Datenschutz WeltDie EU-Datenschutzgrundverordnung (EU-DSGVO) ist am 25. Mai 2018 in Kraft getreten. Seither müssen alle Organisationen (Unternehmen, Vereine, Behörden,...) die in der Verordnung festgelegten Prinzipien und Rechtsgrundlagen einhalten. Bei Nicht-Einhaltung drohen hohe Strafen: bis zu 4% des weltweiten jährlichen Umsatzes.

data2eu logo 200x40
Unser DSGVO-Tool:
Seit Ende 2017 bin ist Sigrid Gramlinger Mitgründerin der Plattform data2.eu - wir haben ein Tool veröffentlichen, mit dem man mit vielen Beispielen ein Verarbeitungsverzeichnis (s.u.) mit technischen und organisatorischen Maßnahmen ganz einfach erstellen kann.

Welche Daten sind betroffen?

Alle personenbezogenen Daten (nicht-sensible und sensible), wenn sie in einer systematischen Form gespeichert oder verarbeitet werden,
z.B.

  • Newsletter-AbonnentInnen
  • Rechnungsadressen (für die Buchhaltung)
  • Kundenkartei (auch in Papierform oder in einer Excel-Liste)
  • Mitarbeiter-Daten, ...

Wie muss der Datenschutz erfolgen (Prinzipien)?

Es gelten die Grundsätze der

  • Rechtmäßigkeit: Darf ich diese Daten speichern? Wissen die betroffenen Personen darüber Bescheid?
  • Zweckbindung: Wozu brauche ich diese Daten? Wofür verwende ich sie?
  • Speicherbegrenzung: Speichere ich nur die Daten, die ich wirklich benötige? Sind die Daten "richtig"?
  • Datensicherheit: Wer kann auf die Daten zugreifen? Wie kann ich die Daten sicher verarbeiten, speichern, übermitteln,...?
  • Rechenschaftspflicht: Ich muss der Datenschutzbehörde auf Anfrage Auskunft über meine Datenanwendungen geben.

Was muss ich - als UnternehmerIn - tun, um mich auf die DSGVO vorzubereiten?

Auf offiziellen Wirtschaftskammer-Webseiten gibt es zu diesem Thema umfangreiche Informationen.
Hier die Schritte für kleine Unternehmen (EPU, KMU und Vereine) kurz zusammengefasst:

  1. Erstellung eines Verarbeitungs- oder Verfahrensverzeichnisses
    Das Verarbeitungsverzeichnis ist die Basis für alle weiteren Schritte. Darin wird festgehalten, welche Daten zu welchem Zweck, wo, wie lange gespeichert und an wen sie übermittelten werden. Das Online Tool data2.eu unterstützt dabei!
  2. ev. eine Risiko-Folgenabschätzung
    Wenn für eine Daten-Kategorie aus dem Verarbeitungsverzeichnis ein hohes Risiko für die Rechte und Freiheiten der betroffenen Personen besteht, muss eine Risiko-Folgenabschätzung erfolgen. Diese muss dokumentiert und in regelmäßigen Abständen (z.B. jährlich) wiederholt und dokumentiert werden.
  3. Datenschutzerklärung / Informationspflichten
    Die betroffenen Personen, von denen Daten gespeichert werden, müssen auf einfache und verständliche Art und Weise über die Datenverarbeitung informiert werden. Die Wirtschaftskammer hat hierzu einen Online-Ratgeber veröffentlicht.
  4. Verträge mit Auftragsverarbeitern abschließen
    Wenn personenbezogene Daten an Auftragsverarbeiter (z.B. IT-Dienstleiter, Buchhaltung, Mail-Software,...) übermittelt werden, muss mit diesen Verarbeitern ein schriftlicher Vertrag geschlossen werden. Auch hier bietet die Wirtschaftskammer einen Mustervertrag, der mit der Datenschutzbehörde abgestimmt ist.
Für kleine Unternehmen (EPU und KMU mit wenigen MitarbeiterInnen sowie Vereine) sollten diese Punkte ausreichend sein. Detailliertere Informationen können nur im Zuge einer Datenschutz-Beratung erfolgen.

 

Wo kann ich mich zum Thema Datenschutz und DSGVO beraten lassen?

Sigrid Gramlinger ist seit Jänner 2018 geprüfte Datenschutz-Expertin und kann Sie umfassend zum Thema DSGVO beraten. Wir schauen uns Ihre Daten-Verarbeitungen an, erstellen ein Verarbeitungsverzeichnis und leiten daraus Ihre individuell nötigen Schritte ab. Gerne können wir ein kostenloses Erstgepräch vereinbaren. Oder Sie abonnieren unseren Newsletter und wir informieren Sie regelmäßig über aktuelle Neuigkeiten zum Thema Datenschutz.

Datenschutz-Newsletter

Wir informieren ca. 4x pro Jahr über aktuelle Themen rund um Datenschutz, DSGVO und Webseiten.
Sie können den Newsletter jederzeit selbst wieder abbestellen.

 

 

 

DSGVO und webgras