Praxistipps zur Umsetzung der neuen Datenschutz-Grundverordnung

Die Datenschutzverordnung auf den Punkt gebracht

In einem ebenso informativen wie kurzweiligen Vortrag klärte Rechtsanwalt Mag. Stefan Korab über die wesentlichen Änderungen auf, die sich durch die neue Datenschutz-Grundverordnung ergeben.

Folgende Vorgehensweise empfiehlt er den Unternehmen:

1. Womit sollten Unternehmen anfangen, wenn sie sich fit für die neue Datenschutz-Grundverordnung machen?

Neben der Befassung mit der neuen Rechtslage sollte ein Unternehmen zuerst ein Verzeichnis der eigenen Datenverarbeitungstätigkeiten erstellen. Dies umfasst Namen und Kontaktdaten des Verantwortlichen (= des Unternehmens), Zweck der Datenverarbeitung (hier empfiehlt es sich auch, die Rechtsgrundlage anzuführen, z.B. Einwilligungserklärung), Beschreibung der Kategorien von personenbezogenen Daten (z.B. Kunden und Lieferanten, Rechnungsdaten, Adressdaten), Kategorien von Empfängern, gegenüber denen die Daten offengelegt werden (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater), Übermittlungen in Drittländer oder internationale Organisationen, Fristen für Löschung der verschiedenen Datenkategorien sowie eine allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen.

Auch Auftragsverarbeiter (früher: Dienstleister) haben ein Verzeichnis zu erstellen.
Ein Verzeichnis der Verarbeitungstätigkeiten sollte auch erstellt werden, wenn dies aufgrund der Verordnung nicht zwingend notwendig ist (also wenn das Unternehmen weniger als 250 Mitarbeiter hat, wenn kein besonderes Risiko für Betroffene besteht, keine sensiblen Daten verarbeitet werden und die Verarbeitung nur gelegentlich erfolgt (z.B. Lohnverrechnung, Kundenbetreuung)).
Praxistipp: Wenn aus der Vergangenheit schon Datenanwendungen im Datenverarbeitungsregister registriert sind, können diese als Anhaltspunkt für die Erstellung des Verzeichnisses dienen.

2. Was ist bei datenschutzrechtlichen Einwilligungen zu beachten?

Einwilligungen müssen nachweisbar sein und daher protokolliert werden. Sie müssen freiwillig (Kopplungsverbot), für einen bestimmten Fall, in informierter Weise und eine unmissverständliche Willensbekundung in Form einer Erklärung oder sonstigen bestätigenden Handlung sein. Vorab angeklickte Checkboxen sind nicht gültig. Die betroffene Person muss bei Einwilligung umfassend informiert werden (Widerrufsrecht, Zweck der Datenverarbeitung etc.).

Praxistipp: Die Einwilligungsprozesse sollten möglichst frühzeitig umgestellt werden. Bereits jetzt erteilte Einwilligungen, die den neuen Anforderungen entsprechen, sind auch nach dem 25.5.2018 weiterhin gültig.

Sie haben weitere Fragen zur neuen Datenschutz-Grundverordnung?
Dann kontaktieren Sie uns und unsere Rechtsexperten.

Kontakt für Rückfragen:

Stefan Korab

E-Mail: office@korab.at

Michael Mehler
ghost.company
Telefon: +43 1 869 21 23-19

E-Mail: michael.mehler@ghostcompany.com

Join us on www.facebook.com/ghostcompany

Michael Mehler,  Inhaber / Creative Director

Zurück