Banken und Behörden erhalten laut Martin Ferger noch immer viele Dokumente per Post. - © Österreichische Post AG
Banken und Behörden erhalten laut Martin Ferger noch immer viele Dokumente per Post. - © Österreichische Post AG

Wien. Es geht um den besseren Schutz personenbezogener Daten und ein tiefer verankertes Recht auf Schadenersatz: In vier Monaten, konkret am 25. Mai dieses Jahres, tritt die Datenschutz-Grundverordnung EU-weit in Kraft. Verstößt ein Unternehmen gegen seine Datenschutz-Verpflichtung, drohen künftig Verwaltungsstrafen von bis zu 20 Millionen Euro oder - falls dieser Wert höher ist - vier Prozent des Konzernumsatzes. Derzeit liegt der Strafrahmen bei maximal 25.000 Euro. Vor allem für die Post, die täglich zum Teil hoch sensible Daten entgegennimmt, transportiert und zustellt, stellt die neue Verordnung eine besondere Herausforderung dar.

"Wiener Zeitung": Der handgeschriebene Brief hat schon Seltenheitswert, immer mehr Nachrichten werden digital verschickt. Wie hat sich die Zahl der Postsendungen angesichts der voranschreitenden Digitalisierung entwickelt?

Martin Ferger: Das Briefgeschäft ist aufgrund der Digitalisierung rückläufig, das Paketgeschäft ist aufgrund des anziehenden Online-Handels ein Wachstumsmarkt. Unternehmen und Organisationen wie Banken, Behörden und Versicherungen erhalten von ihren Kunden und Geschäftspartnern jedoch nach wie vor große Mengen an Dokumenten per Post. 2018 stehen Unternehmen vor der Herausforderung, dass sie steigende Dokumentationspflichten und verschärfte Datenschutz-Richtlinien einhalten müssen - beispielsweise in Bezug auf eingeschriebene Sendungen mit sensiblen Kundendaten wie etwa Gesundheitsdaten. Größere Unternehmen, etwa in der Pharma-Branche, oder Unternehmen mit mehreren dezentralen Standorten betreiben daher vermehrt eigene Poststellen, um das Brief- und Pakethandling noch rechtssicherer gestalten zu können.

Was konkret wird durch die Datenschutz-Grundverordnung der EU anders, was die Dokumentationspflichten betrifft?

Astrid Schuhmann: Aufgrund der Datenschutz-Grundverordnung (DSGVO) sind anstelle bisheriger Meldungen an das Datenverarbeitungsregister schriftliche Verzeichnisse über sämtliche Verarbeitungstätigkeiten von Daten zu führen, die auf Anfrage der Datenschutzbehörde vorzulegen sind. Von der Pflicht zur Führung des Verarbeitungsverzeichnisses sind Unternehmen mit weniger als 250 Mitarbeitern ausgenommen, wenn die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt, die Verarbeitung nur gelegentlich erfolgt und diese keine sensiblen Daten beziehungsweise keine Daten über strafrechtliche Verurteilungen beinhaltet. Eine wesentliche Anforderung der DSGVO ist die Sicherheit der Verarbeitung. Dazu gehören verlässliche IT-Systeme und -Applikationen. Auch wenn das Thema Dokumentation auf den ersten Blick "lästig" erscheinen mag, dient diese für Nachweise, die auch im Falle der Geltendmachung von Betroffenenrechten erforderlich werden können.