1
 

EU-Datenschutz-Grundverordnung betrifft auch Ihr Unternehmen

Die DSGVO betrifft alle Unternehmen, die auf irgendeine Art personenbezogene Daten erfassen oder verarbeiten.

Am 25.05.2018 wird die EU-Datenschutz-Grundverordnung (DSGVO) in Kraft treten. Grundgedanke dahinter ist, ein unionsweit einheitliches Datenschutzniveau zu schaffen und die nationalen Regelungen der Mitgliedsstaaten durch einen unmittelbar anwendbare Verordnung zu ersetzen. Zudem gilt die DSGVO auch für Unternehmen, die Ihren Sitz nicht in der EU haben, aber dort Ihre Angebote anbieten. Die neue Verordnung stärkt vor allem die Rechte der Nutzer. Aber was bedeutet das für Sie als IT-Verantwortlicher?

Da der Nutzer mehr Verfügungsgewalt über seine Daten erhält und die DSGVO sogar ein "Recht auf Vergessen" vorsieht, sollte die IT stets im Auge behalten wo überall private Daten der Kunden gespeichert und verarbeitet werden. Unternehmen müssen den Wünschen des Users relativ rasch nachkommen. Auch bei Datenschutzverletzungen müssen die Betroffenen informiert werden, und zwar dann, wenn dadurch ein hohes Risiko entstehen kann. Ist dies nicht der Fall, muss das Unternehmen die Datesnschutzverletzung dennoch mindestens der Aufsichtsbehörde melden und zwar innert 72 Stunden. Unternehmen müssen also in der Lage sein, Sicherheitsverletzungen schnell erkennen und ebenso schnell weitermelden zu können. Zudem besteht die Pflicht zur Durchführung einer Datenschutz-Folgenabschätzung, wenn durch einen Verarbeitungsvorgang ein potentielles Risiko für die Rechte und Freiheiten natürlicher Personen besteht. Wenn aus dieser Abschätzung hervorgeht, dass dieses Risiko tatsächlich hoch ist, muss die Aufsichtsbehörde konsultiert werden, sofern keine Maßnahmen zur Eindämmung des Risikos getroffen werden können.

Eine verpflichtende Bestellung eines Datenschutzbeauftragten besteht nicht für alle Unternehmen, jedoch ab einer Größenordnung von 250 ArbeitnehmerInnen. Es kann natürlich freiwillig ein Datenschutzbeauftragter bestellt werden. Dabei sollte jedoch beachtet werden, dass dieser die selben Pflichten hat, als wäre er verpflichtend bestellt worden. Auch gibt es auch keine Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) mehr. Unternehmen mit mehr als 250 MitarbeiterInnen müssen jedoch ein "Verzeichnis von Verarbeitungstätigkeiten" führen. Dieses ist den derzeitigen DRV-Meldungen inhaltlich ähnlich. Für alle gilt jedoch, dass bereits bei der "IT-Gestaltung" datenschutzfreundliche Voreinstellungen getroffen werden müssen. Sie sollen sicherstellen, dass nur personenbezogene Daten, deren Verarbeitung für den jeweilgen Verarbeitungszweck erforderlich ist, verarbeitet werden.

Unternehmer sollten sich besser frühzeitig mit der DSGVO auseinander setzen, das bei Verstößen empfindliche Strafen von bis zu 4% des Jahresumsatzes drohen. Die Checkliste der WKO kann bei der Vorbereitung helfen.