Neurungen der Datenschutzgrundverordnung  DSGVO

Datenschutz und Compliance

 

Die DSGVO ist bereits mit 25.5.2016 in Kraft getreten, die Anwendbarkeit tritt ab 25.5.2018 ein.

 

Die Einführung einer datenschutzrechtlichen Compliance ist somit bereits jetzt wichtig, um 2018 einen reibungslosen Übergang unter die neuen Regelungen zu ermöglichen und um nicht mit potentiellen Rechtsverletzungen in die Anwendbarkeit zu "starten".

 

Die DSGVO ist als EU-Verordnung in der gesamten EU unmittelbar anwendbar und geht nationalen Rechtsakten damit vor. Nicht-EU Unternehmen, die in der EU Geschäfte tätigen, fallen uU auch unter deren Anwendbarkeit. Begleitende nationale Umsetzungsgesetze sind dennoch notwendig.

 

Das österr. Datenschutzanspassungsgesetz 2018 wird ab 24. Mai 2018 - parallel zur DSGVO - in Kraft treten und u.a. strengere IT-Sicherheitsmaßnahmen für Dienstleister/Auftragsverarbeiter vorsehen.

 

Mit Inkrafttreten der DSGVO wird die Meldepflicht von Datenverwendungen der Pflicht zur Führung von Verzeichnissen der Datenverarbeitungen weichen (wobei weitreichende Ausnahmen und Gegenausnahmen bestehen). Die Erstellung der Verzeichnisse (inkl. aller Übermittlungen) ist ein mitunter zeitaufwändiger und komplizierter Prozess, der  auch Änderungen in firmeninternen Abläufen und Vertragsunterlagen (AGB etc). notwendig machen kann und daher umgehend begonnen werden sollte.

  

Bereits jetzt ist es daher wichtig, ein umfassendes Audit der datenschutzrechtlichen Gesamtsituation im Unternehmen durchzuführen, um 2018 für die notwendigen Erweiterungen gerüstet zu sein.

 

 

Wir begleiten Sie bei der Umsetzung der DSGVO:

 

  1. Externer Datenschutzbeauftragter: Sollte ihr Betrieb unter die neue Pflicht zur Ernennung eines Datenschutzbeauftragten fallen, können wir dessen Schulung übernehmen und dauerhaft oder temporär als externer Datenschutzbeauftragter für Sie tätig werden.
  2. Evaluierung der betrieblichen IT/Datenverwendungen: Um die notwendigen Umsetzungsmaßnahmen zu definieren und die Compliance sicherzustellen, ist eine komplette rechtlich-faktische Evaluierung sämtlicher Datenverwendungen, der Sicherheitsprozesse, der IT-Sicherheitssystems etc notwendig.  Wir haben langjährige Erfahrung in der Durchführung solcher Assesements. Zu technischen Spezialfragen können wir auf externe Sachverständige zurückgreifen, mit denen wir in ständiger Kooperation stehen.
  3. Prozessvorbrereitung: Vorzubereiten sind Prozesse und Managementsysteme z.B. zur Data Breach Notification, ein Datenschutz- und Sicherheitsmanagementsystem, IT-Policies, Checklisten für Anfragen von Betroffenen zu Data Portability, Löschung, Richtigstellung, Auskunft u.a.

 

Kontaktieren Sie uns für eine erste Evaluierung Ihrer datenschutzrechtlichen Situation.

 

  

Wichtige Eckpunkte für die betriebliche Umsetzung der DSGVO:

 

  • Bis 2018 sind Datenverarbeitungen bei der Datenschutzbehörde zu melden, außer die Datenverarbeitungen sind von der Standard- und Musterverordnung gedeckt. Die Beurteilung der Meldepflichtigkeit ist eine technisch-rechtliche Entscheidung. Die Standard- und Musterverordnung definiert abschließend sowohl Datenarten, als auch Übermittlungsempfänger und Verarbeitungszwecke. Die Standardanwendung "Personalverwaltung" etwa wird in vielen Unternehmen schon durch z.B. Systeme zur Evidenz von Mitarbeiterbewertungen oä überschritten.
  • Ab 2018 entfällt zwar die Meldepflicht von Datenverarbeitungen, allerdings sind den jetzigen Meldungen äquivalente Datenverarbeitungsübersichten In-House im Unternehmen vorzuhalten und jederzeit der Behörde bei Verlangen vorzulegen.
  • Datenübermittlungen außerhalb der EU: Aufgrund der drakonischen Strafdrohung der Datenschutzgrundverordnung ist es außerordentlich wichtig, nur rechtskonforme Datenübermittlungen durchzuführen. Hier kommt es auch darauf an, "versteckte" Datenübermittlungen nicht zu übersehen:

 

Auf Konformität zur DSGVO zu prüfen sind:

  • Server - Standorte von Cloud Dienstleistern - Wo überall befinden sich die Server Ihrer Cloud Dienstleister? Ist in den AGB evtl. enthalten, dass diese weltweit verteilt werden können? Sind die Server nur in "sicheren Drittländern" gelegen?
  • Wo ist Ihr E-Mail Provider ansässig, wo unterhält er seine Server?
  • Haben Sie datenschutzrechtskonforme Dienstleisterverträge mit sämtlichen externen Administratoren und sämtlichen anderen IT-Dienstleistern, wie Backup-Services uä, Cloud Anbietern etc? Wie erfolgt die Umstellung auf die neuen Auftragsverarbeitervereinbarungen?
  • Werden alle datenschutzrechtlichen Informationspflichten / Zustimmungserfordernisse erfüllt? Erfolgt dies in AGB und werden dabei die Transparenzgebote u.a. Erfordernisse eingehalten? Hierzu existiert bereits strenge Rechtsprechung v.a. des Obersten Gerichtshof zu den Anforderungen an Zustimmungserklärungen bez. Inhalts- und Formerfordernissen.
  • Wartungsklauseln in Hosting- und Cloudverträgen: Ist evtl. in ihren Dienstleisterverträgen enthalten, dass Wartungstechniker aus "nicht sicheren Drittstaaten" zu Wartungszwecken Zugriff auf Ihre Cloud-Daten gewährt wird?
  • Sind Ihre Datenübermittlungen in Länder außerhalb der EU genehmigungspflichtig? Sind Ihre jetzt nicht genehmigungspflichtigen Datenübermittlungen in die USA überhaupt genehmigungsfähig? Das könnte wesentlich werden, sollte etwa der EuGH dem "Privacy Shield" die Gültigkeit absprechen, wie es für die Vorgängerregelung - Safe Harbour - bereits der Fall war.

 

Die maximale Strafdrohung der DSGVO beträgt bis zu 2%-4%des gesamten weltweit erzielten Jahresumsatzes eines Unternehmen (oder 20 Mio EUR).

 

 

Kontakt