VERANSTALTUNGEN

abas Global Conference
20.09.18 - 21.09.18
In Karlsruhe

EASY World 2018
20.09.18 - 20.09.18
In Mülheim an der Ruhr

it-sa 2018
09.10.18 - 11.10.18
In Nürnberg

plentymarkets Omni-Channel Day 2018
12.10.18 - 12.10.18
In Kassel

Digital Marketing 4Heroes Conference
16.10.18 - 16.10.18
In Wien und München

Andreas NiederbacherDie EU-Datenschutzgrundverordnung ist derzeit in aller Munde. Es handelt sich dabei um eine Verordnung der Europäischen Union, mit der die Regeln für die Verarbeitung von personenbezogenen Daten durch private Unternehmen und öffentliche Stellen in der EU vereinheitlicht wird. Information von Mag. Andreas Niederbacher, Deloitte Österreich. 

Die Verordnung gilt ab dem 25. Mai 2018 in allen EU-Mitgliedstaaten und die Bestimmungen betreffen alle Unternehmen, die Daten von EU-BürgerInnen verarbeiten.

Hierbei gibt es keine Eingrenzungen in Bezug auf Unternehmensbranche oder Größe. Die Verordnung hebt die aus dem Jahr 1995 stammende Richtlinie 95/46/EG zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten sowie zum freien Datenverkehr auf. Die konkrete Umsetzung der Anforderungen erfolgt in Österreich durch das Datenschutzanpassungsgesetz. Die Anforderungen der Verordnung gehen über die derzeitigen Anforderungen des Datenschutzgesetzes hinaus. Die dabei zu bewältigenden Herausforderungen sind gerade für UnternehmerInnen umfassend und aus heutiger Sicht noch mit schwer kalkulierbaren Kosten verbunden. Neben dem erhöhten Bußgeldrahmen von bis zu 20 Mio. Euro oder von bis zu 4 % des gesamten, weltweiten Jahresumsatzes eines Unternehmens sind vor allem die folgenden sechs Aspekte von zentraler Bedeutung.

Marktortprinzip

Die Verordnung gilt für in der EU ansässige Unternehmen ebenso wie für Unternehmen, die Produkte und Dienstleistungen in der Union anbieten, aber Daten gegebenenfalls außereuropäisch verarbeiten.

Informationspflichten

Allen Betroffenen - KundInnen, WerbeempfängerInnen, MitarbeiterInnen, BewerberInnen - müssen umfangreiche Auskünfte über die Herkunft ihrer Daten, die Art der Verarbeitung und die geplante Weitergabe an Dritte gegeben werden.

Privacy by Design & Privacy by Default

Datenschutzanforderungen müssen bereits bei der Entwicklung von Produkten und Dienstleistungen nachweisbar berücksichtigt werden. Außerdem sind die Standardeinstellungen der Systeme stets so zu wählen, dass die geringstmögliche Datenmenge erfasst wird und sie als datenschutzfreundlich zu verstehen sind.

Privacy Impact Assessment

Alle Datenverarbeitungen mit erhöhtem Risiko müssen vorab einer formellen und dokumentierten Abwägung von Zweck, Notwendigkeit, Risiken und Verhältnismäßigkeit unterzogen werden. Das Ergebnis des Assessments kann eine zwingende Konsultation der Datenschutzbehörde zur Folge haben.

Benachrichtigung von Datenschutzvorfällen

Sollte es beim Verarbeiter zu einem Datenschutzvorfall kommen, so ist dieser innerhalb von 72 Stunden sowohl an die Aufsichtsbehörden als auch an den Betroffenen zu melden. Die Meldung hat neben einer Beschreibung des Vorfalls auch voraussichtliche Konsequenzen und Maßnahmen zur Wiedergutmachung zu beinhalten.

Dokumentationspflicht

Alle VerarbeiterInnen sind verpflichtet, die Einhaltung der Bestimmungen zu dokumentieren und auf Verlangen der Aufsicht nachzuweisen.

Resultierende Auswirkungen auf Unternehmen

Unternehmen müssen durch die Implementierung von Prozessen sicherstellen, dass nur solche personenbezogenen Daten genutzt werden, für die eine Einwilligung oder eine Rechtsgrundlage vorliegt.

Zusätzlich ist technisch sicherzustellen, dass alle personenbezogenen Daten identifiziert, bewertet und strukturiert oder im Anlassfall gelöscht werden. Dies kann sich in der Praxis schwierig gestalten.

Ein möglicher Ansatz, um den Anforderungen der EU DSGVO zu entsprechen, ist die Einführung eines Datenschutz-Management-System (DSMS).

Dabei werden in einem ersten Schritt die Unternehmensdaten, unabhängig davon ob diese strukturiert (zum Beispiel in Datenbanken) oder unstrukturiert (zum Beispiel am Fileserver) gespeichert sind, analysiert und klassifiziert. Sollten bei der Analyse personenbezogene Daten (gemäß Definition der EU DSGVO) identifiziert werden, sind diese von den Anforderungen der EU DSGVO betroffen. Die Verarbeitung ist dann ausschließlich unter Einhaltung der Anforderungen durchzuführen und durch regelmäßig wiederkehrende Audits zu überwachen.

Unternehmen ist zu empfehlen die kommenden 11 Monate bis zur Anwendbarkeit der EU DSGVO effizient zu nutzen. Auf Basis einer strukturierten Analyse sollten Prozesse systematisch und in Hinblick auf die jeweiligen Anforderungen überprüft, angepasst und wenn nötig zeitnah neu eingeführt werden. Die rechtzeitige strukturierte Befassung mit dem Thema ermöglicht eine ressourcenschonende Anpassung.

Außerdem kann dies zum Anlass genommen werden, um Systeme und Prozesse auch hinsichtlich verwandter Anforderungen - Stichworte sind das E-Commerce-Gesetz sowie das Mediengesetz - zu evaluieren.

www.adv.at

 

GRID LIST
Fitness App

Weitere Fitness-App mangelhaft: Unverschlüsselte Übertragung von Standortdaten

Als Reaktion auf die Anfang des Jahres stark in die Kritik geratenen Fitness-Apps hat das…
Server

Was ist Server Name Indication (SNI)?

Mit der Server Name Indication (SNI) kann ein Server mehrere TLS-Zertifikate für…
Matthias Stauch

DSGVO: personenbezogene Daten nur verschlüsselt übermitteln

Die DSGVO fordert Unternehmen dazu auf personenbezogene Daten zu schützen. Welche…
Datenschutz Superheld

Was macht einen guten Datenschutzbeauftragen aus?

Ist die IT-Infrastruktur technisch sicher und rechtssicher aufgebaut, haben Unternehmer…
Happy man with EU-Flag

DSGVO als Chance begreifen und Performance steigern

Etwas über einen Monat ist die DSGVO nun in Kraft und soll dafür sorgen, besonderes…
DSGVO

Herausforderung DSGVO: Beim Datenschutz den Durchblick haben

Die Datenschutz-Grundverordnung (DSGVO) ist in diesen Tagen omnipräsent. Seit dem…
Smarte News aus der IT-Welt