Datenschutz-Grundverordnung: Was erwartet Unternehmen?
01.02.2018
Am 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DS-GVO) in Kraft. Vom Einzelunternehmen bis zum Großkonzern sind alle gleichermaßen betroffen. Business Upper Austria hat den Datenschutz-Experten RA Dr. Michael M. Pachinger von der Anwaltskanzlei SCWP Schindhelm - Saxinger, Chalupsky & Partner unter anderem gefragt, warum diese Verordnung in Kraft tritt, was hinsichtlich der hohen Strafdrohungen zu erwarten ist und welche To Dos es für Unternehmen gibt.
- Welche wesentlichen Erwägungsgründe haben zur Entstehung der EU Datenschutz-Grundverordnung geführt?
Datenvorfälle, immer kompliziertere Online-Anwendungen und die steigende Bedeutung von personenbezogenen Daten haben wohl mit dazu beigetragen, dass man sich auf Ebene der Europäischen Union darauf verständigt hat, strengere Datenschutzbestimmungen vorzusehen.
- Was sind die drei wichtigsten Punkte, die ein Unternehmen in Bezug auf die Datenschutz-Grundverordnung beachten muss?
Ich sehe die drei Hauptbereiche der DSGVO zunächst in der neuen Selbstverantwortung von Unternehmen und Organisationen, sodann im Bereich der Rechte der betroffenen Personen und schließlich im Sicherheitsaspekt. Unternehmen sollten daher insbesondere 1) Verzeichnisse über ihre Datenverarbeitungen führen, 2) Auskunfts- oder Löschbegehren erfüllen können und 3) für eine adäquate IT-Sicherheitslandschaft sorgen.
- Im Zusammenhang mit der DS-GVO werden horrende Geldbußen als Strafe genannt. Erwarten Sie, dass derart hohe Strafen verhängt werden?
Es werden definitiv Strafen verhängt werden, aber es handelt sich um Strafrahmen und es gibt wichtige „Milderungsgründe“; ich erwarte zudem, dass die Datenschutzbehörde zunächst auch prüft und Verwarnungen ausspricht bzw. zu Verbesserungsmaßnahmen auffordert.
- Sind Ihnen bereits Fälle bekannt, in denen Unternehmen aufgefordert wurden, ihre zum Datenschutz eingesetzten technischen und organisatorischen Maßnahmen darzulegen?
Unternehmen werden mitunter schon jetzt ersucht, darzulegen, ob und wie sie sich auf die neuen Vorgaben der DSGVO vorbereiten. Dazu zählen natürlich auch technische und organisatorische Maßnahmen, die einen angemessenen Level haben müssen.
- Was ist eine Datenschutzpanne und was muss dann unternommen werden?
Wenn Daten bspw. entgegen ihrem ursprünglichen Verwendungszweck verwendet oder von Unberechtigten verarbeitet werden, kann dies zu einem Datenvorfall führen, der an die Datenschutzbehörde gemeldet und den betroffenen Personen mitgeteilt werden muss. Dazu werden auch enge Fristen gesetzt!
- Wie sollte ein Unternehmen an die Umsetzung der Anforderungen aus der DS-GVO heran gehen?
Nach einer Erst-Evaluierung machen wir in unseren Projekten eine sog. GAP-Analyse, um festzustellen, wo die gravierendsten „Lücken“ im Hinblick auf die neue Rechtslage bestehen. Auf dieser Basis kann dann eine priorisierte und effiziente, aber auch praktikable Umsetzung und Vorbereitung auf den 25.05.2018 erfolgen.
- Welche Möglichkeiten haben Unternehmen sicherzustellen, dass sie alle Anforderungen erfüllt haben?
Eine Möglichkeit dafür bietet unser Praxisleitfaden zur DSGVO, DATENSCHUTZ-AUDIT, den ich zusammen mit IT-Experten herausgebracht habe. Der komplizierte Gesetzestext wird darin in klar prüfbaren Kontrollen dargestellt; geht man nach diesem Compliance-Set vor, kann dargelegt werden, dass man sich mit allen Pflichten der DSGVO auseinandergesetzt hat. Die zweite aktualisierte Auflage mit unseren Praxiserfahrungen und den Kontrollen für das DSG 2018 ist ab sofort erhältlich unter shop.lexisnexis.at/datenschutz-audit-9783700770831.html
- Gibt es aus Ihrer Erfahrung heraus einen Zeitpunkt, ab dem sich ein Unternehmen jedenfalls externe Hilfe in der Umsetzung holen sollte?
Das kann nicht generell gesagt, sondern muss im spezifischen Einzelfall beurteilt werden. Wichtig ist, dass externe Beratung in unterschiedlichem Ausmaß erfolgen kann. Wir haben einerseits Projekte, in denen wir Unternehmen intensiv, zB. mit Workshops etc., begleiten; andererseits erfolgt auch oft eine Betreuung mit Handlungsanleitungen, Checklists und Prüfungen von einzelnen wichtigen Themenstellungen.
Business Upper Austria bietet zur Datenschutz-Grundverordnung diverse Workshops und Erfahrungsaustauschrunden an. Zb. die Veranstaltung des IT-Cluster: EU-Datenschutz-Grundverordnung in der Praxis oder die Information Security Auftaktveranstaltung des Softwarepark Hagenberg. Weiters wurde das Information Security Network (ISN) als Tor zu Anbietern und als Orientierungshilfe gegründet, um für die mit Datenschutz und Informationssicherheit einhergehenden technischen, organisatorischen und rechtlichen Herausforderungen gerüstet zu sein.
Das könnte Sie auch interessieren:
