Überblick: Das ändert die neue DSGVO

So bereiten Sie sich auf die Veränderungen im Mai richtig vor.

28.03.18, 14:10

Am 25. Mai 2018 ist es soweit! Die neue Datenschutz-Grundverordnung betrifft alle Unternehmen, die personenbezogene Daten verarbeiten. Die DSGVO ist dabei eine gute Gelegenheit für Ihr Unternehmen Ihre Daten genauer unter die Lupe zu nehmen. Seien Sie Vorreiter, indem Sie sich zu den neuen Richtlinien bekennen und ein noch besseres Verhältnis zu Ihren Kontakten etablieren.

Bestandsanalyse

An einer Dateninventur führt kein Weg vorbei. Sie und Ihr Unternehmen müssen wissen, welche Daten warum, wo, für welche Zwecke, wie lange verarbeitet werden, wer Zugriff hat und ob beziehungsweise an wen diese weitergegeben werden. Insbesondere Ihre Website und Ihr Newslettersystem sollten überprüft werden.

Verarbeitungsverzeichnis

Das Verarbeitungsverzeichnis ist eine der zentralen Neuerungen der DSGVO und ersetzt die derzeitigen DVR Meldungen. Es muss unter anderem Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kategorien der Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten. Die WKO bietet Musterverzeichnisse.

Folgenabschätzung

Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten besteht, so muss Ihr Unternehmen eine Datenschutz-Folgenabschätzung machen. Darin müssen Sie die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschreiben sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewerten. Was gegen diese Risiken unternommen werden kann (Datensicherheitsmaßnahmen) komplettiert die Datenschutz-Folgenabschätzung.

Informationspflichten

Von einer Datenverarbeitung betroffene Personen müssen über diese informiert werden können: Was, wer, zu welchem Zweck, wie lange, wohin. Auch Betroffenenrechte, wie etwa auf Auskunft oder Löschung müssen unverzüglich, spätestens innerhalb eines Monats, erfüllt werden.

Auftragsverarbeiter-Vertrag

Diesen brauchen Sie, wenn externe Dienstleister, wie Auftragsverarbeiter, für IT-Dienstleistungen, Buchhaltung oder auch Lohnverrechnung beauftragt werden. Prüfen Sie, ob ein entsprechender Vertrag vorhanden ist, wenn nicht, sollten Sie einen abschließen. Die WKO bietet hier Musterverträge.

Meldepflicht

Im Falle von Datenschutzverletzungen, wie etwa dem Verlust eines Datenträgers oder Hackerangriff, muss Ihr Unternehmen diesen der Datenschutzbehörde melden. Und zwar unverzüglich, spätestens jedoch innerhalb von 72 Stunden ab Erkennen des Vorfalls. Eine Ausnahme besteht, wenn der „Data Breach“ keine Risiken für die betroffenen Personen mit sich bringt. Wenn das Risiko hoch ist, müssen die Betroffenen direkt informiert werden.