Datenschutzgrundverordnung (DSGVO)



header news dsgvo

DATENSCHUTZGRUNDVERORDNUNG (DSGVO)

Die DSGVO auf den Punkt gebracht
Die DSGVO und vor allem auch das Datum, an dem sie schlagend wird, sind derzeit in aller Munde. Nahezu täglich landen Einladungen zur nächsten DSGVO Konferenz im Postfach und überall wird uns der 25. Mai 2018 als der Tag angekündigt, an dem die neue DSGVO in Kraft tritt.

Der kolportierte Strafrahmen schreckt natürlich ganz besonders ab und schüchtert viele ein. Bei bestimmten, besonders schwerwiegenden Verstößen können Geldbußen bis zu 20 Mio Euro oder 4% des weltweit gesamt erzielten Umsatzes des vorangegangen Geschäftsjahres eines Unternehmens verhängt werden. Und auch die Komplexität erreicht einen völlig neuen Rahmen. Die 99 Artikel und 173 Erwägungsgründe sorgen einerseits für ein gewisses Maß an Undurchsichtigkeit, und das Übrige tun noch die Tatsachen, dass Öffnungsklauseln enthalten und einige Punkte der Verordnung noch generell strittig sind.

Als Beispiel bei den Öffnungsklauseln sei erwähnt, dass Österreich eine niedrigere Altersgrenze von 14 Jahren anstatt der in der DSGVO erwähnten 16 Jahre festgelegt hat (Art 8 Abs 1). Um für Sie Licht in die Sache zu bringen, hat PNC das entsprechende Fachwissen aufgebaut und den Spezialisten Ing. Mag. Boris Treml, LL.M. befragt. In den folgenden Zeilen lesen Sie, was für Sie schon heute wichtig ist:

Betrifft mich das?
Die wohl am häufigsten von Unternehmern gestellte Frage zum Thema DSGVO lautet: „Betrifft mich das (überhaupt)?“. Darauf gibt es eigentlich nur eine Antwort, und die lautet „JA“.

Ausgenommen sind lediglich Privatpersonen, die personenbezogene Daten speichern (z. B. wenn Sie als Privatperson Ihre Familienmitglieder in ein Ahnenbuch eintragen). Eine weitere Ausnahme stellen Behörden dar. (Der sachliche und räumliche Anwendungsbereich ist in Art. 2 & 3 geregelt)

Inwieweit Sie die DSGVO nun im Detail trifft, kann nur durch eine genaue Analyse Ihres Unternehmens herausgefunden werden. Grundsätzlich gilt der „risikobasierte Ansatz“. Die Beratung durch einen Experten ist nahezu unerlässlich – was leider aber auch Kosten aufwerfen kann, die speziell kleinere Unternehmen treffen. Der kleine Handwerksbetrieb wird ganz andere Ansätze verfolgen als Online-Plattformen wie Amazon, Google, Facebook & Co.

Verantwortung
Der Begriff des Datenschutzbeauftragten kommt im Thema DSGVO unausweichlich vor. Dieser kann zwar in einem Unternehmen nominiert werden (und in bestimmten Fällen muss er sogar nominiert werden), jedoch trägt die Verantwortung für die Umsetzung der DSGVO immer die Geschäftsführung. Eine Bestimmung eines Datenschutzbeauftragten sollte grundsätzlich gut überlegt werden – wird die Rolle im Unternehmen vergeben, so ist sie an einen Mindestaufgabenkatalog gebunden. Eine entsprechende Ausbildung wird unbedingt angeraten, da umfangreiche rechtliche und technische Kenntnisse vorausgesetzt werden.

Ziele der DSGVO
Die neue Verordnung soll sicherstellen, dass ein hohes Datenschutzniveau für alle natürlichen Personen erreicht wird. Alle erhobenen Daten dürfen nur dann verarbeitet werden, wenn diese für festgelegte, eindeutige und rechtmäßige Zwecke erhoben wurden. (Art. 6)

Eine besondere Datenkategorie stellen die sogenannten „sensiblen Daten“ dar, die Rückschlüsse auf politische Meinungen, ethnische Herkunft, sexuelle Orientierung o. ä. zulassen würden. (Art. 9) JEDE betroffene Person hat mit dem Inkrafttreten der DSGVO Betroffenenrechte:

• Informationspflicht bei Erhebung von personenbezogenen Daten
• Auskunftsrecht
• Recht auf Berichtigung
• Recht auf Löschung („Recht auf Vergessenwerden“)
• Recht auf Einschränkung der Verarbeitung
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht

Neben den organisatorischen Maßnahmen im Unternehmen sind dafür auch die technischen Möglichkeiten zu evaluieren und entsprechende Vorkehrungen zu treffen.

DSGVO datum
Was ist bis 25.05.2018 zu tun?
Als Unternehmer sollten Sie möglichst schnell herausfinden, welche Bereiche der DSGVO in welcher Intensität auf Ihr Unternehmen zutreffen. Wesentlich für das weitere Vorgehen wird es sein, ein Verzeichnis von Datenanwendungen und Verarbeitungstätigkeiten zu erstellen sowie darauf basierend eine Risikoeinschätzung vorzunehmen. Je nach Unternehmenszweck empfehlen wir, möglichst früh damit zu beginnen – falls im Rahmen der Ersterhebungen kritische Themen auftauchen, werden Sie entsprechende Vorlaufzeiten zur Umsetzung der Vorgaben benötigen.

Betroffene Bereiche (exemplarisch) können sein:

• Kundendatenbank
• Datenbank-Systeme generell
• Videoüberwachungen
• Bewegungsdatenerfassung
• sensible Daten
• Internet-Services, die Kindern angeboten werden
• medizinische Daten
• Profiling-Anwendungen

Generell empfehlen wir folgendes Vorgehensmodell:

• Analyse IST-Stand
• Analyse der Datenanwendungen und Zwecke
• Überprüfung der Verarbeitungstätigkeiten
• Check von Auftragsbearbeitern
• Analyse von bestehenden Sicherheitsmaßnahmen
• Folgeabschätzungen
• Festlegung der Notwendigkeiten bzw. genauen Tätigkeiten
• Nominierung eines Datenschutzbeauftragten (falls erforderlich)
• Sichten und Überprüfen von Verträgen
• Entstehung eines Dokuments über die DSGVO-konforme Datenverarbeitung

Welche Auswirkungen hat die DSGVO auf meine IT-Systeme?
Daten werden immer wertvoller – und damit auch immer schützenswerter. Datenschutz durch Technik ist, was künftig den Standard von IT-Systemen beschreibt. In Artikel 5 der DSGVO finden sich die bereits bisher verankerten Grundsätze der Zweckbindung, der Datenminimierung, der Richtigkeit, der Speicherbegrenzung sowie der Integrität und Vertraulichkeit. Zusätzlich gilt künftig auch der Artikel 25, in dem der Datenschutz durch Technikgestaltung („privacy by design“) und datenschutzfreundliche Grundeinstellungen („privacy by default“) geregelt sind.

Die Sicherheit der Verarbeitung von personenbezogenen Daten ist durch entsprechende technische und organisatorische Maßnahmen zu gewährleisten – wie beispielsweise die Pseudonymisierung und Verschlüsselung personenbezogener Daten. Auch entsprechende Verfahren zur raschen Wiederherstellung von Daten sind zu implementieren. Sogar die Verfügbarkeit und Belastbarkeit der IT-Systeme und Dienste wird angesprochen (Art. 32).


Weiterführende Links

Fachvortrag der WKO auf der DSGVO-Convention in Wien: https://www.youtube.com/watch?v=yZFREiqL1gY
Online-Ratgeber der WKO: https://dsgvo.wkoratgeber.at


Wie geht’s weiter?
Als konkreten ersten Schritt empfehlen wir ein Beratungsgespräch, in dem wir die grundsätzlichen Themen besprechen und mit Ihnen abklären, was konkret für Ihr Unternehmen zu tun ist. Anhand dieser Erkenntnisse wird die weitere Vorgehensweise festgelegt und Sie entscheiden, ob Sie mit externer Unterstützung oder auf eigenes Risiko die Vorgaben der DSGVO umsetzen möchten.

Warten Sie auf jeden Fall nicht zu lange zu - beseitigen Sie möglichst früh Ihre Rechtsunsicherheiten durch die entsprechenden Berater an Ihrer Seite und beginnen Sie rechtzeitig mit der Umsetzung – der 25.05.2018 naht mit riesen Schritten!


Alexander Beck, BA
13.11.2017

 

Bildcredits: Fotolia 

 

Kontakt

PNC Professionelle Netzwerke & Computersysteme GmbH
Schlossallee 52
A-3704 Glaubendorf
Tel.: +43 2956 7001
info@pnc.at

Wien: Hagedornweg 2/74, 1220 Wien
Tel.: +43 (1) 3320905

Wir benutzen Cookies

Wir nutzen Cookies auf unserer Website. Einige von ihnen sind essenziell für den Betrieb der Seite, während andere uns helfen, diese Website und die Nutzererfahrung zu verbessern (Tracking Cookies). Sie können selbst entscheiden, ob Sie die Cookies zulassen möchten. Bitte beachten Sie, dass bei einer Ablehnung womöglich nicht mehr alle Funktionalitäten der Seite zur Verfügung stehen.