Mittlerweile ist es vielen Unternehmern und Entscheidungsträgern bewusst, dass ab 25. Mai 2018 die Datenschutz-Grundverordnung der EU, kurz DSGVO, angewandt wird. Vielleicht geht sich auch noch die erforderliche Änderung des Datenschutz-Anpassungsgesetzes noch rechtzeitig aus. Dann wären „nur“ die personenbezogenen Daten natürlicher Personen den Pflichten und Maßnahmen der DSGVO unterworfen – und nicht auch jene von juristischen Personen.
Datenschutzbeauftragter ja oder nein?
Neben dem Evaluieren der Verarbeitungstätigkeiten und deren Dokumentieren im Verfahrensverzeichnis gilt es auch zu ermitteln, ob Sie bzw. Ihr Unternehmen einen Datenschutzbeauftragten, kurz DSB, benennen müssen, oder ob Sie mit einem Datenschutzverantwortlichen auskommen. Das mag detailverliebt klingen, macht in der Praxis aber einen wesentlichen Unterschied.
Verantwortlicher oder Auftragsverarbeiter?
Für jene personenbezogenen Daten, die Sie selbst erheben und verarbeiten, sind Sie der Verantwortliche. Aber was ist mit den Geschäftspartnern an die Sie „Ihre“ personenbezogenen Daten weiterleiten? Sind diese externen Empfänger der Daten ebenfalls Verantwortliche, oder Ihre Auftragsverarbeiter?
Ist beispielsweise Ihr Steuerberater ein Verantwortlicher oder ein Auftragsverarbeiter? Und wie verhält sich das mit Ihrer Hausbank und Ihrem IT-Dienstleister? In der Praxis macht es einen wesentlichen Unterschied wer von Ihren Geschäftspartnern selbst verantwortlich ist, und wer Daten tatsächlich nur in Ihrem Auftrag verarbeitet.
E-Mails und Datenträger verschlüsseln, oder wie!?
Grundsätzlich müssen Sie als Verantwortlicher unter anderem dafür Sorge tragen, dass personenbezogene Daten auch auf dem Transport sicher sind. Müssen Sie Ihre E-Mails zukünftig also end-to-end verschlüsseln? Oder genügen auch andere, einfachere technische Maßnahmen? Und wie stellen Sie sicher, dass Ihre gegebenenfalls verschlüsselten E-Mails auch weiterhin bei Ihren Geschäftspartnern ankommen?
Und wie stellen Sie sicher, dass auf Datenträger wie Festplatten und USB-Speichersticks nicht unbefugt zugegriffen wird? Welche einfachen, aber wirkungsvollen Lösungen zum Verschlüsseln dieses auch mobil genutzten Speicher gibt es?
Schulung und Sensibilisierung Ihrer Mitarbeiter
Ist jedem Ihren angestellten und freien Mitarbeiter bewusst wie „heiß und gefährlich“ Datenschutz ab 25. Mai 2018 ist und welche Pflichten dann bestehen? Ist jedem Mitarbeiter klar welche Folgen es für Sie und Ihr Unternehmen haben kann, wenn Laptops und Speichermedien verloren gehen?
Andreas Dolezal (www.andreasdolezal.at) ist der Compliance Experte im Team von AL&E mit aktuellem Fokus auf dem praxisnahen Umsetzen der DSGVO sowie des Datenschutz-Anpassungsgesetzes.