DSGVO – Die Nachweis- und Dokumentationspflichten einfach erklärt

Sehr geehrte Damen und Herren,

die Zeit läuft und es ist jetzt der richtige Zeitpunkt, sich mit den unternehmensinternen Datenverarbeitungsprozessen zu beschäftigen, um der DSGVO und allfälligen Anfragen der Datenschutzbehörde gerecht zu werden. 

Hier die wichtigsten Eckpunkte:

                                                     
STICHTAG
25. MAI 2018

 

Wer ist von der DSGVO betroffen?

Die DSGVO betrifft alle Unternehmen, die personenbezogene Daten von natürlichen Personen verarbeiten ­– die Unternehmensgröße ist dabei irrelevant. Ab dem Stichtag 25. Mai 2018 ist jedes Unternehmen selbst dafür verantwortlich, die eigenen Datenanwendungen in einem Verzeichnis der Verarbeitungstätigkeit (VdV) festzuhalten.

Was bedeutet „verarbeiten“ von Daten?

Unter dem Begriff „verarbeiten“ wird das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung verstanden.

Was sind personenbezogene Daten?

Personenbezogene Daten sind jene Informationen, mit denen eine Person direkt oder indirekt identifiziert werden kann, das sind Daten wie z.B. Name, Adresse, E-Mail-Adresse, Bankdaten etc. intern z.B. Mitarbeiterdaten zur Lohnverrechnung und alle externen Daten wie z.B. von Kunden oder Interessenten. Verarbeiten Sie in Ihrem Unternehmen derartige Daten, so müssen Sie diese als Einträge mit Verwendungszweck in einem Verzeichnis der Verarbeitungstätigkeit dokumentieren.

Was muss  bei der Verarbeitung der Daten beachtet werden?

Bei der Verarbeitung der personenbezogenen Daten sind folgende Grundsätze zu beachten:

  • Rechtmäßigkeit: Die Daten müssen auf eine rechtmäßige Weise, nach Treu und Glauben und in einer Weise, die für die betroffene Person nachvollziehbar ist, verarbeitet werden.
  • Zweckbindung: Die Daten dürfen nur für den eindeutig festgelegten Zweck erhoben und verwendet werden.
  • Datenminimierung: Es dürfen nur Daten abgefragt werden, die für die Verarbeitung notwendig sind
  • Richtigkeit: Die Daten müssen sachlich richtig und auf dem neuesten Stand sein. Daten, die unrichtig sind, müssen unverzüglich gelöscht oder berichtigt werden.
  • Speicherbegrenzung: Die Daten dürfen nur so lange gespeichert werden, wie es für den Zweck der Verarbeitung notwendig ist.
  • Integrität und Vertraulichkeit: Die Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit gewährleistet und vor unbefugter oder unrechtmäßiger Verarbeitung, unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder Schädigung bewahrt. Dies geschieht durch geeignete technische und organisatorische Maßnahmen (= TOMs)
  • Rechenschaftspflicht: Der Verantwortliche, der Eigentümer oder Geschäftsführer ist für die Einhaltung dieser Grundsätze verantwortlich und hat dessen Einhaltung nachweisen zu können.

Müssen wirklich alle Nachweispflichten bis 25. Mai 2018 erfüllt sein?

Allen betroffenen Unternehmen sollte klar sein, dass es ab 25. Mai 2018 strafbar ist, den Datenschutz und damit verbundene gesetzliche Pflichten zu vernachlässigen. Unternehmen hatten dann genau zwei Jahre Übergangsfrist, sich mit den Bestimmungen der DSGVO vertraut zu machen und Maßnahmen zu ergreifen. Die DSGVO sieht zwar „Angemessenheitsfristen“ vor, diese werden aber bei akuten Problemen nicht ausreichen, wenn keine Vorkehrungen getroffen wurden. Die Unterlassung des Datenschutzes schützt Sie nicht vor Strafen.

Wie können Sie diese Vorgaben erfüllen?

Die Dokumentation der Datenanwendungen im Verzeichnis der Verarbeitungstätigkeit muss schriftlich erfolgen. Die neue Webapplikation datadoku.at hilft Ihnen mit gezielten Fragen, Hinweisboxen und Informationstexten, die Einträge ins Verzeichnis der Verarbeitungstätigkeiten auszufüllen und so der Nachweis- und Dokumentationspflicht der DSGVO gerecht zu werden.

Weitere Infos finden Sie unter www.datadoku.at.

 

Mit herzlichen Grüßen

Ihr datadoku.at-Team

Michael Straberger

Telefon:        +43 01 336 336

Email:           office@datadoku.at

 

Diese E-Mail wurde an [[EMAIL_TO]] verschickt. Wenn Sie keine weiteren E-Mails erhalten möchten, können Sie sich hier abmelden. 

sc.dataprivacy - 1060 Wien, Mariahilferstr. 51/V/32, AT