Was müssen Sie machen, um Datenschutz-konform zu sein?
Seit 25. Mai 2018 gilt in Österreich, wie auch im Rest der EU, die neue Datenschutz-Grundverordnung (DSGVO). Diese löst in Österreich das Datenschutz-Gesetz2000 (DSG2000) ab, welches auf der EU Datenschutz-Richtlinie aus dem Jahr 1995. basiert. Die DSGVO beinhaltet nicht nur empfindliche Strafen, sondern erwartet von den Unternehmen auch einige Anpassungen. Welche Schritte Sie setzten müssen, um keine Probleme mit der Datenschutzbehörde zu bekommen, erfahren Sie in dieser Checkliste.
Welche Datenschutz-relevanten Daten verarbeiten Sie?
Im allerersten Schritt müssen Sie zusammenfassen, welche Daten Sie überhaupt erfassen. Dabei müssen Sie beachten, dass nicht nur Daten wie (E-Mail-)Adressen, Telefonnummern und Namen von der DSGVO erfasst werden, sondern alle Daten welche zu einer Person zurückverfolgt werden. Dazu gehören unter anderem auch IP Adressen, die sie im Rahmen von beispielsweise Logging-Mechanismen speichern. Ebenso müssen die Daten, die Sie verarbeiten nicht auf einem Computer gespeichert sein, um von der DSGVO erfasst zu werden. Sollten Sie beispielsweise ein Register mit Visitenkarten von Partnerfirmen haben, zählt dies Bereits als Datenverarbeitung gemäß der DSGVO.
Welche Maßnahmen treffen Sie, um Datenschutz-Verletzungen zu vermeiden?
Auch wenn die DSGVO keine expliziten Anforderungen an Datensicherheit stellt, fordert sie dennoch einen umfassenden Schutz der verarbeiteten Daten. Dabei gehen die nötigen Maßnahmen über eine reine Absicherung gegen Hacking-Angriffe hinaus. Ein Angriff kann beispielsweise auch physisch erfolgen (Einbruch), oder Daten können durch Unfälle (Stromausfall) und Katastrophen verloren gehen. Ebenso sind Sie dafür verantwortlich, dass auch innerhalb Ihrer Firmenstruktur nur Personen Zugang zu den Daten haben, die diese benötigen, und die ordnungsgemäß geschult sind. Sie müssen sicherstellen, dass Sie im Falle eines Datenverlustes oder -diebstahls die originalen Daten wieder bestmöglich herstellen können.
Erlaubt Ihnen die DSGVO das Verarbeiten von Daten überhaupt?
Wie auch schon das DSG2000, ist laut DSGVO das Verarbeiten von Daten grundsätzlich verboten. Sie dürfen persönliche Daten nur dann verarbeiten, wenn sie eine Rechtsgrundlage dafür haben. Mehr zu den Rechtsgrundlagen finden sie hier. Dabei ist es nicht nur nötig, dass Sie eine Rechtsgrundlage finden, sie müssen auch jederzeit nachweisen können, dass Sie diese Rechtsgrundlage haben. Das heißt, wenn Sie Daten aufgrund einer Zustimmung von Betroffenen verarbeiten, müssen Sie die Zustimmungserklärungen vorweisen können.
Geben Sie Daten wirklich nur an die erlaubte Empfänger weiter?
Nur weil Sie personenbezogene Daten verarbeiten, bedeutet das nicht, dass Sie diese auch unbeschränkt an Dritte weitergeben dürfen. Hierbei gibt es in der DSGVO eine Unterscheidung zwischen zwei Empfängergruppen:
- Auftragsdatenverarbeiter: Diese Empfänger führen keine eigenständige Datenverarbeitung durch. Sie handeln lediglich auf Ihre Anweisung. Beispiele hierfür sind unter anderem Anbieter von Servern, auf denen Sie personenbezogene Daten speichern. Um Daten an Auftragsdatenverarbeiter weiterzugeben, benötigen Sie keine zusätzliche Zustimmung der Betroffenen. Allerdings müssen Sie einige Dinge beachten:
- Die Daten müssen entweder innerhalb der Europäischen Union oder eines Landes mit gleichwertigem Datenschutz bleiben (die USA zählt beispielsweise in diesem Zusammenhang nicht als sicheres Land)
- Sollten Sie die Daten in ein Land transferieren, welches nicht die nötigen Anforderungen erfüllt, muss der Auftragsdatenverarbeiter über andere Wege beweisen können, dass die Daten sicher gespeichert sind.
- Sie benötigen einen Auftragsdatenverarbeiter-Vertrag, in dem der Auftragsdatenverarbeiter sich zur rechts-konformen Datenverarbeitung verpflichtet.
- Eigenständige Verantwortliche: Diese verarbeiten Daten auch über das von Ihnen erlaubte Maß hinaus. Beispiele hierfür sind Werbe-Agenturen, welchen Sie Kundendaten weitergeben, und die eigenständig Werbemaßnahmen setzen. In diesem Falle werden Sie eine eigenständige Rechtsgrundlage (in den meisten Fällen eine Zustimmung) der betroffenen Personen benötigen.
Hierbei ist die Unterscheidung zwischen Auftragsdatenverarbeitern und eigenständigen Verantwortlichen nicht immer so klar, wie in diesen beiden Beispielen. So sehen sich unter anderem Steuerberater als eigenständige Verantwortliche, weil Sie die Daten noch über das befohlene Maß hinaus verwenden.
Haben Sie ein Datenverarbeitungsverzeichnis?
Im Gegensatz zum DSG2000 fordert die DSGVO explizit ein Datenverarbeitungsverzeichnis. In diesem Dokument muss festgehalten werden, welche Kategorien von Daten verarbeitet werden, an welche Stellen diese weitergegeben werden, und welche Maßnahmen zur Sicherung eingesetzt werden. Ebenso müssen hier zusätzliche Informationen wie die zuständige Ansprechperson festgehalten werden.
Müssen Sie eine Datenschutz-Folgenabschätzung durchführen?
Unter gewissen Voraussetzungen reicht ein Datenverarbeitungsverzeichnis alleine nicht aus. Diese Voraussetzungen sind in erster Linie dann erfüllt, wenn Sie entweder äußerst sensible Daten verarbeiten (in etwa Videoaufzeichnungen im öffentlichen Bereich), eine große Menge an verknüpften Daten speichern (“Profiling”) oder Sie Technologien verwenden, deren Sicherheitsgrad noch nicht erwiesen ist. Eine solche Folgenabschätzung muss berücksichtigen wie groß der Schaden durch eine Datenschutzverletzung ist, und wie wahrscheinlich der Eintritt einer solchen ist.
Haben Sie eine Datenschutz-Erklärung?
Betroffene, deren Daten Sie verarbeiten, müssen jederzeit nachlesen können, welche Arten von Daten von ihnen verarbeitet werden und an wen sie sich wenden können. Hierbei darf das Medium nicht gebrochen werden. Wenn Sie also Daten auf einer Webseite erheben, müssen Sie diese Informationen auf derselben Webseite bereitstellen. Natürlich müssen Sie in diesem Fall nicht die Daten selbst veröffentlichen, sondern nur ob es sich beispielsweise um eine E-Mail-Adresse, den Namen oder eine Telefonnummer handelt.
Können Sie Betroffenen jederzeit zu ihrem Recht verhelfen?
Neben der Informationspflicht haben Betroffene noch weitere Rechte (unter anderem das Recht auf Richtigstellung, Löschung und Auskunft). Sollten Sie eine derartige Anfrage erhalten, müssen Sie unverzüglich handeln. In jedem Fall aber muss die Handlung innerhalb eines Monats durchgeführt werden, oder Sie müssen rechtfertigen, warum es länger dauert, oder warum Sie die Daten nicht löschen, berichtigen, etc. können. Ebenso müssen Sie im Falle einer Auskunfts-Anfrage eine Kopie sämtlicher Daten schicken, die diese Person betreffen. Daher ist es wichtig, dass Sie eine Strategie für diese Fälle haben.
Haben Sie alle Dokumente für den Fall eines Daten-Lecks bereit?
Nur weil Sie ein Datenleck hatten, sind Sie nicht automatisch rechtsbrüchig geworden. Die DSGVO erkennt an, dass es keine 100%ige Sicherheit geben kann. Allerdings müssen Sie reagieren, sobald Daten, die Sie verarbeiten, unrechtmäßig übermittelt, bearbeitet oder gelöscht wurden. Hierfür müssen Sie sowohl die Datenschutzbehörde, als auch alle Betroffenen unter anderem darüber informieren,
- Was passiert ist
- Welche Arten von Daten betroffen sind
- An welche Ansprechperson sich die Betroffenen wenden können
Sollte beispielsweise durch Datenverlust oder -bearbeitung keine direkte Information der betroffenen Personen möglich sein, müssen Sie geeignete Wege finden, um diese indirekt zu verständigen (im schlimmsten Fall über eine Einschaltung in Fernsehen und/oder Radio).
Sehen Sie sich in der Lage, alle diese Anforderungen der Datenschutz-Grundverordnung zu erfüllen?
Wenn Sie diese Checkliste vollständig abgearbeitet haben, sollten Sie auch im Falle einer Überprüfung oder eines Datenlecks auf der sicheren Seite sein. Sollten Sie nicht sicher sein, ob Sie die richtigen Schritte gesetzt haben, stehen Ihnen unsere geschulten und zertifizierten Mitarbeiter gerne beratend oder in Form eines externen Datenschutz-Beauftragten.
Wir freuen uns, Ihren persönlichen #meawert zu schaffen