DSGVO

EU-Datenschutz-Grundverordnung

Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz-Anpassungsgesetzes 2018 gelten ab 25.5.2018. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen.

MAG Logo

MAG – Managed Services – Datenschutzgrundverordnung

DSGVO EU-Datenschutz-Grundverordnung

Der 25. Mai 2018 rückt näher!

Die Übergangsfristen für die Datenschutz-Grundverordnung werden mit diesem Datum ebenfalls schwinden. Noch bleibt etwas Zeit, die horrenden Strafdrohungen durch passende Maßnahmen zu vermeiden. Hier finden Sie die wichtigsten Schritte, mit deren Hilfe Sie mit unserem Team Ihr Unternehmen noch rechtzeitig fit für die neuen Bestimmungen machen können. 

Der meist geglaubte Irrtum:

Unser Unternehmen trifft es nicht?

Und dies kann für Unternehmen, egal welcher Größe ob Konzern, Mittelbetrieb oder Einzelunternehmen, jeder der Aufträge bearbeitet, jeder der Emails schreibt und jeder der eine Buchhaltung benötigt, fatale Folgen haben. Die DSGVO trifft uns alle mit voller Härte. Ob Sie Daten Ihrer Angestellten an die Lohnverrechnung senden, Daten für Bestellungen an Ihre Lieferanten weitergeben, oder gar nur Ihre Webseite, sei Sie auch noch so klein und quasi nur eine „Vistenkarte“ darstellt, ab Mai 2018 müssen alle Bestimmungen erfüllt werden, nach außen und nach innen im Unternehmen. Dies trifft auch Mitarbeiter auf Werksvertragsbasis, diese gelten als „selbständig“.

Dokumentieren, dokumentieren und abermals dokumentieren

Das muss Ihr Credo sein. Denn diese wird gesetzlich verpflichtend, war aber bereits verpflichtend, nur hat niemand danach gefragt. Mit der neuen EU Datenschutz Grundverordnung wird sich dies ändern. Mir wird schon nichts passieren, ich bin ein kleines Unternehmen, was soll schon passieren, dies kann fatal Enden, denn haben Sie Lieferanten und Kunden? Wird der Kunde geprüft können rasch „Folgeprüfungen“ entstehen, werden große Lieferanten geprüft, so kann die prüfende Behörde gleich mal bei Ihnen nachfragen, welche Datenschutzrichtlinie Ihr Unternehmen hat, und dann beginnt sich der Kreis zu schließen, denn Unwissenheit schützt nun dann tatsächlich nicht mehr.

MAG Logo

Wir können helfen…

  • gesetzliche Vorgaben einzuhalten
  • Dokumentationen zu erstellen
  • Vorlagen für Mitarbeiter bereitzustellen
  • regelmäßige Audits durchzuführen
  • Risikoanalysen zu erstellen
  • Sicherheitskonzepte umzusetzen
  • Social Security einzuführen
  • Ihre MItarbeiter zu schulen
  • usw.

Schritt 1: Datenerhebung

Detektivarbeit leisten, das steht zu Beginn der Erhebungen am Plan.

Der größte Arbeitsaufwand kommt gleich zu Anfang zum tragen und stellt die Basis dar.

Das Feststellen, welche Personen und Abteilungen im Unternehmen, welche personenbezogenen Daten, wofür und mit welchen Programmen verwenden. Am besten benennen Sie hierfür Verantwortliche oder holen sich externe Berater (wie z.B. das MAG Team), die sich mit den Prozessen in den verschiedenen Aufgabenbereichen Ihrer Firma gut auskennen. Lassen Sie sie Listen anlegen mit allen Arten von Daten und Informationen dazu, welche Personen diese mit welchen Programmen bearbeiten. Das kann im ersten Schritt auch eine einfache Excel-Liste sein.

Unser Tipp hierbei lautet:

Ein wirksamer Datenschutz im Unternehmen erfordert regelmäßige Überprüfungen und einen kompetenten Ansprechpartner! Auch wenn ein Datenschutzbeauftragter in Österreich nicht verpflichtend ist, empfehlen wir trotzdem, einen Projektverantwortlichen zu bestellen. Gerne helfen wir Ihnen bei diesem Punkt und stellen Ihnen unsere Kompentenz zur Verfügung. Verantwortlich sind Sie als Unternehmen, eine etwaige Haftung an Dritte kann gesetzlich verankert nicht ausgelagert werden.

Achtung!

Nicht alle Datenanwendungen sind jedermann bekannt oder für jeden im Unternehmen zugänglich. Gerade bei Schnittstellenabteilungen wie IT oder HR gibt es viele „dunkle Flecken“ was die Verwendung von Daten betrifft. Nur wenn alle Unternehmensbereiche genau unter die Lupe genommen werden, können Sie sicherstellen, dass keine widerrechtliche Datenspeicherung oder -verwendung passiert.

 

Schritt 2: Legitime Daten

Sind meine Daten legitim?

Darf ich diese Daten überhaupt haben/verarbeiten?

Nach den Bestimmungen der EU DSGVO darf man Daten nur besitzen und verarbeiten, wenn man dafür einen triftigen Grund hat. Welch herrliche Definition. Darunter fallen auch Daten die Mitarbeiter ins Unternehmen gebracht haben bzw. auch bringen und Pflegen, es heißt so schön „im wirtschaftliche Interesse“. Ihre im Unternehmen befindlichen Daten müssen regelmäßig daraufhin überprüft werden, ob sie für Ihr Unternehmen tatsächlich noch notwendig sind (und aktuell!)

Gerade im Bereich Finanzen und Buchhaltung besteht oft Unsicherheit, ob bzw. wie lange sie Personaldaten bzw. Buchhaltungsdaten aufbewahren dürfen oder nicht. Hier gilt: Rechtlich verankerte Aufbewahrungsfristen (im Personalbereich teilweise 30 Jahre) werden für die Datenschutzbehörde immer ein legitimer Grund sein, wieso Unternehmen Daten besitzen dürfen!

Unser Tipp hierbei lautet:

Stellen Sie auch fest ob Mitarbeiter mit Daten arbeiten die Sie eigentlich nicht im Unternehmen haben sollen/dürfen. Dies können persönliche Kontakte sein, wir nehmen mal an, dass auch Mitarbeiter von Ihren alten Beschäftigungsverhältnissen keine Daten in Ihre Unternehmen „übernommen“ haben.

Achtung!

Es gelten unter anderem Prinzipien wie die Datensparsamkeit (zeitlicher Umfang), Aktualität, Richtigkeit und Transparenz. Nur weil Sie vor 10 Jahren Daten einmal auf legitime Art und Weise, beispielsweise durch eine Kundenanfrage oder Bestellung) erhalten haben, ist das kein Freifahrtschein für die nächsten 20 Jahre!

Schritt 3: Zustimmungen (neu) einholen

Unterschriften bringen Sicherheit

Auch wenn Sie eigentlich berechtigt sind gewisse Dten zu besitzen oder eigentlich nicht (mehr) berechtigt sind, gewisse Daten zu besitzen, sie aber nicht vernichten möchten, müssen Sie die Zustimmung zur Speicherung und Verwendung neu einholen.

Gerade zu Beginn sollten Sie sich bei jeder Handhabung personenbezogener Daten die Regelungen ins Bewusstsein rufen und sich fragen, ob es einen triftigen Grund gibt, diese Daten zu behalten. Holen Sie im Zweifelsfall Zustimmungserklärungen ein, z.B. wenn Sie Lebensläufe von Bewerbern in Evidenz halten möchten, obwohl der Job bereits anderweitig vergeben ist!

Unser Tipp hierbei lautet:

Überarbeiten Sie Ihre Allgemeinen Geschäftsbedingungen, pflegen Sie Zustimmungs- und Widerrufsrechte ein und lassen Sie sich die (neuen) AGB´s durch Ihre Kontakte bestätigen und heben Sie diese unterzeichneten Unterlagen auf.

Achtung!

Dies gilt auch für Bestandskunden. Achten Sie hierbei vor allem darauf, die Zustimmungserklärung so einzuholen, dass auch wirklich alle Ihre Unternehmensbereiche abgesichert sind. Für den Betroffenen muss klar ersichtlich sein, um welche Daten es sich handelt und was Sie damit vorhaben. Die Daten müssen zudem aktuell sein. Andere rechtliche Pflichten wie z.B. Email Archivierungen bleiben jedoch stets aufrecht.

Schritt 4: Dokumentation,

dokumentieren, dokumentieren, dokumentieren

Die ausgereiftesten Datenschutz-Maßnahmen nützen Ihnen nichts, wenn Sie deren Umsetzung nicht dokumentiert haben. In diesem Fall gilt ausnahmsweise: Mehr ist mehr! Dokumentieren Sie umfassend, welche Schritte Sie zur Sicherung des Datenschutzes in Ihrem Unternehmen gesetzt haben, wie Sie Mitarbeiter geschult haben, welche Daten Sie wofür wo gespeichert haben und von welchen Mitarbeitern diese wie verwendet werden und wie lange.

Unser Tipp hierbei lautet:

Je genauer und umfangreicher die Dokumentation ist und je besser Sie beweisen können, dass Sie den Datenschutz in Ihrem Unternehmen ernst nehmen, umso milder wird ein Urteil und die dementsprechende Strafe ausfallen, sollte doch einmal etwas vorfallen.

Achtung!

Welche Aufgaben und Zuständigkeiten hat die Datenschutzbehörde ab Mai 2018? Die Datenschutzbehörde sorgt für die Einhaltung des Datenschutzes in Österreich und wird voraussichtlich auch kleine Unternehmen prüfen im Zuge von säumigen Großunternehmen oder auch nur bei deren Prüfung. Da kann sich das Rad relativ schnell drehen.

Schritt 5: Bleiben Sie up-to-date

Mit aktuellen Information und Entwicklungen arbeiten

Einige Fragen zum Thema Datenschutz sind immer noch offen bzw. warten in den ersten Prüfungen um Judikatur, doch ab Mai gilt es, Unwissenheit schützt vor Strafen trotzdem nicht. Auch werden wahrscheinlich klassich Strafen erstmal ausgesprochen und danach beschäftigen sich Gerichte damit. Dies können sich große Unternehmen leisten und beschäftigen eine Vielzahl von Anwälten, dies wir im Mittelstand und bei kleinen Unternehmen nicht leistbar sein. Wir als MAG Team versuchen mit bestem Wissen und Gewissen zu beraten und zu dokumentieren, und versuchen ebenfalls stets die aktuellsten Entwicklungen und Informationen zu erhalten. Offene Fragen müssten bei einem entsprechenden Antrag eines Betroffenen auf Löschung auch alle Daten, die auf Backup-Dateien oder -Servern gespeichert sind, mitgelöscht werden – eine in der Praxis unmögliche Aufgabe für IT-Mitarbeiter! Auch andere offene Fragen werden erst durch entsprechende Gerichtsurteile geklärt werden. Bleiben Sie daher auf alle Fälle up-to-date!

Unser Tipp hierbei:

Gesetze sind nicht in Stein gemeißelt und was heute gilt, kann morgen wieder anders sein. Vernetzen Sie sich mit Ihren Lieferanten und Kunden! Die DSGVO betrifft alle Unternehmen und es gibt bereits zahlreiche Plattformen, die sich des Themas angenommen haben.  Sie stehen mit Ihren Fragen und Problemen im Unternehmen sicher nicht alleine da und wo es Fragen gibt, gibt es immer auch Experten, die die Antworten „meistens“ kennen.

Achtung!

Auch bei Ihren Daten sollten Sie up-to-date bleiben und die Schritte in Ihrem Unternehmen regelmäßig wiederholen.
Nur so können Sie sicherstellen, dass Sie bei einer Kontrolle in einem Jahr oder in fünf Jahren keine böse Überraschung erwartet!

Für Preise fragen Sie unser Team, wir passen unsere Angebote indivduell an Ihr Anforderung, Herausforderungen, damit unser Service optimal an Ihre Bedürfnisse angepasst werden kann.

Muster Dokumentation

Beispiel FileMaker Personenerfassung

Kontaktformular

Ich akzeptiere die Datenschutzrichtlinie

8 + 2 =