EU-DSGVO Tipps
Bild: CC0 - pixabay.com
Bild: CC0 - pixabay.com

10-Punkte-Checkliste zur DSGVO

Max Schrems: "Fehlinterpretationen der DSGVO"

Die Datenschutzbehörde ist seit dem "Startschuss" für die EU-DSGVO am 25. Mai intensiv im Einsatz. Auch wenn die erste Beschwerdewelle demnächst abebben dürfte, müssen Österreichs Unternehmen am Ball bleiben.

Gut vier Monate nach Inkrafttreten der EU-DSGVO ist es Zeit für einen Rückblick: Wie geht es Österreichs Unternehmen mit der strengen europäischen Datenschutzverordnung, was müssen sie auch in Zukunft beachten? "Die offensichtlichste Veränderung ist ein weiterer Anstieg an Bannern und Nachrichten zum Datenschutz", beobachtet Datenschützer Max Schrems. "Viele der Pop-Ups und E-Mails waren jedoch leider eine Ausgeburt an Fehlinterpretationen der DSGVO. Oft lassen lästige Nachrichten dem Nutzer keine echte Wahl und drängen zu Zwangszustimmungen."

Wegen solcher Zwangszustimmungen und anderer Datenschutz-Verletzungen ist die Datenschutzbehörde bereits intensiv am Arbeiten. Die ersten Verfahren haben vergleichsweise schnell die Instanzen durchlaufen: Wegen Zwangszustimmung liegen Beschwerden gegen Facebook via Irland beim Europäischen Datenschutzausschuss vor, eine Beschwerde zum Auskunftsrecht bei Bankdaten wird nach einer Entscheidung gegen eine Bank beim Bundesverwaltungsgericht bearbeitet, und eine erste Strafe von 4.800 Euro erging wegen einer illegalen Videoüberwachung gegen ein steirisches Wettlokal. Insgesamt langten bei der österreichischen Behörde etwas mehr als 720 Beschwerden ein. Dazu Max Schrems: "Fraglich ist, ob dieser Hype dauerhaft anhält oder doch eher als eine Welle zu sehen ist. Vieles deutet darauf hin, dass sich die Lage bald wieder normalisiert."

Kein Durchatmen?

"Von Durchatmen darf noch keine Rede sein", warnt Andreas Dangl, Business Unit Executive Cloud Services bei Fabasoft. "So manche Organisation führt das verpflichtende Verzeichnis von Verfahrenstätigkeiten in Excel im aufrichtigen Glauben, dass damit ihre DSGVO-Pflicht getan sei. Doch wer prüft die Einhaltung der Pflichten? Wer garantiert deren korrekte Wartung? Wer ist für die zukünftige DSGVO-Konformität verantwortlich?" Sind diese Fragen nicht ausreichend zu beantworten, könnte der Datenschutz dem Unternehmen – trotz größter Bemühungen – zum Stolperstein werden.

Professionelle DSGVO-Konformitäts-Managementsysteme, Fabasoft bietet beispielsweise eine "EU-DSGVO Toolbox", können bei der Einhaltung der geforderten Auflagen helfen. Das Unternehmen hat außerdem eine 10-Punkte-Checkliste erarbeitet."Unternehmen kann der tägliche Umgang mit der DSGVO sehr erleichtert werden, wenn sie die Punkte der Checkliste wirklich berücksichtigen," betont Dangl. Als besonders wichtige Elemente hebt der Software- und Cloud-Experte das Verzeichnis von Verfahrenstätigkeiten und die Automatisierung von Meldungen an die Behörden hervor.

Die Checkliste im Detail:

  1. Arbeiten Sie mit einer strukturierten Datenbank. Zu viele Daten befinden sich nach wie vor in unstrukturierten elektronischen Informationen wie E-Mails, SMS, WhatsApp oder auch Fotos. Optimal ist der Einsatz einer strukturierten Datenbank, in der Unternehmen die exponentiell steigende Datenmenge auch zukünftig im Griff behalten.
  2. Nutzen Sie DSGVO-konforme Einwilligungen für die Verwendung personenbezogener Daten. Eine Datenverarbeitung ist zulässig, wenn eine DSGVO-konforme Einwilligung vorliegt. Die Verwendung von personenbezogenen Daten ist allerdings auch dann gestattet, wenn ein berechtigtes Interesse des Unternehmens an der Datenverwendung besteht. Die Anforderungen an diese Einwilligungen wurden verschärft: unter anderem beträgt das Mindestalter 16 Jahre.
  3. Beachten Sie Ausmaß und Notwendigkeit der Daten. Jedes "zu viel" an personenbezogenen Daten stellt ein Risiko für Unternehmen dar. Es dürfen voreingestellt nur die Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck auch wirklich erforderlich sind.
  4. Berücksichtigen Sie den Datenschutz schon bei der Konzipierung und Entwicklung von Software und Hardware. Alle Projekte, bei denen Unternehmen personenbezogene Daten verarbeiten, müssen nach dem Prinzip "Privacy by Design" entwickelt werden. Unternehmen können bestehende Systeme entweder nachrüsten oder durch neue DSGVO-taugliche ersetzen.
  5. Beziehen Sie alle Mitarbeiter in den Datenschutz mit ein. Generell gilt, dass Datenschutz nie nur Aufgabe einer einzelnen Person sein kann, sondern im Berufsalltag von jedem Mitarbeiter gelebt werden muss. Schulen Sie daher regelmäßig Ihre Mitarbeiterinnen und Mitarbeiter.
  6. Verlassen Sie sich nicht auf die ISO/IEC 27001 Zertifizierung. Die ISO/IEC 27001 Zertifizierung reicht als Nachweis eines angemessenen Schutzes gegen unbefugte Zugriffe auf personenbezogene Daten alleine nicht aus. Unternehmen müssen stattdessen prüfen, ob diese Zertifizierung erweitert wurde, zum Beispiel durch Anpassung der Risikobeurteilungsmethode an die Rechte und Freiheiten nach DSGVO.
  7. Bewerten Sie Risiken und Folgen für Betroffene immer im Voraus. Unternehmen müssen eine Datenschutz-Folgenabschätzung dann durchführen, wenn neue Technologien eingesetzt werden und die Verarbeitung dazu führt, dass für die Rechte und Freiheiten von Einzelpersonen ein hohes Risiko besteht.
  8. Bei einer Datenschutzverletzung: Seien Sie schnell! Die EU-DSGVO beinhaltet eine klare Vorgabe bei Datenschutzverletzungen: wird dem Unternehmen ein Vorfall bekannt, muss unverzüglich und in der Regel binnen 72 Stunden nach Bekanntwerden bei der zuständigen Aufsichtsbehörde eine Meldung gemacht werden.
  9. Treffen Sie die Wahl des Verzeichnisses von Verarbeitungstätigkeiten gewissenhaft. Unternehmen benötigen ein flexibles und sicheres Verzeichnis, das sämtliche Verarbeitungsvorgänge im Umgang mit personenbezogenen Daten dokumentiert. Excel kann hier als kurzfristige Notlösung dienen, für den langfristigen Gebrauch empfehlen sich allerdings professionelle DSGVO-Managementsysteme, in denen datenschutzkonform gearbeitet werden kann.
  10. Schaffen Sie ideale technische Voraussetzungen für das Management der Betroffenenrechte. Sollten Personen ihr "Recht auf Vergessenwerden" in Anspruch nehmen, so reichen in der Regel die gängigen Löschfunktionen von Betriebssystemen und Datenbanken nicht aus, um die Anforderungen der EU-DSGVO zu erfüllen, da die Daten nicht tatsächlich physisch gelöscht werden. Datenschutz-Experten empfehlen hierfür eine eigene Software.
Mehr Artikel zum Thema: EU-DSGVO Tipps

Datenschutzmanagement perfekt im Griff?

Der Lehrgang Die/Der Zertifizierte Datenschutzbeauftragte...

Weiterlesen

DSGVO nahezu bewältigt

Bei der Präsentation der aktuellen "KMU...

Weiterlesen

Entwickler profitieren von der Cloud

Im Gegensatz zu den Ressourcen im eigenen Rechenzentrum,...

Weiterlesen

ÖAMTC schickt Mails sicher auf die Reise

Mobilität und Sicherheit sind wichtige Themen des...

Weiterlesen

SEO Sommerfrische Woche 8 – Mobile Website und SEO

Mobile ist ein SEO-Thema, an dem man kaum vorbeikommt....

Weiterlesen

SEO Sommerfrische Woche 7 – Google My Business

Google My Business ist nicht nur ein Firmeneintrag in Google...

Weiterlesen

5 Tipps katapultieren KMU ins digitale Zeitalter

Viele KMU gehen noch immer zögerlich mit dem Thema...

Weiterlesen

Digitalisierung im Automobilhandel durch Modularisierung

Während die Automobilindustrie weltweit den größten...

Weiterlesen

SEO Sommerfrische Woche 6 – Seitengeschwindigkeit optimieren

Wer hat schon Zeit und Geduld, auf langsam ladende Seiten zu...

Weiterlesen

Wenn Firmengeräte auf Reisen gehen

Immer öfter landen auch Firmen-Handy oder -Laptop im...

Weiterlesen

SEO Sommerfrische Woche 5 – interne Links

Links sind ein wichtiger Rankingfaktor für Google. Wenn sie...

Weiterlesen

SEO Sommerfrische Woche 4 – Bilder auf SEO-Hochglanz optimieren

Bilder sind Blickfang und Informationsträger zur gleichen...

Weiterlesen

Sicherheits-Container für Datenschutz unterwegs

Führungskräfte und Mitarbeiter, die viel unterwegs sind,...

Weiterlesen

Wachsende IT-Komplexität: 6 Strategien für CIOs

Die Zukunft erschien nie komplexer. IT-Führungskräfte sollen...

Weiterlesen

SEO Sommerfrische Woche 3 – Content optimieren

Nach dem letzten Teil der SEO-Sommerfrische haben Sie sicher...

Weiterlesen

SEO Sommerfrische Woche 2 – Care for your Keywords

Mit der "SEO Sommerfrische" bringen wir heuer praktische...

Weiterlesen

Die Wärme muss weg

Moderne datenzentrierte Geschäftsmodelle führen dazu, dass...

Weiterlesen

DSGVO: Fünf nach Zwölf

Obwohl die Übergangsfrist der Datenschutzgrundverordnung...

Weiterlesen