Am 29.11.2017 lauschte ich einem Vortrag von Frau Mag. Illibauer (WKÖ, Bundessparte Information und Consulting) zum Thema Datenschutzgrundverordnung (DSGVO). Dies war – ehrlicherweise – der erste (!) praxisnahe und auch mit vielen Handlungsaufforderungen gestückte Vortrag und ich möchte Euch die Essenz nicht vorenthalten. Daher werde ich in den nächsten Wochen Tipps & Tricks an Euch weitergeben.
Foto: (c) Martin Bergien / pixelio.de
Die Rechtsgrundlagen
Das wichtigste zuerst. Die Änderungen, die bis Mai 2o18 umgesetzt werden müssen, basieren im Wesentlichen auf zwei Rechtsgrundlagen:
- Datenschutz Anpassungsgesetz 2018 (DSG)
- EU – Datenschutz – Grundverordnung (DSGVO)
Darin wird die Datenverarbeitung von personenbezogenen Daten geregelt. Darunter versteht man alle Daten, die Rückschlüsse auf eine Person zulassen, dh Bilder, Adressdaten, Filme, IP Adresse, Stimme, Gesundheitsdaten, biometrische Daten, etc. Ob die Datenverarbeitung automatisiert oder nicht automatisiert erfolgt, ist nicht relevant. Beide Arten unterliegen den Regulatorien.
Mein Tipp: überlegt Euch einmal, welche Personendaten in Eurem Unternehmen verwaltet werden. Macht ein Brainstorming und beobachtet Euren Alltag. Schreibt alles zusammen (gerne unstrukturiert und chaotisch). Wie diese Überlegungen dann DSGVO-konform aufbereitet werden müssen, erzähle ich Euch im nächsten Blogbeitrag.
Grundsätze der Datenverarbeitung
Folgende Grundsätze gilt es zu beachten:
- Rechtmäßigkeit: Vorliegen einer Einwilligung oder einer vertraglichen / gesetzlichen Grundlage zur Verarbeitung der Daten
- Treu und Glauben, Transparenz: der Betroffene weiß, was mit den Daten passiert
- Richtigkeit: Daten sind aktuell
- Speicherbegrenzung: die Verarbeitung erfolgt nur solange, wie sie wirklich gebraucht werden oder es liegt eine Einwilligung / gesetzliche Vorschrift vor, dass die Daten weiter verwendet werden dürfen
- Zweckbindung: vor der Verarbeitung muss ich mir überlegen, wofür ich die Daten verwende
- Datenminimierung: Speicherung nur so viele Daten, wie ich wirklich brauche. Mehrinformationen dürfen nicht gespeichert werden.
- Integrität und Vertraulichkeit: Daten müssen so sicher wie möglich aufbewahrt werden
- Rechenschaft: über alle obigen Punkte muss Rechenschaft abgelegt werden
Mein Tipp: Erstellt eine gesonderte Einwilligungserklärung für die Datenverarbeitung und verpackt sie nicht in Euren AGB. Die WKO unterstützt dabei durch Tipps und Muster: hier