Neue Datenschutzgrundverordnung: Wie rüsten sich KMU?

Mit 25. Mai 2018 tritt die EU-weite Datenschutz-Grundverordnung in Kraft. Jedes Unternehmen, das personenbezogene Daten verarbeitet – wie in Kundendateien oder bei Rechnungslegung – ist davon betroffen. Vielen Unternehmen fehlt die Information, wie die neuen Regeln im Betrieb umgesetzt werden müssen, um Strafen zu vermeiden....
48
48
IT-Berufsgruppensprecher Mag. Hansjörg Weitgasser, CMC, CSE, und Fachgruppenobmann Dr. Wolfgang Reiger, CSE: „Durch die neue Datenschutz-Grundverordnung werden Unternehmen im Umgang mit personenbezogenen Daten stärker in die Verantwortung genommen.“

Mit 25. Mai 2018 tritt die EU-weite Datenschutz-Grundverordnung in Kraft. Jedes Unternehmen, das personenbezogene Daten verarbeitet – wie in Kundendateien oder bei Rechnungslegung – ist davon betroffen. Vielen Unternehmen fehlt die Information, wie die neuen Regeln im Betrieb umgesetzt werden müssen, um Strafen zu vermeiden.

„Mit der neuen Datenschutz-Grundverordnung werden Unternehmen stärker in die Verantwortung genommen. Besonders kleine und mittlere Unternehmen wissen nicht genau, welche Regelungen auf ihr Geschäft zutreffen und wie sie sich rüsten können. Unkenntnis schützt aber nicht vor Strafe. IT-Experten und Unternehmensberater wissen, welche Vorschriften für welches Unternehmen gelten und wie sich die Datenschutz-Grundverordnung im Einzelfall organisatorisch umsetzen lässt“, sagt Mag. Hansjörg Weitgasser, CMC, CSE, Berufsgruppensprecher Informationstechnologie der UBIT Salzburg.

Einige Kernpunkte der neuen Datenschutz-Grundverordnung:

  • Es gibt keine Meldepflicht bei der Datenschutzbehörde mehr; sie wird durch umfangreiche Dokumentationspflichten personenbezogener Daten im Unternehmen ersetzt. Was aufgezeichnet werden muss, hängt von der Art der erhobenen Daten, dem Geschäftsgegenstand und der Unternehmensgröße ab.
  • Zum Schutz der Personenrechte gilt es, geeignete technische und organisatorische Maßnahmen zu treffen, um Risiken zu minimieren. Beispiele dafür sind Pseudonymisierung, Datenverschlüsselung, Erhebung nur zweckbezogener Daten und die Einholung von Zustimmungen für die Weiterverwendung.
  • Unternehmen haben künftig erweiterte Informationspflichten: So haben Betroffene Auskunftsrechte wie etwa über Art und Zeitraum der Speicherung oder ein Recht auf Löschung, die Unternehmen haben Mitteilungspflichten bei Datenänderungen.

Hohe Strafen bei Verstößen

Wer die neuen Regelungen nicht einhält, muss mit Geldbußen durch die Aufsichtsbehörden rechnen – und die sind mit einem Strafmaß bis zu 20 Mio. Euro oder bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens empfindlich hoch. Was genau Unternehmen nun tun müssen, hängt ab vom Unternehmensgegenstand und der Art der verarbeiteten Daten. Damit KMU in Datenschutzbelangen rechtzeitig auf der sicheren Seite sind, lohnt sich eine Beratung durch spezialisierte IT-Experten und Unternehmensberater. Hier finden Sie den Experten in Ihrer Nähe.

Die wichtigsten Vorschriften der Datenschutz-Grundverordnung im Überblick

  • Es gibt keine Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) mehr. Diese wird durch umfangreiche Dokumentationspflichten personenbezogener Daten im Unternehmen wie etwa in einem Verzeichnis von Verarbeitungstätigkeiten ersetzt. Ausgenommen davon sind Unternehmen mit weniger als 250 Mitarbeitern, deren Verarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, deren Verarbeitung nur gelegentlich erfolgt und keine sensiblen Daten (wie Gesundheitsdaten, Straftaten) beinhaltet.
  • Es gibt umfangreiche Informationspflichten und Betroffenenrechte: Betroffene haben Auskunftsrechte wie etwa über Art und Zeitraum der Speicherung, Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung. Die datenverarbeitenden Unternehmen haben Mitteilungspflichten bei Datenänderungen.
  • Die Unternehmen müssen die Einhaltung der neuen Regelungen nachweisen können („Rechenschaftspflicht“). Bei Vergehen kann es zu hohen Geldstrafen kommen.
  • Unternehmen werden stärker in die Verantwortung genommen. Die Grundsätze für die Verarbeitung personenbezogener Daten lauten Rechtmäßigkeit, Treu und Glauben, Transparenz, Zweckbindung, Datensparsamkeit, Richtigkeit, begrenzte Speicherung, Integrität und Vertraulichkeit. Zum Schutz der Personenrechte sind geeignete technische und organisatorische Maßnahmen zu treffen, um Risiken zu minimieren und den Datenschutz zu gewährleisten. Beispiele dafür sind: Pseudonymisierung, Datenverschlüsselung, Backup-Programme, Verarbeitung nur von Daten, die für den Verwendungszweck erforderlich sind, Einholung der Zustimmung bei Weiterverwendung von Daten für einen anderen als den ursprünglichen Zweck.
  • Einen Datenschutzbeauftragten müssen KMUs nur dann ernennen, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht und eine regelmäßige und systemische Überwachung von betroffenen Personen erforderlich macht (Beispiel: Banken, Versicherungen) und die Kerntätigkeit in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Strafdaten besteht (Beispiel: Krankenanstalten).