Mein.Hoferleitinger

 

Zurück

Datenschutzgrundverordnung (DSGVO) Update

News vom 28.5.2018

Sicher ist in den letzten Tagen und Wochen auch auf Sie eine Flut von Emails hereingebrochen, welche unter unterschiedlichsten Betreffen ein gemeinsames Ziel verfolgen: Die Umsetzung der Datenschutzgrundverordnung (DSGVO). Sind Sie auch ausreichend aktiv geworden? Haben Sie sich mit Fragen auseinandergesetzt, wie: Dürfen Kundendaten gespeichert werden? Wann müssen diese wieder gelöscht werden? Wie ist auf Löschanfragen zu reagieren?

Unser Mitarbeiter Markus Liebeg zählt österreichweit zu einem der ersten zertifizierten DSGVO-Experten. Er ist seit vielen Monaten in einschlägige Beratungsprozesse bei unseren Kunden involviert und gibt Ihnen zum Thema noch einmal einen Überblick.  

DSGVO Update

Mit der DSGVO werden personenbezogene Daten in den Mittelpunkt gestellt, sodass beispielsweise die Sicherheit der Namen und Adressen von Kunden bzw Lieferanten oder anderen Kontaktpersonen gewährleistet ist. Ebenfalls zu diesen schützenswerten Kontaktdaten zählen personenbezogene Daten, die im Rahmen einer Geschäftsanbahnung erhoben worden sind.

Verantwortliche sind natürliche oder juristische Personen, welche über den Zweck der personenbezogenen Datenverarbeitung entscheiden, in den meisten Fällen sind das Sie als Unternehmer. Hingegen übernehmen oft Auftragsverarbeiter die tatsächliche Verarbeitung der Daten, dies könnten IT-Dienstleister sein. Ob Sie nun Verantwortlicher oder Auftragsverarbeiter sind, hängt davon ab, inwiefern Sie Weisungen vom Auftraggeber erhalten.

Um personenbezogene Daten überhaupt speichern und verarbeiten zu dürfen, verlangt es eine dieser drei Voraussetzungen: Erfüllung eines Vertrags, Erfüllung einer rechtlichen Verpflichtung oder Einwilligung. Zur Erfüllung eines Vertrags zählt zB die Verwendung personenbezogener Daten im Zusammenhang mit der Erstellung eines Kaufvertrags. Die rechtliche Verpflichtung umfasst beispielsweise steuerliche Aufbewahrungspflichten. Vermutlich ist die Einwilligung den Meisten ein Begriff, da diese Methode zur Zustimmung der Datenverarbeitung vor allem auf Websites angewendet wird. Ein weiteres Kriterium ist die Zweckbindung, da Kotaktdaten innerhalb einer Geschäftsbeziehung aufbewahrt werden dürfen. Außerhalb einer regelmäßigen Geschäftsbeziehung ist eine Einwilligung erforderlich. Die Verwendung von E-Mail-Adressen, welche ohne Einwilligung erhoben worden sind, ist ebenfalls untersagt. Daher muss vorher eine Einstimmung eingeholt werden, dass ein Newsletter zugesandt werden darf. Dies beinhaltet auch die Verwendung von E-Mail Adressen, welche im Zuge einer Geschäftsanbahnung erhoben wurden, zur Versendung eines Newsletter, da die Zweckmäßigkeit nicht länger gegeben ist.

Faustregel gilt: Ohne Einwilligung nur notwendige Daten speichern!

Falls die Voraussetzung zur Speicherung gegeben ist, müssen Verantwortlicher und Auftragsverarbeiter im Verarbeitungsverzeichnis genaue Details wie Zweck, mögliche Weitergabe und Vorgehen beim Datenverlust angegeben werden. An dieser Stelle ist hervorzuheben, dass auch Löschfristen zu definieren sind, da normalerweise keine Daten ohne definierten Zweck gespeichert werden dürfen.

Zur Umsetzung der Löschfristen sind IT-Dienstleister mit ihrer Expertise und entsprechenden Softwarelösungen gefragt. Ein Ansatz dafür könnte die Anpassung der Aufbewahrungsrichtlinien auf E-Mail-Servern (Retention Policy) sein. Ebenfalls kann ein Dokumentenmanagementsystem besonders hilfreich in der Einhaltung dieser Fristen sein. Außerdem ist dieses System von Vorteil, falls es zum Auskunftsbegehren kommt, da Unternehmen jederzeit alle gespeicherten persönlichen Daten einer Person offenlegen müssen und somit schneller auffindbar wären. Des Weiteren müssen Verantwortliche und Auftragsverarbeiter die Nachweise der ordnungsgemäßen Verarbeitung und Einwilligung erbringen.

Was können Sie als Unternehmer tun? Überlegen Sie sich welche Daten zu welchem Zweck erhoben wurden und wie sie gespeichert werden. Beginnen Sie bei Ihren Kontaktpunkten mit Kunden oder Lieferanten und notieren sich die Verarbeitungsschritte. Versuchen Sie stets die Begründung zum Zweck der Datenerhebung zu reflektieren, da bei fehlender Zweckbindung Einwilligungen eingeholt werden müssen. Im digitalisierten Zeitalter wird Datenschutz immer wichtiger, daher sollten Sie auch Ihre IT-Systeme auf Vertraulichkeit, Integrität und Verfügbarkeit kontrollieren.

 

Falls Sie Unterstützung in der Umsetzung benötigen – kontaktieren Sie bitte unseren zertifizierten IT-Sicherheitsexperten und DSGVO Experten DI Markus Liebeg unter markus.liebeg@hoferleitinger.at oder telefonisch unter 0316 386001 0.