Top

DSGVO 2018: Eine Art kleines “Kochrezept”(Teil 2/3)

Zihr – Ihr PartnerAllgemein DSGVO 2018: Eine Art kleines “Kochrezept”(Teil 2/3)

DSGVO 2018: Eine Art kleines “Kochrezept”(Teil 2/3)

Dieser Blogbeitrag behandelt nun im zweiten Teil meiner dreiteiligen Blog-Serie zur DSGVO die Identifikation der betroffenen, schützenswerten Bereiche, sowie die möglichen Maßnahmen, die Sie als Unternehmer/Unternehmerin treffen müssen, um für den 25.5.2018 gut vorgesorgt zu haben.
Aus heutiger Sicht (12.04.2018) sind es noch in etwa 30 Arbeitstage bis zum Inkrafttreten der neuen EU-Datenschutzgrundverordnung. Ein wenig Zeit bleibt also noch.

Abstecken der betroffenen Bereiche – „Dateninventur“

Zu Beginn müssen Sie sich bewusst machen, an welchen Stellen/in welchen Bereichen Sie (personenbezogene) Daten in Ihrem Unternehmen verarbeiten. Nicht nur das: Sie müssen sich auch darüber Gedanken machen, wie lange Sie Daten verarbeiten, wer gegebenenfalls Zugriff hat und an wen diese Daten eventuell weitergegeben werden.
Treffen Sie weitere Unterscheidungsmerkmale, in dem Sie den Daten eine Kategorie wie beispielsweise „extern“ (2 Beispiele: Newsletter, Website) und „intern“ (2 Beispiele: Kundekartei, Fakturierungsprogramm) zuweisen.

Tipp: Am besten starten Sie ihr eigenes „DSGVO-Dateninventurprojekt“, indem Sie Ihre diesbezüglich gewonnenen Erkenntnisse in einer Excel Datei strukturiert festhalten. Das ist Ihr persönlicher, erster Schritt zur Vorbereitung auf den 25.5.2018. Im Falle von späteren, möglichen Vorwürfen zur Nicht-Einhaltung von Datenschutzmaßnahmen ist dies gleichzeitig eine Dokumentation Ihrer Arbeit.

In meinem ersten Blogbeitrag erkläre ich übrigens den sehr weit gedehnten Begriff der personenbezogenen Daten. Falls Sie sich diesen nochmals zu Gemüte führen wollen, können Sie hier nachlesen: DSGVO – Teil 1/3

Verarbeitungsverzeichnis erstellen

Eine der bedeutendsten und zentralsten Neuerungen der DSGVO ist mit Sicherheit das Führen eines Verarbeitungsverzeichnisses. Dieses ersetzt zugleich die (noch) bestehende Verpflichtung von DVR-Meldungen. In Schritt 1 haben Sie ja bereits eine (formlose) Liste erstellt, die all Ihre Bereiche der Datenverarbeitung und somit auch jene zur Verarbeitung von personenbezogenen Daten, beinhaltet. Diese bildet nun die Grundlage für die Erstellung Ihres firmeninternen Verarbeitungsverzeichnisses.
Die WKO hat zum Verarbeitungsverzeichnis bereits Mustervorlagen implementiert, die ich Ihnen ebenfalls hier bereitstellen möchte:

Muster Verarbeitungsverzeichnis für Verantwortliche

Hier finden Sie ein Anwendungsbeispiel zum Muster

Anwendungsbeispiel zum Verarbeitungsverzeichnis

Datenschutz-Folgeabschätzung durchführen

Es wird immer wieder darauf hingewiesen, aber der Otto-Normal-Unternehmer wird im Regelfall keine Datenschutz-Folgeabschätzung durchführen müssen.
Diese ist viel mehr dann vorzunehmen, wenn ein hohes Risiko für die Rechte und Freiheiten der Person durch die Veararbeitung der Daten besteht (zB. eine Bank prüft die Vergabe eines Kredites).
Es gibt noch weitere Kriterien, die zur eine verpflichtenden Folgeabschützung
führen. Wer mehr wissen möchte, kann hier nachlesen: Ablaufplan Datenschutz-Folgenabschätzung

Informationspflichten/”Betroffenenrechte” befolgen

Wir denken an folgendes Szenario: Am 28.5.2018 kontaktiert Sie ein Kunde und konfrontiert Sie mit folgender Frage “Können Sie mir bitte Auskunft geben, welche Daten Sie von mir wo und zu welchem Zweck speichern und wie lange Sie diese Daten aufbewahren?” Viele denken erst gar nicht, dass diese Situation eintreten kann, doch Sie wird eintreten. Auch Sie werden vermutlich mit solchen Fragen konfrontiert, da Datenschutz in unserer heutigen Gesellschaft eine immer wichtigere Rolle spielt und als sehr sensibles Thema betrachtet wird.
In jedem Fall müssen Sie der anfragenden Person oder anfragenden Behörde innerhalb eines Monats Auskunft zu obiger Fragen erteilen. Der Betroffene hat darüber hinaus ein Recht auf “Vergessenwerden” -> Das bedeutet, dass er die Löschung seiner Daten bei Ihnen als Verantwortliche Person in Auftrag geben kann und dem auch Folge zu leisten ist.
Informationen und alle Mitteilungen und Maßnahmen sind dem Betroffenen unentgeltlich (bis auf wenige Ausnahmen) zur Verfügung zu stellen.
Lesen Sie hier mehr über das Thema: Informationspflichten und “Betroffenenrechte”

Auftragsverarbeitungsvertrag

Einen Auftragsverarbeitungsvertrag benötigen Sie, wenn externe Dienstleister (z.B. IT-Dienstleistungen, Buchhaltung, Lohnverrechnung,…) beauftragt werden. Viele Firmen sind hiervon Betroffen.
Prüfen Sie, ob ein entsprechender Vertrag vorhanden ist, wenn nicht, sollten Sie unbedingt einen abschließen.
Einen Mustervertrag finden Sie hier.

“Datenpanne” – Data Breach Notficiation

Sie haben Ihren Laptop mit Firmendaten verloren oder dieser wurde Ihnen gestohlen? Sie wurden Opfer eines Hackerangriffs? Ein Datenträger ist Ihnen Abhanden gekommen? Trifft einer dieser Punkte zu, oder gibt es weitere Gründe, die zum Verlust von personenbezogenen Daten geführt haben, so müssen Sie diesen der Datenschutzbehörde und den betroffenen Personen melden. Und das müssen Sie in einer angemessenen Frist, nämlich innerhalb von 72h, tun.
Ausnahme: Wenn die Datenschutzverletzung voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet.

Mehr Infos zum Thema Data Breach Notification gibt es hier.

Konkret – Website Kontaktformular

Aus Gründen der Kundenorientierung wird auf den meisten Webseiten ein Kontaktformular angeboten, wo Kunden durch Eingabe Ihres Vor-, Nachnamen bzw. Ihrer E-Mailadresse und/oder Telefon-Rückrufnummer Sie als UnternehmerIn unkompliziert und rasch kontaktieren können.
Bieten Sie Ihren Kunden ebenfalls diesen Service an? Wenn ja, sollten Sie auf Ihrer Website entsprechende Vorkehrungen treffen. Eine konkrete Anleitung, wie Sie Ihre Webseite auf die DSGVO vorbereiten finden Sie hier.

Konkret – Datenschutzerklärung Mitarbeiter

Wenn Sie Mitarbeiter beschäftigen, oder zukünftig welche einstellen, erhalten diese ebenfalls Rechte und Pflichten die DSGVO betreffend. Zur Absicherung und allgemeinen Aufklärung der Mitarbeiter empfehle ich Ihnen im Zuge der Unterzeichnung des Dienstzettels/Dienstvertrags ebenfalls die Unterzeichnung einer Datenschutzerklärung. Die Mustervorlage finden Sie hier.

Wie gehts es nun weiter?

Wie bereits einleitend erwähnt sind es aus heutiger Sicht noch etwa 30 Arbeitstage bis zur Umsetzung und Einführung der DSGVO. Dieser Artikel beinhaltet die aus meiner Sicht wesentlichsten Neuerungen. Da ich kein ausgebildeter Datenschutzexperte bin, sondern lediglich Informationen in übersichtlicher Form aufbereite, kontaktieren Sie im Zweifelsfall bzw. bei Detailfragen Ihre WKO-Geschäftsstelle. Diese haben Zugriff auf einen großen Pool von Datenschutzexperten bzw. großteils auch auf kostenlose Seminarangebote.


Ich hoffe, der DSGVO-Vorbereitungs-Kuchen hat geschmeckt 😉