DSGVO Nachweis- und Dokumentationspflichten einfach erfüllen

Die DSGVO ist derzeit omnipräsent, doch unzählige Beratungsangebote und Hilfestellungen mit Leitfäden schaffen oftmals wenig Klarheit, was in der Praxis wirklich zu tun ist. Wie Sie Ihr Unternehmen DSGVO-fit machen können, erfahren Sie hier.

Was bedeutet die DSGVO für Unternehmen?

Alle Unternehmen sind verpflichtet, ab dem Stichtag 25.Mai 2018 die eigenen Datenanwendungen selbst in einem Verzeichnis der Verarbeitungstätigkeit (VdV) zu verwalten. Die DSGVO gilt für alle Unternehmen, die personenbezogene Daten in der EU verarbeiten – die Unternehmensgröße ist für die Nachweis- und Dokumentationspflicht irrelevant, jedes Unternehmen ist betroffen.

Die DSGVO gilt in der gesamten Europäischen Union und beruht auf dem Grundrecht, dass die Verarbeitung personenbezogener Daten natürlicher Personen geschützt werden muss. Die Bestimmungen der Verordnung gelten für alle automatisierten Verarbeitungen personenbezogener Daten sowie die nicht automatisierte Verarbeitungen, die in einem Dateisystem gespeichert werden. Da in jedem Unternehmen personenbezogene Daten (z.B. Mitarbeiterdaten, Kundendaten) verarbeitet werden, ist jedes Unternehmen von der DSGVO betroffen.

Zwischen welchen Daten wird unterschieden?

Es wird zwischen personenbezogenen Daten und sensiblen personenbezogenen Daten unterschieden.

Unter personenbezogenen Daten werden alle Informationen verstanden, die sich auf eine identifizierte oder identifizierbare natürlich Person beziehen. Darunter werden Daten verstanden, mit denen eine Person direkt oder indirekt identifiziert werden kann z.B. Name, Adresse, Bankdaten etc.

Unter sensiblen Daten werden Informationen über die rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen oder Gewerkschaftszugehörigkeit, sowie die Verarbeitung von genetischen Daten, biometrischen Daten, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung verstanden.

Was muss ich als Unternehmer, Selbständiger oder KMU laut DSGVO bei der Aufbewahrung von Daten beachten?

Als Selbstständiger müssen Sie, wie jedes Unternehmen, je nach Risiko, geeignete technische und organisatorische Maßnahmen treffen. Als Selbstständiger tragen Sie die Verantwortung für die Verarbeitung der Daten und müssen sicherstellen, dass Sie diese, für die Dauer der Verarbeitung in einer angemessenen und sicheren Weise aufbewahren.

Wie lange darf ich Daten speichern? Und wie muss ich sie speichern?

Gemäß der DSGVO dürfen Daten nur für den Zeitraum gespeichert werden, indem sie nötig sind. Es gilt der Grundsatz der Datenminimierung.

Was muss  bei der Verarbeitung der Daten beachtet werden?

Bei der Verarbeitung der personenbezogenen Daten sind folgende Grundsätze zu beachten:

  • Rechtmäßigkeit: Die Daten müssen auf eine rechtmäßige Weise, nach Treu und Glauben und in einer Weise, die für die betroffene Person nachvollziehbar ist, verarbeitet werden.
  • Zweckbindung: Die Daten dürfen nur für den eindeutig festgelegten Zweck erhoben und verwendet werden.
  • Datenminimierung: Es dürfen nur Daten abgefragt werden, die für die Verarbeitung notwendig sind
  • Richtigkeit: Die Daten müssen sachlich richtig und auf dem neuesten Stand sein. Daten, die unrichtig sind müssen unverzüglich gelöscht oder berichtigt werden.
  • Speicherbegrenzung: die Daten dürfen nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung notwendig ist.
  • Integrität und Vertraulichkeit: Die Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet und vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung bewahrt. Dies geschieht durch geeignete technische und organisatorische Maßnahmen (= TOM)
  • Rechenschaftspflicht: Der Verantwortliche ist für die Einhaltung dieser Grundsätze verantwortlich und hat dessen Einhaltung nachweisen zu können.

Was können bzw. müssen Unternehmen also tun?

Für sämtliche personenbezogene Daten, die ein Unternehmen verarbeitet, ist ab dem Stichtag eine umfangreiche Dokumentation in einem Verzeichnis der Verarbeitungstätigkeiten notwendig.

Wie können Sie diese Vorgaben erfüllen?

Tipp:
Wenn schon Datenanwendungen im DVR registriert sind, können diese als Anhaltspunkt für die Dokumentation dienen.
Alternativ:
Auch Webapplikationen wie datadoku.at können helfen, der Nachweis- und Dokumentationspflicht der DSGVO gerecht zu werden, z. B. bei Hinweisboxen und Informationstexten, den Einträge ins Verzeichnis der Verarbeitungstätigkeiten auszufüllen.

Müssen wirklich alle Unternehmen ein Verarbeitungsverzeichnis führen?

Die EU Datenschutz-Grundverordnung ist verbindlich von allen Organisationen, die personenbezogene Daten von EU-Bürgern verarbeiten, umzusetzen. Das betrifft Unternehmen jeder Größenordnung und aller Branchen sowie Verwaltungen aller staatlichen Ebenen. Bei nicht Einhaltung drohen empfindliche Strafen bis zu 4 Prozent des Jahresumsatzes.

Müssen wirklich alle Nachweispflichten bis 25. Mai 2018 erfüllt sein?

Allen Betroffenen sollte klar sein, dass es ab 25. Mai 2018 strafbar ist, den Datenschutz und damit verbundene gesetzliche Pflichten zu vernachlässigen. Organisationen hatten dann genau zwei Jahre Übergangsfrist, sich mit den Bestimmungen der DSGVO vertraut zu machen und Maßnahmen zu ergreifen. Die DSGVO sieht zwar „Angemessenheitsfristen“ vor, diese werden aber bei akuten Problemen nicht ausreichen, wenn keine Vorkehrungen getroffen wurden.

Was kann passieren, wenn ich gegen die DSGVO verstoße?

Hier gibt es zwei Varianten:

  • Variante 1: Beschwerde bei der Datenschutzbehörde

Jede Person hat das Recht, eine Beschwerde bei der Datenschutzbehörde einzureichen, wenn sie im Glauben ist, dass die Datenverarbeitung nicht rechtmäßig geschieht.

  • Variante 2: Verletzung des Schutzes im Unternehmen

Verletzen Sie den Schutz personenbezogener Daten und besteht dadurch ein Risiko für die betroffenen Personen, so ist ab der Kenntnisnahme unverzüglich binnen 72 Stunden eine Meldung bei der Datenschutzbehörde vorzulegen und die betroffenen Personen sind zu informieren.

Wenn gegen die DSGVO verstoßen wird, sind grundsätzlich hohe Geldbußen bis zu € 20 Millionen oder 4% des weltweiten Konzernumsatzes vorgesehen. Für österreichische Unternehmer werden die Strafen bei weitem nicht in dieser Höhe ausfallen, jedoch sollen sie nach einer Übergangsphase empfindlich angesetzt werden. Im Falle eines erstmaligen Verstoßes trotz nachweisbarer Beschäftigung mit den Aufgaben der DSGVO wird die Datenschutzbehörde von der Abhilfebefugnis Gebrauch machen und das Unternehmen aller Voraussicht nach nur verwarnen.

Mehr zur DSGVO:

Kostenloses DSGVO Webinar für Sie

Datenschutz-Experten erklären Ihnen Schritt für Schritt, wie Sie sich richtig vorbereiten – jetzt kostenlos zum Webinar anmelden & zum Start das unterstützende DSGVO-Tool datadoku.at gratis testen!

Jetzt kostenlos an Webinar teilnehmen

Dominik Stelzig
Dominik Stelzig
Dominik Stelzig
Der Salzburger Dominik Stelzig lebt inzwischen in Wien, ist Buchautor sowie Werbetexter und Creative Director. Für das everbill Marketing ist ihm eines klar: Egal ob digital oder handgeschrieben – Worte machen nur Sinn, wenn Taten folgen.

Kommentare