Seit 25. Mai 2018 ist die EU-Datenschutzgrundverordnung (kurz DSGVO), wirksam und jedes Unternehmen und jeder Betrieb (auch Einzelunternehmer und EPUs), muss die Regeln befolgen.

Es gibt kein „Standard-Rezept“ dafür, was genau dokumentiert und umgesetzt werden muss. Wenn man sich aber an folgenden Anhaltspunkten orientiert, wird man relativ schnell erkennen wo man den Hebel ansetzen muss:

Datenschutzerklärung

Mit der Datenschutzerklärung informiert man betroffene Personen (Personen, deren personenbezogene Daten verarbeitet werden) unter anderem über Art, Umfang, Zweck und Rechtmäßigkeit der Datenverarbeitungen, über die Rechte von Betroffenen sowie gegebenenfalls über Empfänger von Daten und getroffene technische und organisatorische Maßnahmen (TOMs). Ganz wichtig ist auch die Bekanntgabe von Kontaktdaten eines/einer zuständigen Stelle im Betrieb an die man sich bei Fragen oder Beschwerden wenden kann.

Insbesondere wenn Sie eine Webseite betreiben, ist die Bereitstellung bzw. Veröffentlichung einer entsprechenden Datenschutzerklärung erforderlich. Vergessen darf man dabei auch nicht auf die Informationen, welche Dienste auf der Webseite oder im Online Marketing zur Anwendung gelangen, sofern diese Services personenbezogene Daten der Webseitennutzer bzw. Websitebesucher sammeln, übertragen, verarbeiten (z.B. Analyse-Dienste, Shop-Systeme, Newsletter-Systeme, usw…).

Nutzt man Cookies, ist bereits beim erstmaligen Aufruf der Webseite der/die Nutzerin oder Nutzer mittels Cookie-Notice (Cookie-Information) darüber zu informieren und auf die Datenschußtzerklärung hinzuweisen.

Sie benötigen Beratung bzw. Unterstützung bzgl. der Datenschutzerklärung?
Jetzt Termin vereinbaren!

Einwilligungen / Einwilligungserklärungen

Die Verarbeitung personenbezogener Daten bedarf immer einer Rechtsgrundlage (Artikel 6 EU-DSGVO: „Rechtmäßigkeit der Verarbeitung“). In der gewöhnlichen Geschäftstätigkeit ist dies meist dadurch gegeben, dass die Verarbeitung im Zuge der Erfüllung eines Vertrages oder zur Erfüllung einer rechtlichen Verpflichtung erfolgt. Treffen diese Bedingungen nicht zu, ist in vielen Fällen eine Einwilligung der betroffenen Person erforderlich. Dabei muss die Person aktiv zustimmen („opt-in„).

Eine Einwilligung muss

  • freiwillig und durch die betroffene Person selbst,
  • unmissverständlich und in leicht zugänglicher Form,
  • in einfacher Sprache,
  • ohne Verbindung mit anderen Sachverhalten (Koppelungsverbot) sein.

Jedenfalls nicht als Einwilligung gilt

  • einfaches, schlüssiges Handeln
  • Opt-out ohne vorheriges opt-in (z.B. im Newsletter: „…wenn Sie nicht mehr erhalten möchten…“)
  • bereits vorher angekreuzte Checkboxen
  • Formulierungen dazu in AGBs

Verarbeitungsverzeichnis

Im Verzeichnis von Verarbeitungstätigkeiten (Artikel 30 EU-DSGVO) muss jedes Unternehmen die einzelnen Bereiche, in denen personenbezogene Daten verarbeitet werden, genau dokumentieren. Insbesondere sind die Zwecke der Verarbeitung, die Kategorien von Daten sowie die Kategorien betroffener Personen sowie die Kategorien von Empfänger von Daten festzuhalten.

Verträge mit Dienstleistern

Sofern Aufgaben der betrieblichen Datenverarbeitung an externe Dienstleister (=Auftragsverarbeiter) ausgelagert werden, muss der Verantwortliche Sorge dafür tragen, dass dies vertraglich genau geregelt wird. Vor allem muss klar sein, welcher Dienstleister die Daten zu welchem Zwecke mit welchen Sicherheitsmechanismen (TOMs) verarbeitet, insbesondere um eine Weitergabe der Daten an unberechtigte Dritte zu verhindern.

Consulting oder Support hinsichtlich Umsetzung benötigt?
Jetzt Termin vereinbaren!

Soweit nur ein kleiner Auszug aus den Erfordernissen der DSGVO. Es gibt noch andere wichtige Punkte wie z.B. was ist ein Datenschutzbeauftragter oder wann ist eine Datenschutzfolgenabschätzung zu machen? Was sind technische und organisatorische Maßnahmen und was muss oder sollte davon umgesetzt werden?

Ich kann an dieser Stelle dieses umfangreiche und komplexe Thema nur in groben Zügen anstreifen. Wenn Sie sich noch nicht mit dem Thema auseinandergesetzt haben, egal aus welchen Gründen (keine Zeit, keine Lust, keine Idee, „kenn mich nicht aus“), mein Hinweis: lassen Sie die DSGVO nicht außer Acht! Das Recht auf Auskunft jeder betroffenen Person, die Möglichkeit der Beschwerde bei der Datenschutzbehörde, sowie eine Überprüfung der Behörde selbst – das alles kann auf Sie zukommen und dann sollten Sie gewappnet sein.

Die DSGVO verursacht in jedem Fall unangenehmen Aufwand, seien es Zeit oder Kosten. Auch wenn gerade Ein-Personen-Unternehmen, Einzelunternehmen oder KMU meist andere Sorgen haben als die Erfüllung derart umfangreicher Pflichten, müssen sie das Thema Datenschutz ernst nehmen. Je mehr Privatkunden, deren Daten gespeichert sind, desto größer ist die Wahrscheinlichkeit früher oder später damit konfrontiert zu werden.

 

Als geprüfter Datenschutzexperte stehe ich Ihnen sehr gerne zur Seite. Ich helfe Ihnen dabei, die erforderlichen Maßnahmen zu erkennen und begleite Sie am Weg der Umsetzung der Datenschutzgrundverordnung im erforderlichen Ausmaß. Meine Zielgruppe sind Klein- und Kleinstunternehmen aller Branchen, aber auch Gemeinden, die als Behörden über einen Datenschutzbeauftragten verfügen müssen, zählen zu meinen Kunden.

Regional liegt mein Fokus insbesondere im Burgenland (Mittelburgenland und Nordburgenland) und im Industrieviertel in Niederösterreich. Konkret die Bezirke Oberpullendorf, Mattersburg, Eisenstadt / Eisenstadt-Umgebung, Neusiedl bzw. Neunkirchen, Wiener Neustadt, Baden, Mödling und Bruck an der Leitha. Auf Anfrage sind natürlich auch Einsätze darüber hinaus möglich bzw. kann das Thema DSGVO auch über die Ferne sehr gut betreut werden.

Kontakt. Über mich.