MediaBrothers Blog
#MediaBrothers Relevant oder nie
06/11/17 Daten und Fakten zur DSGVO – Das bringt die neue Datenschutzgrundverordnung! von Daniel Zeilbauer

Was bringt die neue Datenschutzgrundverordnung spätestens ab Mai 2018?

 
Ab 25. Mai 2018 gilt die neue europäische Datenschutzgrundverordnung (DSGVO) für all jene, die personenbezogene Daten von natürlichen Personen verarbeiten. Da jedes Unternehmen Daten im Sinne des DSGVO verarbeitet (z.B. Mitarbeiterdaten und zumeist auch Kundendaten), sind alle Unternehmen von der DGSVO betroffen.

 

Ziel ist ein Mindestmaß an Datenschutz innerhalb der Europäischen Union sicherzustellen und die Rechte der betroffenen Personen zu sichern. Aufgrund der empfindlich hohen Strafen von bis zu 20 Millionen Euro (bisher max. 25.000 EUR) oder 4% vom weltweiten Umsatz – je nach dem, was höher ist – kann dies fatale Auswirkungen haben.

 

Folgende Maßnahmen müssen von Unternehmen umgesetzt werden:

 

Verzeichnis von Verarbeitungstätigkeiten

Die bekannten DVR-Meldungen werden durch ein eigenständiges Verzeichnis abgelöst. Dies muss u.a. Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kategorien der betroffenen Personen sowie der personenbezogenen Daten und die Beschreibung der Datensicherheitsmaßnahmen enthalten.

 

Privacy by design / privacy by default

Bereits bei der Implementierung von technischen und organisatorischen Verfahren müssen die Rechte der betroffenen Personen geschützt werden. Zum Beispiel durch Pseudonymisierung, keine Vorauswahl von Zustimmungen, Datenminimierung uvm.

 

Datenschutzrechtliche Voreinstellungen

Es muss sichergestellt werden, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen Zweck erforderlich ist.

 

Datenschutzbeauftragter

Einige Betriebe, deren Kerntätigkeit in einer regelmäßigen und systematischen Verarbeitung von personenbezogenen Daten besteht (zB, sensible Daten wie Krankendaten, Straftaten usw.) müssen einen Datenschutzbeauftragten bestellen.

 

 

Pflichten für Unternehmen:

Des Weiteren ergeben sich für Betriebe folgende Pflichten:

 

Informationspflicht innerhalb 1 Monats

Informationen und Betroffenenrechte (Recht auf Löschung, Berichtigung, Datenübertragbarkeit, Widerspruch, …) müssen unverzüglich, spätestens aber innerhalb eines Monats, gegeben und erledigt werden.

 

Pflicht zur Folgenabschätzung

Besteht durch die Verarbeitung von Daten ein hohes Risiko, dass die Rechte und Freiheiten der Personen verletzt werden könnten, so muss eine Folgenabschätzung gemacht werden. Darin müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschrieben werden.

 

Meldung innerhalb von 72 Stunden

Im Falle von Datenschutzverletzungen (z.B. Verlust eines Datenträgers, Hackerangriffs, …) muss dies der Datenschutzbehörde und den betroffenen Personen innerhalb von 72 Stunden gemeldet werden. Ausnahme: wenn die Datenschutzverletzung voraussichtlich kein Risiko für die persönlichen Rechte und Freiheiten hat.

 

Die Zeiten eines zahnlosen Gesetzes gehen damit definitiv zu Ende. Aber sehen wir es positiv: Datenschutzmaßnahmen und gute Standards in der IT-Sicherheit sind eine Investition in das Vertrauen von Kunden und in die wirtschaftliche Zukunft des Unternehmens.