DSGVO: Verschärfte Datenschutzregeln gelten auch für KMU, Freelancer und Freiberufler
Am 25. Mai läutet die EU-Datenschutzgrundverordnung (DSGVO) eine neue Datenschutz-Ära ein. Dann müssen Unternehmen aktiv nachweisen, dass ihr Datenschutz funktioniert, sie technisch und organisatorisch alles tun, um einen Datenschutzverstoß zu verhindern, Interessen und Ein¬willigungen dokumentieren und vieles mehr. [...]
Handwerker, kleine Gewerbetreibende, Arztpraxen, Apotheken: Die DSGVO nimmt ausnahmslos alle Unternehmen, die Daten erfassen und speichern, in die Pflicht, ihre Datenverwaltung anzupassen. Denn auch sie erfassen Mitarbeiterdaten, speichern Kundendaten, posten Fotos ihrer Arbeiten beim Kunden in Sozialen Netzwerken und geben Daten unter Umständen an Dritte weiter, beispielsweise wenn Rechnungen von einem Software-as-a-Service-Dienst in der Cloud bearbeitet werden. Damit gelten auch Kleinstunternehmen, Freelancer, Freiberufler und kleine Mittelständler als datenverarbeitende Unternehmen und sind von der DSGVO betroffen.
Allerdings ist mit der DSGVO ist ein gewaltiges Regelwerk entstanden. Kleinen und mittleren Unternehmen (KMU) fällt es besonderes schwer, diese neuen Regeln umzusetzen, denn hier treffen oft knappes Budget, wenig Personal und mangelndes Fachwissen aufeinander. Dessen ist sich auch der Gesetzgeber bewusst und hat in der DSGVO Entlastungen für kleine und mittlere Unternehmen (KMU) vorgesehen. Zudem stehen KMU viele Angebote zur Verfügung: Beratungen, Schulungen und spezielle Tools helfen ihnen bei der Umsetzung der DSGVO.
Immerhin: Wer bisher schon datenschutzkonform agiert hat, auf den kommen wenige praktische Änderungen zu, denn die DSGVO orientiert sich stark am österreichischen Datenschutzgesetz (DSG). Dennoch müssen auch KMU Anpassungen vornehmen – und die beginnen mit einer Einwilligungserklärung.
Einwilligungserklärung
Als Faustregel gilt ab 25. Mai: Unternehmen müssen für jede Datennutzung eine Einwilligungserklärung der betreffenden Person einholen. Zum Beispiel, wenn sie Werbung per E-Mail versenden oder Telefon-Marketing betreiben wollen. Es ist sinnvoll die Einwilligungen in einer geeigneten Dokumentation anzulegen, in der später auch vermerkt werden kann, ob und von wem eine einmal erteilte Einwilligungserklärung widerrufen wurde.
Ausnahmen gelten, wenn die Datenverarbeitung zur Auftragserfüllung erforderlich ist. Darunter fällt die Adressverarbeitung des Kunden, wenn ein Auftrag vor Ort ausgeführt wird. Ebenfalls muss keine Einwilligungserklärung eingeholt werden, wenn die Daten zur Durchführung vorvertraglicher Maßnahmen verarbeitet werden, beispielsweise wenn der Kunde einen Kostenvoranschlag per E-Mail anfordert. Ohne Einwilligung dürfen auch Daten verarbeitet werden, die Arbeitgeber zur Erfüllung ihrer Pflichten benötigen, zum Beispiel um Sozialabgaben und Lohnsteuer an die Finanzbehörden und Krankenkassen zu melden.
Neue Informations- und Dokumentationspflichten
Mit der DSGVO kommen unter anderem Informationspflichten auf Unternehmen zu, die greifen, wenn sie eine eben erwähnte Einwilligungserklärung einholen: Dann muss die betroffene Person schriftlich darüber informieren werden, was mit den erhobenen Daten zum Zeitpunkt der Datenerhebung geschieht.
Neu ist auch das Auskunftsrecht: Natürliche Personen dürfen Auskunft über ihre gespeicherten Daten, den Zweck der Datenspeicherung und etwaige Datenweitergaben einholen. Idealerweise bewältigen Unternehmen diese Aufgabe, indem sie Auskünfte über personenbezogene Daten per Knopfdruck generieren. Die im Unternehmen verwendete Software kann beispielsweise so programmiert werden, dass Auskunftsfunktionen integriert und geeignete Daten gekennzeichnet sind. Übrigens: Eine Auskunft muss unverzüglich erfolgen – die Höchstdauer ist mit einem Monat angesetzt. Ist der Datenbestand sehr groß, wie es beispielsweise bei Sozialen Netzwerken der Fall ist, können Betroffene gebeten werden, die Auskunft auf bestimmte Datenarten oder Verarbeitungsverfahren zu reduzieren. Kosten dürfen dem Betroffenen höchstens bei Missbrauch des Auskunftsrechts in Rechnung gestellt werden.
Verzeichnis von Verarbeitungstätigkeiten
Wo personenbezogene Daten verarbeitet werden, müssen Datenverarbeitungsprozesse in einem „Verzeichnis von Verarbeitungstätigkeiten“ dokumentiert werden. Darin wird aufgeführt, welche personenbezogenen Daten im Unternehmen verarbeitet und wofür sie benutzt werden. In das Verfahrensverzeichnis gehören unter anderem Namen sowie Kontaktdaten des für die Verarbeitung Verantwortlichen sowie die des Datenschutzbeauftragten. Daneben ist anzugeben, wer von der Datenverarbeitung betroffen ist, und wer die Empfänger sind, denen gegenüber die Daten offengelegt werden.
Sonderregelung für KMU
Unternehmen sollten prüfen, ob ihr Betrieb überhaupt von dieser Regelung betroffen ist: Unternehmen mit weniger als 250 Angestellten sind nicht verpflichtet, ein Verzeichnis von Verarbeitungstätigkeiten zu führen, wenn:
die Datenverarbeitung nicht nur gelegentlich erfolgt.
die vorgenommene Datenverarbeitung kein Risiko für die Rechte und Freiheiten betroffener Personen birgt.
die Datenverarbeitung keine besonderen Datenkategorien oder die Verarbeitung von personenbezogenen Daten über Straftaten oder strafrechtliche Verurteilungen einschließt.
Zwar erfahren KMU hier eine gewisse Erleichterung. In den seltensten Fällen dürfte die aber einschlägig sein. Denn nach DSGVO sind nur Unternehmen von der Pflicht befreit, wenn die Verarbeitung von Daten nicht nur gelegentlich erfolgt. In der Praxis ist es aber wohl Ansichts- oder Auslegungssache, was „gelegentlich“ ist und was nicht. Zudem dürften es selbst in Kleinstbetrieben regelmäßige Datenverarbeitungsvorgänge geben.
Office-Anwendungen: Für Dokumentationspflichten ungeeignet
Trotz dieser Entlastung unterliegen auch KMU umfassenden Dokumentationspflichten. Es macht Sinn, sich bei der Dokumentation an den Vorgaben von Artikel 30 zu orientieren. Dabei allerdings auf gängige Office-Anwendungen zu setzen, ist nicht ratsam. Denn mit diesen Office-Anwendungen werden Informationen an mehreren Stellen im Unternehmen gepflegt, anstatt eine zentrale Basis zu schaffen. Informationen sind somit schon nach kurzer Zeit nicht mehr aktuell. Wer mit der Datenschutz-Dokumentation beginnt, sollte deshalb eine Software–Lösung wählen, die dieses Problem klärt. Ideal ist eine Software, die die Vorgehensweisen selbst dokumentiert und die ohne großen Berateraufwand von den verschiedenen Mitarbeitern im Unternehmen bedient werden kann. Drei Merkmale sind für eine solche Software–Lösung wesentlich: Die Software schafft eine strukturierte Vorgehensweise, sodass die Umsetzung dadurch erleichtert wird. Darüber hinaus generiert die Software Überblick auf Knopfdruck, um schnell Berichte über spezielle Informationen erstellen zu lassen.
Schulungen und Verhaltensregeln der Branchenverbände
KMU sollten darüber hinaus auch in den Bereichen Schulung und Aufklärung gesonderte Maßnahmen ergreifen. In der DSGVO heißt es dazu: „Auf die Öffentlichkeit ausgerichtete Sensibilisierungsmaßnahmen der Aufsichtsbehörden sollten spezifische Maßnahmen einschließen, die sich an die Verantwortlichen und die Auftragsverarbeiter, einschließlich Kleinstunternehmen sowie kleiner und mittlerer Unternehmen, und an natürliche Personen, insbesondere im Bildungsbereich, richten.“
Beratungen, Schulungen, spezielle Tools: Vor allem für KMU finden sich Angebote, die bei der Umsetzung der DSGVO helfen. Die Wirtschaftskammer Wien beispielsweise veranstaltet kostenfreie
Workshops, in denen Rechte und Pflichten von Betroffenen und Unternehmern im Umgang mit personenbezogenen Daten erläutert werden. Unternehmen können sich auch von externen, zertifizierten Datenschutzbeauftragten an die Hand nehmen lassen. Diese Experten analysieren die Situation im Unternehmen vor Ort und erstellen einen detaillierten Umsetzungsplan. Die PSW GROUP Consulting (www.psw-consulting.de) beispielsweise eruiert mittels Ist-Aufnahme, wo ein Unternehmen im Bereich Datenschutz überhaupt steht. Dadurch werden Datenschutz-relevante Stärken und Schwächen im Unternehmen identifiziert und konkrete Handlungsempfehlungen aufgezeigt. Auch die Handwerksinnungen unterstützen mit Seminaren, speziellen Leitfäden und Best-Practice-Anleitungen.
*Christian Heutger ist Geschäftsführer der PSW GROUP.
Laut einer Umfrage von ZERTURIO führt fast jedes dritte Unternehmen derzeit keine Mitarbeiterschulungen zu Datenschutz und Datensicherheit durch. Mehr als die Hälfte der Unternehmen, die Schulungen zu Datenschutz und Datensicherheit durchführen, führen diese allerdings nur unregelmäßig durch. […]
Laut OT + IoT Cybersicherheitsreport von ONEKEY sind Smart Factories häufig unzureichend geschützt. Die Digitalisierung von Produktion und Logistik birgt unbekannte Software-Schwachstellen, über die Hacker angreifen können. […]
Die Virtualisierung physischer Client-Hardware führt zu mehr Flexibilität und mehr Sicherheit, reduziert Kosten und sorgt für weniger Support-Aufwand. […]
In einem von der FFG geförderten Projekt unter der Leitung von Fraunhofer Austria wird ein Tool entwickelt, das Unternehmen beim Erfüllen der Anforderungen der Corporate Sustainability Reporting Directive (CSRD) unterstützt. […]
Der Markt für Influencer-Marketing wächst rasant. Mit der Übernahme von New Fluence stärkt 1SP Agency seine Position in diesem Bereich und bündelt seine Kräfte mit einem innovativen Startup. […]
„Innovastionsdruck und die Einhaltung ethischer Standards müssen keine Gegensätze sein“, sagt DI Dr. Bernhard Nessler, Research Manager for Intelligent Systems and Certification of AI am Software Competence Center Hagenberg (SCCH), im Gespräch mit ITWelt.at. […]
Mit der zunehmenden Beliebtheit und Größe von Live-Veranstaltungen sowie den steigenden geopolitischen Spannungen ist die Sicherheit bei Veranstaltungsorten, die große Menschenmengen beherbergen – wie Konzerte, Sportereignisse oder Festivals – zu einer kritischen Herausforderung geworden. […]
In Kombination mit intelligenter Software für das Capturing und die automatisierte Verarbeitung von Dokumenten haben Multifunktionsgeräte das Potenzial, weit mehr zu leisten – und sogar als Dolmetscher zu agieren. […]
Lauf-Apps sammeln Informationen über das eigene Training und tracken somit alle Fortschritte, die man beim Laufen gemacht hat. Allerdings benötigen sie um richtig zu funktionieren präzise Daten, darunter auch den Standort von Nutzern.
Diese Daten stehen oft öffentlich zur Verfügung. […]
Aktuelle Business IT-News für Österreich. Die ITWELT (vormals: COMPUTERWELT) ist Österreichs führende IT- Zeitung für den gesamten Bereich der Informationstechnik und Telekommunikation. Wir schreiben für leitende IT- Experten (IT-Leiter, CIO) in IT-Branche und EDV-Abteilungen. Unsere Themen: Business Software, Netzwerk, Security, Mobile Kommunikation, Infrastruktur, Cloud, Wirtschaft, IT-Innovation. Zudem finden Sie hier IT-Anbieter, Whitepaper, Webinare, Termine, Social Events und Praxisreports aus der IT und ITK Branche. (c) 2024 - ITW Verlag GmbH
Anmeldung Roundtable
Keine Felder gefunden.
Datenschutz Newsletter
Ich erhalte den Newsletter der Computerwelt c/o CW Fachverlag GmbH, Halbgasse 3-5 in 1070 Wien.
Meine Daten werden sicher gespeichert und niemals an Dritte weitergegeben.
Eine Abmeldung vom Newsletter, sowie Anmeldungen zu weiteren Services ist durch einen Link am Ende des Newsletters möglich.
Sie sehen gerade einen Platzhalterinhalt von Facebook. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von Instagram. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Sie sehen gerade einen Platzhalterinhalt von X. Um auf den eigentlichen Inhalt zuzugreifen, klicken Sie auf die Schaltfläche unten. Bitte beachten Sie, dass dabei Daten an Drittanbieter weitergegeben werden.
Be the first to comment