Lesezeit: 5 Minuten

DSGVO Sicherheit: Diese Änderungen sollten Sie vornehmen

DSGVO Sicherheit

Die Datenschutz-Grundverordnung (DSGVO) setzt den gesetzlichen Rahmen für den Datenschutz europaweit und führt zur Harmonisierung der nationalen Gesetze. Trotz der „Öffnungsklauseln“, die in bestimmten Fällen nationalstaatliche Regelungen ermöglichen, gilt DSGVO unmittelbar für alle EU-Mitgliedsstaaten. Die „Öffnungsklauseln“ in Österreich sind durch das „Datenschutz-Anpassungsgesetz 2018“ geregelt. Ab dem 25. Mai 2018 treten sowohl die Datenschutz-Verordnung als auch das österreichische Datenschutz-Anpassungsgesetz 2018 in Kraft.

Wer ist betroffen?

Die Datenschutz-Grundverordnung (DSGVO) sorgt bei jedem Unternehmen, das mit personenbezogenen Daten zu tun hat, für großes Aufsehen. Davon sind alle Unternehmen betroffen, die in irgendeiner Art und Weise mit personenbezogenen Daten (z.B. Name, Adresse, Telefonnummer…) in Kontakt kommen. Auch diejenigen Webseiten, die nicht auf den ersten Blick Daten mit Personenbezug verlangen, wie beispielsweise eine rein informative Produktvergleich-Plattform. Dabei werden u.A. auch IP-Adressen von Nutzern gespeichert, Cookies verwendet usw.

Außerdem gilt die DSGVO auch für die analoge Verarbeitung personenbezogener Daten, wenn diese nach bestimmten Kriterien geordnet sind. Zusammengefasst kann man sagen, dass jedes Unternehmen in Österreich von der DSVGO betroffen ist.

Wichtigste Änderungen auf einem Blick

Trotz all dem Aufruhr rund um die gesetzlichen Änderungen sollten Sie Ruhe bewahren und systematisch vorgehen. Im Großen und Ganzen müssen Sie lediglich die eigene Datenschutzpraxis überprüfen und an den Vorgaben der DSGVO anpassen. Da der Teufel bekanntlich im Detail liegt und die Geldstrafen enorm hoch sind, sollten Sie gründlich und gewissenhaft vorgehen und besonders auf folgende Änderungen achten.

Transparenz als Erweiterung der Informationspflichten

Unternehmen müssen Informationen über eigene Kontaktdaten, das Bestehen von Recht auf Beschwerde, Widerruf, Änderungen, Berichtigungen, unter besonderen Umständen auch die Dauer der gespeicherten Daten sowie anderweitige Verarbeitung, zur Verfügung stellen. Dies kann z.B. in Form einer Datenschutzerklärung erfolgen und muss von Unternehmen selbstständig bereitgestellt werden (beispielsweise auf der Webseite).

Verzeichnis von Verarbeitungstätigkeiten

Der Inhalt hat sich nicht erheblich geändert und umfasst u.A. eigene Kontaktdaten, Verarbeitungszweck und die Verwendung von Profiling – falls vorhanden. Unter Profiling versteht man die automatisierte Verarbeitung personenbezogener Daten, die bewertet werden und zu einer Einzelentscheidung führen (z.B. Überprüfung der Kreditwürdigkeit eines bestimmten Kunden).

Auskunftspflicht gegenüber betroffenen Personen

Jede Person hat das Recht, auf Anfrage eine Auskunft über ihre personenbezogenen Daten zu bekommen. Die Auskunft umfasst Kopien, Empfänger, Speicherdauer sowie Herkunft der Daten. Die Auskunft muss unverzüglich erfolgen. Auf jeden Fall müssen Sie innerhalb eines Monats nach der Auskunftsanfrage antworten. Grundsätzlich tragen Sie die Kosten für die Auskunft. In Ausnahmefällen, wenn mehr als eine Datenkopie verlangt wird oder die Anfragen exzessiv und unbegründet erfolgen, kann von der betroffenen Person ein angemessenes Entgelt verlangt werden.

Pflicht zur Berichtigung oder Löschung von Daten

Sie müssen bei betroffenen Personen, deren Daten nicht mehr richtig oder unvollständig sind diese auf Antrag berichtigen bzw. vervollständigen.

Die Betroffenen haben auch ein Recht auf „Vergessen“ und Löschung Ihrer Daten. Die Voraussetzungen dafür sind:

  • Wegfallen eines Verarbeitungszwecks
  • Widerruf der Einwilligung zur Datenverarbeitung
  • Unrechtmäßige Datenverarbeitung
  • Rechtliche Verpflichtung zur Löschung

In diesen Fällen müssen Sie die vorhanden Daten löschen.

Protokollierung der Datenverarbeitung

Jeder Verarbeitungsvorgang muss so protokolliert werden, dass die Zulässigkeit der Verarbeitung auch im Nachhinein nachvollziehbar ist. Diese müssen Sie auf Verlangen der Datenschutzbehörde zur Verfügung stellen.

Außerdem sind Sie dazu verpflichtet,  mit der Datenschutzbehörde bei Erfüllung ihrer Aufgaben zusammenzuarbeiten und dürfen die Kooperation nicht verweigern.

Datenschutz-Folgenabschätzung

Sie sind als Unternehmen („Verantwortlicher“ oder „Auftragsbearbeiter) verpflichtet,  das Risiko für die Rechte und Freiheiten der Nutzer, das bei Datenverarbeitung entstehen kann, abzuschätzen und bei Gefahr im Voraus mit der Aufsichtsbehörde in Kontakt treten.

Verhängung von Geldstrafen

Die Datenschutzbehörde wird bei Verstoß gegen die DSGVO gegen das betroffene Unternehmen Geldbußen bis zu 20 Mio. oder 4% des weltweiten Konzern Umsatzes verhängen können.

Schulung der Mitarbeiter

Weiterhin ist es wichtig, dass alle Mitarbeiter, die mit personenbezogenen Daten im Unternehmen arbeiten, über die Änderungen in der DSGVO informiert werden und diese in ihre Arbeit integrieren. Besonders der IT-Bereich sollte sowohl technisch als auch organisatorisch auf das neue Gesetz angepasst werden und so die Effizienz und Richtigkeit der implementierten Änderungen sicherstellen.

Direkte Unterstützung durch WKO

Die WKO stellt einen Online Ratgeber zur Verfügung, der Ihnen bei Umsetzung der Änderungen große Hilfe sein kann. Damit können Sie alle für Ihr Unternehmen relevanten Vorschriften schrittweise erarbeiten und bekommen zusätzliche Tipps für ihre praktische und strukturierte Umsetzung. Von großem Vorteil sind auch die bereitgestellten Mustervorlagen, die Ihnen viel Zeit und Mühe sparen.

Fazit

Eine systematische und genaue Überprüfung der aktuellen Datenverarbeitungsprozesse und deren Protokollierung ist der erste Schritt für eine erfolgreiche Umsetzung der DSGVO. Nach der Feststellung des IST-Zustandes sollten Sie die Änderungen schrittweise implementieren und alle Unternehmensbereiche darüber informieren. Ebenso ist es notwendig, die Mitarbeiter zu schulen und organisatorische und technische Anpassungen im IT-Bereich vorzunehmen. Zum Abschluss sollten Sie ein internes bzw. externes Audit ausführen, um sicher zu sein, ob alle Anforderungen der DSGVO erfüllt sind. So haben Sie nichts mehr zu befürchten und können sich wieder voll um das Tagesgeschäft kümmern.

Wir lieben DSGVO!

GEKKO bietet Ihnen eine individuelle Begleitung Ihres Unternehmens zur EU-Datenschutz-Grundverordnung inklusive fortlaufender Prozesskontrolle. GEKKO unterstützt Sie als Berater, Projektmanager und/oder Umsetzer der technischen Erfordernisse bis zur Bestätigung der DSGVO Compliance durch einen Rechtsanwalt.

Wo immer Sie gerade in Ihrem DSGVO Projekt stehen, ein Gespräch mit unseren Experten lohnt!

zum kostenlosen Beratungsgespräch
2018-07-27T13:02:56+00:0016.05.2018|DSGVO|

Über den Autor:

Johannes Kunschert
Als Mitgründer der GEKKO und Vater von 7 Kindern, ist Projektmanagement sein zweiter Name. Dank seiner 20-jährigen IT-Erfahrung ist Jo Experte in der Abwicklung professioneller IT-Betreuung. Fordern Sie ihn einfach heraus!