• Datenschutz-Grundverordnung

Datenschutz-Grundverordnung (DS-GVO)

Download Kundeninformation:

Neu ab 25.05.2018

Wie Sie bereits aus den Medien oder anderen Quellen erfahren haben, steht mit Stichtag 25.5.2018 eine massive rechtliche Änderung im Bereich der Datenschutz-Gesetze vor der Tür. Die Regelungen der europäischen Datenschutz-Grundverordnung (DS-GVO) in Verbindung mit dem neuen österreichischen Datenschutzgesetz 2018 sowie anderen einschlägigen österreichischen Gesetzen treffen jeden Unternehmer, macht die Auseinandersetzung mit den neuen rechtlichen Regelungen notwendig und führt bei Missachtung, Fehlern oder gänzlichem Ignorieren der neuen Datenschutz-Regeln zu drakonischen Strafen. Das Höchstmaß für Strafen beträgt 4% vom weltweiten Konzernumsatz oder 20 Millionen EUR, je nach dem, was HÖHER ist.

 

Die Frage, die nun immer wieder gestellt wird ist, was denn der einzelne Unternehmer nun KONKRET tun kann bzw. muss. Wir möchten Ihnen hiermit einen kurzen Überblick über die zu treffenden Maßnahmen geben:

 

Einmalige Maßnahmen:

  • Bewusstsein bilden
    Datenschutz soll als Europäischer Grundwert installiert werden. Dies bedeutet Information und Bewusstseinsbildung in allen Bereichen eines Unternehmens, vom Sachbearbeiter bis zur Chefetage. Eine Beschäftigung mit den grundlegenden rechtlichen Rahmenbedingungen ist unabdingbar.

  • Überprüfen der aktuellen DVR-Meldungen für das/die eigenen Unternehmen
    Schon auf Basis der aktuellen Rechtslage ist eine Meldung der Datenverarbeitungstätigkeiten an das Datenverarbeitungsregister zu machen. Diese Meldung ist umgehend zu prüfen, ggf. nachzuholen bzw. auf Korrektheit und Vollständigkeit zu prüfen. Sie wird die Basis für weitere notwendige Schritte sein.

  • Ressourcen bereitstellen
    Die Beschäftigung mit Datenschutz im Unternehmen und insb. die Erstellung der notwendigen Unterlagen und Dokumentationen braucht Ressourcen von Mitarbeitern und/oder externen Beratern.  Budgetieren Sie sowohl Zeit als auch Geld für das erste Quartal 2018.

  • Prüfen, ob ein eigener Datenschutzbeauftragter notwendig ist
    Unter bestimmten Voraussetzungen ist es notwendig, um Unternehmen einen eigenen Datenschutzbeauftragten (DSBA) zu installieren. Dies insbesondere dann, wenn im Unternehmen sensible Daten natürlicher Personen verarbeitet werden. Wenn ein/e DSBA notwendig ist, muss diesem/r eine entsprechende Aus- und Weiterbildung ermöglicht werden, er/sie hat Beratungsfunktion im Unternehmen und ist Ansprechperson für die Datenschutzbehörde.

  • Erstellen/Vervollständigen IT-Dokumentation
    Die EDV-Landschaft ist die technische Basis für die Verarbeitung von Daten, und sie muss gem. DS-GVO und Datenschutzgesetz qualitativen Prüfungen standhalten. Datensicherheit und Datensicherung umfassen Begriffe wie Zugriffsrechte, Verschlüsselung, Pseudonymisierung, Backup etc. und sind ebenso wie die eigentlichen Datenverarbeitungen zu dokumentieren.

  • Erstellen des Verzeichnisses der Verarbeitungstätigkeiten
    Dieses Verzeichnis dokumentiert die im Unternehmen durchgeführten Verarbeitungstätigkeiten personenbezogener Daten. Es werden zentrale Fragen beantwortet wie die nach Datenart, Datenherkunft und Datenübermittlung. Das Verzeichnis ist auf Verlangen der Datenschutzbehörde vorzulegen und ist eine zentrale Komponente der neuen Datenschutzgesetze.

  • Prüfung der Notwendigkeit bzw. Erstellung der Datenschutz-Folgeabschätzung
    Unter bestimmten Voraussetzung ist ein Unternehmen verpflichtet, zusätzlich zum Verzeichnis der Verarbeitungstätigkeiten auch die Datenschutz-Folgeabschätzung zu erarbeiten. In diesem Dokument wird der Umgang mit Daten beschrieben, die für die betroffene Person ein hohes Risiko darstellen. Konkret handelt es sich beispielsweise um die Frage was passiert, wenn verarbeitete sensible Daten (z. B.: Gesundheitsdaten etc.) gestohlen, veröffentlicht oder vernichtet werden und welche Schutzmaßnahmen getroffen wurden oder werden müssen.

  • Prüfung von Lieferantenverträgen
    Insbesondere bei Verarbeitungen, die von Dritten im Auftrag erfolgen, sind schriftliche Vereinbarungen mit dem sog. „Auftragsverarbeiter“ abzuschließen. Dies gilt auch für die Nutzung von Cloud-Services. Auch der Auftragsverarbeiter muss die Grundsätze der DS-GVO einhalten. Auch könnte für ihn notwendig werden, ein Verzeichnis der Verarbeitungstätigkeiten zu führen.

  • Prüfung von Verträgen mit eigenen Mitarbeitern
    Auch Mitarbeiter können „Betroffene“ im Sinn der DS-GVO sein und müssen einwilligen, wenn ihre personenbezogenen Daten (Durch den Dienstgeber) verarbeitet werden. Zu prüfen ist auch die Existenz von entsprechenden Vereinbarungen bei Vorliegen von Videoüberwachung im Unternehmen.

  • Vorbereiten auf Informationspflichten und wahren von Betroffenenrechten
    „Betroffene“, also Personen, deren Daten verarbeitet werden, haben ein Recht auf Auskünfte und haben Rechte, die der „Verantwortliche“, also der Verarbeiter der Daten wahren muss. Vorzubereiten und zu prüfen sind hier entsprechende Erklärungen und Schriftstücke z. B. für Einwilligungserklärungen oder Auskunftsersuchen.

  • Definieren von Data-Breach-Maßnahmen
    Im Rahmen der Datenschutzmaßnahmen ist auch festzulegen, was passiert, wenn „es“ einmal passiert und personenbezogene Daten (aus welchem Grund immer) durch Cyber-Kriminalität gefährdet sind. Ein klarer Maßnahmenplan ist ebenso zu erstellen wie eine  Aufgabenverteilung und die Definition der Zuständigkeiten.

  • Definieren einer Datensicherheits- und –schutz-Policy
    Diese definiert die verbindlichen und zentralen Datenschutzvorgaben und enthält Abschnitte für Data Protection by Design, Data Protection by Default und die Datenschutz-Grundsätze „Rechtmäßigkeit, Treu und Glauben, Transparenz“, „Datenminimierung“, „Zweckbindung“, „Speicherbegrenzung“, Richtigkeit, Integrität, und Vertraulichkeit“ und „Rechenschaftspflicht“.

  • Schulung
    Der Grundwert „Datenschutz“, den die EU mit dieser Grundverordnung rechtlich untermauern will, kann nur dann funktionieren, wenn alle Beteiligten einer Datenverarbeitung wissen, welche Regeln sie einzuhalten haben. Dies muss in unternehmensinternen Schulungen einmalig und laufend passieren und dokumentiert werden.

 

Laufende Maßnahmen:

  • Aktualisierung des Verzeichnisses der Verarbeitungstätigkeiten
  • Kontrolle der Umsetzung der Maßnahmen lt. Datenschutz-Richtlinie
  • Laufende Prüfung neuer Tätigkeiten des Unternehmens gegen das Thema „Datenschutz“

 

Gerne unterstützen wir Sie bei der Erstellung Ihrer individuellen Datenschutz-Unterlagen. MARVIN EDV wird ab Jänner 2018 Veranstaltungen zu diesem Thema anbieten, Informationen und die Möglichkeit zur Anmeldung erhalten Sie in einem unserer nächsten Newsletter. Sie können uns aber auch gerne schon jetzt zu diesem Themenkomplex ansprechen. Die Zeit bis Ende Mai 2018 ist knapp, und Untätigkeit kann Sie teuer zu stehen kommen.









Interesse?

Kontaktieren Sie uns unter: datenschutz@marvin.at oder unter: 0316 426026