In 5 Schritten zum Datenschutz!

Der 25. Mai 2018 rückt näher! Und mit ihm die Übergangsfristen für die Datenschutz-Grundverordnung. Noch bleibt genügend Zeit, die horrenden Strafdrohungen von bis zu 20 Mio. Euro durch passende Maßnahmen zu vermeiden. Hier finden Sie 5 Schritte, mit deren Hilfe Sie Ihr Unternehmen noch rechtzeitig fit für die neuen Bestimmungen machen können. 

Schritt 1: Detektivarbeit leisten

Der größte Arbeitsaufwand besteht gleich zu Anfang: Das Feststellen,

  • welche Abteilungen im Unternehmen 
  • welche personenbezogenen Daten 
  • wofür und
  • mit welchen Programmen 

verwenden. Am besten benennen Sie hierfür Verantwortliche, die sich mit den Prozessen in den verschiedenen Aufgabenbereichen Ihrer Firma gut auskennen. Lassen Sie sie Listen anlegen mit allen Arten von Daten und Informationen dazu, welche Personen diese mit welchen Programmen bearbeiten. Das kann im ersten Schritt auch eine einfache Excel-Liste sein.

Tipp: Wirksamer Datenschutz im Unternehmen erfordert regelmäßige Überprüfungen und einen kompetenten Ansprechpartner! Auch wenn ein Datenschutzbeauftragter in Österreich nicht verpflichtend ist, empfehlen wir trotzdem, einen Projektverantwortlichen zu bestellen.

 

Achtung! Nicht alle Datenanwendungen sind jedermann bekannt oder für jeden im Unternehmen zugänglich. Gerade bei Schnittstellenabteilungen wie IT oder HR gibt es viele „dunkle Flecken“ was die Verwendung von Daten betrifft. Nur wenn alle Unternehmensbereiche genau unter die Lupe genommen werden, können Sie sicherstellen, dass keine widerrechtliche Datenspeicherung oder -verwendung passiert.

Schritt 2: Stellen Sie sich die Frage: Sind meine Daten legitim?

Darf ich diese Daten überhaupt haben/verarbeiten?

Nach der DSGVO darf man Daten nur besitzen und verarbeiten, wenn man dafür einen triftigen Grund hat, z.B. wirtschaftliche Interessen. Es gelten u.a. die Prinzipien der Datensparsamkeit (zeitlich und vom Umfang her), Aktualität, Richtigkeit und Transparenz. Nur weil Sie vor 20 Jahren Daten einmal auf legitime Weise (z.B. durch eine Kundenbestellung) erhalten haben, ist das kein Freifahrtschein für die nächsten 20 Jahre! Daten müssen daher regelmäßig daraufhin überprüft werden, ob sie für Ihr Unternehmen wirklich noch notwendig sind (und aktuell!)

Tipp: Gerade Personaler und Buchhalter sind oft unsicher, ob sie Personaldaten bzw. Buchhaltungsdaten aufbewahren dürfen oder nicht. Hier gilt: Rechtlich verankerte Aufbewahrungsfristen (im Personalbereich teilweise 30 Jahre) werden für die Datenschutzbehörde immer ein legitimer Grund sein, wieso Unternehmen Daten besitzen dürfen!

Schritt 3: Zustimmungen (neu) einholen

Wenn Sie eigentlich nicht (mehr) berechtigt sind, gewisse Daten zu besitzen, sie aber nicht vernichten möchten, müssen Sie die Zustimmung zur Speicherung und Verwendung neu einholen. Achten Sie hierbei vor allem darauf, die Zustimmungserklärung so einzuholen, dass auch wirklich alle Ihre Unternehmensbereiche abgesichert sind. Für den Betroffenen muss klar ersichtlich sein, um welche Daten es sich handelt und was Sie damit vorhaben. Die Daten müssen zudem aktuell sein.

Tipp: Gerade am Anfang sollten Sie sich bei jeder Handhabung personenbezogener Daten die Regelungen ins Bewusstsein rufen und sich fragen, ob es einen triftigen Grund gibt, diese Daten zu behalten. Holen Sie im Zweifelsfall Zustimmungserklärungen ein, z.B. wenn Sie Lebensläufe von Bewerbern in Evidenz halten möchten, obwohl der Job bereits anderweitig vergeben ist!

Schritt 4: Dokumentieren, dokumentieren, dokumentieren

Die ausgereiftesten Datenschutz-Maßnahmen nützen Ihnen nichts, wenn Sie deren Umsetzung nicht dokumentiert haben. In diesem Fall gilt ausnahmsweise: Mehr ist mehr! Dokumentieren Sie umfassend, welche Schritte Sie zur Sicherung des Datenschutzes in Ihrem Unternehmen gesetzt haben, wie Sie Mitarbeiter geschult haben, welche Daten Sie wofür wo gespeichert haben und von welchen Mitarbeitern diese wie verwendet werden und wie lange. Je genauer und umfangreicher die Dokumentation ist und je besser Sie beweisen können, dass Sie den Datenschutz in Ihrem Unternehmen ernst nehmen, umso milder wird ein Urteil und die dementsprechende Strafe ausfallen, sollte doch einmal etwas vorfallen.

Welche Aufgaben und Zuständigkeiten hat die Datenschutzbehörde ab Mai 2018?

Die Datenschutzbehörde sorgt für die Einhaltung des Datenschutzes in Österreich. Welche Aufgaben und Zuständigkeiten auf die DSB mit Mai 208 zukommen, erfahren Sie im Interview mit Mag. Gerold Pawelka-Schmidt.

Schritt 5: Bleiben Sie up-to-date

Einige Fragen zum Thema Datenschutz sind immer noch offen. Z.B. müssten bei einem entsprechenden Antrag eines Betroffenen auf Löschung auch alle Daten, die auf Backup-Dateien oder -Servern gespeichert sind, mitgelöscht werden – eine in der Praxis unmögliche Aufgabe für IT-Mitarbeiter! Auch andere offene Fragen werden erst durch entsprechende Gerichtsurteile geklärt werden. Bleiben Sie daher auf alle Fälle up-to-date! Gesetze sind nicht in Stein gemeißelt und was heute gilt, kann morgen wieder anders sein.

Tipp: Vernetzen Sie sich! Die DSGVO betrifft alle Unternehmen und es gibt bereits zahlreiche Plattformen, die sich des Themas angenommen haben. Auch Verlage und Seminaranbieter haben dazu bereits Angebote im Portfolio! Sie stehen mit Ihren Fragen und Problemen im Unternehmen sicher nicht alleine da und wo es Fragen gibt, gibt es immer auch Experten, die die Antworten kennen.

 

Achtung! Auch bei Ihren Daten sollten Sie up-to-date bleiben und die Schritte 1–3 in Ihrem Unternehmen regelmäßig wiederholen. Nur so können Sie sicherstellen, dass Sie bei einer Kontrolle in einem Jahr oder in fünf Jahren keine böse Überraschung erwartet!

 

datenschutzday.at: Erfahren Sie von Fachexperten, wie Sie Ihre Unternehmensbereiche fit für die strengeren Bestimmungen am 25.5.2018 machen.
Weitere Fachseminare zum Thema Datenschutz finden Sie auch unter forum-fachseminare.at.

Xenia Hebenstreit, Fachbereich Unternehmensführung

Fotocredit: © natali mis/fotolia.com

Tags: Datenschutz
Bitte geben Sie die Zahlenfolge in das nachfolgende Textfeld ein

Die mit einem * markierten Felder sind Pflichtfelder.