Die Datenschutz-Grundverordnung tritt in wenigen Tagen in Geltung und ist bereits jetzt in aller Munde. Dadurch steigt auch die Fülle an – häufig widersprüchlichen – Berichten und Informationen, die auf Unternehmer einprasseln. Wir bringen Sie auf den aktuellsten Stand.

Sie fragen sich vielleicht, ob Sie die DSGVO überhaupt betrifft. Wenn Sie in irgendeiner Form unternehmerisch tätig sind, können Sie davon ausgehen, sich auch mit der DSGVO auseinandersetzen zu müssen. Die Verarbeitung personenbezogener Daten Ihrer Mitarbeiter, Lieferanten und Kunden verpflichtet Sie dazu!

Den ersten Ansatzpunkt bildet immer die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten. In diesem Dokument werden alle notwendigen Informationen, wo welche personenbezogenen Daten zu welchem Zweck und auf welcher (Rechts)Grundlage verarbeitet oder weitergegeben und wie lange sie gespeichert werden, zusammengetragen. Was sich hier in einem Satz beschreiben lässt, stellt in der Praxis jedoch einen sehr umfangreichen Umsetzungsschritt dar. Die Form, ob tabellarisch oder in einzelnen Dokumenten, ist dabei Geschmackssache. Die Orientierung an einer der zahlreichen Vorlagen bietet sich aber an. Hat man seine Hausaufgaben gemacht und ein vollständiges Verzeichnis angelegt, macht man sich daran, die sogenannten Auftragsverarbeiter, also seine Dienstleister, aufzulisten und mit allen eine Vereinbarung über die Auftragsverarbeitung abzuschließen. Solche Dienstleister können beispielsweise der Betreiber der IT-Infrastruktur oder auch der Hersteller der Buchhaltungssoftware sein. Die Vereinbarung muss dabei an die Eigenheiten der Dienstleister und der damit einhergehenden Datenverarbeitung angepasst werden.

Als Nächstes sollten Sie sich um die Wahrung der zahlreichen Rechte von Betroffenen, also Personen, deren Daten Sie verarbeiten, kümmern. Konkret sind dies die Rechte auf:

  • Information (Informationspflicht)
  • Auskunft
  • Berichtigung
  • Löschung
  • Einschränkung der Verarbeitung
  • Datenübertragbarkeit
  • Widerspruch

Die Rechte im Detail zu beschreiben, würde wohl den Artikel sprengen oder zumindest Ihre Aufmerksamkeit auf eine harte Probe stellen. Es sei aber angemerkt, dass zur Erfüllung dieser Rechte zahlreiche interne organisatorische Prozesse aufzusetzen sind, welche im Anlassfall innerhalb von 72 Stunden durchlaufen werden müssen, um sich keines Vergehens gegenüber der DSGVO schuldig zu machen. Eingehende Vorbereitungen und Vorarbeiten sind hier unbedingt nötig. Für alle Fälle von Verletzungen des Schutzes personenbezogener Daten, wie beispielsweise dem einfachen Verlust eines USB-Sticks mit Kundendaten oder dem Diebstahl eines Firmenlaptops, sind unbedingt Vorkehrungen zu treffen, um die Melde- und Informationspflichten an die Datenschutz-Behörde sowie die Betroffenen frist- und bedarfsgerecht abwickeln zu können. Eine Frage, die sich viele stellen, ist jene, ob in Zukunft ein Datenschutzbeauftragter (DSBa) erforderlich ist. In der Praxis werden vermutlich die wenigsten Unternehmen die Kriterien zur verpflichtenden Bestellung eines DSBa erfüllen. Die Freude darüber wird aber meistens nur sehr kurz währen. Auch die fehlende Verpflichtung ändert nämlich nichts an der rein praktischen Erfordernis, jemanden für den Datenschutz im Unternehmen zuständig zu machen und auch die notwendigen Ressourcen (Zeit, Know-How,…) für die Bewältigung der erstmalig und laufend anfallenden Arbeiten rund um die Datenschutz-Grundverordnung bereitzustellen. Dieser Zuständige sollte sich dann auch mit den notwendigen technischen und organisatorischen Maßnahmen sowie eventuell erforderlichen Datenschutz-Folgenabschätzungen auseinandersetzen, um der Datenschutz-Grundverordnung umfassend zu entsprechen.

Wenn Sie nur einen guten Rat aus unserem Artikel mitnehmen, dann bitte den, nicht einfach den Kopf in den Sand zu stecken und sich von dem Thema Datenschutz überrollen zu lassen. Zeigen Sie gegenüber der Behörde und den Betroffenen den Willen und die Bereitschaft, sich dem Datenschutz anzunehmen, benennen Sie Zuständige, verschaffen Sie sich einen Überblick (Stichwort: Verzeichnis von Verarbeitungstätigkeiten) und beginnen Sie, Schritt für Schritt mit der Umsetzung. Suchen Sie sich Unterstützung und knüpfen Sie Partnerschaften mit Experten wie der UNICONSULT Digital Business, die Sie in der Vorbereitung, aber auch im Falle von Anfragen der Datenschutzbehörde unterstützen können.

Sie können für Fragen & Antworten gerne unserer Facebook-Gruppe beitreten: bit.ly/uni-dsgvo

 

FRAGEN ZUM

THEMA?

Mag. Thomas Steibl LL.B. (WU)

+43 50885 – 510

thomas.steibl@uniconsult.at

Das könnte Sie auch interessieren:

Um die Website optimal gestalten und laufend verbessern zu können, verwenden wir Cookies. Durch die weitere Nutzung der Website erklären Sie sich damit einverstanden, dass Cookies gesetzt werden. Mehr erfahren

The cookie settings on this website are set to "allow cookies" to give you the best browsing experience possible. If you continue to use this website without changing your cookie settings or you click "Accept" below then you are consenting to this.

Close