Datenschutzgrundverordnung - DSGVO
Die EU – Datenschutzgrundverordnung (DSGVO) – finaler Stichtag am 25. Mai 2018:
Liebe Kunden!
Neu! Praxistips zur Vorbereitung und Umsetzung der DSGVO für meine Business Kunden können –HIER– kostenlos heruntergeladen werden!
Im Rahmen meiner IT-Dienstleistungstätigkeit trübe ich nur ungern die allgemein aufgeheitert gute Stimmung, komme allerdings nicht umhin Sie eindringlich auf die kommende Gesetzeslage hinzuweisen und welche Verpflichtungen und notwendigen Maßnahmen, die neuen Rechte der Bürger, sowie die damit verbundenen Zeit- Nerven- und auch Kostenaufwendungen mit diesem Gesetz einhergehen.
Diese EU-Verordnung wird häufig sehr emotional und kontrovers aufgenommen, und so mancher fühlt sich gar nicht davon betroffen. Meist als unangenehm und verzichtbar eingestuft avanciert es nicht ohne Grund auch zum „Unwort des Jahres 2018“. Selbstverständlich bleibt es jedem freigestellt wie er persönlich mit diesem Thema umgeht und es umsetzt. Meine Empfehlung lautet ganz klar die DSGVO auf gar keinen Fall zu ignorieren und möchte Ihnen daher Fakten und Informationen dazu weiterzugeben.
Mit Beratung von Preisl Computer sind Sie auf der sicheren Seite. Gemeinsam schaffen & übertreffen wir die Vorgaben!
Mich beschäftigt dieses Thema bereits mehrere Monate sehr intensiv und Ich berate Sie dazu im Rahmen meiner Consulting Dienstleistungen darüber hinausgehend gerne persönlich ausführlich, diskret und individuell. Selbstverständlich bin ich Ihnen auch bei der Mitwirkung zur Erstellung der notwendigen Dokumentationen und Umsetzung der technischen Maßnahmen als externer Datenschutzberater behilflich. Nutzen wir die Gelegenheit und beziehen auch nicht personenbezogene Daten in Ihr Sicherheitskonzept mit ein!
Bitte unbedingt beachten:
Ein-Personen-Unternehmen und kleine Firmen oder Vereine sind definitiv nicht vom Gesetz ausgenommen, der Aufwand ist allerdings etwas geringer!
Es genügt prinzipiell schon z.b. ein Handy oder einen Taschenkalender zu verwenden! (Auslegungssache „gelegentliche“ Verwendung)
Privatpersonen sind dagegen normalerweise nicht betroffen, müssen nicht handeln und genießen vor allem ihre neuen Rechte.
Bisher war ein Datenverlust im schlimmsten Fall vielleicht nur „Pech“ und ein finanzieller Verlust, ab Mai 2018 kann man aber zudem bestraft werden!
Behörden in Österreich müssen ebenfalls die DSGVO einhalten, einen Datenschutzbeauftragten bestellen, haben aber keine Strafen zu erwarten (“ Österreichisches Datenschutzanpassungsgesetz aus 2017″), davon unberührt sind allerdings darüberhinaus etwa Schadenersatzansprüche oder Schmerzensgeld.
Hier einige Fakten und Begriffe in Kurzform:
Warum sich spätestens jetzt jeder Betrieb, Unternehmer, Verein, Schule oder Institution umfassend darüber informieren und handeln sollte,
um die zahlreichen neuen Pflichten zu erfüllen, extrem hohe Strafen zu vermeiden (bis 20 Mio Euro) und gesetzeskonform sowie datenschutzfreundlich zu agieren!
Ab dem 25.5.2018 müssen personenbezogene Daten, sofern diese nicht ausschließlich privaten und familiären Zwecken dienen besonders geschützt werden.
Ab dann ist eine rechtliche Grundlage für die Verarbeitung von personenbezogene Daten notwendig. Eine gesetzliche Grundlage ist z.b. zur Erbringung eines Vertrages notwendig, oder eine Einwilligung des Betroffenen.
Es muß dazu unter anderem ein detailiertes Verzeichnis der Verarbeitungen erstellt und geführt werden und es müssen die technisch organisatorischen Maßnahmen zum Erreichen dieses Zieles umgesetzt und dokumentiert sein. Auftragsverarbeiter und Datenempfänger müssen deklariert werden inkl. schriftlichen Verträgen. Eine Datenweitergabe und Offenlegung bedarf der freiwilligen Einwilligung der Betroffenen. (z.B. WhatsApp-ist da ein Problem!)
Worum geht es bei diesem Gesetz, was soll diese Verordnung bewirken?
Um den Schutz personenbezogener Daten von EU Bürgern. Die Vereinheitlichung der europäischen Datenschutzgesetze, sowie wesentliche Verschärfungen und Pflichten. Verhängte Strafen sollen lt. EU Vorgabe in jedem Einzelfall abschreckend ausfallen!
Das Gesetz wurde bereits 2016 beschlossen und am 25.5.2018 endet die Umsetzungsfrist. Das österreichische Anpassungsgesetz zum Datenschutzgesetz wurde ebenfalls bereits im Vorjahr vom Nationalrat beschlossen.
Zuständig in Österreich ist die Datenschutzbehörde, diese kontrolliert und verhängt auch die Strafen. Das bisherige zentrale Datenverarbeitungsregister DVR wird aufgelöst.
Was sind personenbezogene Daten?
A: „Normale“ Daten, darunter fallen z.B:
Vorname, Nachname, Telefonnummer, Emailadresse, Geburtsdatum, Anschrift, auch Kfz-Kennzeichen, auch IP-Adressen!, etc.
B: „Besonders sensible“ Daten z. B.:
Sozialversicherungsnummer, Religionsbekenntnis, politische Ausrichtung, Gewerkschaftszugehörigkeit, Bildaufnahmen, Krankheitsdaten, Rasse, Straftaten, Biometrische Daten (Fingerabdrücke, etc.), Daten aus Zeiterfassungssystemen, etc., Sämtliche Daten von Kindern unter 14 Jahren sind generell sensibel. Sensible Daten brauchen eine ausdrückliche, freiwillige Einwilligung des Betroffenen bzw. Erziehungsberechtigten!
Wer sind die Betroffenen bzw. eigentlich Begünstigten?
Alle Bürger innerhalb der EU. (z.b. Mitarbeiter, Kunden, Kontakte bei Lieferanten, Bewerber, Patienten bei Ärzten, Schüler und Lehrer in Schulen, Vereinsmitglieder, Bürger bei Behörden, usw …
Wer ist ein Verantwortlicher – wer muß für die Umsetzung sorgen und jetzt handeln?
Jeder, der personenbezogene Daten nicht zum persönlichen oder familiären Zwecken privat „verarbeitet“, sofern diese Leistungen innerhalb der EU angeboten/ erbracht werden.
Was ist eine Verarbeitung?
Das Erheben, Erfassen, Sammeln, Speichern, Verändern, Verknüpfen, Verwenden, Löschen, Entsorgen, Übermitteln („Mail“), Weitergeben, Offenlegen, etc. in einem „Dateisystem“.
Was ist ein Dateisystem?
Alles, was irgendwie geordnet ist.(auch Ausdrucke, handschriftlich, Kontaktverzeichnis am Handy, Kalender, natürlich auch auf Computern und Servern, in der Cloud, etc.)
Was ist ein sogenannter Auftragsdatenverarbeiter?
Jeder der für den Verantwortlichen personenbezogene Daten „verarbeitet“. Beispiele:
– Preisl Computer, wenn er eine Fernwartung oder Reparatur an einem ihrer Geräte durchführt und ihm so persönliche Daten offengelegt werden könnten
– Lohnverrechnungsbüro, dem z.b. die Daten der Mitarbeiter übermittelt werden
– Steuerberater, wenn diesem Belege übermittelt werden
– ALLE Cloudanbieter, sofern personenbezogene Daten dort gespeichert werden
– hier fallen auch Handy Apps darunter!, Emailanbieter, Google Analytics, Webseiten-Hoster,
– Office 365, Skype, Google Anwendungen, Icloud, Dropbox, GMX, und so weiter und so fort….
Sind Sie selbst nicht nur Verantwortlicher, sondern auch ein Auftragsdatenverarbeiter?
Sofern Sie personenbezogene Daten erhalten, und im Auftrag „verarbeiten“ dann ja – z.b. Sie übernehmen die Datenspeicherung einer Schwesterfirma.
In diesem Fall müssen Sie zusätzliche Dokumentationen erstellen und dafür ebenfalls angemessene, technisch organisatorische Sicherheitsmaßnahmen garantieren.
Mit jedem Auftragsverarbeiter braucht man schriftliche Verträge, worin diese den Zweck der Verarbeitung und Ihre Pflichten dokumentieren müssen.
Ich für meinen Teil als einer Ihrer möglichen Auftragsverarbeiter habe bereits alle notwendigen Verträge und Formulare für Sie vorbereitet, damit Sie Ihrer Dokumentationsverpflichtung als Verantwortlicher in diesem Teil nachkommen können.
Was sind angemessene, technisch organisatorische Maßnahmen?
Die Dokumentation und Umsetzung von Einrichtungen zum Datenschutz, aber „am letzten Stand der Technik„, darunter fallen z.B.: Datensicherungen und Pläne (ev. Verschlüsselung notwendig!), Antiviren Software, installierte Sicherheitsupdates, Firmware und Patche, Berechtigungssysteme. Moderne Firewalls, Zutrittskontrollen, Videoüberwachung, Alarmanlagen, USV, Feuerlöscher, Tresore, VPN Verbindungen, verschlüsselte Email Kommunikation, Anonymisierung, sichere Kennwörter, etc.
Hinweis: ein veraltetes Betriebssystem ohne weitere Sicherheitsupdates wird als unsicher angesehen werden, ein herkömmlicher Modem/Router („Postmodem“) ist alleine keine moderne Firewall am Stand der Technik! Die Maßnahmen sind dem Risiko der gespeicherten Daten und der technischen Weiterentwicklung laufend anzupassen. Umso sensibler die Daten, desso mehr Maßnahmen sind erforderlich. Für manche Verarbeitungen ist vorab eine Risikofolgenabschätzung zu erstellen, teilweise gibt es die zwingende Verpflichtung einen Datenschutzbeauftragten zu bestellen.
Organisatorische Maßnahmen können zb sein:.Laufende Mitarbeiter-Sensibilisierung und -Schulung, Routinemaßnahmen bei Mitarbeiterwechsel, Notfallpläne, versperrte Schränke, Server und Büros inkl. Schlüsselmanagement, sorgfältige Auswahl der Auftragsverarbeiter, laufende Kontrolle, regelmäßige Testrücksicherungen aus Backups, Überwachung von Eindringungsversuchen, Dokumentation von Datenschutzanfragen, z.B. Löschanfragen, Pläne und Dokumentation von Sicherheitsvorfällen, etc.
Das Recht auf Auskunft, Widerruf, Löschung, Berichtigung, „Vergessen werden“:
Diese Rechte gelten ab 25.5.2018 für alle Bürger der EU. Auskunftsansuchen müssen kostenlos beantwortet werden! Löschungen müssen vorgenommen werden, sofern nicht z.B. gesetzliche Aufbewahrungsfristen dagegensprechen.
Datenverlust / Hackerangriffe, Diebstahl, Katastrophen, etc.:
Bei einem Datenverlust muß man die Datenschutzbehörde binnen 72 Stunden informieren (quasi Selbstanzeige), in gravierenden Fällen ebenfalls die Betroffenen.
Das waren jetzt nicht alle Punkte im Detail. Wie Sie sehen sind da große Brocken dabei, die bewältigt werden wollen.
Weiterführende Links:
Neu! Praxistips zur Vorbereitung und Umsetzung der DSGVO für meine Business Kunden können HIER kostenlos heruntergeladen werden!
Webinar – DSGVO – Mag. Illybauer, WKO
Viele Fragen und Antworten! zum Webinar
Datenschutzbehörde Österreich DSB – Leitfaden zur DSGVO
DSGVO Toolset der Sparte Handel, WKO (Formulare, Muster, Vorlagen)
IT Sicherheit – Checkliste für EPUs – WKO
IT Sicherheitshandbuch für KMU – WKO
IT Sicherheit – Handbuch für Mitarbeiter WKO – Schulungsunterlage
Die Verordnung selbst, in deutscher Sprache
Öst. Bundesgesetzblatz Anpassungsgesetz
Ich hoffe mit diesem Kurzüberblick einen wichtigen Beitrag zu Ihrer Information geleistet zu haben, stehe bei Fragen selbstverständlich persönlich gerne zu Ihrer Verfügung und freue mich über Ihre Rückmeldung über diese kostenlose Information!