Wir machen Informationen nutzbar.
DSGVO: 25.05.2018 RÜCKT NÄHER
Das muss auf jeden Fall erledigt werden
Unbarmherzig rückt der 25.05.2018 näher
und immer noch ist die Verunsicherung
was da alles getan werden sollte sehr
groß. Zusammengefasst geht es um den
Schutz personenbezogener Daten in der
elektronischen Datenverarbeitung. Da-
ten – Adressen, Personaldaten und/oder
personenbezogene Daten – die sich in
verschiedensten Abrechnungs- und Ver-
waltungsprogrammen befinden. abfällen bis zur Wartung der IT-Systeme oder auch der
Zurverfügungstellung von Rechenkapazität. In all diesen
Fällen bleibt jedoch das auftraggebende Unternehmen
für die Einhaltung des Datenschutzes verantwortlich.
Deshalb sieht das Gesetz vor, dass jeweils ein Verarbei-
tungsvertrag zwischen den Parteien geschlossen wird,
der bestimmte Mindestanforderungen erfüllen muss.
Diese Verträge fehlen vielfach oder entsprechen nicht
dem gesetzlichen Standard.
Aber was muss denn nun auf jeden Fall
bis zum 25.05.2018 gemacht werden? 3. Datenschutzbeauftragter
1. Verfahrensverzeichnis
Jedes Unternehmen muss ein sogenanntes Verfahrens-
verzeichnis führen. Darin wird der Umgang des Unter-
nehmens mit personenbezogenen Daten dokumentiert.
Es enthält u.a. Informationen über das Unternehmen
selbst, die Art der Datenerhebung und Datenführung so-
wie deren Zweck, eine Auflistung der von der Datener-
hebung Betroffenen sowie Regelfristen für die Löschung
dieser Daten. Wer kein oder nur ein unzureichendes
Verfahrensverzeichnis führt, schadet der Vertrauenswür-
digkeit gegenüber Kunden, Lieferanten, Mitarbeiter, etc.
und somit auch der eigenen Organisation. Immerhin
macht ein fehlendes Verfahrensverzeichnis nach strenger
juristischer Betrachtungsweise die gesamte betroffene
Datenverarbeitung rechtswidrig. Das Erstellen eines
solchen Verfahrensverzeichnisses ist daher dringend zu
empfehlen.
2. Verträge bezügl.
Auftragsdatenverarbeitung
Viele Unternehmen bedienen sich externer Dienstleister,
um all die personenbezogenen Daten zu verarbeiten. Die
Auftragsbreite reicht von der Entsorgung von Papier-
Es besteht in vielen Fällen eine gesetzliche Pflicht, einen
Datenschutzbeauftragten zu bestellen. Dieser hat inner-
halb des Unternehmens die Aufgabe, die Einhaltung des
Datenschutzes zu überwachen. Dies ist jedoch oftmals
eine sehr anspruchsvolle Aufgabe, da neben Organisa-
tionsvermögen und Zuverlässigkeit nicht nur rechtliche
Kenntnisse, sondern auch technisches Wissen und ein
geübter Umgang mit IT erforderlich sind. Ein Mitarbeiter
ohne diese Fachkunde eignet sich daher nicht als Daten-
schutzbeauftragter bzw. sind intensive Schulungen zu
empfehlen. Obendrein darf auch kein Interessenskonflikt
bestehen, so dass der Datenschutzbeauftragte weder Teil
der Geschäftsführung sein, noch der Führung der Per-
sonal- oder IT-Abteilung angehören darf. Österreich hat
hier die Option gezogen nicht zwingend einen Daten-
schutzbeauftragten vorzuschreiben, wobei im Gesetzes-
text diese Möglichkeit unter Umständen aufgehoben ist,
falls sensible Daten verarbeitet werden. Oftmals ist die
Bestellung eines externen Datenschutzbeauftragten zu
überlegen, da aufgrund der Komplexität der Sachlage nur
dieser in der Lage ist, den gesetzlichen Mindeststandard
im Unternehmen herzustellen.
4. Lösch- und Sperrkonzepte
Die EU-DSGVO sieht strenge Regelungen für die Spei-
cherung personenbezogener Daten vor. So dürfen diese