Das 1X1 der EU Datenschutzgrundverordnung

Jetzt ist sie in Kraft: Die Datenschutzgrundverordnung! Mit 25. Mai 2018 hat nun die Datenschutzgrundverordnung (DSGVO) Gültigkeit. Sie betrifft sowohl große als auch kleine Unternehmen. Somit sind Sie als Unternehmer und Unternehmerin verpflichtet, sich mit dem Thema ausführlich zu beschäftigen – denn zusätzlich können bei Nichteinhaltung hohe Strafen verhängt werden!

Als kleines Service haben wir in unserem Blogartikel eine kleine Checkliste für Sie vorbereitet, anhand derer Sie prüfen können, ob Sie alle wichtigen Schritte erledigt haben. Kreuzen Sie ganz einfach hier Ihre erledigten Aufgaben an, um einen Überblick über den aktuellen Status und eventuellen Handlungsbedarf zu bekommen:

□ Datenschutzbeauftragter

Wurde eine Person festgelegt, die für die Umsetzung der DSGVO und generell für Datenschutzthemen zuständig ist? Obwohl es nicht für jedes Unternehmen ein „MUSS“ ist, empfiehlt sich doch, einen Zuständigen festzulegen. Dies kann auch eine externe Person sein.

□ Daten, Daten, Daten (Datenerhebung, Datenspeicherung)

Haben Sie sich bereits mit Ihren Daten – Herkunft, Qualität und Verwendung – beschäftigt? Sie müssen wissen, welche Daten Sie verarbeiten, sind darunter persönliche und sensible Daten? Können oder müssen davon Daten minimiert werden? Woher stammen die Daten – wurden sie beispielsweise mittels double opt-in ermittelt oder ohne Einwilligung gesammelt – und wie werden sie verwendet? Machen Sie sich ein Bild von den Daten in Ihrem Unternehmen.

□ Datensicherheit

Ein kritischer Faktor der DSGVO ist die Datensicherheit. Sind die Daten sicher abgelegt? Gehen Sie auf Nummer Sicher und verwenden Sie zertifizierte Datenspeicheroptionen innerhalb der EU! Abhängig von der Art der Daten und der Verwendung sind Pseudonymisierung und Verschlüsselung oder auch getrennte Speicherung verpflichtend.

□ Zugriff und Berechtigungen

Abhängig von der Art der Daten sind auch die Zugriffsberechtigungen. Nicht jeder soll auf alle Daten zugreifen können – offensichtlich ist dies bei Personalverrechnungsdaten, aber auch andere müssen betrachtet werden. Vergeben Sie die Berechtigungen dafür sorgfältig. Haben Sie dies bereits berücksichtigt?

□ Datenlöschung

Die Datenschutzgrundverordnung kümmert sich auch um das Löschen von personenbezogenen Daten, das sogenannte „Recht auf Vergessenwerden“.  Haben Sie bereits eingerichtet, dass Daten nach Ende der Aufbewahrungsfrist automatisch aus dem System entfernt werden? Ist auch gewährleistet, dass Daten gelöscht werden können, wenn die betreffende Person dies verlangt?

□ Hinweispflicht

Besonders erhöhte Transparenz soll die DSGVO bringen. Jede natürliche Person – meist Ihr Kunde oder Interessent – soll wissen, welche Daten von ihm in welchem Umfang verarbeitet werden. Weiters ist von Bedeutung, welche Fristen für die Speicherung der Daten gelten.

Darüber hinaus muss eine freiwillige Einwilligung vom Kunden erfolgen, der uns die Daten gibt. Werden Daten an Dritte weitergegeben, ist auch hier eine Einwilligung vom Kunden vonnöten. Über das Recht zum Widerruf der Einwilligung muss ebenfalls aufgeklärt werden. Wurden alle diese Schritte berücksichtigt? Sie kennen diese Themen sicher von den nun massiv auftauchenden Einverständniserklärungen auf den Webseiten.

□ Mitarbeiterschulungen

Haben Sie bereits Ihre Mitarbeiter über die neue DSGVO informiert? Diese sollen über das Thema informiert und dafür sensibilisiert werden. Eigens für Mitarbeiter durchgeführte Schulungen sind sehr wichtig und dienen der Information und dem richtigen Umgang mit Daten. Adaptieren Sie im Bedarfsfall auch interne Prozesse.

□ Nachweis und Dokumentation

Für die DSGVO müssen Prozesse und Abläufe niedergeschrieben werden, um einen Nachweis garantieren zu können. Dies sollte mit dem Verarbeitungsverzeichnis abgestimmt sein. Einige Aspekte dazu: Wurden die AGB aktualisiert und sind auf Ihrer Website zugänglich? Gibt es eine Datenschutzerklärung und ein Impressum? Wurde mit Dienstleistern eine Vereinbarung zur Auftragsdatenvereinbarung abgeschlossen?

 

Haben Sie noch offene Punkte? Dann ist nun der Zeitpunkt, sich damit auseinanderzusetzen. Die DSGVO ist bereits in Kraft, und welche Konsequenzen eine Nichtbefolgung haben wird, ist noch nicht ausjudiziert. Die Strafausmaße sind jedoch beträchtlich. Ein Tipp von uns: Nutzen Sie die Datenbetrachtung für Überlegungen zu Ihren internen Prozessen. Die Gelegenheit ist günstig für Veränderungen.

 

Bitte beachten Sie, dass dieser Blogbeitrag keine Rechtsberatung bezüglich der EU-Verordnungen zum Datenschutz darstellt und ersetzt oder eine Empfehlung für eine bestimmte Auslegung ist. Der Artikel soll lediglich Hintergrundinformationen zum besseren Verständnis der DSGVO vermitteln und auf potenziellen Handlungsbedarf hinweisen. Bei Beratungsbedarf ziehen Sie bitte einen Rechtsanwalt zu Rate.