Lesezeit: 4 Minuten

Am 25. Mai 2018 ist die Datenschutz-Grundverordnung der EU in Kraft getreten. Das Thema selbst ist kein neues. Dennoch ergeben sich aus der DSGVO einige maßgebliche Veränderungen gegenüber dem bestehenden Österreichischen Datenschutzgesetz 2000 (DSG2000). Diese Verordnung zu missachten, kann verheerende Folgen nach sich ziehen. Es stellt sich nicht die Frage, ob die Behörde auf Sie aufmerksam wird, sondern nur, wann sie aufmerksam wird. Es droht ein enormes Strafmaß von bis zu 20 Mio. Euro oder 4% des weltweiten Jahresumsatzes. Dieses kann dazu führen, dass die Wirtschaftlichkeit eines Betriebes ordentlich ins Wanken gerät.

Neue Aufgaben aufgrund der Datenschutz-Grundverordnung

Was kommt in dieser Hinsicht nun auf Unternehmen zu? Zum einen auf alle Fälle umfangreiche Dokumentationspflichten. Dieses bedeutet: die Notwendigkeit, die personenbezogenen Daten aktuell, richtig und sicher zu halten. Zum anderen haben die betreffenden Personen das Recht auf Auskunft in Bezug auf die Verwendung ihrer Daten. Des Weiteren haben sie das Recht auf ihre Berichtigung, Löschung, Einschränkung der Verarbeitung. Zusätzlich besteht das Recht, die Datenübertragung an dritte Empfänger zu verweigern. Zu den Drittanbietern zählen auch Google Analytics, E-Mail Dienste, die Bank bei einem Online Shop, etc. Dabei ist es irrelevant, ob es sich um Kundendaten, Mitarbeiterdaten oder um Daten Dritter handelt. Wesentlich ist, dass allen natürlichen Personen das Schutzrecht zusteht.

Maßnahmen zur Datenschutz-Grundverordnung

Die maßgebende Grundlage ist das sog. Verfahrensverzeichnis (ein Verzeichnis über die Verarbeitungstätigkeiten). Jenes erfasst sämtliche erhobene Daten sowie deren Verarbeitungsschritte. Das heißt, es wird aufgelistet, wo, wie gespeichert und verarbeitet wird. Oder etwa wer Zugriff darauf hat. Vermerkt werden ebenso das Backup-, Recovery- und Löschkonzept und vieles mehr. Diese gesetzliche Erfüllungspflicht bietet die Möglichkeit, sich über die eigenen Verarbeitungstätigkeiten bewusst zu werden. Ferner hilft sie, sich einen klaren Überblick zu verschaffen. Insofern besteht die Herausforderung darin, die Transparenz der Datenspeicherung sicherzustellen. Auf dieser Basis sollen etwaige Löschungen oder Berichtigungen in der gesamten Datenstruktur durchgeführt werden können.

Datenschutz online und offline gültig

Zudem müssen die Datenschutzbestimmungen für den Kunden auf der Website gut ersichtlich, klar und nachvollziehbar sein. Und dies noch bevor dieser dessen Daten bekannt gibt. Sprich, die Datenschutzbestimmung darf auf der Website nicht versteckt werden. Ebenso darf sie nicht in schwer zu verstehender, juristischer Sprache verfasst sein. Bevor man überhaupt personenbezogene Daten einholt, muss eine nachweisbare Erlaubnis zur Verwendung vorliegen. Achten Sie ebenfalls darauf, dass die Person zur Erteilung einer Erlaubnis überhaupt berichtigt ist. Hierfür ist in Österreich ein Mindestalter von 14 Jahren vorgeschrieben.

Mit Drittanbieter muss ein Auftragsverarbeiter-Vertrag geschlossen werden. Innerhalb des Datenschutzes muss der Kunde nicht nur informiert werden, was genau mit dessen Daten innerhalb des Unternehmens passiert. Zusätzlich muss der Kontakt zum DSGVO Datenschutzbeauftragten oder dem Verantwortlichen angegeben werden.

Dies sind die wichtigsten Maßnahmen innerhalb der neuen Datenschutz-Grundverordnung. Diese trifft so gut wie alle Unternehmen, die eine Website führen innerhalb derer man sich zumindest für einen Newsletter anmelden kann oder Google Analytics verwendet wird. Natürlich ist nicht nur der Online Auftritt betroffen, sondern generell jede Form der personenbezogenen Datenerhebung. Dazu zählt auch die Erfassung von personenbezogenen Daten innerhalb eines Bewerbungsverfahrens, Gewinnspieles oder bei einer Messe. Online oder Offline spielt dabei keine Rolle.

Je nach Art (evtl. sensible Daten) und Ausmaß der Datenerhebung von personenbezogenen Daten, unterscheiden sich die Maßnahme. Daher gilt für jedes Unternehmen, mit einer Ist-Analyse zu starten.

Dabei soll erhoben werden

  • welche Daten, wann und wo erhoben werden,
  • wer generell darauf Zugriff hat,
  • welche Drittanbieter involviert sind und
  • wie lange diese im Betrieb gespeichert werden.

Diese Erhebung ist die beste Grundlage für weitere Maßnahmen und Pläne für die Umsetzung.

Ist Lösung mit Hilfe von IT in Sicht?

In größeren Unternehmen spielt die Verteilung der Zuständigkeiten eine große Rolle. Unternehmen neigen dazu, Datenschutzthemen in der IT anzusiedeln. Dies ist genau genommen unrichtig. Die IT ist mit Sicherheit ein wichtiger Ansprechpartner und Informationskanal. Dennoch braucht die erfolgreiche Verankerung der Datenschutz-Grundverordnung 2018 im Betrieb neben den technischen, eine Reihe von organisatorischen Maßnahmen zum Etablieren eines funktionierenden Datenschutzsystems.

Ein roter Faden ist zwischen den Verantwortlichen im eigenen Unternehmen, über die Bewusstseinsbildung bei allen Beschäftigten bis hin zu den involvierten Lieferanten und Partnern gespannt. Insgesamt ist es ohne Belang, ob die Datenverarbeitung digital oder analog erfolgt. Die Datenschutz-Grundverordnung 2018 (DSGVO 2018) trifft alle erfassten Daten gleichermaßen. Unseren Datenschutzhinweis ansehen.

Quelle: Infos der EU zur GDPR

Videos zur Datenschutz-Grundverordnung

Sie haben Fragen zur DSGVO? Zögern Sie nicht und wenden Sie sich gleich direkt an uns!

 37 ,  5