EU-DSGVO Tipps
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

10-Punkte-Checkliste zur DSGVO

Max Schrems: "Fehlinterpretationen der DSGVO"

Die Datenschutzbehörde ist seit dem "Startschuss" für die EU-DSGVO am 25. Mai intensiv im Einsatz. Auch wenn die erste Beschwerdewelle demnächst abebben dürfte, müssen Österreichs Unternehmen am Ball bleiben.

Gut vier Monate nach Inkrafttreten der EU-DSGVO ist es Zeit für einen Rückblick: Wie geht es Österreichs Unternehmen mit der strengen europäischen Datenschutzverordnung, was müssen sie auch in Zukunft beachten? "Die offensichtlichste Veränderung ist ein weiterer Anstieg an Bannern und Nachrichten zum Datenschutz", beobachtet Datenschützer Max Schrems. "Viele der Pop-Ups und E-Mails waren jedoch leider eine Ausgeburt an Fehlinterpretationen der DSGVO. Oft lassen lästige Nachrichten dem Nutzer keine echte Wahl und drängen zu Zwangszustimmungen."

Wegen solcher Zwangszustimmungen und anderer Datenschutz-Verletzungen ist die Datenschutzbehörde bereits intensiv am Arbeiten. Die ersten Verfahren haben vergleichsweise schnell die Instanzen durchlaufen: Wegen Zwangszustimmung liegen Beschwerden gegen Facebook via Irland beim Europäischen Datenschutzausschuss vor, eine Beschwerde zum Auskunftsrecht bei Bankdaten wird nach einer Entscheidung gegen eine Bank beim Bundesverwaltungsgericht bearbeitet, und eine erste Strafe von 4.800 Euro erging wegen einer illegalen Videoüberwachung gegen ein steirisches Wettlokal. Insgesamt langten bei der österreichischen Behörde etwas mehr als 720 Beschwerden ein. Dazu Max Schrems: "Fraglich ist, ob dieser Hype dauerhaft anhält oder doch eher als eine Welle zu sehen ist. Vieles deutet darauf hin, dass sich die Lage bald wieder normalisiert."

Kein Durchatmen?

"Von Durchatmen darf noch keine Rede sein", warnt Andreas Dangl, Business Unit Executive Cloud Services bei Fabasoft. "So manche Organisation führt das verpflichtende Verzeichnis von Verfahrenstätigkeiten in Excel im aufrichtigen Glauben, dass damit ihre DSGVO-Pflicht getan sei. Doch wer prüft die Einhaltung der Pflichten? Wer garantiert deren korrekte Wartung? Wer ist für die zukünftige DSGVO-Konformität verantwortlich?" Sind diese Fragen nicht ausreichend zu beantworten, könnte der Datenschutz dem Unternehmen – trotz größter Bemühungen – zum Stolperstein werden.

Professionelle DSGVO-Konformitäts-Managementsysteme, Fabasoft bietet beispielsweise eine "EU-DSGVO Toolbox", können bei der Einhaltung der geforderten Auflagen helfen. Das Unternehmen hat außerdem eine 10-Punkte-Checkliste erarbeitet."Unternehmen kann der tägliche Umgang mit der DSGVO sehr erleichtert werden, wenn sie die Punkte der Checkliste wirklich berücksichtigen," betont Dangl. Als besonders wichtige Elemente hebt der Software- und Cloud-Experte das Verzeichnis von Verfahrenstätigkeiten und die Automatisierung von Meldungen an die Behörden hervor.

Die Checkliste im Detail:

  1. Arbeiten Sie mit einer strukturierten Datenbank. Zu viele Daten befinden sich nach wie vor in unstrukturierten elektronischen Informationen wie E-Mails, SMS, WhatsApp oder auch Fotos. Optimal ist der Einsatz einer strukturierten Datenbank, in der Unternehmen die exponentiell steigende Datenmenge auch zukünftig im Griff behalten.
  2. Nutzen Sie DSGVO-konforme Einwilligungen für die Verwendung personenbezogener Daten. Eine Datenverarbeitung ist zulässig, wenn eine DSGVO-konforme Einwilligung vorliegt. Die Verwendung von personenbezogenen Daten ist allerdings auch dann gestattet, wenn ein berechtigtes Interesse des Unternehmens an der Datenverwendung besteht. Die Anforderungen an diese Einwilligungen wurden verschärft: unter anderem beträgt das Mindestalter 16 Jahre.
  3. Beachten Sie Ausmaß und Notwendigkeit der Daten. Jedes "zu viel" an personenbezogenen Daten stellt ein Risiko für Unternehmen dar. Es dürfen voreingestellt nur die Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck auch wirklich erforderlich sind.
  4. Berücksichtigen Sie den Datenschutz schon bei der Konzipierung und Entwicklung von Software und Hardware. Alle Projekte, bei denen Unternehmen personenbezogene Daten verarbeiten, müssen nach dem Prinzip "Privacy by Design" entwickelt werden. Unternehmen können bestehende Systeme entweder nachrüsten oder durch neue DSGVO-taugliche ersetzen.
  5. Beziehen Sie alle Mitarbeiter in den Datenschutz mit ein. Generell gilt, dass Datenschutz nie nur Aufgabe einer einzelnen Person sein kann, sondern im Berufsalltag von jedem Mitarbeiter gelebt werden muss. Schulen Sie daher regelmäßig Ihre Mitarbeiterinnen und Mitarbeiter.
  6. Verlassen Sie sich nicht auf die ISO/IEC 27001 Zertifizierung. Die ISO/IEC 27001 Zertifizierung reicht als Nachweis eines angemessenen Schutzes gegen unbefugte Zugriffe auf personenbezogene Daten alleine nicht aus. Unternehmen müssen stattdessen prüfen, ob diese Zertifizierung erweitert wurde, zum Beispiel durch Anpassung der Risikobeurteilungsmethode an die Rechte und Freiheiten nach DSGVO.
  7. Bewerten Sie Risiken und Folgen für Betroffene immer im Voraus. Unternehmen müssen eine Datenschutz-Folgenabschätzung dann durchführen, wenn neue Technologien eingesetzt werden und die Verarbeitung dazu führt, dass für die Rechte und Freiheiten von Einzelpersonen ein hohes Risiko besteht.
  8. Bei einer Datenschutzverletzung: Seien Sie schnell! Die EU-DSGVO beinhaltet eine klare Vorgabe bei Datenschutzverletzungen: wird dem Unternehmen ein Vorfall bekannt, muss unverzüglich und in der Regel binnen 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde eine Meldung gemacht werden.
  9. Treffen Sie die Wahl des Verzeichnisses von Verarbeitungstätigkeiten gewissenhaft. Unternehmen benötigen ein flexibles und sicheres Verzeichnis, das sämtliche Verarbeitungsvorgänge im Umgang mit personenbezogenen Daten dokumentiert. Excel kann hier als kurzfristige Notlösung dienen, für den langfristigen Gebrauch empfehlen sich allerdings professionelle DSGVO-Managementsysteme, in denen datenschutzkonform gearbeitet werden kann.
  10. Schaffen Sie ideale technische Voraussetzungen für das Management der Betroffenenrechte. Sollten Personen ihr "Recht auf Vergessenwerden" in Anspruch nehmen, so reichen in der Regel die gängigen Löschfunktionen von Betriebssystemen und Datenbanken nicht aus, um die Anforderungen der EU-DSGVO zu erfüllen, da die Daten nicht tatsächlich physisch gelöscht werden. Datenschutz-Experten empfehlen hierfür eine eigene Software.

Weitere Artikel

Digitale Zwillinge werden Realität

PLM-Systeme liefern historische Daten, auf Basis derer ein…

Weiterlesen

KI in Forschung und Entwicklung

Egal, in welcher Branche man sich umhört – der Einsatz…

Weiterlesen
 © BRZ_Klaus Vyhnalek

„Blick aus User-Sicht ist entscheidend“

Das BRZ ist ein wichtiger Partner in der weiteren…

Weiterlesen

Die Zukunft aller Digitalisierungsprojekte

Der digitale Zwilling ist der Grundpfeiler aller…

Weiterlesen
Credit: SEPPmail-Deutschland

Land Oberösterreich setzt auf E-Mail-Verschlüsselung von SEPPmail

Die E-Mail ist im Verwaltungsalltag in Organisationen und…

Weiterlesen
Credit: Jana Krippel

Mehr als ein Jahr DSGVO: Ist der Sturm vorübergezogen?

Die Einführung der neuen DSGVO-Richtlinien vor etwas mehr…

Weiterlesen
Credit: Michael Dürr

„Es kann jedem passieren“

Markus Endres und Aleksandar Lacarak, Mitbegründer des…

Weiterlesen
Credit: Syngroup

Digitaler Schub

Die digitale Transformation benötigt in vielen Bereichen…

Weiterlesen
Grafik: Verlag Holzhausen GmbH

Integration der Zeitschrift "Monitor" in "Austria Innovativ"

Nach reiflicher Überlegung haben wir uns entschlossen, die…

Weiterlesen
Credit: Schulamt St. Pölten

Selfservice statt Zettelwirtschaft

Mit einer neuen Softwarelösung hat das Diözesan-Schulamt St.…

Weiterlesen
Credit: Fotalia

Die sichere Datenwolke

Die Cloud bietet viele Vorteile wie höhere Flexibilität zu…

Weiterlesen
Credit: A1 Digital

Über die technologische Seite hinaus denken

Die Digitalisierung nimmt in Österreich an Fahrt auf, weiß…

Weiterlesen
Foto: Universität Innsbruck

ERP Future Business 2019

Auf der Fachmesse stellen die teilnehmenden Anbieter von…

Weiterlesen
Bild: Eva Puella Photography

Markus Neumayr ab 2019 alleiniger Geschäftsführer

Zwanzig Jahre lang standen Firmengründer Univ.-Doz. Dr.…

Weiterlesen
Bild: UBIT

IKT Statusreport #4 zeigt akuten Handlungsbedarf

Konkrete Maßnahmen bei Informatikstudierenden und…

Weiterlesen
Bild: IGEL

Never change a winning team

Bei den Kursen des ICGEB in Triest kommen Studenten aus den…

Weiterlesen
Bild: NTT Security

5 Schritte für hohe Datensicherheit in der Cloud

Die Verlagerung von Geschäftsprozessen und Applikationen in…

Weiterlesen
Bild: CyberArk

DevOps-Risiken werden unterschätzt

Unternehmen nutzen verstärkt DevOps-Modelle für die…

Weiterlesen
Bild: presono/Anzhelika Kroiss

Ex-Microsoft Manager Keller wechselt zu presono

Lukas Keller geht als als neuer CEO zum 2015 in Linz…

Weiterlesen
Bild: Otago

Otago expandiert weiter

Bei der Wiener Online Consulting Agentur Otago stehen auch…

Weiterlesen