5 Dinge, die Sie vor dem 25. Mai 2018 tun sollten
Nehmen Sie Ihre Pflichten zur DSGVO wahr!
Bis 25. Mai 2018 müssen alle Datenanwendungen auf die EU-Datenschutz-Grundverordnung (DSGVO) sowie das Datenschutz-Anpassungsgesetz (DSG2018) umgestellt sein.
Viele Mythen gibt es um die EU-Datenschutz-Grundverordnung (DSGVO). Von “das betrifft mich nicht” bis hin zu “es wird schon nichts geschehen” höre ich alles mögliche. Tatsache ist jedoch, dass – wie bereits im Beitrag “Die DSGVO betrifft auch Sie!” – die Ausnahmen gleich Null sind und so gut wie jedes Unternehmen aber auch Vereine von den Neuerungen betroffen sind. Das heißt im Klartext, dass bis 25. Mai 2018 alle Datenanwendungen (auch die von Vereinen) an die neue Gesetzeslage angepasst sein müssen. Um den doch sehr hohen Strafen zu entgehen, haben alle Unternehmen Handlungsbedarf. Was heißt das konkret? Was muss ich für meine Firma / meinen Verein tun, um gesetzeskonform zu sein?
1. Dokumentieren Sie …
… welche personenbezogenen Daten Sie verarbeiten.
Wenn die Datenschutzbehörde (DSB) bei Ihnen anklopft, müssen Sie als Unternehmer:in nachweisen, dass Sie die Gesetze zum Datenschutz einhalten. Das Mittel dazu ist die Dokumentation – im ersten Schritt das Verzeichnis der Verarbeitungstätigkeiten.
Alle vorhandenen Datenverarbeitungen – nicht jedoch einzelne Datensätze – werden im Verarbeitungsverzeichnis aufgelistet. D.h., es bietet einen Überblick über die Datenverarbeitungen in einem Unternehmen. Dadurch ist dieses Verzeichnis ein einmaliger Aufwand und nur bei Änderungen im Unternehmen anzupassen. Eine regelmäßige Überprüfung (mindestens 1x jährlich) sollte aber eingeplant werden.
Die Pflicht zur Führung des Verzeichnisses gilt für so gut wie alle Unternehmer:innen, aber auch für Vereine. Wenn Sie Auftragsverarbeiter beschäftigen – und das tun so gut wie alle von uns – müssen auch diese ein Verzeichnis über die für Sie durchgeführten Verarbeitungen führen.
Details zur Dokumentationspflicht habe ich im Beitrag “Dokumentation der Datenverarbeitung” beschrieben.
Kommen Sie Ihrer Dokumentationspflicht nicht nach, beträgt die Strafe 2% des (internationalen) letztjährigen Jahresumsatzes oder maximal 10 Millionen Euro.
2. Informieren Sie …
… was Sie mit personenbezogenen Daten machen.
Mit der DSGVO treten auch erweiterte Informationspflichten in Kraft. Diese dienen der Transparenz und dem Schutz der betroffenen Person. Sie erleichtern den Betroffenen von Datenverarbeitungen die Wahrnehmung ihrer Rechte.
Grob zusammengefasst müssen Sie neben Name und Adresse der/des Verantwortlichen und der/des Datenschutzbeauftragten (und eventuellen Vertreters/Vertreterin in der EU) auch Informationen zur Datenverarbeitung geben. Sie müssen unter anderem Zweck und Rechtsgrundlage der Verarbeitung, Empfänger sowie Löschfristen angeben. Bei Weitergabe der Daten in ein Drittland oder an eine internationale Organisation müssen der Angemessenheitsbeschluss der Kommission oder geeignete Garantien angeführt werden. Weiters informieren Sie über die Betroffenenrechte.
Der Inhalt der Informationen ist in den Art. 13 und 14 der DSGVO festgehalten. Die äußere Form ist unerheblich, die Information muss aber schriftlich erfolgen. Mehr zum Thema finden Sie im Beitrag “Erweiterte Informationspflichten”.
4% des (internationalen) letztjährigen Jahresumsatzes oder maximal 20 Millionen Euro sind bei einem Verstoß gegen die Informationspflicht als Strafe fällig.
3. Prüfen Sie …
… jede Verarbeitungstätigkeit auf ihre Rechtmäßigkeit und die Einhaltung der Grundsätze zur Verarbeitung.
Rechtmäßigkeit
Ohne Rechtmäßigkeit darf keine Datenverarbeitung stattfinden. Folgende Rechtsgrundlagen gibt es:
- Ausdrückliche und unmissverständliche Einwilligung
- Vertragserfüllung
- Rechtliche Verpflichtung
- Lebenswichtige Interessen
- Wahrnehmung einer Aufgabe im öffentlichen Interesse
- Berechtigte Interessen des Verantwortlichen oder eines Dritten
Details zur Rechtmäßigkeit habe ich im Beitrag “Rechtmäßigkeit der Verarbeitung” beschrieben.
Grundsätze
Folgende Grundsätze sind bei der Verarbeitung von personenbezogenen Daten einzuhalten:
- Rechtmäßigkeit, Verarbeitung nach Treu und Glauben sowie Transparenz
- Zweckbindung
- Datenminimierung
- Richtigkeit, Integrität und Vertraulichkeit
- Speicherbegrenzung
Nähere Ausführungen zu den Grundsätzen finden Sie im Beitrag “Grundsätze der Datenverarbeitung”.
4. Kennen Sie …
… die Rechte der von Datenverarbeitungen betroffenen natürlichen Personen.
Diese Betroffenenrechte sind sehr umfangreich und beinhalten folgendes:
- Recht auf
- Auskunft
- Berichtigung
- Löschung
- Einschränkung der Verarbeitung
- Widerspruchsrecht gegen die Verarbeitung
- Recht auf Datenübertragbarkeit (Übertragung auf z.B. einen anderen Anbieter)
- Möglichkeit des Widerrufs der Einwilligung
- Beschwerderecht bei einer Aufsichtsbehörde inklusive deren Adresse
Auch zu den Rechten der Betroffenen finden Sie in meinem Blog in den nächsten Tagen einen ausführlichen Artikel. Schauen Sie wieder vorbei, es wird sicher spannend.
5. Informieren Sie sich …
… über Ihre Pflichten, aber auch Ihre Rechte.
Dafür gibt es mehrere Möglichkeiten:
- Beschäftigen Sie sich mit den sehr umfangreichen Informationen der Wirtschaftskammer zur DSGVO.
- Besuchen Sie einen für Ihre Branche maßgeschneiderten Vortrag zum Thema. Auch hier ist meistens die Wirtschaftskammer oder die für Sie zuständige Kammer (Wirtschaftstreuhänder, Rechtsanwälte, …) der richtige Ansprechpartner.
- Besuchen Sie ein Seminar, in dem Sie in der Erarbeitung der notwendigen Dokumente unterstützt werden. Solche Seminare bieten verschiedene Anbieter an, meistens sind Sie auch hier bei Ihrer Kammer gut aufgehoben.
- Wenden Sie sich an einen DSGVO-Spezialisten. Diese können Sie im Firmen A‑Z der Wirtschaftskammer einfach finden. Unter diesem Link finden Sie die österreichischen Beraterinnen und Berater, die Sie zum Thema DSGVO beraten. Sie können die Suchergebnisse dann individuell auf Ihr Bundesland einschränken.
- Kontaktieren Sie mich, ich helfe Ihnen gerne weiter. Nutzen Sie das Kontaktformular, dort haben Sie auch die Möglichkeit einer direkten Terminbuchung.
Nutzen Sie die Chance, bereiten Sie sich vor. Und lassen Sie sich dabei unterstützen, Sie ersparen sich dadurch Zeit und wahrscheinlich auch Frust.
Weiterführende Links
Weitere Beiträge
Mit einfachen Mitteln sichtbar werden
Positionieren Sie sich als Kleinunternehmen besser. Es gibt eine Reihe kostenlose Angebote großer Firmen, die Sie nur für sich nutzen müssen.
DSGVO-Tipps: Mein Smartphone gehört mir
Mobiles Arbeiten ist heute Alltag. Richten Sie für Ihr Handy einen Zugriffsschutz ein. Stellen Sie sicher, dass Sie Ihr Handy bei Diebstahl löschen können.
Digitaler Plausch IT-Sicherheit
Setzen Sie jetzt den ersten Schritt zu mehr IT-Sicherheit! Tipps von der Fachfrau, die Sie wirklich weiterbringen.
DSGVO-Tipps: Das Passwort unter der Tastatur
Das Passwort unter der Tastatur ermuntert unbefugten Zugriff. Ein sicheres Passwort besteht aus den Anfangsbuchstaben der Wörter eines Satzes inkl. Satzzeichen.
DSGVO-Tipps: 5 Wege aufzuräumen
Schützen Sie Daten vor unberechtigtem Zugriff. Lassen Sie Vertrauliches nicht offen liegen. Sperren Sie den Bildschirm. Nutzen Sie Privacy Screen und Schredder.
DSGVO-Tipps: Altpapier ist pure Information
Sie werfen Unterlagen, Rechnungen, Mahnungen und ähnliches einfach ins Altpapier? Wie unvorsichtig! Wissen Sie, wer Ihr Altpapier holt und was damit geschieht?
DSGVO-Tipps: Zuerst denken, dann klicken!
Nein, Ihr IT-Support fragt Sie nicht per E‑Mail nach Ihrem Passwort. Auch Ihre Bank, Ihr Kreditkartenunternehmen fragt Ihre Logindaten nicht per E‑Mail ab.
DSGVO-Quiz
Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.
Handy-Apps als Datensammler
Wie geht es dir heute? Hast du gut geschlafen? Die Fragen erscheinen unverfänglich, unwichtig, nebensächlich. Sind sie das wirklich?
Der Ablauf eines Auskunftsersuchens
Natürliche Personen, die von einer Datenverarbeitung betroffen sind, haben spezifische Rechte. Bei Begehren zu den Betroffenenrechten haben Sie Auskunftspflicht.
Grundsätze der Datenverarbeitung
Speichern und verarbeiten Sie nur Daten, die Sie für Ihre Zwecke benötigen bzw. Daten, die Sie auch speichern und verarbeiten dürfen. Machen Sie die Vorgänge transparent.
Erweiterte Informationspflichten
Durch die DSGVO treten mit 25. Mai 2018 erweiterte Informationspflichten für Unternehmern_innen und Vereine in Kraft. Dadurch wird für Kund_innen die Verwendung ihrer Daten klarer.
Rechtmäßigkeit der Verarbeitung
Um Daten systematisch zu verarbeiten – und da reicht schon eine Kundenkartei – muss die Verarbeitung auf einer Rechtsgrundlage beruhen. Was ist darunter zu verstehen?
Dokumentation der Datenverarbeitung
Eine wichtige Pflicht im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) ist die Dokumentation. Ein Element davon ist das Verzeichnis der Verarbeitungstätigkeiten.
Die DSGVO betrifft auch Sie!
99% aller Unternehmer_innen müssen zumindest die Dokumentationspflichten erfüllen. Sie gehören dazu, sobald Sie Adressen auf Ihrem Handy haben – oder auch nur einen Karteikasten mit Kundendaten.
Mit einfachen Mitteln sichtbar werden
Positionieren Sie sich als Kleinunternehmen besser. Es gibt eine Reihe kostenlose Angebote großer Firmen, die Sie nur für sich nutzen müssen.
DSGVO-Tipps: Mein Smartphone gehört mir
Mobiles Arbeiten ist heute Alltag. Richten Sie für Ihr Handy einen Zugriffsschutz ein. Stellen Sie sicher, dass Sie Ihr Handy bei Diebstahl löschen können.
Digitaler Plausch IT-Sicherheit
Setzen Sie jetzt den ersten Schritt zu mehr IT-Sicherheit! Tipps von der Fachfrau, die Sie wirklich weiterbringen.
DSGVO-Tipps: Das Passwort unter der Tastatur
Das Passwort unter der Tastatur ermuntert unbefugten Zugriff. Ein sicheres Passwort besteht aus den Anfangsbuchstaben der Wörter eines Satzes inkl. Satzzeichen.
DSGVO-Tipps: 5 Wege aufzuräumen
Schützen Sie Daten vor unberechtigtem Zugriff. Lassen Sie Vertrauliches nicht offen liegen. Sperren Sie den Bildschirm. Nutzen Sie Privacy Screen und Schredder.
DSGVO-Tipps: Altpapier ist pure Information
Sie werfen Unterlagen, Rechnungen, Mahnungen und ähnliches einfach ins Altpapier? Wie unvorsichtig! Wissen Sie, wer Ihr Altpapier holt und was damit geschieht?
DSGVO-Tipps: Zuerst denken, dann klicken!
Nein, Ihr IT-Support fragt Sie nicht per E‑Mail nach Ihrem Passwort. Auch Ihre Bank, Ihr Kreditkartenunternehmen fragt Ihre Logindaten nicht per E‑Mail ab.
DSGVO-Quiz
Sie wohnen in der Schweiz, verkaufen aber an EU-Bürger:innen? Wissen Sie, ob Sie der DSGVO unterliegen? Finden Sie es heraus.
Handy-Apps als Datensammler
Wie geht es dir heute? Hast du gut geschlafen? Die Fragen erscheinen unverfänglich, unwichtig, nebensächlich. Sind sie das wirklich?
Der Ablauf eines Auskunftsersuchens
Natürliche Personen, die von einer Datenverarbeitung betroffen sind, haben spezifische Rechte. Bei Begehren zu den Betroffenenrechten haben Sie Auskunftspflicht.
Grundsätze der Datenverarbeitung
Speichern und verarbeiten Sie nur Daten, die Sie für Ihre Zwecke benötigen bzw. Daten, die Sie auch speichern und verarbeiten dürfen. Machen Sie die Vorgänge transparent.
Erweiterte Informationspflichten
Durch die DSGVO treten mit 25. Mai 2018 erweiterte Informationspflichten für Unternehmern_innen und Vereine in Kraft. Dadurch wird für Kund_innen die Verwendung ihrer Daten klarer.
Rechtmäßigkeit der Verarbeitung
Um Daten systematisch zu verarbeiten – und da reicht schon eine Kundenkartei – muss die Verarbeitung auf einer Rechtsgrundlage beruhen. Was ist darunter zu verstehen?
Dokumentation der Datenverarbeitung
Eine wichtige Pflicht im Rahmen der EU-Datenschutz-Grundverordnung (DSGVO) ist die Dokumentation. Ein Element davon ist das Verzeichnis der Verarbeitungstätigkeiten.
Die DSGVO betrifft auch Sie!
99% aller Unternehmer_innen müssen zumindest die Dokumentationspflichten erfüllen. Sie gehören dazu, sobald Sie Adressen auf Ihrem Handy haben – oder auch nur einen Karteikasten mit Kundendaten.
0 Kommentare