2012/10/10 Herbst bringt wichtige Datenschutz-Neuerungen für Unternehmen
Seit Anfang September ist DVR-Online in Betrieb - die ARGE DATEN bringt erste Erfahrungsberichte - seit Mitte September ist die neue Standard- und Muster-Verordnung in Kraft - sie bringt erhebliche Erleichterungen für Konzerne
DVR-Online - erste Erfahrungen
Seit Anfang 2010 angekündigt, ging das elektronische Datenverarbeitungsregister (DVR-Online) am 1. September unter https://dvr.dsk.gv.at/ in Betrieb. Die ARGE DATEN nutzte die letzten Wochen zu einem ausführlichen Praxistest des DVR-Online.
Verbesserte Information der Bürger
Positiv ist der einfache Zugang für den Bürger. Er kann zu jedem Unternehmen anonym nachsehen, welche Datenverarbeitungen es betreibt. Dazu sind keine Zugangsvoraussetzungen notwendig. Auch der persönlich Verantwortliche für die Registrierung kann abgefragt werden. Die Eingabe der DVR-Nummer oder des Unternehmensnamens genügt.
Vereinfachte Meldung für Unternehmen
Positiv ist die Möglichkeit für Unternehmen ihre Datenverarbeitungen Online melden, ändern und löschen zu können. Auf eine verbesserte Aktualität darf jedenfalls gehofft werden. Der Meldeablauf ist stark an die bisherigen Formulare angepasst. Bei korrekter Registrierung erhält das Unternehmen sofort die Rückmeldung der erfolgten Registrierung.
Leider gibt es keine Schnittstelle für Groß- und Massenmeldungen. Wer viele Datenverarbeitungen mit vielen Betroffenen und vielen Datenarten melden will, muss sich stundenlang mit den Eingabemasken herumschlagen.
Schutz vor Falschmeldungen
Offenbar einigen Aufwand investierte das Datenverarbeitungsregister (DVR) in die Plausibilitätsprüfungen. So wurde den meldepflichtigen Datenarten ein Wörterbuch hinterlegt. Versucht jemand eine Datenverarbeitung mit Gesundheits- oder Religionsdaten oder mit Daten über die Kreditwürdigkeit zu melden, ohne sie als Vorabkontrollpflichtig zu deklarieren, dann bringt das System eine Fehlermeldung.
Ganz perfekt ist das System aber noch lange nicht, Meldungen mit leeren Empfängern und sinnlosen Silben werden anstandslos akzeptiert.
Vertretungskonzept nicht praxistauglich
Der Melde-Zugang zu DVR-Online soll vorrangig mit der Bürgerkarte erfolgen. Über den Umweg über Finanzonline und das Unternehmensserviceportal ist auch ein Zugang mit Benutzerkennung und Passwort möglich. Möglich ist auch die Nutzung mittels "Handy-Signatur".
In allen Fällen unbefriedigend gelöst ist die Vertretungsbefugnis. Wohl nur in ganz kleinen Unternehmen wird der "Chef" persönlich die DVR-Meldungen machen, meist wird es ein Mitarbeiter der IT- oder Rechtsabteilung sein. Damit diese Personen bevollmächtigt werden können, benötigt ein Geschäftsführer zuerst eine persönliche Bürgerkarte. Mit der beantragt er eine Vollmacht für sein Unternehmen und erst mit dieser Vollmacht kann er - wieder nur elektronisch - einen Mitarbeiter bevollmächtigen. Unternehmensverantwortliche werden auf diesen Weg zu Bürgerkarte und eGovernment "zwangsverpflichtet".
Im Praxistest der ARGE DATEN dauerte die Sache am Ende rund 10 Tage, da immer wieder einzelne Schritte nicht funktionierten und teilweise erst nach Reklamation Programmierfehler behoben werden mussten.
Erleichterungen für Konzerne
Im Sommer angekündigt trat am 18. September eine Erweiterung der Standard- und Muster-Verordnung (StMV) in Kraft.
Bisher war es für Konzerne ein äußerst bürokratisches Unterfangen, weltweite Mitarbeitertelefon- und -e-Mail-Verzeichnisse datenschutzrechtlich korrekt zu führen. Die gemeinsame Nutzung von Mitarbeiterdaten durch mehrere Unternehmen wird in Österreich als Informationsverbund gewertet und erfordert eine eigene Genehmigung und eine zeitraubende Vorabkontrolle. Werden die Daten in nicht sicheren Dritt-Staaten verarbeitet, dann war noch eine zusätzliche Genehmigung zum internationalen Datenverkehr erforderlich.
Diese bürokratische Prozedure entfällt mit der neuen Standardanwendung SA034 "Konzerndatenverarbeitung".
Erfreulicher Erfolg der ARGE DATEN
Verbessert wurde in der Verordnung der Punkt Datensicherheit. Der ursprüngliche Entwurf hätte zur Konsequenz gehabt, dass in Zukunft Konzerne die Daten österreichischer Mitarbeiter ohne jede Sicherheitsauflage auch in unsichere Drittländer weitergeben hätten können.
Die ARGE DATEN kritisierte dies in ihrer Stellungnahme eindringlich, ebenso wie das Fehlen eines Verweises auf die verpflichende Einhaltung von Betriebsvereinbarungen.
Beide Kritikpunkte wurden übernommen, ausdrücklich ist jetzt vorgesehen, dass Unternehmen bei Datenverarbeitung in einem unsicheren Drittland die sogenannten EU-Standardvertragsklauseln zur Datensicherheit verwenden müssen (http://ftp.freenet.at/privacy/ds-eu/eu-standardvertragsklause...).
|
