Anzeige

Anzeige

VERANSTALTUNGEN

ACMP Competence Days Wien
15.05.19 - 15.05.19
In WAGGON-31, Wien

e-Commerce Day
17.05.19 - 17.05.19
In Köln, RheinEnergieSTADION

ACMP Competence Days Dortmund
04.06.19 - 04.06.19
In SIGNAL IDUNA PARK, 44139 Dortmund

Aachener ERP-Tage 2019
04.06.19 - 06.06.19
In Aachen

ACMP Competence Days Zürich
11.06.19 - 11.06.19
In Stadion Letzigrund, Zürich

Anzeige

Anzeige

Andreas NiederbacherDie EU-Datenschutzgrundverordnung ist derzeit in aller Munde. Es handelt sich dabei um eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der EU vereinheitlicht wird. Information von Mag. Andreas Niederbacher, Deloitte Österreich. 

Die Verordnung gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten und die Bestimmungen betreffen alle Unternehmen, die Daten von EU-BürgerInnen verarbeiten.

Hierbei gibt es keine Eingrenzungen in Bezug auf Unternehmensbranche oder Größe. Die Verordnung hebt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr auf. Die konkrete Umsetzung der Anforderungen erfolgt in Österreich durch das Datenschutzanpassungsgesetz. Die Anforderungen der Verordnung gehen über die derzeitigen Anforderungen des Datenschutzgesetzes hinaus. Die dabei zu bewältigenden Herausforderungen sind gerade für UnternehmerInnen umfassend und aus heutiger Sicht noch mit schwer kalkulierbaren Kosten verbunden. Neben dem erhöhten Bußgeldrahmen von bis zu 20 Mio. Euro oder von bis zu 4 % des gesamten, weltweiten Jahresumsatzes eines Unternehmens sind vor allem die folgenden sechs Aspekte von zentraler Bedeutung.

Marktortprinzip

Die Verordnung gilt für in der EU ansässige Unternehmen ebenso wie für Unternehmen, die Produkte und Dienstleistungen in der Union anbieten, aber Daten gegebenenfalls außereuropäisch verarbeiten.

Informationspflichten

Allen Betroffenen - KundInnen, WerbeempfängerInnen, MitarbeiterInnen, BewerberInnen - müssen umfangreiche Auskünfte über die Herkunft ihrer Daten, die Art der Verarbeitung und die geplante Weitergabe an Dritte gegeben werden.

Privacy by Design & Privacy by Default

Datenschutzanforderungen müssen bereits bei der Entwicklung von Produkten und Dienstleistungen nachweisbar berücksichtigt werden. Außerdem sind die Standardeinstellungen der Systeme stets so zu wählen, dass die geringstmögliche Datenmenge erfasst wird und sie als datenschutzfreundlich zu verstehen sind.

Privacy Impact Assessment

Alle Datenverarbeitungen mit erhöhtem Risiko müssen vorab einer formellen und dokumentierten Abwägung von Zweck, Notwendigkeit, Risiken und Verhältnismäßigkeit unterzogen werden. Das Ergebnis des Assessments kann eine zwingende Konsultation der Datenschutzbehörde zur Folge haben.

Benachrichtigung von Datenschutzvorfällen

Sollte es beim Verarbeiter zu einem Datenschutzvorfall kommen, so ist dieser innerhalb von 72 Stunden sowohl an die Aufsichtsbehörden als auch an den Betroffenen zu melden. Die Meldung hat neben einer Beschreibung des Vorfalls auch voraussichtliche Konsequenzen und Maßnahmen zur Wiedergutmachung zu beinhalten.

Dokumentationspflicht

Alle VerarbeiterInnen sind verpflichtet, die Einhaltung der Bestimmungen zu dokumentieren und auf Verlangen der Aufsicht nachzuweisen.

Resultierende Auswirkungen auf Unternehmen

Unternehmen müssen durch die Implementierung von Prozessen sicherstellen, dass nur solche personenbezogenen Daten genutzt werden, für die eine Einwilligung oder eine Rechtsgrundlage vorliegt.

Zusätzlich ist technisch sicherzustellen, dass alle personenbezogenen Daten identifiziert, bewertet und strukturiert oder im Anlassfall gelöscht werden. Dies kann sich in der Praxis schwierig gestalten.

Ein möglicher Ansatz, um den Anforderungen der EU DSGVO zu entsprechen, ist die Einführung eines Datenschutz-Management-System (DSMS).

Dabei werden in einem ersten Schritt die Unternehmensdaten, unabhängig davon ob diese strukturiert (zum Beispiel in Datenbanken) oder unstrukturiert (zum Beispiel am Fileserver) gespeichert sind, analysiert und klassifiziert. Sollten bei der Analyse personenbezogene Daten (gemäß Definition der EU DSGVO) identifiziert werden, sind diese von den Anforderungen der EU DSGVO betroffen. Die Verarbeitung ist dann ausschließlich unter Einhaltung der Anforderungen durchzuführen und durch regelmäßig wiederkehrende Audits zu überwachen.

Unternehmen ist zu empfehlen die kommenden 11 Monate bis zur Anwendbarkeit der EU DSGVO effizient zu nutzen. Auf Basis einer strukturierten Analyse sollten Prozesse systematisch und in Hinblick auf die jeweiligen Anforderungen überprüft, angepasst und wenn nötig zeitnah neu eingeführt werden. Die rechtzeitige strukturierte Befassung mit dem Thema ermöglicht eine ressourcenschonende Anpassung.

Außerdem kann dies zum Anlass genommen werden, um Systeme und Prozesse auch hinsichtlich verwandter Anforderungen - Stichworte sind das E-Commerce-Gesetz sowie das Mediengesetz - zu evaluieren.

www.adv.at

 

GRID LIST
Tb W190 H80 Crop Int D73172c157619fcd091d7b77a237b45c

Warum fast jede Datenschutzverletzung ein „Insider Job“ ist

Neben vielen anderen Formen von Cyberkriminalität sind auch eher schlicht gestrickte…
GDPR Concept

E-Mail-Kommunikation gemäß DSGVO – aber bitte verschlüsselt

Die E-Mail ist das beliebteste Kommunikationsmittel in Unternehmen. Jeden Tag gehen hier…
Tb W190 H80 Crop Int 572a4c67eb285d3ea59f2c45c09865f3

Polizei-Bodycams: Wohin mit den Aufnahmen?

Körperkameras, sogenannte Bodycams, sollen die Sicherheit bei Polizeieinsätzen erhöhen…
Sprachsteuerung

Alexa, Siri und Co: Mehr Datenschutz für Dialoge der Nutzer

Sprachdialogsysteme wie Alexa und Siri sind inzwischen große Hilfen zum Beispiel bei der…
DSGVO Abmahnung

Warum von kostenlosen Datenschutzerklärungen abzuraten ist

Für eine Vielzahl von Unternehmern scheint sich das Thema Datenschutz damit erledigt zu…
Computer als Kopf, Error

Die 5 häufigsten Datenschutz-Irrtümer im Online-Handel

Datenschutz ist im Online-Handel ein entscheidendes Thema, und das nicht erst seit…