EU-Datenschutz-Grundverordnung (DSGVO) – Sind Sie vorbereitet?

In den vergangenen Monaten wurden wir regelrecht überschüttet mit Informationen, Vorträgen und Artikeln zur neuen EU-Datenschutz-Grundverordnung (DSGVO). Experten werden nicht müde zu betonen, dass die DSGVO mit 25. Mai 2018 Gültigkeit erlangt und bis dahin alle Datenanwendungen an die neue Rechtslage angepasst werden müssen. Sollte dies nicht geschehen, so drohen hohe Geldstrafen und durch die Veröffentlichungspflichten ist auch mit erheblichen, also langfristigen Reputationsschäden zu rechnen. Die Verordnung regelt die Datenverarbeitung von Daten natürlicher Personen, dh sie betrifft alle Unternehmen, die personenbezogene Daten in irgendeiner Weise verarbeiten.

Die Datenschutz-Grundverordnung ist zwar als EU-Verordnung in jedem EU-Mitgliedstaat unmittelbar gültig, jedoch enthält sie einige Öffnungsklauseln, die dem nationalen Gesetzgeber einen gewissen Spielraum gewähren um Einzelheiten in angepasster Weise zu regulieren. Diesbezüglich wurde in Österreich das „Datenschutz-Anpassungsgesetz 2018“ beschlossen, das ebenfalls mit 25. Mai 2018 in Kraft tritt. Auch hier gewährt der Gesetzgeber keine Übergangsfristen. Es kommen somit wesentliche Neuerungen auf Unternehmen aller Branchen zu.

hacker-1944688.jpg

Was bedeutet dies in der Praxis?

Verpflichtende Schritte wie die Ernennung eines Datenschutzbeauftragten oder die Führung eines Verzeichnisses von Verarbeitungstätigkeiten hängen nicht nur von verschiedenen Kriterien wie Betriebsgröße (Mitarbeiterzahl), Umgang mit sensiblen Daten und Kerntätigkeit ab, sondern ersetzen auch die bisherige Meldepflicht in das Datenverarbeitungsregister (DVR) und können durch die Datenschutzbehörde im Rahmen ihrer Untersuchungsbefugnis kontrolliert und im schlimmsten Fall per Verwaltungsstrafe sanktioniert werden. Somit ist klar, dass die neue EU-Datenschutz-Grundverordnung zwar für alle in gleichem Maße gilt, es allerdings in den Betrieben zu unterschiedlichen Umsetzungsmaßnahmen kommen kann und sogar kommen soll, um auf die individuellen Bedürfnisse jeder Organisation einzugehen.

Nimmt man das Beispiel Hotellerie, so sehen wir, dass in den verschiedensten Bereichen eines Hotelbetriebes MitarbeiterInnen arbeiten, welche mit Ihren individuellen Zugängen ins EDV-System integriert sind und teils Zugang zu sämtlichen gespeicherten Daten erhalten. Nicht jeder muss aber für seine Arbeit Zugang zu den persönlichen Daten der Gäste haben. Diese Situation erfordert die Anpassung der einzelnen Zugangsberechtigungen der MitarbeiterInnen auf ein zweckmäßiges Ausmaß, damit die Datenverarbeitung die Grundsätze der Zweckbindung, Datenminimierung sowie Integrität und Vertraulichkeit beachtet. Man vergesse dabei nicht die 72-Stunden-Frist, in der nicht nur die Datenschutzbehörde über Datenschutzverletzungen informiert werden muss, sondern in manchen Fällen auch die betroffenen Personen selbst, sollten deren Daten gefährdet oder gar datenschutzrechtlich verletzt worden sein. In Fällen eines Datenverlustes könnte sich dies als außerordentlich schwierig erweisen. Um die Einhaltung der genannten Vorschriften zu ermöglichen oder zu erleichtern, ist es sinnvoll, in die Überlegungen zur Umsetzung der DSGVO gleichzeitig auch notwendige (technische und organisatorische) Anpassungen zu Speicherprinzipien sowie Lösch- und Archivierroutinen miteinfließen zu lassen.

Diese aber noch einige andere Stolpersteine gilt es bis zum 25. Mai 2018 zu analysieren und zu meistern. Wir bieten Ihnen einen individuellen Datenschutz-Check an, machen Sie auf Risiken aufmerksam und zeigen Ihnen wie Sie diese minimieren können. Die DSGVO sollte nicht nur als bürokratische Herausforderung oder gar als reine Sanktionsnorm verstanden werden – vielmehr ergeben sich aus einer angepassten Umsetzung der Grundverordnung vielfältige Möglichkeiten um Datenschutz ernsthaft im Unternehmen zu etablieren und somit einen Wettbewerbsvorteil zu erlangen.

Unser Datenschutzexperte empfiehlt Ihnen individuelle Lösungsvorschläge wie Sie mit Ihrem Unternehmen und Ihren Kunden in eine sorgenfreie Zukunft gehen können.