DSGVO Datenschutz-Grundverordnung und personenbezogene Daten

DSGVO Datenschutz-Grundverordnung und personenbezogene Daten

DSGVO Datenschutz-Grundverordnung und personenbezogene Daten

Seit dem 25.05.2018 ist die DSGVO – VO 2016/679 – über den Schutz von sensiblen Daten bezüglich natürlicher Personen verbindlich anzuwenden. Der Schutzbereich betrifft sämtliche personenbezogenen Daten, die ganz oder teilweise automatisiert verarbeitet werden.

 DSGVO Datenschutzgrundverordnung - personenbezogen DatenQuelle: pixabay

 

Die Datenschutz-Grundverordnung ist zwar bereits seit 24.05.2016 in Kraft, jedoch erst mit 25.05.2018 verbindlich anzuwenden. Die Sanktionen bei Nichteinhaltung sind drastisch! Der Gesetzgeber sieht folgende Geldbußen vor:

  • bis zu 10 Mio. EUR oder 2 % des weltweiten Jahresumsatzes
  • bis zu 20 Mio. EUR oder 4 % des weltweiten Jahresumsatzes

Diesbezügliche White- und Blacklists wurden im Mai 2018 veröffentlicht.

Personenbezogene Daten sind nach Art 4 Z 1 DSGVO sämtliche Informationen, mit denen eine natürliche Person direkt oder indirekt identifiziert werden könnte. Dies betrifft keine verstorbenen und keine juristische Personen. Als identifizierbar wird eine natürliche Person dann gesehen, wenn die Identität dieser Person nicht nur mit Namen, Sozialversicherungsnummer, Geburtsdatum, einer bereichsspezifischen Kennung, Autokennzeichen oder IP-Adresse, sondern auch aufgrund von besonderen Merkmalen wie z. B. Religion, kulturellen oder sozialen Identitäten, Rasse, biometrischen Daten – oder auch durch die Zusammenführung mehrerer Datenbanken – eindeutig festgestellt werden kann.

Kernthema ist das „Datenhacking“ von sensiblen Daten. Früher musste solche Hackings nicht gemeldet werden; jetzt hingegen sind Unternehmen verpflichtet, solche Datenhackings binnen 72 Stunden (siehe Art 33 DSGVO) an die Behörde zu melden und des Weiteren auch bekannt zu geben, welche Maßnahmen ergriffen wurden. Hierzu bedarf es zudem einer ausführlichen Dokumentation.

Der/Die Verantwortliche gemäß Art 4 Z 7 DSGVO kann eine natürliche Person, eine juristische Person, eine Behörde oder eine sonstige Stelle sein, welche die Einhaltung der Datenschutzbestimmung zu verantworten hat.

Ein Auftragsverarbeiter nach Art 4 Z 8 DSGVO ist eine Person, die im Auftrag des/der zuvor genannten Verantwortlichen Dienste erledigt. Der/Die Verantwortliche gibt sensible Daten zur Bearbeitung von Dienstleistungen weiter, z. B. an Webhoster, IT-Support etc. Der/Die Verantwortliche muss sich vergewissern, dass er/sie sich eines fähigen Auftragsverarbeiters bedient. Dies wiederum bedeutet, dass die Aufträge so durchgeführt werden müssen, dass zweckentsprechende technische und organisatorische Maßnahmen zum Schutz dieser personenbezogenen Daten gewährleistet werden. Auch den Auftragsverarbeiter trifft eine Reihe von Dokumentationspflichten, wie z. B. die Bestellung eines/einer Datenschutzbeauftragten, die Führung eines Verarbeitungsverzeichnisses u. v. m.

Zwischen Verantwortlichen und Auftragsarbeitern muss es eine schriftliche Vereinbarung geben. Diese Vereinbarung muss zwar nicht unterschrieben werden, sie muss aber nachweislich versendet und angewendet werden. Auf der Website von Standesvertretungen oder der WKO können Musterverträge für Verantwortliche und Auftragsverarbeiter heruntergeladen werden.

Wichtig in diesem Zusammenhang ist die Gewährleistung der Datensicherheit gemäß Art 30 DSGVO. Das bedeutet, dass alle geeigneten organisatorischen und technischen Maßnahmen – auch dem Stand der Technik entsprechend – zu ergreifen sind. Als Maßnahmen können sämtliche Möglichkeiten, die eine Vertraulichkeit und Integrität gewährleisten, gesehen werden. Sensible Daten können auch pseudonymisiert werden. Dies kann z. B. mittels Zugangsbeschränkungen geschehen.

Ein MUST-HAVE ist das Verfahrensverzeichnis (Art 30 DSGVO), das eine ausführliche Dokumentation der gewährleisteten Basics beinhaltet. Dieser Nachweis muss jederzeit verfügbar sein, da die Behörde ein Einsichtrecht besitzt. Bitte denken Sie auch daran, dass Sie im Falle eines PC-Ausfalls diese Dokumentation in ausgedruckter Form zur Einsicht durch die Behörde vorliegen haben.

Denken Sie daran, dass die DSGVO ebenfalls zum Tragen kommt, wenn Ihre Website mit einem Kontaktformular ausgestattet ist. Haben Sie ein Augenmerk auf vorliegende Einwilligungserklärungen zu Ihrem Newsletter. Fehlende Datenschutzhinweise auf den Webseiten dürften das Haupteinfallstor von einigen „neuen Marktteilnehmern“ sein, die sich die Abmahnungen als zukünftiges lukratives Kernthema auserkoren haben.

Bitte informieren Sie sich in diesem Zusammenhang zu folgenden Themen:

  • Datenschutzfolgeabschätzung
  • Löschpflichten (eine händische Löschliste ist empfehlenswert)
  • Betroffenenrechte bzgl. Löschung, Auskunftsrecht u. v. m.
  • Datenminimierungspflicht

Weitere Links zu Ihrer Information:

• Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016

• EU-Datenschutz-Grundverordnung (DSGVO): Checkliste

 

Der Blog wurde verfasst von:

Claudia Gloser, BA von FIBU GLOSER® – Ihre selbstständige Bilanzbuchhalterin nach BibuG in Wien.

Haben Sie Fragen zu diesem Thema? Benötigen Sie Hilfe?

Ich stehe Ihnen gerne unterstützend zur Verfügung. Nehmen Sie ganz einfach Kontakt mit mir auf!

Visitenkarte zum Download: 

Foto von FIBU GLOSER ®
Kontakt: Claudia Gloser, BA
Anschrift Reklewskigasse 30/1 Wien 1230 Österreich Mobiltelefon: +43 677 624 319 26 Webseite: Finanzbuchhaltung GLOSER Wien
Kategorien: Selbst. Bilanzbuchhalterin nach BibuG
Updated 3 Monaten ago. Zurück zum Anfang.

 FIBU GLOSER Wien

 

 

DSGVO Datenschutz-Grundverordnung und personenbezogene Daten
4.7 (93.33%) 3 Bewertungen
Print Friendly, PDF & Email

Schreibe einen Kommentar

* Die DSGVO-Checkbox ist ein Pflichtfeld

*

Ich stimme zu

Menü schließen