Datenschutz Grundverordnung - Strafen bis 20 Millionen Euro möglich

Die Datenschutz-Grundverordnung (DSGVO) der EU regelt künftig den Umgang mit personenbezogenen Daten. In der DSGVO wird vorgegeben, unter welchen Voraussetzungen ein Unternehmen diese Daten verarbeiten darf.Betroffen ist grundsätzlich jedes Unternehmen, das personenbezogene Daten verarbeitet. Peronenbezogene Daten sind jene Daten, die mit einer Person in Verbindung gebracht werden können, wie Name, Adresse, Telefonnummer. Das können zum einen externe Daten, wie Kundendaten sein oder zum anderen interne Daten von Mitarbeitern. Speziellen Schutz erfahren sogenannte sensible Daten, wozu Religionszugehörigkeit, gesundheitsbezogene Daten oder politische Daten wie eine Gewerkschaftszugehörigkeit gezählt werden.

Kleine Betriebe überfordert

Andreas Geierlehner von der Wirtschaftskammer Amstetten erzählt, das sehr viele kleinstrukturierte Betriebe von den bevorstehnden Anforderungen vielfach überfordert seien. Die Benennung eines Datenschutzbeauftragten wird im Gegenzug nur für eine Handvoll von Betrieben im Bezirk notwendig sein, beruhigt Geierlehner.

WKO hat Leitfaden

Deshalb hat die Wirtschaftskammer (WKO) für die Überprüfung der korrekten Datenverarbeitung einen Leitfaden entworfen. Dieser kann bei jeder WKO-Zweigstelle angefordert werden und bietet einen praktischen und hilfreichen Wegweiser für die Umsetzung der DSGVO.

Strafmaß wurde erhöht

Mit der neuen Datenschutz-Grundverordnung wurde das Strafmaß empfindlich erhöht. Strafen bis zu 20 Millionen Euro oder vier Prozent des weltweiten Jahresumsatzes verleihen der Verordnung die nötigen Zähne zur Umsetzung. Der Handel mit Daten ist ein einträgliches Geschäft, aber diese Strafen zahlt nun niemand mehr aus der Portokasse.

Information über die eigene Datenverwaltung

Die WKO empfiehlt dringend eine Dateninventur. Man muss wissen, welche Daten wo, für welche Zwecke, wie lange verarbeitet werden, wer Zugriff hat und ob beziehungsweise, an wen diese weitergegeben werden. Insbesondere die Website und ein allfälliges Newslettersystem sollte überprüft werden.

Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis ist eine der zentralen Neuerungen der DSGVO und ersetzt die derzeitigen DVR Meldungen. Es muss unter anderem den Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kategorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten. Die WKO hat dafür Musterverzeichnisse.

Folgenabschätzung

Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten besteht, ist eine Datenschutz Folgenabschätzung zu erstellen. Darin müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschreiben sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewertet werden. Was gegen diese Risiken unternommen werden kann (Datensicherheitsmaßnahmen) komplettiert die DatenschutzFolgenabschätzung.

Pflichten befolgen

Von einer Datenverarbeitung betroffene Personen müssen über diese informiert werden können (Was, wer, zu welchem Zweck, wie lange, wohin?). Auch Betroffenenrechte (z.B. Auskunft, Löschung) müssen unverzüglich, spätestens innerhalb eines Monats erfüllt werden. Das betrifft sowohl Anfragen von Kunden als auch Auskunftsbegehren von Mitarbeitern.

Data Breach Notification

Im Falle von Datenschutzverletzungen (z.B. Verlust eines Datenträgers, Hackerangriff) muss ein Unternehmen dies der Datenschutzbehörde und den betroffenen Personen melden. Und zwar in angemessener Frist innerhalb von 72 Stunden nach der Entdeckung. Eine Ausnahme besteht, wenn die Datenschutzverletzungvoraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet.

Die sieben Prinzipien

Die Datenschutzverordnung baut inhaltlich auf sieben Grundprinzipien auf.Das Prinzip Speicherbegrenzungbesagt, dass Daten nur solange gespeichert werden, wie für die Verarbeitung erforderlich ist.

Das Prinzip Datenminimierung besagt, dass nur so viele Daten verarbeitet werden, wie erforderlich sind.

Das Prinzip der Zweckbindungunterstreicht, dass Daten nur für die übereingekommenen Zwecke, und nicht darüber hinaus, verarbeitet werden. Eine Zustimmung zum Empfang eines Newsletters bedeutet also nicht auch das Einverständnis zur Teilnahme an einer Umfrage.

Das Prinzip Richtigkeit besagt, dass Daten in bestem Wissen und Gewissen richtig und aktuell gehalten werden sollen.

Das Prinzip Integrität und Vertraulichkeit besagt, dass die Sicherheit und der Schutz von verarbeiteten Daten maximal gewährleistet wird.

Das Prinzip der Rechenschaftsplficht besagt, dass der Verantwortliche die Erfüllung des Datenschutzes nachweisen können muss.

Das Prinzip von Rechtmäßigkeit,Verarbeitung nach Treu und Glauben, Transparenz besagt, dass die Daten nur auf rechtmäßige, nachvollziehbare und transparente Weise verarbeitet werden sollen