Die DSGVO betrifft JEDES Unternehmen – hier sind die für Sie wichtigsten Fakten auf einen Blick.
Jedes Unternehmen, das personenbezogene Daten verarbeitet, muss sich an die Datenschutzregeln halten. Mitarbeiter- oder Kundendatenbank, Lieferanten, Buchhaltung, egal ob Cloud, Excel oder Aktenordner.
Seit knapp zwei Jahren ist die Datenschutzverordnung beschlossen, am 25.5.2018 tritt sie in Kraft. Danach kann die Umsetzung jederzeit kontrolliert werden. Unterschätzen Sie den Aufwand zur DSGVO-Konformität nicht und beginnen Sie jetzt mit der Umsetzung.
Der mögliche Strafrahmen kann existenzbedrohend sein. Aber keine Sorge: die Strafhöhe richtet sich nach Art und Umfang des Vergehens, und auch nach der geleisteten Vorarbeit. Wenn Sie sich jetzt rüsten, vermeiden Sie hohe Strafen.
… ist seit langem in der österreichischen Verfassung verankert. Die EU-Datenschutzgrundverordnung regelt ab 25.5.2018 den Umgang mit personenbezogenen (=eine Person identifizierenden) Daten. Sie definiert Grundsätze und Regeln, an die sich alle (datenverarbeitenden) Unternehmen zu richten haben.
Grundsätzlich gilt: die Datenverarbeitung personenbezogener Daten ist verboten. Außer es liegt eine Ausnahme vor, z.B:
Die Grundsätze des Datenschutzes sind unter anderem: Rechtmäßigkeit der Verarbeitung (Gründe bzw. Ausnahmen), Fairness (nach “Treu und Glauben”), Zweckbindung (die Daten werden nur für den erhobenen Zweck verwendet), Transparenz (Informationspflicht), Datenminimierung (nur so viel, wie notwendig; nur so lange gespeichert, wie erforderlich), Rechenschaftspflicht (man muss zu allem Rede und Antwort stehen können).
Inhaltlich wirklich neu ist “nur” die explizit erforderliche Löschung, wenn man die Daten nicht mehr benötigt. Ein Beispiel: Ärzte müssen Patientendaten für “mindestens” zehn Jahre aufbewahren. Es ist also in regelmäßigen Abständen zu prüfen, ob alte Datenbestände noch erforderlich sind. Falls nicht, sind die Daten zu löschen.
Bei Übermittlung der Daten ins Ausland gelten spezielle Regeln. Als Übermittlung ins oder Verarbeitung im Ausland kann bereits das Speichern in einer Cloud, die Nutzung von Apps, welche die Daten auf ausländischen Servern speichern oder die Nutzung eines Online-Kalenders gelten.
Bei der Einbindung von Auftragsdatenverarbeitern (z.B. Steuerberater für die Buchhaltung, Online-Terminkalender, …) muss darauf geachtet werden, dass der Anbieter ausreichende Gewähr für eine rechtmäßige und sichere Datenverarbeitung bietet. Weiters ist ein Vertrag mit jedem Auftragsdatenverarbeiter erforderlich. Dies gilt auch bei Cloud Computing.
Auch technisch-organisatorische Schutzmaßnahmen werden explizit in der DSGVO gefordert. Das wichtigste Prinzip ist, dass die Vertraulichkeit, Integrität und Verfügbarkeit von Computersystemen gewährleistet ist. Wie genau das zu erfolgen hat, ist nicht genau beschrieben und muss im Einzelfall abgeschätzt werden. Beispiele für Maßnahmen sind das Anfertigen von Backups, Führen einer Passwortpolitik, Verschlüsselung von Festplatten und Daten usw.
Das Thema Datenschutz ist heute omnipräsent. Bei Nichteinhaltung gibt es bereits jetzt und wird es in Zukunft vermehrt eine negative PR geben. Gerade im Medizin oder Life Science-Bereich kann dies den Ruf nachhaltig schädigen.
Abseits der Rufschädigung ist der horrende Strafrahmen (bis zu 20 Millionen Euro) zu beachten. Hier wird allerdings nach Art/Schwere des Verstoßes sowie bereits früher gesetzter Gegenmaßnahmen beurteilt. Dennoch ist damit zu rechnen, dass durch die Datenschutzbehörde kontrolliert und auch gestraft werden wird.
Durch die Umsetzung der DSGVO ergibt sich die Gelegenheit, die eigene IT, Datensicherheit, Datenbestände sowie Geschäftsprozesse zu prüfen und gegebenenfalls anzupassen.
Ermitteln und Dokumentieren, wo welche Daten erhoben werden sowie wo diese verarbeitet und gespeichert werden. Weiters muss definiert sein, wer warum auf welche Daten zugreifen kann, und an wen diese übermittelt werden.
Darf jede einzelne Datenart bzw. Datenanwendung die erhobenen Daten verarbeiten, gibt es also eine Rechtsgrundlage dafür? Werden die Daten korrekt weitergegeben?
Eine umfangreiche Informationspflicht für alle von der Datenanwendung Betroffenen: Kunden, Patienten und Mitarbeiter. Von der Einwilligung fürs Online-Formular bis hin zur korrekten Kaufabwicklung im Shop.
Ein Verarbeitungsverzeichnis ist eine Liste aller im Unternehmen durchgeführten Datenverarbeitungen bzw. Datenanwendungen. Es ersetzt die bisherigen DVR-Meldungen.
Mithilfe der Definition von Prozessen sowie Datensicherheitsmaßnahmen stellen Sie sicher, dass keine Daten unrechtmäßig verarbeitet werden oder abhanden kommen.
Die Datenschutzbehörde kann jederzeit Ihren Betrieb prüfen. Die erforderliche Dokumentation muss vorgewiesen werden können – ob Sie vor Ort sind, oder nicht.
Für weitere Infos klicken Sie auf Ihre Branche.
Wir setzen fristgerecht alle erforderlichen Prozesse auf und übernehmen bei Bedarf die Rolle des Datenschutzbeauftragten.
Unser „Keine-Sorgen“-Komplettpaket für ÄrztInnen, Gemeinschaftspraxen und Ärztezentren.
Wir sprechen Ihre Sprache, kennen die IT-Landschaften & Prozesse und die Anforderungen an die Verarbeitung besonders sensibler Daten.
