Überblick: Das ändert die neue DSGVO
Am 25. Mai 2018 ist es soweit! Die neue Datenschutz-Grundverordnung betrifft alle Unternehmen, die personenbezogene Daten verarbeiten. Die DSGVO ist dabei eine gute Gelegenheit für Ihr Unternehmen Ihre Daten genauer unter die Lupe zu nehmen. Seien Sie Vorreiter, indem Sie sich zu den neuen Richtlinien bekennen und ein noch besseres Verhältnis zu Ihren Kontakten etablieren.
Bestandsanalyse
An einer Dateninventur führt kein Weg vorbei. Sie und Ihr Unternehmen müssen wissen, welche Daten warum, wo, für welche Zwecke, wie lange verarbeitet werden, wer Zugriff hat und ob beziehungsweise an wen diese weitergegeben werden. Insbesondere Ihre Website und Ihr Newslettersystem sollten überprüft werden.
Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis ist eine der zentralen Neuerungen der DSGVO und ersetzt die derzeitigen DVR Meldungen. Es muss unter anderem Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kategorien der Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten. Die WKO bietet Musterverzeichnisse.
Folgenabschätzung
Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten besteht, so muss Ihr Unternehmen eine Datenschutz-Folgenabschätzung machen. Darin müssen Sie die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschreiben sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewerten. Was gegen diese Risiken unternommen werden kann (Datensicherheitsmaßnahmen) komplettiert die Datenschutz-Folgenabschätzung.
Informationspflichten
Von einer Datenverarbeitung betroffene Personen müssen über diese informiert werden können: Was, wer, zu welchem Zweck, wie lange, wohin. Auch Betroffenenrechte, wie etwa auf Auskunft oder Löschung müssen unverzüglich, spätestens innerhalb eines Monats, erfüllt werden.
Auftragsverarbeiter-Vertrag
Diesen brauchen Sie, wenn externe Dienstleister, wie Auftragsverarbeiter, für IT-Dienstleistungen, Buchhaltung oder auch Lohnverrechnung beauftragt werden. Prüfen Sie, ob ein entsprechender Vertrag vorhanden ist, wenn nicht, sollten Sie einen abschließen. Die WKO bietet hier Musterverträge.
Meldepflicht
Im Falle von Datenschutzverletzungen, wie etwa dem Verlust eines Datenträgers oder Hackerangriff, muss Ihr Unternehmen diesen der Datenschutzbehörde melden. Und zwar unverzüglich, spätestens jedoch innerhalb von 72 Stunden ab Erkennen des Vorfalls. Eine Ausnahme besteht, wenn der „Data Breach“ keine Risiken für die betroffenen Personen mit sich bringt. Wenn das Risiko hoch ist, müssen die Betroffenen direkt informiert werden.
Noch unsicher?
Konsultieren Sie den WKO DSGVO-Infokit, den Datenschutzservice und den DSGVO-Ratgeber.
Weitere Informationen finden Sie unter:
wko.at/itsafe-handbuch-kmu
wko.at/dsgvo-infos
wko.at/dsgvo-auftragsverarbeiter-muster
Kommentare