01.02.2018
Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Vom Einzelunternehmen bis zum Großkonzern sind alle gleichermaßen betroffen. Business Upper Austria hat den Datenschutz-Experten RA Dr. Michael M. Pachinger von der Anwaltskanzlei SCWP Schindhelm - Saxinger, Chalupsky & Partner unter anderem gefragt, warum diese Verordnung in Kraft tritt, was hinsichtlich der hohen Strafdrohungen zu erwarten ist und welche To Dos es für Unternehmen gibt.
Datenvorfälle, immer kompliziertere Online-Anwendungen und die steigende Bedeutung von personenbezogenen Daten haben wohl mit dazu beigetragen, dass man sich auf Ebene der Europäischen Union darauf verständigt hat, strengere Datenschutzbestimmungen vorzusehen.
Ich sehe die drei Hauptbereiche der DSGVO zunächst in der neuen Selbstverantwortung von Unternehmen und Organisationen, sodann im Bereich der Rechte der betroffenen Personen und schließlich im Sicherheitsaspekt. Unternehmen sollten daher insbesondere 1) Verzeichnisse über ihre Datenverarbeitungen führen, 2) Auskunfts- oder Löschbegehren erfüllen können und 3) für eine adäquate IT-Sicherheitslandschaft sorgen.
Es werden definitiv Strafen verhängt werden, aber es handelt sich um Strafrahmen und es gibt wichtige „Milderungsgründe“; ich erwarte zudem, dass die Datenschutzbehörde zunächst auch prüft und Verwarnungen ausspricht bzw. zu Verbesserungsmaßnahmen auffordert.
Unternehmen werden mitunter schon jetzt ersucht, darzulegen, ob und wie sie sich auf die neuen Vorgaben der DSGVO vorbereiten. Dazu zählen natürlich auch technische und organisatorische Maßnahmen, die einen angemessenen Level haben müssen.
Wenn Daten bspw. entgegen ihrem ursprünglichen Verwendungszweck verwendet oder von Unberechtigten verarbeitet werden, kann dies zu einem Datenvorfall führen, der an die Datenschutzbehörde gemeldet und den betroffenen Personen mitgeteilt werden muss. Dazu werden auch enge Fristen gesetzt!
Nach einer Erst-Evaluierung machen wir in unseren Projekten eine sog. GAP-Analyse, um festzustellen, wo die gravierendsten „Lücken“ im Hinblick auf die neue Rechtslage bestehen. Auf dieser Basis kann dann eine priorisierte und effiziente, aber auch praktikable Umsetzung und Vorbereitung auf den 25.05.2018 erfolgen.
Eine Möglichkeit dafür bietet unser Praxisleitfaden zur DSGVO, DATENSCHUTZ-AUDIT, den ich zusammen mit IT-Experten herausgebracht habe. Der komplizierte Gesetzestext wird darin in klar prüfbaren Kontrollen dargestellt; geht man nach diesem Compliance-Set vor, kann dargelegt werden, dass man sich mit allen Pflichten der DSGVO auseinandergesetzt hat. Die zweite aktualisierte Auflage mit unseren Praxiserfahrungen und den Kontrollen für das DSG 2018 ist ab sofort erhältlich unter shop.lexisnexis.at/datenschutz-audit-9783700770831.html
Das kann nicht generell gesagt, sondern muss im spezifischen Einzelfall beurteilt werden. Wichtig ist, dass externe Beratung in unterschiedlichem Ausmaß erfolgen kann. Wir haben einerseits Projekte, in denen wir Unternehmen intensiv, zB. mit Workshops etc., begleiten; andererseits erfolgt auch oft eine Betreuung mit Handlungsanleitungen, Checklists und Prüfungen von einzelnen wichtigen Themenstellungen.
Business Upper Austria bietet zur Datenschutz-Grundverordnung diverse Workshops und Erfahrungsaustauschrunden an. Zb. die Veranstaltung des IT-Cluster: EU-Datenschutz-Grundverordnung in der Praxis oder die Information Security Auftaktveranstaltung des Softwarepark Hagenberg. Weiters wurde das Information Security Network (ISN) als Tor zu Anbietern und als Orientierungshilfe gegründet, um für die mit Datenschutz und Informationssicherheit einhergehenden technischen, organisatorischen und rechtlichen Herausforderungen gerüstet zu sein.
Das könnte Sie auch interessieren:
Rudolf Trauner Preis
für FH-Professor
Gleichbleibende Qualität
durch Big Data
FHOÖ Studierende gewinnen
WTUN-Hackathon 2023