Die Datenschutz-Grundverordnung der EU betrifft auch Ihr Unternehmen!

 

 

 

Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung in Geltung. Bis dahin müssen alle Unternehmen ihre Datenanwendungen an die neue Rechtslage angepasst haben. Andernfalls drohen hohe Geldstrafen. Wir geben Ihnen einen Überblick über die wichtigsten Punkte, die Sie beachten müssen, damit Ihr Unternehmen die Vorgaben erfüllt.

 

Was ist die Datenschutz-Grundverordnung?

Die Datenschutz-Grundverordnung (DSGVO) schafft ein einheitliches Datenschutzniveau innerhalb der Europäischen Union und stärkt insbesondere die Rechte der Betroffenen. Demzufolge überträgt die DSGVO den Unternehmen eine große Verantwortung im Umgang mit personenbezogenen Daten (z.B. Name, Telefonnummer, Emailadresse, Geburtsdatum) und enthält viele neue Pflichten für Unternehmen.

 

Für wen gilt die DSGVO?

Die DSGVO gilt vom Ein-Personen-Unternehmen bis zum Großkonzern für alle Unternehmen weltweit, die personenbezogene Daten verarbeiten und ihre Waren bzw. Dienstleistungen in der EU anbieten.

 

Was sind die wichtigsten Pflichten für Unternehmen?

  • Informationspflichten gegenüber Betroffenen erfüllen und Betroffenenrechte wahren (z.B. Recht auf Auskunft, Berichtigung, Löschung und "Vergessenwerden", Einschränkung der Verarbeitung, Widerspruch, Datenübertragbarkeit) – Frist: 1 Monat

  • Technischen und organisatorischen Schutz der Daten sicherstellen

  • Verzeichnis aller Verarbeitungstätigkeiten führen (verpflichtend unter bestimmten Voraussetzungen); in Österreich entfällt die bisherige Meldepflicht an das Datenverarbeitungsregister

  • Risikoanalyse und ggf. Datenschutz-Folgenabschätzung durchführen, unter Umständen zusätzlich vorherige Konsultation der Aufsichtsbehörde

  • Datenschutzbeauftragten ernennen (verpflichtend unter bestimmten Voraussetzungen)

  • Meldepflicht im Falle einer Datenschutzverletzung gegenüber der Datenschutzbehörde und bei hohem Risiko auch gegenüber den betroffenen Personen einhalten – Frist: 72 Stunden

 

Was passiert im Falle eines Verstoßes?

Bei einer Nichteinhaltung der neuen DSGVO kann von der Datenschutzbehörde eine Geldstrafe von bis zu 20 Millionen Euro oder 4% des weltweiten Jahresumsatzes verhängt werden.

 

Wie bereite ich mein Unternehmen auf die DSGVO vor?

Damit Ihr Unternehmen für die DSGVO gerüstet ist, sollten Sie sich diese Fragen stellen:

  • Welche personenbezogenen Daten werden bei uns verarbeitet und warum sammeln wir sie? Sind sensible Daten dabei? Werden Kindern Dienste angeboten? Erfolgt Profiling?

  • Müssen wir unsere Datenschutz- und Einwilligungserklärungen anpassen, damit sie DSGVO-konform sind? Wie haben wir die Einwilligung für die bereits vorliegenden Daten erhalten? Entsprechen die bereits erteilten Einwilligungen den Bedingungen der DSGVO oder müssen diese erneut eingeholt werden?

  • Welche Datenanwendungen haben wir und wofür verwenden wir die Daten? Sind bspw. unsere AGB, Datenschutzerklärungen, Website-Einstellungen etc. DSGVO-konform?

  • Müssen wir ein Verzeichnis aller Verarbeitungstätigkeiten führen?

  • Wie stellen wir sicher, dass wir unserer Informationspflicht gerecht werden und die Betroffenenrechte wahren? Können wir Anfragen der Betroffenen in der gesetzlich vorgegebenen Frist bearbeiten?

  • Welche Datensicherheitsmaßnahmen (z.B. Pseudonymisierung, Verschlüsselung, Backup-Lösungen) haben wir? Erfüllen wir die Anforderungen an Datenschutz durch Technik (privacy by design) und durch datenschutzfreundliche Voreinstellungen (privacy by default)?

  • Hat unsere Risikoanalyse ergeben, dass ein hohes Risiko für die Rechte und Freiheiten von Betroffenen durch die Verarbeitung der Daten besteht und muss deshalb eine Datenschutz-Folgenabschätzung durchgeführt werden? Ist eine vorherige Konsultation bei der Aufsichtsbehörde notwendig?

  • Benötigen wir einen Datenschutzbeauftragten?

  • Welche Vorkehrungen gegen Datenschutzverletzungen (z.B. Einbruch, Hackerangriff, Verlust eines Datenträgers, falscher Email-Empfänger) gibt es bereits? Wie stellen wir sicher, dass die Meldung einer Datenschutzverletzung fristgerecht an die Aufsichtsbehörde (und ggf. auch an die betroffenen Personen) erfolgen kann und dass wir die Dokumentationspflichten erfüllen?

  • Arbeiten wir mit externen Dienstleistern (sog. Auftragsverarbeitern, z.B. externen Steuerberatern oder Cloud-Anbietern) zusammen? Wenn ja, müssen die Verträge adaptiert werden, damit sichergestellt ist, dass diese Auftragsverarbeiter die Vorgaben der DSGVO erfüllen?

  • Findet Transfer von personenbezogenen Daten mit dem EU-Ausland statt (dies ist nur unter bestimmten Voraussetzungen zulässig)?

 

Wo bekomme ich weitere Informationen?

Detaillierte Informationen und Tipps rund um die DSGVO finden Sie auch bei der Wirtschaftskammer Österreich unter https://www.wko.at oder beim Bayerischen Landesamt für Datenschutzaufsicht unter https://www.lda.bayern.de.