Am 18.10. fand im Rahmen unseres Digital Society Business Network eine Veranstaltung zum Thema Europäische Datenschutz Grundverordnung statt. Unsere Experten zu diesem Thema waren Mag. Philipp Raffling (Rechtsanwalt) und Ing. Alfons Parovszky (technischer Experte).
2016 wurde die Datenschutz Grundverordnung von der Europäischen Union beschlossen. Im Mai 2018 wird es auch in Österreich verpflichtend. Die Intention ist die Privatsphäre der europäischen Konsumenten (lebende natürliche Personen) besser zu schützen. Die EMRK (Europäische Menschenrechtskonvention) definiert ein Grund auf Schutz der Privatsphäre und des Familienlebens.
Personenbezogene Daten
Was ist ein personenbezogenes Datum? Alles wo man auf eine Person zurückschließen kann. Bei Kindern muss es die Zustimmung der Erziehungsberechtigten geben. Öffentliche Daten fallen nicht unter das Datenschutzgesetz (z.B. Grundbuchdaten). Personen haben das Recht – dass personenbezogene Daten die falsch sind korrigiert werden oder auch komplett gelöscht werden.
Voraussetzungen
Um Personenbezogene Daten verarbeiten zu dürfen, benötigt man nachweisbar die Zustimmung der betroffenen Personen. Im Idealfall eine schriftliche Zustimmung, es reicht aber auch eine konkludente Handlung. Das Unternehmen ist verpflichtet nachzuweisen dass alle Vorschriften eingehalten wurden.
Im Gesetz ist die Datensparsamkeit als Prinzip niedergeschrieben. Es dürfen nur Daten verarbeitet werden, wo es begründete Notwendigkeiten für diese Daten gibt. Davon unberührt sind natürlich gesetzliche Aufbewahrungspflichten.
Wen betrifft die DSGVO
Es gibt kein Unternehmen, das von dieser Verordnung nicht betroffen sein wird. Es sind nicht nur Applikationen wie CRM oder ähnliche betroffen, sondern alle personenbezogenen Daten, sei es in einer Excel Datei, in einer PDF Datei oder auch auf Papier in einer Ablage.
Externe Verarbeitung von Daten
Es gibt laut DSGVO unterschiedliche Rollen. Verantwortlicher: Entscheidet über die Verarbeitung von Daten. Ein Verarbeiter verarbeitet Daten im Auftrag des Verantwortlichen. Der Verantwortliche ist für die Verarbeitung von Daten – ihn trifft daher auch in den meisten Fällen die Strafdrohung. Es muss daher auch klar geregelt sein, wie die Rollen verteilt sind.
Cloud Services verdienen besonderes Augenmerk – wenn z.B. ein Cloud Service in China betrieben wird, dann gibt es eine Datenübermittlung in ein Drittland. Manche Cloud Services bedingen, dass man die Nutzungsrechte an den Cloud Dienst überträgt. Der Verantwortliche muss sicherstellen, dass der Verarbeiter die notwendigen Maßnahmen zum Schutz der Daten ergreift.
Die Übermittlung von Daten ist nur in sichere Drittländer erlaubt ohne eine Genehmigung der Datenschutzbehörde einzuholen. China z.B. wäre kein solches Land.
Besonders geschützte Daten
Es gibt Kategorien von Daten auf die ein besonderes Augenmerk gelegt werden muss. Diese sensiblen Daten beinhalten unter anderem, Gesundheitsdaten, Daten über das Religionsbekenntnis, strafrechtliche Daten, biometrische Daten, Daten zur sexuellen Orientierung, etc.
Datenverlust
Wenn ein Datenleak passiert, muss das Unternehmen innerhalb von 72 Stunden die Datenschutzbehörde informieren, dass ein solcher Vorfall passiert ist. Ausgenommen davon sind aber Fälle, in denen kein hohes Risiko für den Betroffenen besteht.
Sicherheit
Ohne Sicherheit gibt es keinen Datenschutz. Die DSGVO schreibt Privacy by default vor. Ohne Sicherheit können personenbezogene Daten nicht geschützt werden. Es ist daher technisch unumgänglich auch eine Sicherheitsstrategie zu implementieren.
Besonders zu beachten sind transportable Datenträger wie USB Sticks oder auch Notebook Festplatten auf denen sich personenbezogene Daten befinden. Natürlich ist auch grundlegende Dinge wie die Verwendung und Verwaltung der Passwörter sehr essentiell.
Auch eine Einführung von Rechtemanagement muss überdacht werden. Auf Daten sollten nur jene Mitarbeiter Zugriff haben, die auch Zugriff auf diese Daten benötigen.
Strafandrohung
Die Strafen der DSGVO können drakonisch sein. Das Strafmaß ist bis zu 20 Mio € oder 4% des Jahresumsatzes. Das Ziel dieser drakonischen Strafen ist es abschreckend zu sein. Im Visier dieser drakonischen Strafen waren vor allem die großen multinationalen Konzerne, die Datenschutzregelungen in der Vergangenheit teilweise einfach ignoriert haben.
Aufzeichnung der Veranstaltung
Die gesamte Aufzeichnung des Digital Society Business Network zum Thema Datenschutz Grundverordnung ist hier zu finden:
Digital Society
Die Digital Society setzt sich im Sinne unseres Mottos “… changing the digital world together!” dafür ein, dass die DSGVO auch für Österreichische KMU vernünftig lebbar ist, und die Privatsphäre von Nutzern bestmöglich geschützt sind. Im Sinne dessen informiert die Digital Society die Öffentlichkeit mit Veranstaltungen wie dieser, arbeiten in Normungsgremien des Austrian Standards Institutes (ASI) mit, führt mit politischen Ansprechpartner Diskussionen wie das Datenschutz Anpassungsgesetz bestmöglich saniert werden kann u.v.a.m.
Wir benötigen um diese Aktivitäten fortsetzen zu können Ihre Unterstützung. Wir laden Sie daher ein, bei der Digital Society Mitglied zu werden:
https://digisociety.ngo/mitmachen/
- Über den Autor
- Artikel
Werner Illsinger ist systemischer Coach, Unternehmensberater sowie Lektor an der FH-Kärnten. Sein Herzensanliegen ist es, dass Arbeit Spaß macht.
Wieder ein ambitionierter Vortrag mit Mehrwert von Ing. Alfons Parovszky (bzw. Mag. Philipp Raffling) über das aktuelle und meiner Meinung nach bei KMU unterschätzte Thema der Umsetzung der DSGVO. Weiter so! LG Roman Tippner