„Sagt mir, was ich machen soll!“ - „Immer wieder Datenschutz …“ –
Am 12. Oktober 2016 widmete sich der 44. SAP-Arbeitskreis der DSGVO, der ab 25. Mai 2018 anzuwendenden EU Datenschutz-Grundverordnung. Am Vormittag unterstützte uns die Wirtschaftsprüfungsgesellschaft EY durch Referate ihrer Senior Consultants Birgit Eschinger und Oliver Pönisch. Gefordert durch viele Zwischenfragen und Diskussonsbeiträge bewiesen beide enormes Fachwissen und gingen auf die Anliegen der Teilnehmer engagiert ein.
Am Nachmittag fand der Erfahrungstausch statt. Danach setzte Walter Pichl fort mit Fragen der Datenschutzprüfung im SAP. AK Leiter Otto Erbert fand in den vorgelegten, umfangreichen Materialien eine besorgniserregende Kommentarmeinung: „Obwohl die Sanktionsbestimmungen der DSGVO als Höchstsätze ausgestaltet sind, sind diese besonders hohen Strafdrohungen aufgrund des im österreichischen Verwaltungsstrafrecht (VStG) vorherrschenden Kumulationsprinzips (§ 22 VStG) für Unternehmen existenzgefährdend. Dieses Kumulationsprinzip besagt, dass bei Zusammentreffen mehrerer Verwaltungsübertretungen auch mehrere Strafen nebeneinander verhängt werden. Das gilt sowohl, wenn jemand durch verschiedene Taten mehrere Verwaltungsübertretungen begangen hat (Realkonkurrenz), als auch, wenn nur eine Tat begangen wurde, diese aber unter mehreren Strafandrohungen steht (Idealkonkurrenz).[10] Beispielsweise könnte dies bei einem Hackerangriff auf ein Unternehmen im schlechtesten Fall eine Strafe in Höhe vom Vielfachen des Jahresumsatzes führen.[sic!]“ (Illibauer, Ursula, Geldbußen und andere Sanktionen, in Knyrim (Hrsg.), Datenschutz-Grundverordnung (2016), 341f.
Danach wurde fortgesetzt mit SAP und sensiblen personenbezogenen Daten aus der Personaladministration. Auch hier zeigte sich dasselbe Bild wie am Vormittag: rege Diskussion über „einfache“ Fragestellungen wie „Wie lange müssen und dürfen Daten der Dienstnehmer aufbewahrt werden?“ Aus der Sicht der SAP-Spezialisten ist die Sache ja recht einfach: „Sagt mir, wie lange ich die Daten speichern und wer Zugriff haben soll, dann mache ich das auch …“ ..
Die Teilnehmer nahmen mit nach Hause:
1. Viele Detailfragen der DSGVO sind noch nicht vollständig geklärt,
2. Trotz dieser Unklarheit/Fragen muss die Vorbereitung jetzt beginnen, weil es in den Unternehmen langer Vorläufe bedarf (Budgeterstellung für interne Projekte etc.)
3. Es wird ein ordentliches Stück Arbeit, welches weder von den fachlichen Anforderungen noch vom Umfang und Zeitdruck her unterschätzt werden sollte,
4. Es besteht Grund zur Besorgnis, dass viele „Hausaufgaben“ der Fachbereiche im Bereich der Beschreibung und Klassifizierung der Daten sowie der Festlegung der Aufbewahrungsfristen noch anstehen,
5. Wichtigste Aufgabe jetzt: auf Erhebung des Vorbereitungsstandes drängen!
Literaturempfehlung: Knyrim, Rainer: Datenschutz-Grundverordnung. Das neue Datenschutzrecht in Österreich und der EU. Manz Verlag, Wien 2016. Fester Einband, XXII, 418 Seiten, ISBN 978-3-214-10083-4, € 62,-- http://www.manz.at/list.html?isbn=978-3-214-10083-4
[10] Fasching/Schwartz, Verwaltungsverfahrensrecht im Überblick4 (2014) 93
Autor: Herr Walter Pichl
walter.pichl@erstegroup.com