Behördliche Prüfung der DSGVO-Umsetzung bei kleinen und mittleren Unternehmen

Created with Sketch.

 

Von Andrea Wünscher, Juristische Mitarbeiterin der Kanzlei Dr. Zeilinger
www.christianzeilinger.at

Artikel als pdf zum Download  PDF herunterladen

 

Ob generelle Kundendaten, wie Namen, Geburtsdaten und E-Mail Adressen, oder sensible Daten, zu denen beispielsweise die ethnische Herkunft gehört – jedes Unternehmen hat im Alltag mit vielen personenbezogenen Daten zu tun.

Das Bayerische Landesamt für Datenschutzaufsicht (BayLDA) fordert derzeit vor allem von KMUs auf Grundlage des Artikel 5 Abs. 2 DSGVO einen Nachweis über die individuelle Datenschutzorganisation innerhalb der Unternehmen. Zwar findet eine solche Prüfung im Moment nur innerhalb Deutschlands statt, aber auch in Österreich können die zuständigen Behörden jederzeit eine Dokumentierung der korrekten Einhaltung aller datenschutzrechtlichen Vorschriften verlangen.

Dr. Christian Zeilinger, Rechtsanwalt und Datenschutzexperte aus Ried im Innkreis erklärt: „Auch an kleine und mittlere Unternehmen (KMUs) stellt die DSGVO verschiedenste Anforderungen, da die Datenschutzgrundverordnung unabhängig von der Unternehmensgröße gilt, sobald personenbezogene Daten verarbeitet werden – egal auf welche Weise. Auch Vereine und Behörden müssen die Vorschriften der DSGVO einhalten“.

Mit Hilfe eines Fragenkataloges überprüft das Bayerische Landesamt für Datenschutzaufsicht, ob die wichtigsten Aspekte der DSGVO in kleinen und mittleren Unternehmen bereits umgesetzt wurden.

Im Folgenden finden Sie zusammenfassend einige maßgebliche Punkte, die umgesetzt werden müssen, um der DSGVO zu entsprechen und personenbezogene Daten angemessen zu schützen. Bitte beachten Sie, dass jedes Unternehmen individuelle Anforderungen erfüllen muss und die Angaben daher keine vollständige Auflistung darstellt. Die nachstehenden Erläuterungen beziehen sich auf das österreichische Recht.

 

  • Verarbeitungsverzeichnis

Aus einem Verzeichnis für Verarbeitungstätigkeiten muss ersichtlich sein, welche Daten zu welchem Zweck verarbeitet werden.

  • Informationspflichten und Betroffenenrechte

Jedes Unternehmen muss bereits bei der Datenerhebung darüber informieren, welche Rechte die betroffenen Personen haben, an wen die Daten weitergegeben, wie lange diese gespeichert werden und noch einiges mehr. Die genauen Informationspflichten sind in Art. 13 und 14 DSGVO geregelt. Des Weiteren müssen Daten, wenn kein gesetzlicher Grund mehr für die Speicherung besteht, umgehend gelöscht werden. Hierfür ist die Erstellung eines Löschkonzepts empfehlenswert.

  • Einwilligungen

Für bestimmte Verarbeitungstätigkeiten braucht es die Einwilligung der betroffenen Person, wenn sich die Rechtmäßigkeit der Datenverarbeitung nicht aus einem berechtigtem Interesse, einer rechtlichen Verpflichtung oder aus der Erfüllung eines Vertrages ergibt. Die unterschiedlichen Rechtsgrundlagen finden sich in Art. 6 DSGVO.

  • Datenschutzbeauftragter (DSB)

Anders als in Deutschland, wo ein Datenschutzbeauftragter bestellt werden muss, wenn mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigt sind, gibt es in Österreich keine solche Pflicht. Hierzulande ist ein DSB erforderlich, wenn die Kerntätigkeit des Unternehmens die umfangreiche Verarbeitung von personenbezogenen Daten zur regelmäßigen und systematischen Überwachung von betroffenen Personen oder von sensiblen Daten umfasst – wie etwa bei Krankenanstalten, Banken oder Versicherungen. Ob ein Datenschutzbeauftragter bestellt werden muss, ist daher im Einzelfall zu klären.

  • Datenschutzerklärung

Betreiben Sie eine Website, benötigen Sie zwingend eine Datenschutzerklärung, die umfangreich über die Rechte der Betroffenen, Verwendung von Cookies, Datenerhebung und noch vieles mehr informieren muss. Zwar findet man im Internet einige, manchmal sogar kostenlose Generatoren, diese sind aber im Hinblick auf die unterschiedlichen Inhalte und technischen Umsetzungen einer Website nur bedingt empfehlenswert.

  • Sicherheit der Verarbeitung

Alle Daten müssen angemessen geschützt werden. Dies erreichen Sie beispielsweise  unter anderem über regelmäßige Softwareupdates, passwortgeschützte Zugänge sowie eine verschlüsselte Datenübertragung auf Ihrer Website (HTTPS).

  • Datenschutzverletzungen

Gibt es trotz aller Vorsicht einen Sicherheitsvorfall im Unternehmen, welcher personenbezogene Daten betrifft, besteht in den meisten Fällen eine gesetzliche Meldepflicht an die Datenschutzbehörde. Dies ist z.B. bei Diebstahl oder Verlust eines Notebooks oder einem Hackerangriff auf die Website der Fall.

  • Auftragsverarbeitung

Erhalten andere Unternehmen Zugriff auf die Daten, muss geprüft werden, ob ein Auftragsverarbeitungsvertrag abzuschließen ist. Einen solchen Vertrag bedarf es etwa bei der Nutzung von Tracking Software, externen Dienstleistern für Newsletter oder Fernwartungssystemen.

 

Durch den Fragenkatalog der bayerischen Behörde besteht die Möglichkeit eine Selbsteinschätzung vorzunehmen, welche Anforderungen bereits erfüllt werden und in welchen Bereichen noch Nachholbedarf besteht. Die Erforderlichkeit der einzelnen Maßnahmen innerhalb eines Unternehmens muss allerdings im Einzelfall geprüft werden. Schnelle und sichere Hilfe bieten Ihnen hierbei fachkundige Experten.

www.christianzeilinger.at