Das ändert sich 3 Oft gestellte Fragen Die Top 11 aus über 500 … · 2018-04-20 · Die neue...
Transcript of Das ändert sich 3 Oft gestellte Fragen Die Top 11 aus über 500 … · 2018-04-20 · Die neue...
BEILAGE IM KURIE R
SEITE 3Das ändert sich
Schritt für Schritt begleitet die WKO
Unternehmen durch den Prozess.
SEITE 8Oft gestellte Fragen
Die Top 11 aus über 500 häufig gestellten
Fragen zum Thema Datenschutz.
Datenschutz
als ChanceDSGVO. DieWKOunterstütztdie
Unternehmerdabei,DatenschutzalsChance
zunutzen,umsichneuaufzustellen
FOTOS:WKO,NATALIMIS/ISTOCKPHOTO.COM,EMIRMEMEDOVSKI/ISTOCKPHOTO.COM
WKO ENTGELTLICHE KOOPERATION
31. MÄRZ 2018
SERVICESamstag
31. März 2018
2
Unternehmer. RolandSurböckmacht seinUnternehmenDSGVO-fit
Wir haben uns dem Prozess gestellt
JOBMEDIENGMBH
REINHARDPODOLSKY/MEDIADESIGN.AT
Coach. GüntherDomittner über einmotivierendesWebinar
Wichtiges Thema, das jeden betrifft
123DUCU/ISTOCKPHOTO.COM
FOTOWIRTH/WWW.FOTO-WIRTH-DIGITAL.DE
Inventur:Welche Datennatürlicher Personen
werden in Ihrem Unterneh-men gespeichert und ver-arbeitet? Sind hier sensibleDatendabei?
Speicherdauer von Datenprüfenundanpassen:Wie
lange sind Daten im Unter-nehmen gespeichert? Gibt esLöschroutinen?
Prüfung der Rechtmäßig-keit:GibteseineRechts-
Die zehn formalen Schritte
grundlage (z.B. gesetzlicheVerpflichtung, Vertrag, Ein-willigung),aufderenBasisSiedieseDatenverarbeiten?
Zeit- und Budget-Pla-nung: Ist die Vorberei-
tung intern zu schaffen odermuss ein externer Expertebeauftragtwerden?
Maßnahmenplan: Wiegehen Sie weiter vor,
wassinddieeinzelnenSchrit-te bis zum25.5.2018?
Zuständigkeit / Ansprech-partner: Wer ist zu-
ständig beziehungsweiseder Ansprechpartner fürdieses Thema? Wer küm-mert sich zukünftig umFragen zu diesem Thema?Brauchen Sie einen Daten-schutzbeauftragten lautDSGVO?
Protokollieren: ErstellenSie Datenverarbei-
tungsverzeichnisse so baldwiemöglich!
Zustimmungserklärungen,AGB und laufende Verträ-
ge prüfen und anpassen:Durch-forsten Sie alles!
Informationen auf Web-sites, Mails und derglei-
chen prüfen und anpassen:Ist Ihre Datenschutzerklä-rung ausreichend?
Datensicherheitsmaß-nahmen prüfen:Wird bei
Ihnenbereitsgetan,wasnötig,möglichundsinnvoll ist?
ZORANM/ISTOCKPHOTO.COM
IMPRESSUM Medieninhaber und Verleger: Mediaprint Zeitungs- und Zeitschriftenverlag GesmbH & Co.KG, Muthgasse 2, 1190 Wien (Redaktionsadresse) Projektleitung, Autor: Martin Mühl (Monopol Verlag GmbH) Produktion:Oliver Scheiber Layout: KURIER Produktion Fotoredaktion: Susanne Schoberberger Hersteller: Mediaprint Zeitungsdruckerei Gesmbh & Co.KG, Richard-Strauß-Straße 23; 1230 Wien, Projektverantwortlicher: DietmarKuchelbacher, [email protected]
WKÖ-PRÄSIDENT CHRISTOPH LEITL
Vorwort
Datenschutzals ChanceDie neue DSGVO ist eine Herausforderung,Unternehmen als Datenschutz-fit und besondersvertrauenswürdig zu positionieren.
Die neue EU-Datenschutz-Grundverordnung,kurzDSGVO, gilt ab 25.Mai 2018 europaweit füralle Unternehmen, die personenbezogene Datenverarbeiten, unabhängig von ihrer Größe. Das
heißt,vomEPUüberKMUbishinzumgroßenIndustrie-unternehmenist jedesUnternehmenbetroffen,dasinir-gendeiner Form mit personenbezogenen Daten vonKunden, Mitarbeitern oder Lieferanten arbeitet. KeineFrage: Es ist eine großeHerausforderung für dieBetrie-beundaucheineBelastung, sichmitdiesemkomplexenund umfangreichen Thema auseinanderzusetzen. DiepraktischeUmsetzungbrauchtZeit,personelleRessour-cenundverursachtKosten.
Hier bietet die Wirtschaftskammer Unterstützungund stellt den Unternehmen umfassende Hilfestellun-genzurVerfügung,umsichgutvorzubereitenundeinenreibungslosen Ablauf zu gewährleisten.Wie „heiß“ dasThemaist,zeigendiekonstanthohenZugriffszahlenaufdie Datenschutz-Seiten der WKO-Website sowie diestarknachgefragtenBesucheunsererWebinareundVer-anstaltungen.
Doch die neue Verordnung ist auch eine Chance. Sonutzen viele Betriebe die Gelegenheit, die eigenenDatensammlungen neu zu strukturieren. AufgeräumteDatenbanken, ein gewissenhafter Umgang mit Daten,aberauchmehrTransparenzschaffenmehrVertrauens-würdigkeit fürKundenundsorgenfüreineguteReputa-tion und ein positives Unternehmensimage. Daten-schutz ist nicht zuletzt ein Qualitätskriterium für rot-weiß-roteBetriebe iminternationalenBenchmark.Des-halbbinichzuversichtlich,dassÖsterreichsBetriebegutaufgestellt sein werden und sich als besonders vertrau-enswürdigundprofessionellpositionierenkönnen.
Roland Surböck ist Ge-schäftsführer der JobmedienGmbH,dieseit11,5JahreninNiederösterreich, Wien unddem Burgenland regionaleJobportale betreibt. DiePlattformen des Vier-Perso-nen-Unternehmens sind vir-tuelleTreffpunktefürFirmenund Bewerber. Jobmedienbringt auch jährlich einenKarrierekompass für dasWaldviertel heraus, der anSchülerinnen und Schülereiner Abschlussklasse ver-teilt wird, und arbeitet aktu-ell aneinemVideoprodukt.
SoftwareaktualisierenAls Online-Unternehmer istRoland Surböck daran inte-ressiert immer up to date zusein und liest viele Newslet-ter. So auch jene der WKO:„Seit einem dreiviertel Jahrkommt man an dem Themanicht vorbei,“ erinnert ersich: „Wir haben in diesem
Zuge auch beschlossen, dieSicherheit unserer Portaleweiter aufzurüsten und diekomplette Software zu aktu-alisieren.“ Schon im Herbsthat das Unternehmen ge-meinsam mit einem von derWKO geförderten Beraterden Prozess begonnen, Job-medien DSGVO-fit zu ma-chen: „Wir haben geprüft,welcheDatenwirhaben,Ver-zeichnisse angelegt und be-gonnen unsere Datenland-schaftaufzuräumen.“
DiegrößteÜberraschung
wardabeifürihn,welcheFül-le an Daten man eigentlichhat. Auch als jemand, dereinemAusufernvonbürokra-tischen Richtlinien durchauskritisch gegenüber steht, istihm die besondere Sensibili-tät von Daten mittlerweilenoch bewusster. GemeinsammitdemBeraterunddenMit-arbeitern gibt es noch einenAbschluss-Workshop. Ro-land Surböck empfiehlt dieErstellung einer Mindmap:„DasistwiedieKartezureige-nenDatenlandschaft.“
Günther Domittner war seitEnde der 1980er-Jahre inDeutschland als ConsultantundTrainer tätigundhatsich2011 in Österreich mit derGründung einer Unterneh-mensberatung mit demSchwerpunkt Einzel- undTeamcoaching selbstständiggemacht. Für die DSGVOwurde er durch die HinweiseundNewsletterderWKOsen-sibilisiert, auch wenn Daten-schutzfürihnschonlangeeinThemaist.
SensiblesanonymisiertNeuwar für ihndabeiderGe-danke, dass nicht nur großeFirmen wie Amazon undFacebook, sondern auch Ein-zelunternehmen, also EPUdavon betroffen sind: „Hierhaben mich wiederholte
Mails und Hinweise erst aufdas Thema gebracht. Als ichdann an entsprechendenEvents teilnehmen wollte,waren diese alle ausgebuchtund mir wurde klar, wiewichtigdasThemaist.“Statt-dessen hat er dann an einemWebinarderWKOteilgenom-men und aus diesem die Be-stätigung mitgenommen,
dass jeder von dem Themabetroffenist.DasWebinarhatihm auch praktisch mit Hin-weisen auf informativeWeb-sites und Musterformulare,die die WKO zur Verfügungstellt, geholfen. Es hat ihnaußerdem so motiviert, dasser sein Verarbeitungsver-zeichnis gleich angegangenist. Betroffen ist er in Formvon B2B-Kontakten, die erspeichert. Als persönlicherCoach war er schon immergewöhnt keine sensiblenDatenzuspeichernunddiesein handschriftlichen Auf-zeichnungen zu anonymisie-ren. Anschaffungen warenfürihnkeinenötig,erhataberden Anlass genützt seine IT-Sicherheit anhand einerWKO-Checkliste zu überprü-fenundzumodifizieren.
1
2
3
4
5
6
7
8
9
10
Ein Berater hat Roland Surböckdurch die Umstellung begleitet
Auch bei hand-schriftlichen
Notizen anonymi-siert der
Coach Daten
Günther Domittner istEinzel- und Teamcoach
Mit verständ-lichen Check-listen undArbeits-materialienunterstütztdie WKOUnternehmenschrittweisebei derUmstellung
Die Jobmedien GmbH gibt jährlich einen Karrierekompass heraus
W K OE NTG ELT LI C HE K OOP ERA TI O N
Samstag
31. März 2018 SERVICE3
W K OENTG EL TL IC HE K O OPERA TI ON
Am 25. Mai 2018 ist essoweit! Die neueDatenschutz-Grund-
verordnung betrifft alleUnternehmen, die personen-bezogene Daten verarbeiten– eine gute Gelegenheit fürIhr Unternehmen Ihre Datengenauer unter die Lupe zunehmen. Seien Sie Vorreiter,indem Sie sich zu den neuenRichtlinienbekennenundeinnoch besseres Verhältnis zuIhrenKontakten etablieren.
BestandsanalyseAn einer Dateninventurführt kein Weg vorbei. Sieund Ihr Unternehmen müs-senwissen,welcheDatenwa-rum,wo, fürwelche Zwecke,wie lange verarbeitet wer-den, wer Zugriff hat und ob,beziehungsweiseanwendie-se weitergegeben werden.Insbesondere Ihre Websiteund Ihr Newslettersystemsollten überprüftwerden.
Verarbeitungs-VerzeichnisDas Verarbeitungsverzeich-nis ist eine der zentralenNeuerungen der DSGVOund ersetzt die derzeitigenDVR Meldungen. Es mussunter anderem Namen undKontaktdaten des Verant-wortlichen, den Zweck derDatenverarbeitung,dieKate-gorien der Personen und der
Das ändert die neue DSGVOÜberblick. SobereitenSie sichaufdieVeränderungen imMai richtig vor
personenbezogenen Daten,die Kategorien von Empfän-gern und die Beschreibungder Datensicherheitsmaß-nahmen enthalten. DieWKObietetMusterverzeichnisse .
FolgenabschätzungWenn ein hohes Risiko fürdie Rechte und Freiheitender Personen durch die Ver-arbeitung der Daten besteht,muss Ihr Unternehmen eineDatenschutz-Folgenabschät-zung machen. Darin müssendie geplantenVerarbeitungs-vorgänge und Zwecke derDatenverarbeitung beschrei-ben sowie dieNotwendigkeitund Verhältnismäßigkeit derVerarbeitung und möglicheRisiken für die Rechte undFreiheiten betroffener Perso-nenbewerten.Wasgegendie-se Risiken unternommenwerden kann (Datensicher-heitsmaßnahmen) komplet-tiertdieDatenschutz-Folgen-abschätzung.
InformationspflichtenVon einer Datenverarbei-tung betroffene Personenmüssen informiert werden:Was,wer,zuwelchemZweck,wie lange, wohin. Auch Be-troffenenrechte,wieetwaaufAuskunft oder Löschungmüssen unverzüglich, spä-testens innerhalb eines Mo-nats erfülltwerden.
Auftragsverarbeiter-VertragDiesen brauchen Sie, wennexterne Dienstleister, wieAuftragsverarbeiter, für IT-Dienstleistungen, Buchhal-tungoderauchLohnverrech-nung beauftragt werden.Prüfen Sie, ob ein entspre-
chender Vertrag vorhandenist,wennnicht,solltenSieun-bedingt einen abschließen.Die WKO bietet hier Muster-verträge.
MeldepflichtImFalle vonDatenschutzver-letzungen,wieetwademVer-
lust eines Datenträgers oderHackerangriff, muss IhrUnternehmen diesen derDatenschutzbehörde mel-den. Und zwar unverzüglich,spätestens jedoch innerhalbvon 72 Stunden ab Erkennendes Vorfalls. Eine Ausnahmebesteht, wenn der „Data Bre-
ach“ keineRisiken für die be-troffenen Personen mit sichbringt. Ist das Risiko hoch,müssen die Betroffenen di-rekt informiert werden.WeitereInfoszudenInfokits:
.
· ·· · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · · ·
INTERNETwww.wko.at/dsgvo-infokit
WKO
Im UnternehmensalltagWenn Sie diese Aussagen hören,sollten Sie sehr vorsichtig sein...
„Kannst du mir deinen USB-Stick leihen? Es kann ruhigetwas drauf sein, ich spielenur meine Kundenpräsentationfür meine Dienstreise drauf.Am Montag bringe ich ihnverlässlich zurück“
...weil...
„Das ist jetzt aber unangenehm. Unsere Druckerei ist abmorgen auf Betriebsurlaub und wir brauchen die Visiten-karten unserer Vertriebsmannschaft aber dringend fürdie Messe nächsten Mittwoch.“
„Macht nichts, schicke die Daten gleichder neuen Druckerei am Hauptplatz. Die
schaffen das sicher bis dahin.“
„Liebe Kolleginnen und Kollegen,ich habe zur Sicherheit die Listeunserer Kunden aus Westeuropaausgedruckt, falls unser Systemwieder mal überlastet ist. Liegt inmeiner obersten Schreibtischlade.Aber bitte wieder zurückgeben.“
Grundsätze.Auf diesenKernthemenbasiert die Verordnung
Sieben Prinzipien der DSGVO
TANAONTE/ISTOCKPHOTO.COM
· ································································································································
Servicekontakte in den LandeskammernAnsprechpartner:Weiterführende Informationenfinden Sie hier:
WK BurgenlandT: +43 5 90 907 2000E: [email protected]
WK Kärnten SofortserviceT: +43 5 90 904 777E: [email protected]
WK NÖ BezirksstellenT: +43 2742 851 0E: [email protected]
WK OÖ Service-CenterT: +43 5 90 909E: [email protected]
WK SalzburgAllgemeines UnternehmensrechtT: +43 662 88 88 324E: [email protected]
WK SteiermarkT: +43 316 601 601,E: [email protected]
WK Tirol RechtsserviceT: +43 5 90 905 1111,E: [email protected]
WK Vorarlberg Rechtspolit. Abt.T: +43 5522 305 1122E: [email protected]
WK Wien Abt. RechtspolitikT: 43 1 514 50 1615E: [email protected]
… bei jeder Weitergabepersonenbezogener Datenbenötigen Sie einen „Auf-tragsverarbeitervertrag“mit Ihrem externenPartner. Gerade beidringenden Ausweichlö-sungen dürfen Sie daraufnicht vergessen.
Das Prinzip der Spei-cherbegrenzung be-
sagt, dass Daten nur solangegespeichert werden, wie fürdie Verarbeitung erforder-lich. Danach müssen siegelöschtwerden.
Das Prinzip der Daten-minimierung besagt,
dass nur so viele Daten ver-arbeitet werden, wie erfor-derlich.
DasPrinzipderZweck-bindung unterstreicht,
dass Daten nur für die über-eingekommenen Zwecke,und nicht darüber hinaus,verarbeitet, verwendet undgespeichertwerden.
Das Prinzip der Rich-tigkeit besagt, dass
Daten in bestemWissen undGewissen richtig und aktuellgehaltenwerdensollen.
Das Prinzip Integritätund Vertraulichkeit be-
sagt, dass die Sicherheit undder Schutz von verarbeitetenDaten maximal gewährleis-tetwird.
Das Prinzip der Re-chenschaft besagt, dass
der Verantwortliche die Er-füllung des Datenschutzesnachweisenkönnenmuss.
Das Prinzip von Recht-mässigkeit, Verarbei-
tungnachTreuundGlauben,Transparenz besagt, dass dieDaten nur auf rechtmäßige,nachvollziehbare und trans-parente Weise verarbeitetwerdensollen.
Die WKObietet Unter-nehmen eineVielzahl vonhilfreichenUnterlagenwie die
Datenschutz-Infokits
… besonders bei mobilen Datenträgern, die IhrUnternehmen verlassen, sollten Sie sich vergewis-sern, dass sich keine personenbezogenen Datendarauf befinden. Vermeiden Sie auch selbst,fremde USB-Sticks zu verwenden. Diese könntenmit einer Schadsoftware infiziert sein.
… auch personenbezogene Daten, die instrukturierter Form auf Papier ausgedrucktwerden, unterliegen der DSGVO . Bei diesemBeispiel kommt auch noch das Problemmangelnder Datensicherheit dazu, da offen-bar jeder Zugriff auf diesen Daten hat. Den-ken Sie als Unternehmen auch daran, dassunberechtigte Dritte (z.B. Konkurrenz) Inte-resse an Ihren Daten haben könnten.
SERVICESamstag
31. März 2018
4
KONKRETE HILFE FINDEN SIE AUFwko.at/datenschutzservice
BASISZum Einstieg in das Thema „DSGVO“ eignen sichinsbesondere diese Tools:
1. Die Überblicksseite hilft bei der Übersicht über die Themen,die für jeden Betrieb relevant sind:www.wko.at/dsgvo-infos
2. Der Onlineratgeber führt Schritt für Schritt durch die DSGVOund den Umsetzungsbedarf im Betrieb:https://dsgvo.wkoratgeber.at/
3. Das Datenschutz-Basiswebinar vom 30. November 2017erklärt in einer Stunde, worum es geht und diewichtigsten Fragen:www.wko.at/dsgvo-webinar
4. Falls Sie externe Unterstützung benötigen:Über 400 Experten können Ihr Umsetzungsprojekt begleiten:www.wko.at/dsgvo-beratersuche
UMSETZUNGWas jeder Unternehmer umsetzen muss:
1. Datenschutzerklärungen müssen angepasst werden(ab 4. April2018 auch in englischer Sprache verfügbar):https://dsgvo-informationsverpflichtungen.wkoratgeber.at/
2. Protokolle über die datenschutzrelevante Tätigkeit im Betriebmuss erstellt werden, Muster finden Sie hier:www.wko.at/dsgvo-verantwortliche-verarbeitungsverzeichnis
3. Mit externen Dienstleistern („Auftragsverarbeitern“) müssenschriftliche Verträge geschlossen werden, Muster finden Sie hier:www.wko.at/dsgvo-auftragsverarbeiter-muster
4. Brauchen Sie externe Hilfe? Holen Sie sich eine geförderteBeratung von www.kmudigital.at!
LAUFENDER BETRIEBIst einmal der Umstieg erledigt, ist schon die größte Arbeitgeschafft! Dennoch muss Datenschutz auch im laufenden Betriebintegriert sein:
1. Beispielsweise müssen Sie Datenlecks in Zukunft unterUmständen der Datenschutzbehörde melden:www.wko.at/dsgvo-databreachnotification
2. Daten müssen gelöscht werden, wenn diese nicht mehr benötigtwerden! Wann das der Fall ist und welche Fristen für Sie relevantsind, finden Sie hier:www.wko.at/dsgvo-aufbewahrungsfrist
3. Bleiben Sie beim Thema Datensicherheit immer am aktuellen Stand:www.it-safe.at
BRANCHENSpezielle Themen, die nur spezifische Branchen betreffen,finden sich hier: www.wko.at/datenschutzserviceWelche Veranstaltungen die WKO in Ihrem Bundesland anbietet,können Sie hier erkennen: www.wko.at/dsgvo-veranstaltungen
VERTIEFUNGGibt es Mitarbeiter im Betrieb? Brauchen Sie weitere Informati-onen zu den Themen Datenschutzbeauftragter, Rechte betroffenerPersonen, Anfragenabwicklung und ähnlichen Themen?Hilfe & Muster finden Sie hier:
1. Verpflichtungserklärung zum Datengeheimnis und zur Wahrungvon Geschäfts- und Betriebsgeheimnissen für Mitarbeiter:www.wko.at/dsgvo-datengeheimnis-muster
2. Datenschutzerklärung für Mitarbeiter:www.wko.at/dsgvo-datenschutzerklärung-mitarbeiter
3. Vertiefende Infos finden Sie unter: www.wko.at/datenschutz
4. In der Broschüre finden Sie alle Infos, die Sie im laufendenBetrieb benötigen, nochmal zum Nachlesen & Schmökern:https://webshop.wko.at/datenschutzanpassungsgesetz-2018.html
Basis
Umsetzung
Vertiefung
Branchen
laufenderBetriebDie WKO bietet ihren Mitgliedern und Unternehmen viel Unterstützung – von Informationen und
Beratung zum Start, über hilfreiche Vorlagen und Formulare, bis hin zu Hilfen im laufenden Betrieb
Das Service der WKO
BIN ICH VON DERDSGVO BETROFFEN?
Als Unternehmer – JA!Immer!Die Ausnahmen vomAnwendungsbereich derDSGVO sind in der DSGVOabschließend aufgezählt.Eine Ausnahme gibt es fürdie Datenverarbeitung durchPrivatpersonen ausschließ-lich für „persönliche oderfamiliäre Tätigkeiten“. Alleösterreichischen Unterneh-men jeder Branche sind vonder DSGVO betroffen, auchARGE, Vereine, Ärzte, KMU,EPU, Schulen etc.
WAS SIND PERSONEN-BEZOGENE DATEN?
Personenbezogen ist alles,was nur in irgendeiner Artund Weise einen Bezug zueiner natürlichen Personherstellen kann, also z. B.Name (auf Rechnungen, inDatenbanken, …), Adresse,Telefonnummer, Abbilder,Stimme.
Jede Handhabe mit perso-nenbezogenen Daten, wiedas Erheben, das Erfassen,die Organisation, dasOrdnen, die Speicherung,die Anpassung oder Verän-derung, das Auslesen, dasAbfragen, die Verwendung,die Offenlegung durchÜbermittlung, Verbreitungoder eine andere Form derBereitstellung, den Abgleichoder die Verknüpfung, dieEinschränkung, das Löschenoder die Vernichtung.
WER HAFTET? WERIST DER VERANT-WORTLICHE IMUNTERNEHMEN?
Das Unternehmen selbst.Ist das Unternehmen einejuristische Person (GmbH,AG), haftet dieses in ersterLinie. Der VerantwortlicheBeauftragte (§ 9 VStG,Geschäftsführer oderbestellte Person) haftetnur ausnahmsweise.
MÜSSEN BESTEHENDEKUNDEN ERNEUT EIN-WILLIGEN, KONTAKTIERTWERDEN ZU DÜRFEN?
Wenn die bestehendenEinwilligungen den Vorgabender DSGVO bereits entspre-chen, müssen keine neuenEinwilligungen eingeholtwerden. Hier ist insbesondereauf die Belehrung über diejederzeitige Widerrufsmöglich-keit der Einwilligung zu achten.Prüfen Sie sorgfältig, ob Sieüberhaupt eine Einwilligungbenötigen, oder Ihre Datenver-arbeitung auf eine andereRechtsgrundlage stützenkönnen.
In einem Paketshop (Kunden können ihrePakete abholen), in dem der Name gespeichertwird, um das Paket leichter finden zu können,ist es nicht möglich, die Zustimmung zubekommen, bevor der Kunde ins Geschäftkommt.
WIE KANN MAN DIESEM PROBLEMENTGEGEN TRETEN?
Es wird hier keine Einwilligung notwendig sein,da Sie die Daten offenbar ausschließlich zurVertragserfüllung (= Bereitstellen des Paketszur Abholung durch den Kunden) verwenden.
KOMME ICH MIT EINEM BETRIEBNACH BEGINN DIESER VERORDNUNG,DANN Z. B. AUS EINEM BEURTEI-LUNGSPORTAL WIE HOLIDAYCHECKHERAUS? BIS JETZT WAR DAS JANICHT MÖGLICH.
Es wird nach wie vor eine Abwägung zwischenIhrem Grundrecht auf Datenschutz und demRecht auf freie Meinungsäußerung durchge-führt, es ändert sich hier also grundsätzlichnoch nichts. Möglicherweise wird sichallerdings die Rechtsprechung zu denBewertungsportalen noch einmal ändern.
WANN BRAUCHEICH EINENDATENSCHUTZ-BEAUFTRAGTEN?
In seltenen Fällen: Wenn dieKerntätigkeit des Unterneh-mens in der Durchführung vonVerarbeitungsvorgängenbesteht, die aufgrund ihrer Art,ihres Umfanges und/oder ihrerZwecke eine umfangreicheregelmäßige und systematischeÜberwachung von betroffenenPersonen erforderlich machen(z. B. Banken, Versicherungen)oder die Kerntätigkeit desUnternehmens in der umfang-reichen Verarbeitung sensiblerDaten (z. B. Krankenanstalten)oder von Daten über strafrecht-liche Verurteilungen oderStraftaten besteht.
WAS IST BEI DERDATENERHEBUNGZU BEACHTEN?
Folgende Punktemüssen bedachtwerden: Auf welcheGrundlage stützt sichdie Verarbeitung?Brauche ich eineEinwilligung? WelcheDaten brauche ichkonkret für welcheZwecke und wie lange?Informationen sind andie betroffene Personweiterzugeben!
WAS IST IM LAU-FENDEN BETRIEBZU BEACHTEN?
Änderungen beiDatenverarbeitungensollten mit demVerarbeitungsver-zeichnis abgeglichenwerden. Datensicher-heit ist sehr wichtigund sollte regelmäßignachjustiert werden.Datenlecks müsseneventuell gemeldetwerden.
WAS IST BEIMLÖSCHEN ZUBEACHTEN?
Daten dürfen nur solange verarbeitetwerden, als sie fürden konkreten Ver-arbeitungszwecknotwendig sind.Aufbewahrungsfristensind einzuhalten.Daten müssen, wennsie gelöscht werden,tatsächlich gelöschtwerden, die Ein-schränkung des Zu-griffs reicht nicht aus.
MUSS ICH IN ZUKUNFTVERSCHLÜSSELN?
Verschlüsselung bzw. Pseudonymi-sierung ist in der DSGVO als Daten-sicherheitsmaßnahme angespro-chen. Grundsätzlich kann aberauch ein Passwortschutz schoneine Verschlüsselungsmaßnahmedarstellen. Es ist nicht vorgeschrie-ben, E-Mails in Zukunft standardi-siert verschlüsseln zu müssen,allerdings sollte man sich sehrwohl überlegen, ob man sensibleDaten oder Betriebsgeheimnissetatsächlich mit E-Mail verschickt,da das ähnlich zu sehen ist, wiewenn man Informationen perPostkarte verschickt.
ÜBER WAS MUSS ICHINFORMIEREN? MUSSICH IMMER INFORMIEREN?
Die Informationspflicht gehtsehr weit und ist vomAuskunftsanspruch zutrennen, da letzterer erstzu erfüllen ist, wenn eineAnfrage von einer betroffenenPerson vorliegt. Informati-onen hingegen müssen davonunabhängig selbstständigbereitgestellt werden,z. B. mittels einer Daten-schutzerklärung.
Externe Dienstleister, dieman zur Datenverarbeitungheranzieht, nennt manAuftragsverarbeiter.Auftragsverarbeiter könnenz. B. Cloud-Anbieter,IT-Dienstleister, Buchhalter,Lohnverrechner, Werbeagen-turen, Newsletteranbieteretc. sein. Die DSGVOdefiniert eine Reihe vonPflichten des Auftragsverar-beiters – primär muss einVertrag geschlossen werden(Muster finden Sie online).Weiters treffen denDienstleister auchandere Pflichten, wie z. B.Sicherheitsmaßnahmen
implementieren, Risikeneinschätzen, aber auch denVerantwortlichen/ Kundenbei seinen Pflichten gegen-über Betroffenen und bei derDatenschutz-Folgeabschät-zung unterstützen, bzw. fürdiesen eine „abgespecktere“Version des Verarbeitungs-verzeichnisses über dieVerarbeitungstätigkeiten fürden Verantwortlichen/Kun-den erstellen. Wie dieseUnterstützung konkretaussieht, sollte am bestenvertraglich geregelt werden.Ein Muster für diese Formdes Verarbeitungsverzeich-nisses finden Sie online.
WAS IST DASVERARBEITUNGS-VERZEICHNIS?
Das Verarbeitungsverzeichnisist ein Protokoll aller daten-schutzrelevanter Vorgänge imBetrieb. Es muss folgendeInformationen enthalten: DenZweck der Verarbeitung, dieKategorien der betroffenenPersonen und die Kategoriender personenbezogenen Daten,die Kategorien von Empfän-gern, gegebenenfalls dieÜbermittlung von personenbe-zogenen Daten an ein Drittland,die vorgesehene Speicherdauersowie eine allgemeineBeschreibung der technischenund organisatorischenMaßnahmen zur Sicherheit derDatenverarbeitung.
KÖNNEN WEITERHIN EXTERNE DIENSTLEISTERFÜR DIE DATENVERARBEITUNGHERANGEZOGEN WERDEN?
WAS VERSTEHT MANUNTER „VERARBEITEN“?
W K OE NTG ELT LI C HE K OOP ERA TI O N
Samstag
31. März 2018 SERVICE5
W K OENTG EL TL IC HE K O OPERA T ION
KONKRETE HILFE FINDEN SIE AUFwko.at/datenschutzservice
BASISZum Einstieg in das Thema „DSGVO“ eignen sichinsbesondere diese Tools:
1. Die Überblicksseite hilft bei der Übersicht über die Themen,die für jeden Betrieb relevant sind:www.wko.at/dsgvo-infos
2. Der Onlineratgeber führt Schritt für Schritt durch die DSGVOund den Umsetzungsbedarf im Betrieb:https://dsgvo.wkoratgeber.at/
3. Das Datenschutz-Basiswebinar vom 30. November 2017erklärt in einer Stunde, worum es geht und diewichtigsten Fragen:www.wko.at/dsgvo-webinar
4. Falls Sie externe Unterstützung benötigen:Über 400 Experten können Ihr Umsetzungsprojekt begleiten:www.wko.at/dsgvo-beratersuche
UMSETZUNGWas jeder Unternehmer umsetzen muss:
1. Datenschutzerklärungen müssen angepasst werden(ab 4. April2018 auch in englischer Sprache verfügbar):https://dsgvo-informationsverpflichtungen.wkoratgeber.at/
2. Protokolle über die datenschutzrelevante Tätigkeit im Betriebmuss erstellt werden, Muster finden Sie hier:www.wko.at/dsgvo-verantwortliche-verarbeitungsverzeichnis
3. Mit externen Dienstleistern („Auftragsverarbeitern“) müssenschriftliche Verträge geschlossen werden, Muster finden Sie hier:www.wko.at/dsgvo-auftragsverarbeiter-muster
4. Brauchen Sie externe Hilfe? Holen Sie sich eine geförderteBeratung von www.kmudigital.at!
LAUFENDER BETRIEBIst einmal der Umstieg erledigt, ist schon die größte Arbeitgeschafft! Dennoch muss Datenschutz auch im laufenden Betriebintegriert sein:
1. Beispielsweise müssen Sie Datenlecks in Zukunft unterUmständen der Datenschutzbehörde melden:www.wko.at/dsgvo-databreachnotification
2. Daten müssen gelöscht werden, wenn diese nicht mehr benötigtwerden! Wann das der Fall ist und welche Fristen für Sie relevantsind, finden Sie hier:www.wko.at/dsgvo-aufbewahrungsfrist
3. Bleiben Sie beim Thema Datensicherheit immer am aktuellen Stand:www.it-safe.at
BRANCHENSpezielle Themen, die nur spezifische Branchen betreffen,finden sich hier: www.wko.at/datenschutzserviceWelche Veranstaltungen die WKO in Ihrem Bundesland anbietet,können Sie hier erkennen: www.wko.at/dsgvo-veranstaltungen
VERTIEFUNGGibt es Mitarbeiter im Betrieb? Brauchen Sie weitere Informati-onen zu den Themen Datenschutzbeauftragter, Rechte betroffenerPersonen, Anfragenabwicklung und ähnlichen Themen?Hilfe & Muster finden Sie hier:
1. Verpflichtungserklärung zum Datengeheimnis und zur Wahrungvon Geschäfts- und Betriebsgeheimnissen für Mitarbeiter:www.wko.at/dsgvo-datengeheimnis-muster
2. Datenschutzerklärung für Mitarbeiter:www.wko.at/dsgvo-datenschutzerklärung-mitarbeiter
3. Vertiefende Infos finden Sie unter: www.wko.at/datenschutz
4. In der Broschüre finden Sie alle Infos, die Sie im laufendenBetrieb benötigen, nochmal zum Nachlesen & Schmökern:https://webshop.wko.at/datenschutzanpassungsgesetz-2018.html
Basis
Umsetzung
Vertiefung
Branchen
laufenderBetriebDie WKO bietet ihren Mitgliedern und Unternehmen viel Unterstützung – von Informationen und
Beratung zum Start, über hilfreiche Vorlagen und Formulare, bis hin zu Hilfen im laufenden Betrieb
Das Service der WKO
BIN ICH VON DERDSGVO BETROFFEN?
Als Unternehmer – JA!Immer!Die Ausnahmen vomAnwendungsbereich derDSGVO sind in der DSGVOabschließend aufgezählt.Eine Ausnahme gibt es fürdie Datenverarbeitung durchPrivatpersonen ausschließ-lich für „persönliche oderfamiliäre Tätigkeiten“. Alleösterreichischen Unterneh-men jeder Branche sind vonder DSGVO betroffen, auchARGE, Vereine, Ärzte, KMU,EPU, Schulen etc.
WAS SIND PERSONEN-BEZOGENE DATEN?
Personenbezogen ist alles,was nur in irgendeiner Artund Weise einen Bezug zueiner natürlichen Personherstellen kann, also z. B.Name (auf Rechnungen, inDatenbanken, …), Adresse,Telefonnummer, Abbilder,Stimme.
Jede Handhabe mit perso-nenbezogenen Daten, wiedas Erheben, das Erfassen,die Organisation, dasOrdnen, die Speicherung,die Anpassung oder Verän-derung, das Auslesen, dasAbfragen, die Verwendung,die Offenlegung durchÜbermittlung, Verbreitungoder eine andere Form derBereitstellung, den Abgleichoder die Verknüpfung, dieEinschränkung, das Löschenoder die Vernichtung.
WER HAFTET? WERIST DER VERANT-WORTLICHE IMUNTERNEHMEN?
Das Unternehmen selbst.Ist das Unternehmen einejuristische Person (GmbH,AG), haftet dieses in ersterLinie. Der VerantwortlicheBeauftragte (§ 9 VStG,Geschäftsführer oderbestellte Person) haftetnur ausnahmsweise.
MÜSSEN BESTEHENDEKUNDEN ERNEUT EIN-WILLIGEN, KONTAKTIERTWERDEN ZU DÜRFEN?
Wenn die bestehendenEinwilligungen den Vorgabender DSGVO bereits entspre-chen, müssen keine neuenEinwilligungen eingeholtwerden. Hier ist insbesondereauf die Belehrung über diejederzeitige Widerrufsmöglich-keit der Einwilligung zu achten.Prüfen Sie sorgfältig, ob Sieüberhaupt eine Einwilligungbenötigen, oder Ihre Datenver-arbeitung auf eine andereRechtsgrundlage stützenkönnen.
In einem Paketshop (Kunden können ihrePakete abholen), in dem der Name gespeichertwird, um das Paket leichter finden zu können,ist es nicht möglich, die Zustimmung zubekommen, bevor der Kunde ins Geschäftkommt.
WIE KANN MAN DIESEM PROBLEMENTGEGEN TRETEN?
Es wird hier keine Einwilligung notwendig sein,da Sie die Daten offenbar ausschließlich zurVertragserfüllung (= Bereitstellen des Paketszur Abholung durch den Kunden) verwenden.
KOMME ICH MIT EINEM BETRIEBNACH BEGINN DIESER VERORDNUNG,DANN Z. B. AUS EINEM BEURTEI-LUNGSPORTAL WIE HOLIDAYCHECKHERAUS? BIS JETZT WAR DAS JANICHT MÖGLICH.
Es wird nach wie vor eine Abwägung zwischenIhrem Grundrecht auf Datenschutz und demRecht auf freie Meinungsäußerung durchge-führt, es ändert sich hier also grundsätzlichnoch nichts. Möglicherweise wird sichallerdings die Rechtsprechung zu denBewertungsportalen noch einmal ändern.
WANN BRAUCHEICH EINENDATENSCHUTZ-BEAUFTRAGTEN?
In seltenen Fällen: Wenn dieKerntätigkeit des Unterneh-mens in der Durchführung vonVerarbeitungsvorgängenbesteht, die aufgrund ihrer Art,ihres Umfanges und/oder ihrerZwecke eine umfangreicheregelmäßige und systematischeÜberwachung von betroffenenPersonen erforderlich machen(z. B. Banken, Versicherungen)oder die Kerntätigkeit desUnternehmens in der umfang-reichen Verarbeitung sensiblerDaten (z. B. Krankenanstalten)oder von Daten über strafrecht-liche Verurteilungen oderStraftaten besteht.
WAS IST BEI DERDATENERHEBUNGZU BEACHTEN?
Folgende Punktemüssen bedachtwerden: Auf welcheGrundlage stützt sichdie Verarbeitung?Brauche ich eineEinwilligung? WelcheDaten brauche ichkonkret für welcheZwecke und wie lange?Informationen sind andie betroffene Personweiterzugeben!
WAS IST IM LAU-FENDEN BETRIEBZU BEACHTEN?
Änderungen beiDatenverarbeitungensollten mit demVerarbeitungsver-zeichnis abgeglichenwerden. Datensicher-heit ist sehr wichtigund sollte regelmäßignachjustiert werden.Datenlecks müsseneventuell gemeldetwerden.
WAS IST BEIMLÖSCHEN ZUBEACHTEN?
Daten dürfen nur solange verarbeitetwerden, als sie fürden konkreten Ver-arbeitungszwecknotwendig sind.Aufbewahrungsfristensind einzuhalten.Daten müssen, wennsie gelöscht werden,tatsächlich gelöschtwerden, die Ein-schränkung des Zu-griffs reicht nicht aus.
MUSS ICH IN ZUKUNFTVERSCHLÜSSELN?
Verschlüsselung bzw. Pseudonymi-sierung ist in der DSGVO als Daten-sicherheitsmaßnahme angespro-chen. Grundsätzlich kann aberauch ein Passwortschutz schoneine Verschlüsselungsmaßnahmedarstellen. Es ist nicht vorgeschrie-ben, E-Mails in Zukunft standardi-siert verschlüsseln zu müssen,allerdings sollte man sich sehrwohl überlegen, ob man sensibleDaten oder Betriebsgeheimnissetatsächlich mit E-Mail verschickt,da das ähnlich zu sehen ist, wiewenn man Informationen perPostkarte verschickt.
ÜBER WAS MUSS ICHINFORMIEREN? MUSSICH IMMER INFORMIEREN?
Die Informationspflicht gehtsehr weit und ist vomAuskunftsanspruch zutrennen, da letzterer erstzu erfüllen ist, wenn eineAnfrage von einer betroffenenPerson vorliegt. Informati-onen hingegen müssen davonunabhängig selbstständigbereitgestellt werden,z. B. mittels einer Daten-schutzerklärung.
Externe Dienstleister, dieman zur Datenverarbeitungheranzieht, nennt manAuftragsverarbeiter.Auftragsverarbeiter könnenz. B. Cloud-Anbieter,IT-Dienstleister, Buchhalter,Lohnverrechner, Werbeagen-turen, Newsletteranbieteretc. sein. Die DSGVOdefiniert eine Reihe vonPflichten des Auftragsverar-beiters – primär muss einVertrag geschlossen werden(Muster finden Sie online).Weiters treffen denDienstleister auchandere Pflichten, wie z. B.Sicherheitsmaßnahmen
implementieren, Risikeneinschätzen, aber auch denVerantwortlichen/ Kundenbei seinen Pflichten gegen-über Betroffenen und bei derDatenschutz-Folgeabschät-zung unterstützen, bzw. fürdiesen eine „abgespecktere“Version des Verarbeitungs-verzeichnisses über dieVerarbeitungstätigkeiten fürden Verantwortlichen/Kun-den erstellen. Wie dieseUnterstützung konkretaussieht, sollte am bestenvertraglich geregelt werden.Ein Muster für diese Formdes Verarbeitungsverzeich-nisses finden Sie online.
WAS IST DASVERARBEITUNGS-VERZEICHNIS?
Das Verarbeitungsverzeichnisist ein Protokoll aller daten-schutzrelevanter Vorgänge imBetrieb. Es muss folgendeInformationen enthalten: DenZweck der Verarbeitung, dieKategorien der betroffenenPersonen und die Kategoriender personenbezogenen Daten,die Kategorien von Empfän-gern, gegebenenfalls dieÜbermittlung von personenbe-zogenen Daten an ein Drittland,die vorgesehene Speicherdauersowie eine allgemeineBeschreibung der technischenund organisatorischenMaßnahmen zur Sicherheit derDatenverarbeitung.
KÖNNEN WEITERHIN EXTERNE DIENSTLEISTERFÜR DIE DATENVERARBEITUNGHERANGEZOGEN WERDEN?
WAS VERSTEHT MANUNTER „VERARBEITEN“?
SERVICESamstag
31. März 2018
6
Für Robert Bodenstein,Bundespartenobmannder Sparte Information
und Consulting in der WKÖ,ist Digitalisierung die größteHerausforderung, aber auchChance für Unternehmen.EinTeildieserDigitalisierungist unser Umgang mit Daten,auch personenbezogenenDaten.
Welche Chancen eröffnen sichdurch die DSGVO den Unter-nehmen?Robert Bodenstein: Man siehtaktuell im Fall CambridgeAnalytica und Facebook, wienotwendigman klare Regelnbraucht. Der Fall zeigt sehrgut, wie es nicht laufen soll,und hier soll mit der Daten-schutzgrundverordnung ein
Eigenverantwortung stärkenChancen. WKÖ-BundesspartenobmannRobertBodensteinüberVorteile, diederDatenschutzbringt
Instrument klarer Regeln ge-schaffen werden – das ist imSinne der Wirtschaft. Undselbstverständlich müssenderlei Regeln für internatio-nale Multis wie für österrei-chische Unternehmen glei-chermaßen gelten. AlleUnternehmenhabendieAuf-gabe, zu sehen, welcheDaten sie überhaupt haben,wofür sie diese verwendenwollen,welchedavonsieviel-leicht gar nicht mehr brau-chenundwelchesieauchein-fach löschen können. DieserVorgang schafft Ordnungund klare Strukturen und er-möglicht es Unternehmen,die für sie besten Entschei-dungen zu treffen. Es istaußerdem ein starkes Sig-nal, wenn Firmen ihren Kun-
den zeigen, dass die Kundenund ihre Daten für sie einenWert haben, mit dem auchentsprechend sorgfältig um-gegangenwird.
Ein Teil der Datenschutzverein-barung ist, dass ihre Regelun-gen auch für Drittländer außer-halb der EU und derenUnterneh-men gelten. Bringt dies einenStandort-Vorteil für Anbieter inÖsterreich und Europa?
Prinzipiell ja. Wir müs-sen aber sehen, dass wir dieUnternehmen nicht in ihremBetrieb behindern. In vielenBetrieben, etwa im Hand-werk,istdieVerarbeitungvonDaten nicht deren Kernge-schäft. Diese sollen auch inZukunft eine Kartei ihrerKundenmit möglichst wenigAufwand anlegen können.Datenschutz ist wichtig,aber es geht auch darum,nicht über das Ziel hinauszu-schießen. In anderen Berei-chenkannundsollderStand-ort Europa davon profitie-ren, etwabeiServernundDi-gitaldiensten. Wir habenauch als WKO Initiativen fürden Standort Österreich ge-setzt. Österreich kann sichhier als Feinkostladen derDatenverarbeitung positio-nieren.
Wie gut vorbereitet sind dieösterreichischen Unternehmenund in welchen Bereichen benö-tigen sie noch Unterstützung?
Wir haben im Zuge derDSGVO die wahrscheinlichgrößte Informations-Kam-pagneseitderEinführungdesEuros aufgesetzt, um unsereMitglieder zu informieren.Wirwissen, dass einGroßteilder Betriebe sich mit demThema auseinandergesetzthat – das ist ein ersterSchritt. Wir haben rund 1,6
MillionenZugriffeaufDaten-schutzseiten auf wko.at seitMärz 2017. Die Events undSeminare werden ebensogut angenommen, wie dieWebinaremittausendenTeil-nehmern.Dakommenwirso-gar mit unserer Technik anunsere Grenzen.Wir spüren,dass Betriebe sich mit demThema auseinandersetzenund ihnen bewusst ist, dass
zen sollen. Das steht nichtdrinunddaswäreaucheinzugroßer Eingriff. Es gibt da-durch aber manchmal Unsi-cherheiten und deswegenmüssendieBetriebezumBei-spielüberKMUDigitalbeglei-tet werden. Auch die Fach-organisationen bieten sehrkonkrete Beispiele für dieUmsetzung. Man muss Be-triebe am Weg in die Eigen-verantwortung unterstüt-zen. Das ist etwas Neues, eswaraberunserZiel,durchdieVerordnung die Betriebe
nicht zu bevormunden. Diessteht in einem größeren Zu-sammenhang mit dem Ziel –auchderRegierung–, die ge-setzlichen Vorgaben und Re-gelungen zu entrümpelnund die Eigenverantwortungder Betriebe zu stärken.
RIDVANCELIK/ISTOCKPHOTO.COM
Info-Angebot. DerAnsturm ist groß
So nachgefragt sind dieWKO-Online-Services
GERHARDDEUTSCH
„Es ist ein starkesSignal, wenn Firmenihren Kunden zeigen,
dass ihre Daten fürsie Wert haben.“
Robert BodensteinWKÖ
„Österreich kannsich hier als
Feinkostladen derDatenverarbeitung
positionieren.“
etwas zu tun ist.Mit KMUDi-gital bieten wir den Unter-nehmendarüber hinaus indi-viduelle Beratung. Als Unter-nehmer istman aber auch Be-troffener, und so sehr wir Kri-tik an der Verordnung unddemAufwand, den sie bedeu-tet, üben und spüren, so sehrist es den Unternehmern alsPrivatpersonen wichtig, dassihre Daten ordentlich ver-arbeitet werden. Das ist einWiderspruch, den wir starkwahrnehmen.
Die DSGVO ist ein Teil des Ver-suchs Unternehmen auf demWeg zu mehr Eigenverantwor-tung zu unterstützen. Wielassen sich Unternehmen aufdiesem Weg bestmöglichbegleiten?
Die DSGVO ist eine derersten Umsetzungen nachdemPrinzipderEigenverant-wortung. Die Verordnungsagt nicht, wie genau dieUnternehmen diese umset-
Im Zeitraum zwischen MitteMärzbisEnde2017hattendieAngebote zum Datenschutzder WKO gesamt knapp über560.000 Zugriffe. Allein indenerstendreiMonaten2018sind die Zugriffe hier auf 1,6Millionen angewachsen. Da-bei sindweiterführende Infor-mationen zu branchenspezifi-schen Inhaltenhiernochnichteingerechnet.
Neben Seminaren, Work-shops und Events bietet dieWKO auch Webinare an: Diezwei bisher durchgeführtenWebinare, ein Basiswebinarund ein VertiefungswebinarRecht hatten 4675 Teilneh-mer. Aus dem Basiswebinar
resultierten über 500 Fragen,die nach Themen sortiert aufder Serviceseite wko.at/
datenschutzservice nach-zulesensind.
Die beidenOnline-Ratge-ber „DSGVO“ und „Informa-tionsverpflichtungen“ wur-den zusammen bereits über50.000-mal aufgerufen. Derzweite Online-RatgeberunterstütztUnternehmenbeider Erfüllung ihrer Informa-tionsverpflichtungen inFormvonindividuellkonfiguriertenTextbausteinenund soll in derersten Aprilwoche auch inenglischer Sprache verfügbarsein, speziell für Unterneh-men imAußenhandel.
Alle Betriebe sindvom Datenschutzbetroffen, auchwenn etwa fürHandwerksbe-triebe die Ver-arbeitung vonDaten nicht zumKerngeschäftgehört – der
Aufwand solltesich daher inGrenzen halten
W K OE NTG ELT LI C HE K OOP ERA TI O N
Samstag
31. März 2018 SERVICE7
W K OENTG EL TL IC HE K O OPERA TI ON
Datenschutz = IT-Si-cherheit = Unterneh-mensstabilität“, fasst
Vincenz Leichtfried seine Er-fahrungen im Bereich IT-Be-ratung zusammen, die dergeprüfte Datenschutz- undIT-Experte an seine Kundenweiter gibt. Er berät und be-gleitet diese vielfach bei derUmstellung des Unterneh-mensimZusammenhangmitder kommenden DSGVO.Ihm ist es wichtig, diesenicht nur als Herausforde-rung,sondernauchalsChan-ce zu sehen und er rät Unter-nehmen sich die Frage zustellen, was diese für sichaus der Umstellung und derBeschäftigung mit den eige-nen Prozessen mitnehmenkönnen. Mittlerweile dürfteesindenUnternehmenange-kommen sein, dass jeder Be-trieb von Angriffen betrof-fen sein kann. „Dafür reichtschon, wenn ein Mitarbeitereinmal in einem Mail aufeinen falschen Link klickt. Invielen Fällen geht es imDatenschutz aber auch nichtumirgendwelcheHacker,dieübrigensmeist anders ausse-henundagierenalssiedarge-stellt werden, sondern ummenschliches Fehlverhalten– Stichwort Social Enginee-ring“, erzählt Leichtfried.
ITundProzesseDer Berater sieht die DSGVOalsThemaverschiedenerDis-ziplinen und Fragestellun-gen. Nachdem als erstes dieJuristendie Thematik aufge-griffen haben, ist die prakti-sche Umsetzung in erster Li-nie ein IT-Thema und einfunktionales Thema im Sin-ne von unternehmensinter-nen Prozessen: „MancheUnternehmen sind bereitsgut aufgestellt, während an-dere diese Themen bishergrob vernachlässigt haben“,so seine Beobachtungen.:„Und so wie man sich einenSicherungskasten vom zerti-fizierten Elektriker installie-ren lässt, so ist es in der ITder Experte und Berater, derzur Seite steht.“
Leichtfried sieht in die-sem Sinn die IT allgemeinmehr denn je mit unterneh-merischem Erfolg ver-
Datenschutz bedeutetUnternehmensstabilitätSicherheit. Datenschutz-ExperteVincenzLeichtfriedüber seineErfahrungen
inderBeratungvonUnternehmen imBereichDatenschutzund IT.
knüpft. In der Praxis hat eres hier immer wieder auchmit kleineren Unternehmenzu tun,diebewusst ihreKun-dendaten auf physischenDateikarten aufbewahren,im Irrglauben, diese seienvon der DSGVOnicht betrof-fen.Anderewiederumbegin-nen, wenn sie das ThemaDatenschutz hören, unstra-tegisch möglichst vieleDatensätze zu löschen. Bei-des ist keine angemesseneReaktion.
Ein anderes Prozess-The-ma ist für ihn aber auch dieDatenzusammenführung
und Dokumentation vonProjekten.
DokumentationenEr kennt Beispiele – etwa inder Baubranche – in denenbei großen Projektabnah-men jeder AbteilungsleiterseineDokumentation indivi-duell abwickelt: „Dies kannzu Riesenproblemen führen,wenn ein Mitarbeiter nichtmehr da ist, da der Schaden-ersatz in dieser Branche 30Jahre einklagbar ist. Dannhat das Unternehmen keinesinnvollen Beweise in derHand. Hier ist es ratsam,
wenn Unternehmen die ak-tuellen Umstellungen nut-zen, sich generell, über ihreDaten und AufzeichnungenGedanken zu machen undOrdnung in diese zu brin-gen.“ Die Zugriffsthematikist für ihn ein weiteres wich-tiges Thema in der Praxis,die oft unstrukturiert ge-handhabt wird: „Zu viel Zu-griff haben Mitarbeiter,wenn jeder alles lesen undüberschreiben kann. Zu we-nig, wenn jeder MitarbeiterUnterlagen nur lokal spei-chert und im Fall des Fallesniemand anderer darauf Zu-
griffhat.Beidesgibtesimmerwieder.“
AufbewahrungsfristenWorauferebensoimmerwie-der stößt, sind Aufbewah-rungspflichten: „Erst in derAuseinandersetzung mitLöschfristen und -wünschenbemerken manche Unter-nehmen, dass sie bei man-chen Daten eigentlich schonlange die Pflicht gehabt hät-ten, diese für einige Jahreaufzubewahren.“ Andereentdecken,dasssiefürihrGe-schäft nie einsehbare AGBangelegt haben. Für Leicht-
friedistdieHerangehenswei-se an den Datenschutz auchin diesem Sinn nie nur juris-tisch, nie nur technisch undnie nur funktional. Stattdes-sen geht es um das Zusam-menspiel.
AusderPraxis kanner sa-gen, dass die Thematik kom-plex ist und die Anforderun-genderUnternehmenindivi-duell sind. Die UnterlagenundMaterialien,dieetwadieWKO zur Verfügung stellt,hält er für sehr hilfreich. Inder Umsetzung sind Unter-nehmen wie Berater glei-chermaßengefordert.
DAVIDFABER
Die WKO unterstützt KMU bei der Digitalisierungderprogramm führt österrei-chischeKMUinvierSchrittenan die Digitalisierung heran:Der KMU DIGITAL OnlineStatusCheckliefertErgebnis-se, wie digital das eigeneUnternehmen ist. Die KMUDIGITAL Potenzialanalysefragt: Was soll sich wie än-dern? Die KMU DIGITAL Be-ratung klärt: Wie geh ich´san?SchwerpunktesinddabeiE-Commerce&SocialMedia,Geschäftsmodelle & Prozes-
Beratung undSelbsttests helfenUnternehmendabei, sich fit zumachen
WKO
Viele Digitalisierungstrendsbieten für Unternehmer eingroßes Potenzial an Chan-cen. Zugleich steigen durchdie zunehmende Automati-sierung und Digitalisierungauch die Herausforderun-gen, vor allem für kleine undmittlere Unternehmen (kurzKMU)inÖsterreich.Hiergibtes nun mit dem KMU DIGI-TAL Erfolgsprogramm um-fassendeUnterstützung.
Das KMU DIGITAL För-
se sowie die Verbesserungder IT-Sicherheit und desDatenschutzes. Die KMU DI-GITAL Qualifizierung bietetUnternehmernundMitarbei-tern Unterstützung bei derErweiterung ihrer digitalenKompetenzen. Die InitiativeKMU DIGITAL wurde vomzuständigen Bundesministe-riumund derWKÖ ins Lebengerufen. Unternehmen wer-den mit bis zu 4000 Euro ge-fördert.www.kmudigital.at
Das Bundes-ministeriumfür Digitali-sierung undWirtschafts-standort unddie WKÖfördern dieheimischenUnternehmen
VincenzLeichtfried istExperte für IT-Sicherheit undDatenschutzund berätUnternehmen,wo sie Hilfebrauchen
SERVICESamstag
31. März 2018
8
Was sind sensible Daten?Das sind personenbezo-
geneDaten,ausdenendieras-sische und ethnische Her-kunft, politische Meinungen,religiöse oder weltanschauli-che Überzeugungen, Gewerk-schaftszugehörigkeit, geneti-sche Daten, biometrischeDaten, Gesundheitsdaten,Daten zum Sexualleben oderdersexuellenOrientierungzureindeutigen Identifizierungeiner natürlichen Person her-vorgehen. Beispiele sind: Iris-Scan, Krankengeschichte, Al-lergien, Religionsbekenntnis,Fingerprint-Sensoren.
Gilt die DSGVO auchB2B?
FAQ – Häufig gestellte FragenFragestunde. MitdiesenFragen rundumdieneueDatenschutzgrundverordnung(DSGVO)
wendensichUnternehmenbesondershäufigandieWKO.
Ja. B2B (Business-to-Business) oder B2C (Busi-ness-to-Consumer) machtkeinen Unterschied. Nur dieDaten über eine GmbH oderAG (Daten der juristischenPerson, also z.B. Name derGmbH) gelten laut DSGVOnicht als personenbezogen.
Gilt die DSGVO nur fürelektronische Datenver-
arbeitung oder etwa auch fürhandschriftliche Aufzeichnun-gen? Sofern diese Aufzeich-nungenineinemDateisystemaufbewahrt werden, fälltauch der Papierakt darunter.EinDateisystemistjedestruk-turierte Sammlung perso-nenbezogener Daten, die
nach bestimmen Kriterienwie dem Alphabet geordnetist.
WassinddieFolgenfürdiegemeinsame Datenver-
arbeitung zwischen Unterneh-mendierechtlichverbundensindwie Mutter-/Tochterunterneh-men?Eshandeltsichdabeium„gemeinsame Verantwortli-che“,wennsiegemeinsamdieZwecke und die Mittel derVerarbeitung festlegen. IndiesemFallistineinerVerein-barung festzuhalten, wervon ihnen welche gesetzli-che Verpflichtung über-nimmt (z.B. wer handhabtdie Betroffenenrechte, werkommt den Informations-pflichten nach). Die Verein-barungistnichtnurfürdiein-terne Aufgabenverteilung,sondern auch im Hinblickauf etwaige Regressansprü-che gegeneinanderwichtig.
Muss ich personenbezo-gene Daten löschen oder
reicht die Einschränkung derDatenverarbeitung? Wenn einLöschungsanspruch besteht,sind die Daten faktisch zu lö-schen. Eine Einschränkungreicht nicht aus.
Was passiert, wenn einKunde seine Löschungbe-
antragt, aber der Datensatz auf-grund der Aufbewahrungs-pflicht 7 Jahre aufbewahrt wer-den muss, wie eine Rechnungmit den Kundendaten? Bei derGeltendmachung des Lö-schungsrechts gibt es einigespezielle Ablehnungsgrün-de. Der Anspruch darf daherabgelehnt werden, wenn dieVerarbeitung erforderlichist, zum Beispiel zur Erfül-lung einer rechtlichen Ver-pflichtung, welche die Ver-arbeitung nach dem Recht
der Union oder der Mitglied-staaten,demderVerantwort-liche unterliegt, notwendigmacht. Dies muss der betrof-fenenPerson jedochauchbe-gründetmitgeteiltwerden.
Wenn ich eine Einwilli-gung brauche, wie muss
diese aussehen? Eine „schlich-te“ Einwilligung kannmünd-lich, schriftlich (elektro-nisch) oder sogar schlüssig(Kopfnicken, sonstige bestä-tigende Handlung) abgege-ben werden. Aus Beweis-gründen empfiehlt sich na-türlicheineschriftliche.Mus-tergibteshier:www.wko.at/
datenschutzservice.Wenn sensible Daten ver-arbeitet werden, muss eineausdrückliche Einwilligungeingeholtwerden.
Dürfen IT-Leiter, Perso-nalleiterundähnlichezum
Datenschutzbeauftragten be-stellt sein? Nein. Zum Daten-
schutzbeauftragten dürfenkeine Personen ernannt wer-den,dieeineFunktionhaben,die mit den Aufgaben alsDatenschutzbeauftragterkollidieren, wie etwa Leiterder IT-Abteilung oder derRechtsabteilung.
Wie sieht der Umgang mitmobilen Applikationen
aus? Hier ist darauf zu ach-ten,dassAppsoftmalsaufIhreDatenamEndgerätzugreifen.Die Frage ist, ob das wirklichnotwendig ist und ob hiermiteinem berechtigten Interesseargumentiert werden könn-te. Weiters ist darauf zu ach-ten,dassdieDaten,aufdiezu-gegriffen wird, weitergege-benwerden,dasheißtSicher-heitsmaßnahmensinddefini-tiv relevant. Wenn Sie sichnicht sicher sind, wie sicherIhre App ist, sollten Sie sichfragen, ob Sie die App brau-chenundobessicherereAlter-nativengibt.
Wie müssen Mitarbeiterbelehrt werden?Ambes-
tenso,dassdieseüberdieBa-sics im Datenschutz undihren Tätigkeitsbereich Be-scheid wissen. Am wich-tigsten ist, dass Mitarbei-ter ein Bewusstsein für denDatenschutz bekommenund erkennen, wenn etwasdatenschutzrelevant wird.Sie sollen wissen, wohinsie sich bei Fragen wendenkönnen.
Darf ich nun keine Rech-nungen mehr ausstellen,
Daten der Bank weitergeben,Überweisungen tätigen, undder-gleichen? Doch, die DSGVOverhindert keine Tätigkei-ten, sie gibt nur den Rahmenvor: Werden personenbezo-geneDaten verarbeitet,müs-sendieVerarbeitungsvorgän-geimVerarbeitungsverzeich-nis erfasst und die betroffe-nen Personen darüber infor-miertwerden.
ImHerbst 2017präsentierte dieWKOeine
Umfrage darüber,wieDatenschutz in
heimischenUnternehmengesehenwird.
So denkendie Unternehmen
PHOTOTECHNO/ISTOCKPHOTO.COM
Grundsätzlich wurde dabeifestgestellt, dass 93 Prozentder befragten UnternehmenDatenschutzunddenSchutzder Privatsphäre für einwichtigtesThemahalten, 60Prozent sogar für ein sehrwichtiges. Auch wenn da-malsnur5ProzentderUnter-nehmen ihren Betrieb be-reits auf die neue DSGVOumgestellt hatten, so hattendoch immerhin schon 60Prozent mit der Umstellungbegonnen.GrößereBetriebegaben dabei an, sichmit derUmstellung in den meistenFällenleichterzutun.
MehralszweiDrittelaller
Unternehmen zeigten sichan externer Unterstützunginteressiert, mehr als dieHälfte besonders in rechtli-chenFragen.
Sieben von zehn Unter-nehmen gaben darüber hi-naus an, dass sie Verände-rungendurchdieDigitalisie-rungbemerken.Als eineHe-rausforderung empfandenUnternehmen sowohl dasbetreffende Know-how alsauch die finanziellen Res-sourcen. 63 Prozent der Be-fragten wünschten sich Hil-festellungen bei der Digitali-sierung – wie sie etwa KMUDIGITALanbietet.
?
?
?
?
?
?
?
?
?
?
?
Mit Checklisten,Fragen undAntworten
können sich dieUnternehmenschrittweise
einen Überblicküber ihre Datenverschaffen
Die WKO steht Unternehmen bei Fragen und Problemen zur Seite
W K OE NTG ELT LI C HE K OOP ERA TI O N