5 Dinge, die Sie vor dem 25. Mai 2018 tun sollten

Nehmen Sie Ihre Pflichten zur DSGVO wahr!

Bis 25. Mai 2018 müssen alle Daten­an­wen­dungen auf die EU-Daten­schutz-Grund­ver­ord­nung (DSGVO) sowie das Daten­schutz-Anpas­sungs­ge­setz (DSG2018) umgestellt sein.

von | 11. April 2018

Viele Mythen gibt es um die EU-Daten­schutz-Grund­ver­ord­nung (DSGVO). Von “das betrifft mich nicht” bis hin zu “es wird schon nichts geschehen” höre ich alles mögliche. Tatsache ist jedoch, dass – wie bereits im Beitrag “Die DSGVO betrifft auch Sie!” – die Ausnahmen gleich Null sind und so gut wie jedes Unter­nehmen aber auch Vereine von den Neuerungen betroffen sind. Das heißt im Klartext, dass bis 25. Mai 2018 alle Daten­an­wen­dungen (auch die von Vereinen) an die neue Geset­zes­lage angepasst sein müssen. Um den doch sehr hohen Strafen zu entgehen, haben alle Unter­nehmen Handlungs­be­darf. Was heißt das konkret? Was muss ich für meine Firma / meinen Verein tun, um geset­zes­kon­form zu sein?

1. Dokumen­tieren Sie …

… welche perso­nen­be­zo­genen Daten Sie verarbeiten.

Wenn die Daten­schutz­be­hörde (DSB) bei Ihnen anklopft, müssen Sie als Unternehmer:in nachweisen, dass Sie die Gesetze zum Daten­schutz einhalten. Das Mittel dazu ist die Dokumen­ta­tion – im ersten Schritt das Verzeichnis der Verarbeitungstätigkeiten.

Alle vorhan­denen Daten­ver­ar­bei­tungen – nicht jedoch einzelne Daten­sätze – werden im Verar­bei­tungs­ver­zeichnis aufge­listet. D.h., es bietet einen Überblick über die Daten­ver­ar­bei­tungen in einem Unter­nehmen. Dadurch ist dieses Verzeichnis ein einma­liger Aufwand und nur bei Änderungen im Unter­nehmen anzupassen. Eine regel­mä­ßige Überprü­fung (mindes­tens 1x jährlich) sollte aber einge­plant werden.

Die Pflicht zur Führung des Verzeich­nisses gilt für so gut wie alle Unternehmer:innen, aber auch für Vereine. Wenn Sie Auftrags­ver­ar­beiter beschäf­tigen – und das tun so gut wie alle von uns – müssen auch diese ein Verzeichnis über die für Sie durch­ge­führten Verar­bei­tungen führen.

Details zur Dokumen­ta­ti­ons­pflicht habe ich im Beitrag “Dokumen­ta­tion der Daten­ver­ar­bei­tung” beschrieben.

Kommen Sie Ihrer Dokumen­ta­ti­ons­pflicht nicht nach, beträgt die Strafe 2% des (inter­na­tio­nalen) letzt­jäh­rigen Jahres­um­satzes oder maximal 10 Millionen Euro.

2. Infor­mieren Sie …

… was Sie mit perso­nen­be­zo­genen Daten machen.

Mit der DSGVO treten auch erwei­terte Informa­tions­pflichten in Kraft. Diese dienen der Trans­pa­renz und dem Schutz der betrof­fenen Person. Sie erleich­tern den Betrof­fenen von Daten­ver­ar­bei­tungen die Wahrneh­mung ihrer Rechte.

Grob zusam­men­ge­fasst müssen Sie neben Name und Adresse der/des Verant­wort­li­chen und der/des Daten­schutz­be­auf­tragten (und eventu­ellen Vertreters/Vertreterin in der EU) auch Infor­ma­tionen zur Daten­ver­ar­bei­tung geben. Sie müssen unter anderem Zweck und Rechts­grund­lage der Verar­bei­tung, Empfänger sowie Lösch­fristen angeben. Bei Weiter­gabe der Daten in ein Dritt­land oder an eine inter­na­tio­nale Organi­sa­tion müssen der Angemes­sen­heits­be­schluss der Kommis­sion oder geeig­nete Garan­tien angeführt werden. Weiters infor­mieren Sie über die Betroffenenrechte.

Der Inhalt der Infor­ma­tionen ist in den Art. 13 und 14 der DSGVO festge­halten. Die äußere Form ist unerheb­lich, die Infor­ma­tion muss aber schrift­lich erfolgen. Mehr zum Thema finden Sie im Beitrag “Erwei­terte Informa­tions­pflichten”.

4% des (inter­na­tio­nalen) letzt­jäh­rigen Jahres­um­satzes oder maximal 20 Millionen Euro sind bei einem Verstoß gegen die Infor­ma­ti­ons­pflicht als Strafe fällig.

3. Prüfen Sie …

… jede Verar­bei­tungs­tä­tig­keit auf ihre Recht­mä­ßig­keit und die Einhal­tung der Grund­sätze zur Verarbeitung.

Recht­mä­ßig­keit

Ohne Recht­mä­ßig­keit darf keine Daten­ver­ar­bei­tung statt­finden. Folgende Rechts­grund­lagen gibt es:

  • Ausdrück­liche und unmiss­ver­ständ­liche Einwilligung
  • Vertrags­er­fül­lung
  • Recht­liche Verpflichtung
  • Lebens­wich­tige Interessen
  • Wahrneh­mung einer Aufgabe im öffent­li­chen Interesse
  • Berech­tigte Inter­essen des Verant­wort­li­chen oder eines Dritten

Details zur Recht­mä­ßig­keit habe ich im Beitrag “Recht­mä­ßig­keit der Verar­bei­tung” beschrieben.

Grund­sätze

Folgende Grund­sätze sind bei der Verar­bei­tung von perso­nen­be­zo­genen Daten einzuhalten:

  • Recht­mä­ßig­keit, Verar­bei­tung nach Treu und Glauben sowie Transparenz
  • Zweck­bin­dung
  • Daten­mi­ni­mie­rung
  • Richtig­keit, Integrität und Vertraulichkeit
  • Speicher­be­gren­zung

Nähere Ausfüh­rungen zu den Grund­sätzen finden Sie im Beitrag “Grund­sätze der Daten­ver­ar­bei­tung”.

4. Kennen Sie …

… die Rechte der von Daten­ver­ar­bei­tungen betrof­fenen natür­li­chen Personen.

Diese Betrof­fe­nen­rechte sind sehr umfang­reich und beinhalten folgendes:

  • Recht auf
    • Auskunft
    • Berich­ti­gung
    • Löschung
    • Einschrän­kung der Verarbeitung
    • Wider­spruchs­recht gegen die Verarbeitung
    • Recht auf Daten­über­trag­bar­keit (Übertra­gung auf z.B. einen anderen Anbieter)
  • Möglich­keit des Wider­rufs der Einwilligung
  • Beschwer­de­recht bei einer Aufsichts­be­hörde inklu­sive deren Adresse

Auch zu den Rechten der Betrof­fenen finden Sie in meinem Blog in den nächsten Tagen einen ausführ­li­chen Artikel. Schauen Sie wieder vorbei, es wird sicher spannend.

5. Infor­mieren Sie sich …

… über Ihre Pflichten, aber auch Ihre Rechte.

Dafür gibt es mehrere Möglichkeiten:

  • Beschäf­tigen Sie sich mit den sehr umfang­rei­chen Infor­ma­tionen der Wirtschafts­kammer zur DSGVO.
  • Besuchen Sie einen für Ihre Branche maßge­schnei­derten Vortrag zum Thema. Auch hier ist meistens die Wirtschafts­kammer oder die für Sie zustän­dige Kammer (Wirtschafts­treu­händer, Rechts­an­wälte, …) der richtige Ansprechpartner.
  • Besuchen Sie ein Seminar, in dem Sie in der Erarbei­tung der notwen­digen Dokumente unter­stützt werden. Solche Seminare bieten verschie­dene Anbieter an, meistens sind Sie auch hier bei Ihrer Kammer gut aufgehoben.
  • Wenden Sie sich an einen DSGVO-Spezia­listen. Diese können Sie im Firmen A‑Z der Wirtschafts­kammer einfach finden. Unter diesem Link finden Sie die öster­rei­chi­schen Berate­rinnen und Berater, die Sie zum Thema DSGVO beraten. Sie können die Suchergeb­nisse dann indivi­duell auf Ihr Bundes­land einschränken.
  • Kontak­tieren Sie mich, ich helfe Ihnen gerne weiter. Nutzen Sie das Kontakt­for­mular, dort haben Sie auch die Möglich­keit einer direkten Terminbuchung.

Nutzen Sie die Chance, bereiten Sie sich vor. Und lassen Sie sich dabei unter­stützen, Sie ersparen sich dadurch Zeit und wahrschein­lich auch Frust.

Weiter­füh­rende Links

0 Kommen­tare

Weitere Beiträge