DSGVO: Verschärfte Datenschutzregeln gelten auch für KMU, Freelancer und Freiberufler
Am 25. Mai läutet die EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära ein. Dann müssen Unternehmen aktiv nachweisen, dass ihr Datenschutz funktioniert, sie technisch und organisatorisch alles tun, um einen Datenschutzverstoß zu verhindern, Interessen und Ein¬willigungen dokumentieren und vieles mehr. [...]
Handwerker, kleine Gewerbetreibende, Arztpraxen, Apotheken: Die DSGVO nimmt ausnahmslos alle Unternehmen, die Daten erfassen und speichern, in die Pflicht, ihre Datenverwaltung anzupassen. Denn auch sie erfassen Mitarbeiterdaten, speichern Kundendaten, posten Fotos ihrer Arbeiten beim Kunden in Sozialen Netzwerken und geben Daten unter Umständen an Dritte weiter, beispielsweise wenn Rechnungen von einem Software-as-a-Service-Dienst in der Cloud bearbeitet werden. Damit gelten auch Kleinstunternehmen, Freelancer, Freiberufler und kleine Mittelständler als datenverarbeitende Unternehmen und sind von der DSGVO betroffen.
Allerdings ist mit der DSGVO ist ein gewaltiges Regelwerk entstanden. Kleinen und mittleren Unternehmen (KMU) fällt es besonderes schwer, diese neuen Regeln umzusetzen, denn hier treffen oft knappes Budget, wenig Personal und mangelndes Fachwissen aufeinander. Dessen ist sich auch der Gesetzgeber bewusst und hat in der DSGVO Entlastungen für kleine und mittlere Unternehmen (KMU) vorgesehen. Zudem stehen KMU viele Angebote zur Verfügung: Beratungen, Schulungen und spezielle Tools helfen ihnen bei der Umsetzung der DSGVO.
Immerhin: Wer bisher schon datenschutzkonform agiert hat, auf den kommen wenige praktische Änderungen zu, denn die DSGVO orientiert sich stark am österreichischen Datenschutzgesetz (DSG). Dennoch müssen auch KMU Anpassungen vornehmen – und die beginnen mit einer Einwilligungserklärung.
Einwilligungserklärung
Als Faustregel gilt ab 25. Mai: Unternehmen müssen für jede Datennutzung eine Einwilligungserklärung der betreffenden Person einholen. Zum Beispiel, wenn sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen. Es ist sinnvoll die Einwilligungen in einer geeigneten Dokumentation anzulegen, in der später auch vermerkt werden kann, ob und von wem eine einmal erteilte Einwilligungserklärung widerrufen wurde.
Ausnahmen gelten, wenn die Datenverarbeitung zur Auftragserfüllung erforderlich ist. Darunter fällt die Adressverarbeitung des Kunden, wenn ein Auftrag vor Ort ausgeführt wird. Ebenfalls muss keine Einwilligungserklärung eingeholt werden, wenn die Daten zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, beispielsweise wenn der Kunde einen Kostenvoranschlag per E-Mail anfordert. Ohne Einwilligung dürfen auch Daten verarbeitet werden, die Arbeitgeber zur Erfüllung ihrer Pflichten benötigen, zum Beispiel um Sozialabgaben und Lohnsteuer an die Finanzbehörden und Krankenkassen zu melden.
Neue Informations- und Dokumentationspflichten
Mit der DSGVO kommen unter anderem Informationspflichten auf Unternehmen zu, die greifen, wenn sie eine eben erwähnte Einwilligungserklärung einholen: Dann muss die betroffene Person schriftlich darüber informieren werden, was mit den erhobenen Daten zum Zeitpunkt der Datenerhebung geschieht.
Neu ist auch das Auskunftsrecht: Natürliche Personen dürfen Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen. Idealerweise bewältigen Unternehmen diese Aufgabe, indem sie Auskünfte über personenbezogene Daten per Knopfdruck generieren. Die im Unternehmen verwendete Software kann beispielsweise so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind. Übrigens: Eine Auskunft muss unverzüglich erfolgen – die Höchstdauer ist mit einem Monat angesetzt. Ist der Datenbestand sehr groß, wie es beispielsweise bei Sozialen Netzwerken der Fall ist, können Betroffene gebeten werden, die Auskunft auf bestimmte Datenarten oder Verarbeitungsverfahren zu reduzieren. Kosten dürfen dem Betroffenen höchstens bei Missbrauch des Auskunftsrechts in Rechnung gestellt werden.
Verzeichnis von Verarbeitungstätigkeiten
Wo personenbezogene Daten verarbeitet werden, müssen Datenverarbeitungsprozesse in einem „Verzeichnis von Verarbeitungstätigkeiten“ dokumentiert werden. Darin wird aufgeführt, welche personenbezogenen Daten im Unternehmen verarbeitet und wofür sie benutzt werden. In das Verfahrensverzeichnis gehören unter anderem Namen sowie Kontaktdaten des für die Verarbeitung Verantwortlichen sowie die des Datenschutzbeauftragten. Daneben ist anzugeben, wer von der Datenverarbeitung betroffen ist, und wer die Empfänger sind, denen gegenüber die Daten offengelegt werden.
Sonderregelung für KMU
Unternehmen sollten prüfen, ob ihr Betrieb überhaupt von dieser Regelung betroffen ist: Unternehmen mit weniger als 250 Angestellten sind nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wenn:
die Datenverarbeitung nicht nur gelegentlich erfolgt.
die vorgenommene Datenverarbeitung kein Risiko für die Rechte und Freiheiten betroffener Personen birgt.
die Datenverarbeitung keine besonderen Datenkategorien oder die Verarbeitung von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen einschließt.
Zwar erfahren KMU hier eine gewisse Erleichterung. In den seltensten Fällen dürfte die aber einschlägig sein. Denn nach DSGVO sind nur Unternehmen von der Pflicht befreit, wenn die Verarbeitung von Daten nicht nur gelegentlich erfolgt. In der Praxis ist es aber wohl Ansichts- oder Auslegungssache, was „gelegentlich“ ist und was nicht. Zudem dürften es selbst in Kleinstbetrieben regelmäßige Datenverarbeitungsvorgänge geben.
Office-Anwendungen: Für Dokumentationspflichten ungeeignet
Trotz dieser Entlastung unterliegen auch KMU umfassenden Dokumentationspflichten. Es macht Sinn, sich bei der Dokumentation an den Vorgaben von Artikel 30 zu orientieren. Dabei allerdings auf gängige Office-Anwendungen zu setzen, ist nicht ratsam. Denn mit diesen Office-Anwendungen werden Informationen an mehreren Stellen im Unternehmen gepflegt, anstatt eine zentrale Basis zu schaffen. Informationen sind somit schon nach kurzer Zeit nicht mehr aktuell. Wer mit der Datenschutz-Dokumentation beginnt, sollte deshalb eine Software–Lösung wählen, die dieses Problem klärt. Ideal ist eine Software, die die Vorgehensweisen selbst dokumentiert und die ohne großen Berateraufwand von den verschiedenen Mitarbeitern im Unternehmen bedient werden kann. Drei Merkmale sind für eine solche Software–Lösung wesentlich: Die Software schafft eine strukturierte Vorgehensweise, sodass die Umsetzung dadurch erleichtert wird. Darüber hinaus generiert die Software Überblick auf Knopfdruck, um schnell Berichte über spezielle Informationen erstellen zu lassen.
Schulungen und Verhaltensregeln der Branchenverbände
KMU sollten darüber hinaus auch in den Bereichen Schulung und Aufklärung gesonderte Maßnahmen ergreifen. In der DSGVO heißt es dazu: „Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an natürliche Personen, insbesondere im Bildungsbereich, richten.“
Beratungen, Schulungen, spezielle Tools: Vor allem für KMU finden sich Angebote, die bei der Umsetzung der DSGVO helfen. Die Wirtschaftskammer Wien beispielsweise veranstaltet kostenfreie
Workshops, in denen Rechte und Pflichten von Betroffenen und Unternehmern im Umgang mit personenbezogenen Daten erläutert werden. Unternehmen können sich auch von externen, zertifizierten Datenschutzbeauftragten an die Hand nehmen lassen. Diese Experten analysieren die Situation im Unternehmen vor Ort und erstellen einen detaillierten Umsetzungsplan. Die PSW GROUP Consulting (www.psw-consulting.de) beispielsweise eruiert mittels Ist-Aufnahme, wo ein Unternehmen im Bereich Datenschutz überhaupt steht. Dadurch werden Datenschutz-relevante Stärken und Schwächen im Unternehmen identifiziert und konkrete Handlungsempfehlungen aufgezeigt. Auch die Handwerksinnungen unterstützen mit Seminaren, speziellen Leitfäden und Best-Practice-Anleitungen.
*Christian Heutger ist Geschäftsführer der PSW GROUP.
Die Welt bewegt sich rasant in Richtung Digitalisierung, und das Internet der Dinge (IoT) ist eine der treibenden Kräfte hinter dieser Transformation. Doch während die meisten Innovationen im Zusammenhang mit IoT auf Industrienationen fokussiert sind, eröffnet diese Technologie besonders für Afrika einzigartige Chancen. […]
Innovationen bei der Stromversorgung und Kühlung von KI-Racks sowie das Management von Energieverbrauch und Emissionen werden im kommenden Jahr bei Betreibern von Rechenzentren im Mittelpunkt stehen. […]
Der deutsche Energiekonzern nutzt als führendes Unternehmen im Bereich der erneuerbaren Energien die schlüsselfertige KI-Infrastrukturlösung von Hewlett Packard Enterprise (HPE), um die Prognosegenauigkeit zu verbessern und das Energieressourcenmanagement zu optimieren. […]
Bei Bad Bots handelt es sich um automatisierte Softwareprogramme, die für die Durchführung von Online-Aktivitäten im großen Maßstab entwickelt werden. Bad Bots sind für entsprechend schädliche Online-Aktivitäten konzipiert und können gegen viele verschiedene Ziele eingesetzt werden, darunter Websites, Server, APIs und andere Endpunkte. […]
Auf der HUAWEI CONNECT 2024 in Paris präsentierte Huawei innovative Technologien für die grüne und digitale Transformation Europas. Die DigitALL Night bot österreichischen Studierenden exklusive Einblicke in die Arbeit des internationalen Technologiekonzerns. […]
Das Entrust Cybersecurity Institute veröffentlichte kürzlich die Ergebnisse seines 2025 Identity Fraud Report. Demnach nehmen KI-gestützte Betrugsversuche zu und werden zunehmend raffinierter. Im Jahr 2024 fand bisher alle fünf Minuten ein Deepfake-Angriff statt und die Fälschungen digitaler Dokumente nahmen im Vergleich zum Vorjahreszeitraum um 244 Prozent zu. […]
Im Projekt „Embodied Perceptions“ unter Leitung des AIT Center for Technology Experience wird das Thema Schmerzen ganzheitlich und gendersensibel betrachtet: Das Projektteam forscht zu Möglichkeiten, subjektives Schmerzempfinden über 3D-Avatare zu visualisieren. […]
Von Secondhand-Geschenken bis zu fachgerechter Entsorgung: Die Elektroaltgeräte Koordinierungsstelle zeigt, wie Wiederverwendung und Recycling zu einem umweltfreundlichen und energieeffizienten Weihnachtsfest beitragen können. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
Keine Felder gefunden.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Be the first to comment