Datenschutz WeltDie EU-Datenschutzgrundverordnung (EU-DSGVO) tritt am 25. Mai 2018 in Kraft. Ab dann müssen alle Organisationen (Unternehmen, Vereine, Behörden,...) die in der Verordnung festgelegten Prinzipien und Rechtsgrundlagen einhalten. Bei Nicht-Einhaltung drohen hohe Strafen: bis zu 4% des weltweiten jährlichen Umsatzes.

Welche Daten sind betroffen?

Alle personenbezogenen Daten (nicht-sensible und sensible), wenn sie in einer systematischen Form gespeichert oder verarbeitet werden,
z.B.

  • Newsletter-AbonnentInnen
  • Rechnungsadressen (für die Buchhaltung)
  • Kundenkartei (auch in Papierform oder in einer Excel-Liste)
  • Mitarbeiter-Daten,..

Wie muss der Datenschutz erfolgen (Prinzipien)?

Es gelten die Grundsätze der

  • Rechtmäßigkeit: Darf ich diese Daten speichern? Wissen die betroffenen Personen darüber Bescheid?
  • Zweckbindung: Wozu brauche ich diese Daten? Wofür verwende ich sie?
  • Speicherbegrenzung: Speichere ich nur die Daten, die ich wirklich benötige? Sind die Daten "richtig"?
  • Datensicherheit: Wer kann auf die Daten zugreifen? Wie kann ich die Daten sicher verarbeiten, speichern, übermitteln,...?
  • Rechenschaftspflicht: Ich muss der Datenschutzbehörde auf Anfrage Auskunft über meine Datenanwendungen geben.

Was muss ich - als UnternehmerIn - tun, um mich auf die DSGVO vorzubereiten?

Auf offiziellen Wirtschaftskammer-Webseiten gibt es zu diesem Thema umfangreiche Informationen.
Hier die Schritte für kleine Unternehmen (EPU, KMU und Vereine) kurz zusammengefasst:

  1. Erstellung eines Verarbeitungs- oder Verfahrensverzeichnisses
    Das Verarbeitungsverzeichnis ist die Basis für alle weiteren Schritte. Darin wird festgehalten, welche Daten zu welchem Zweck, wo, wie lange gespeichert und an wen sie übermittelten werden. Eine genauere Information zum Verarbeitungsverzeichnis folgt hier bis Anfang Februar 2018.
  2. ev. eine Risiko-Folgenabschätzung
    Wenn für eine Daten-Kategorie aus dem Verarbeitungsverzeichnis ein hohes Risiko für die Datensicherheit besteht, muss eine Risiko-Folgenabschätzung erfolgen. Diese muss dokumentiert und in regelmäßigen Abständen (z.B. jährlich) wiederholt und dokumentiert werden.
  3. Datenschutzerklärung / Informationspflichten
    Die betroffenen Personen, von denen Daten gespeichert werden, müssen auf einfache und verständliche Art und Weise über die Datenverarbeitung informiert werden. Die Wirtschaftskammer hat hierzu einen Online-Ratgeber veröffentlicht.
  4. Verträge mit Auftragsverarbeitern abschließen
    Wenn personenbezogene Daten an Auftragsverarbeiter (z.B. IT-Dienstleiter, Buchhaltung, Mail-Software,...) übermittelt werden, muss mit diesen Verarbeitern ein schriftlicher Vertrag geschlossen werden. Auch hier bietet die Wirtschaftskammer einen Mustervertrag, der mit der Datenschutzbehörde abgestimmt ist.
Für kleine Unternehmen (EPU und KMU mit wenigen MitarbeiterInnen sowie Vereine) sollten diese Punkte ausreichend sein. Detailliertere Informationen können nur im Zuge einer Datenschutz-Beratung erfolgen.

 

Wo kann ich mich zum Thema Datenschutz und DSGVO beraten lassen?

Die WIrtschaftskammer NÖ hat gemeinsam mit dem WIFI NÖ eine Informations- und Beratungskampagne gestartet. Ab Mitte Jänner 2018 gibt es in Niederösterreich kostenlose Workshops (Achtung: rasch anmelden!) für Unternehmen. Nur nach der Teilnahme an einem Workshop bekommt man einen Gutschein (Förderhöhe 200,- Euro) für eine individuelle geförderte Datenschutz-Beratung im Wert von 400,- Euro.

Ich bin seit Jänner 2018 geprüfte Datenschutz-Expertin und kann diese geförderten Beratungen (nach Workshop-Teilnahme) durchführen - beraten kann ich natürlich auch ohne Förderung :).

Datenschutz-Newsletter

Ich informiere ca. 1x pro Monat über aktuelle Themen rund um Datenschutz, DSGVO und Webseiten.
Sie können den Newsletter jederzeit selbst wieder abbestellen.