Datenschutzgrund-WAS?

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) final in Kraft – geben tut es die schon seit 2016, aber ab Mai wird sie dann auch exekutiert. Die gilt dann sofort in der ganzen EU und da ist auch nix dran zu rütteln – gut so! Weil sich endlich mal alle Gedanken drüber machen müssen, was sie so an Tools verwenden, welche Daten sie überhaupt so haben und wo die überall rumliegen. Grundsätzlich finde ich das eine feine Sache.

Mich interessiert das auch deswegen so, weil ich schon die letzten Jahre in meiner Freizeit viel mit dem Thema zu tun hatte – im Chaos Computer Club Wien mit dem Projekt Chaos macht Schule gehen wir ehrenamtlich an Schulen und machen Medienkompetenz Workshops für Schüler, Lehrer und Eltern. Und da ist Datenschutz ein sehr großer Brocken bei.

Ich finde es wichtig, dass nicht nur Unternehmen sich ihrer Verantwortung mit Daten bewusst werden, sondern eben auch alle, um deren Daten es hier geht. Die natürlichen Personen – Du und ich.

Und weil mich das interessiert, mache ich gerade eine Fortbildung beim WiFi Wien zum zertifizierten Datenschutzbeauftragten. Das ist kein volles Jurastudium und in wenigen Wochen erledigt, aber immerhin gibt es mittlerweile die Möglichkeit, einer speziellen Weiterbildung in dem Bereich.

Wie meine fließigen Blogleser wissen, bin ich dabei, mich wieder selbständig zu machen. Als Autorin, also im Kreativbereich. Und genau aus der Ecke – von den Kreativen, den Selbständigen, den Einzelunternehmern und denen, die wenig mit Paragraphen sondern viel lieber mit ihrer Kamera, mit Farbe und Pinsel, mit ihrem Manuskript, etc. zu tun haben – von denen schwirren täglich dutzende Fragen zur DSGVO über die diversen Mailinglisten. Und ich dachte mir: hey, wenn ich mich schon selbständig mache, könnte ich doch auch einen Datenschutz-Check für die kreativen Kollegen anbieten. Immerhin bin ich eine von ihnen und weiß, wo der Schuh drückt. Ich kenne die vielen Tools, mit denen sie arbeiten. Und ich werde nach jedem Workshop, den ich für Autoren bei den diversen Jahrestreffen -bei der Criminale, der Vollversammlung der Mörderischen Schwestern, dem Treffen des internationalen AIEP, … – JEDES MAL gefragt, ob man mich dafür micht buchen könnte.

Und dann beging ich den Kardinalfehler und fragte vor einigen Wochen nach, wie ich das wohl am besten tatsächlich anbieten könnte – immerhin sollte ich diese Zertifizierung mit Ende März haben, falls die Prüfung keine totale Katastrophe wird. Und dann bekam ich von der Abteilung Rechtspolitik der Wirtschaftskammer Österreich (WKO) eine seitenlange Definitionen über das Berufsbild eines Unternehmensberaters zugeschickt. Mit Wirtschaftsstudium und allem drum und dran. Ich hakte nach, denn ich habe und will kein Wirtschaftsstudium. Ich will Bücher schreiben und Menschen erklären, warum es sch* Idee ist, WhatsApp zu verwenden und ob ihre Datenschutzerklärung im Blog jetzt wahrscheinlich so passt oder nicht.

Bei einem Beratungsgespräch bei der Wirtschaftsagentur Wien bekam ich dann den Tipp, dass es möglich ist, ein Gewerbe auch eingeschränkt mit individueller Befähigung auszuüben. Ich hakte also bei der WKO noch einmal nach – Unternehmensberater aber eingeschränkt auf Datenschutz, damit könnte ich ja leben, das klingt noch nicht danach, dass ich in eine Bluse gesteckt würde und mich den ganzen Tag wie ein Clown im Kettenhemd fühlen müsste. Erst einmal wurde ich weitergeleitet und kam dann zum UBIT – der Fachgruppe Unternehmensberatung und IT. Das klingt schon so zusammenhängend. Ich bekam Antwort von einer Dame, die mir dann erklärte:

Sehr geehrte Frau Zotzmann-Koch,

eine Einschränkung nur auf Datenschutz ist nicht möglich.

Bitte schicken Sie uns noch folgende Informationen, damit wir beurteilen können, ob Sie die Voraussetzungen für das Gewerbe der Unternehmensberatung erfüllen:

– Zeugnisse über Studienabschluss, Ausbildungsnachweis etc. mit wirtschaftlichem Schwerpunkt
– Dienstzeugnisse bzw. Referenzen als Nachweis Ihrer fachlich einschlägigen Tätigkeit

Dienstzeugnisse bzw. Referenzen sind im Rahmen der Prüfung der Befähigung zur Unternehmensberatung ein wesentlicher Faktor. Notwendige Bestandteile sind: Datum, Unterschrift, Tätigkeit samt inhaltlicher Beschreibung und Dauer der Tätigkeit. Die Referenzen sollten von Personen ausgestellt sein, die Ihre fachliche Tätigkeit beurteilen können. Wenn Sie jahrelang selbständig waren oder auf Projektbasis gearbeitet haben, dann können die Referenzen auch von den Auftraggebern oder von Kollegen ausgestellt werden. Dienstverträge sind nicht ausreichend, da sie vor Dienstbeginn abgeschlossen wurden und keine Auskunft über die tatsächliche Tätigkeit geben.

– Lebenslauf
– Angaben über Ihren Beratungsschwerpunkt als Unternehmensberater (siehe dazu: Berufsbild https://www.wko.at/branchen/w/information-consulting/unternehmensberatung-buchhaltung-informationstechnologie/unternehmensberatung/Berufsbild2.html )

Freundliche Grüße
…

Nachdem ich mir dachte und auch von anderen hörte, dass es Österreich vermutlich nicht mehr lange aufrecht erhalten könne, als einziges Land der EU den Datenschutzbeauftragten als reglementiertes Gewerbe zu führen, trat ich meinen hart erkämpften Kursplatz dennoch an. Die Kurse sind bei allen Bildungsträgern bis Mitte 2019 ausgebucht! Und ich will es ja machen, nur nicht irgendwo fix angestellt, sondern für diejenigen, an die bei der DSGVO keiner gedacht zu haben scheint: Die Einzelunternehmer, die selbständigen Kreativen, die, deren Fragen täglich über die Mailinglisten schwirren.

Und heute bekam ich folgenden Link von einem anderen Kursteilnehmer: https://www.wko.at/service/unternehmensfuehrung-finanzierung-foerderungen/eu-dsgvo-datenschutzbeauftragter-faq.html#5. Ich lasse ihn mal im Ganzen hier auf Euch wirken. Schaut nochmal hin: WKO.at/… Also das Unternehmen, von dem ich von zwei Menschen gesagt bekam, dass man Unternehmensberater sein muss, um Datenschutzbeauftragter zu sein. Interessant sind hier die Punkte 5 & 6:

5. Welche fachliche Qualifikation wird von einem DS Beauftragen erwartet? Ist das eine geschützte berufliche Bezeichnung?

Der Datenschutzbeauftragte hat über die notwendigen Qualifikationen und das Fachwissen zu auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis zu verfügen. Er muss in der Lage sein den Verantwortlichen hinsichtlich seiner Pflichten nach der DSGVO und sonstigen Datenschutzvorschriften zu unterrichten und zu beraten, die Einhaltung der DSGVO und sonstiger Datenschutzvorschriften zu überwachen, in Bezug auf die Datenschutzfolgenabschätzung zu beraten und als Bindeglied zur Aufsichtsbehörde zu fungieren.

Datenschutzbeauftragter selbst ist keine geschützte berufliche Bezeichnung, allerdings sind alle Rechte und Pflichten eines Datenschutzbeauftragen nach der DSGVO einzuhalten, wenn man jemanden im Betrieb derartig benennt. Datenschutzkoordinator oÄ wäre daher für freiwillig bestellte Ansprechpartner sinnvoll(er).

6. Braucht ein Datenschutzbeauftragter eine verpflichtende Ausbildung und/oder Zertifikat, oder kann man sich das Wissen dazu auch selbstständig aneignen als IT-Dienstleister?

Ein Datenschutzbeauftragter muss ein gewisses Maß an Erfahrung in datenschutzrechtlichen Dingen aufweisen. Konkrete Ausbildungen sind zwar nicht verpflichtend, doch empfehlenswert.

Und jetzt frage ich: Was kann ich jetzt machen? Reicht das technische Verständnis, das ich habe, weil ich mich seit 1995 mit Computern und dem Internet beschäftige, zzgl. fünf Jahre Projektmanagement im technischen Bereich, zwei Jahre Chaos macht Schule, zwei Jahre Kernorganisation bei der PrivacyWeek plus die Zertifizierung zum Datenschutzbeauftragten nun hin, um Datenschutz-Checks für kreative Selbständige anbieten zu dürfen?

Ich weiß zwar nicht mehr genau, wo ich noch fragen soll, aber ich werde Bericht erstatten, was sich in der Causa noch tut.