternehmensnamens genügt.


Vereinfachte Meldung für Unternehmen

Positiv ist die Möglichkeit für Unternehmen ihre Datenverarbeitungen Online melden, ändern und löschen zu können. Auf eine verbesserte Aktualität darf jedenfalls gehofft werden. Der Meldeablauf ist stark an die bisherigen Formulare angepasst. Bei korrekter Registrierung erhält das Unternehmen sofort die Rückmeldung der erfolgten Registrierung.

Leider gibt es keine Schnittstelle für Groß- und Massenmeldungen. Wer viele Datenverarbeitungen mit vielen Betroffenen und vielen Datenarten melden will, muss sich stundenlang mit den Eingabemasken herumschlagen.


Schutz vor Falschmeldungen

Offenbar einigen Aufwand investierte das Datenverarbeitungsregister (DVR) in die Plausibilitätsprüfungen. So wurde den meldepflichtigen Datenarten ein Wörterbuch hinterlegt. Versucht jemand eine Datenverarbeitung mit Gesundheits- oder Religionsdaten oder mit Daten über die Kreditwürdigkeit zu melden, ohne sie als Vorabkontrollpflichtig zu deklarieren, dann bringt das System eine Fehlermeldung.

Ganz perfekt ist das System aber noch lange nicht, Meldungen mit leeren Empfängern und sinnlosen Silben werden anstandslos akzeptiert.


Vertretungskonzept nicht praxistauglich

Der Melde-Zugang zu DVR-Online soll vorrangig mit der Bürgerkarte erfolgen. Über den Umweg über Finanzonline und das Unternehmensserviceportal ist auch ein Zugang mit Benutzerkennung und Passwort möglich. Möglich ist auch die Nutzung mittels "Handy-Signatur".

In allen Fällen unbefriedigend gelöst ist die Vertretungsbefugnis. Wohl nur in ganz kleinen Unternehmen wird der "Chef" persönlich die DVR-Meldungen machen, meist wird es ein Mitarbeiter der IT- oder Rechtsabteilung sein. Damit diese Personen bevollmächtigt werden können, benötigt ein Geschäftsführer zuerst eine persönliche Bürgerkarte. Mit der beantragt er eine Vollmacht für sein Unternehmen und erst mit dieser Vollmacht kann er - wieder nur elektronisch - einen Mitarbeiter bevollmächtigen. Unternehmensverantwortliche werden auf diesen Weg zu Bürgerkarte und eGovernment "zwangsverpflichtet".

Im Praxistest der ARGE DATEN dauerte die Sache am Ende rund 10 Tage, da immer wieder einzelne Schritte nicht funktionierten und teilweise erst nach Reklamation Programmierfehler behoben werden mussten.


Erleichterungen für Konzerne

Im Sommer angekündigt trat am 18. September eine Erweiterung der Standard- und Muster-Verordnung (StMV) in Kraft.

Bisher war es für Konzerne ein äußerst bürokratisches Unterfangen, weltweite Mitarbeitertelefon- und -e-Mail-Verzeichnisse datenschutzrechtlich korrekt zu führen. Die gemeinsame Nutzung von Mitarbeiterdaten durch mehrere Unternehmen wird in Österreich als Informationsverbund gewertet und erfordert eine eigene Genehmigung und eine zeitraubende Vorabkontrolle. Werden die Daten in nicht sicheren Dritt-Staaten verarbeitet, dann war noch eine zusätzliche Genehmigung zum internationalen Datenverkehr erforderlich.

Diese bürokratische Prozedure entfällt mit der neuen Standardanwendung SA034 "Konzerndatenverarbeitung".


Erfreulicher Erfolg der ARGE DATEN

Verbessert wurde in der Verordnung der Punkt Datensicherheit. Der ursprüngliche Entwurf hätte zur Konsequenz gehabt, dass in Zukunft Konzerne die Daten österreichischer Mitarbeiter ohne jede Sicherheitsauflage auch in unsichere Drittländer weitergeben hätten können.

Die ARGE DATEN kritisierte dies in ihrer Stellungnahme eindringlich, ebenso wie das Fehlen eines Verweises auf die verpflichende Einhaltung von Betriebsvereinbarungen.

Beide Kritikpunkte wurden übernommen, ausdrücklich ist jetzt vorgesehen, dass Unternehmen bei Datenverarbeitung in einem unsicheren Drittland die sogenannten EU-Standardvertragsklauseln zur Datensicherheit verwenden müssen (http://ftp.freenet.at/privacy/ds-eu/eu-standardvertragsklause...).



mehr --> Aktuelle Fragen zum betrieblichen Datenschutz 2012 - 16. Oktober 2012
mehr --> Ausbildungsreihe "betrieblicher Datenschutzbeauftragter"
Archiv --> Stellungnahme der ARGE DATEN zur Änderung der Standard- und Musterverordnung StMV 2004
mehr --> Wozu dient das Datenverarbeitungsregister (DVR)?
mehr --> RIS: DVRV 2012 (Stichtag 1.9.2012)
mehr --> DVR: Informationen über DVR-Online
mehr --> Öffentlicher Zugang zu DVR-Online
mehr --> Übersicht EU-Standardvertragsklauseln für internationalen Datenverkehr (Stand 1.1.2012)
Archiv --> DSG-Novelle 2012 - Datenschutzbeauftragter soll Unternehmen en...
Archiv --> Wie funktioniert das Online-Datenverarbeitungsregister?

Die angezeigten Informationen und Artikel werden im Rahmen des ARGE DATEN Informationsdienstes kostenlos zur Verfügung gestellt. Alle Angaben sind sorgfältig recherchiert, es wird jedoch für die Richtigkeit keine Gewähr übernommen. Alle Angaben, Aussagen und Daten beziehen sich auf das Datum der Veröffentlichung des Artikels. Es wird ausdrücklich darauf hingewiesen, dass insbesondere Links, auf Websites gemachte Beobachtungen und zu einem Sachverhalt gemachte Aussagen zum Zeitpunkt der Anzeige eines Artikels nicht mehr stimmen müssen. Der Artikel wird ausschließlich aus historischem und/oder archivarischen Interesse angezeigt. Die Nutzung der Informationen ist nur zum persönlichen Gebrauch bestimmt. Dieser Informationsdienst kann professionelle fachliche Beratung nicht ersetzen. Diese wird von der ARGE DATEN im Rahmen ihres Beratungs- und Seminarservice angeboten und vermittelt. Verwendete Logos dienen ausschließlich zur Kennzeichnung der entsprechenden Einrichtung. Die verwendeten Bilder der Website stammen, soweit nicht anders vermerkt von der ARGE DATEN selbst, den in den Artikeln erwähnten Unternehmen, Pixelio, Aboutpixel oder Flickr.

© ARGE DATEN 2000-2019 Information gemäß DSGVOwebmaster