Kategorien-Archiv Allgemein

Datenschutz – Folgenabschätzung

Durch die gravierenden Änderungen der DSGVO entsteht eine deutlich weitreichendere Haftung der Geschäftsführung von Klein- und Mittelbetrieben. Sowohl KMUs als auch Einpersonenunternehmen (EPU) sind verpflichtet, eine IT-Risikoanalyse durchzuführen.

Diese Analyse hat potentielle Sicherheitsrisiken zu identifizieren, zu bewerten und die entsprechenden Gegenmaßnahmen zu enthalten. Ihr Ergebnis muss dokumentiert sein, und ist auf Anfrage jederzeit vorzulegen.

Ist dies nicht möglich, drohen hohe Strafen und die persönliche Haftung der Geschäftsführer.

Wir sind in der Lage, die Risikoanalyse nach den Bestimmungen der DSGVO für Sie vorzunehmen und Sie dadurch rechtlich abzusichern.

IT-Rechtsberatung

Ist Ihre IT rechtskonform? Wir bieten IT-Rechtsberatung um Ihnen Sicherheit zu geben!

Seit vielen Jahren dürfen wir die renommierte Rechtsanwaltskanzlei FG-LAW – Fr. Dr. Kordula Fleiß-Goll zu unserer Kooperationspartnerin in Fragen der IT-Rechtsberatung zählen. Aus diesem Grund können wir Ihnen uneingeschränkte Kompetenz bei der Umsetzung der rechtlichen Aspekte der DSGVO zusichern.

Wir sind in der Lage, Ihre IT rechtskonform nach den Bestimmungen der DSGVO zu gestalten 

Dies ist von essentieller Bedeutung, da sich im Zuge der neuen EU-Datenschutzgrundverordnung, die mit Mai 2018 EU-weit ohne Übergangsfrist anzuwenden ist, die IT-Rechtslage in Österreich gravierend verändert. Vor allem folgende Punkte erfordern die rechtlich eindeutige Absicherung der Unternehmensverantwortlichen:

Marktortprinzip

Wenn weder Sitz noch Niederlassung des Unternehmens sich in der EU befinden, aber dieses den betroffenen Personen entgeltlich oder unentgeltlich in der Union Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet, ist die DSGVO anzuwenden.

Haftungsrisiken

Die Strafbestimmungen der DSGVO enthalten erweiterte Haftungsrisiken und empfindliche Strafen bis zu 20.000.000,00 € (in Worten 20 Millionen Euro)
oder
4 Prozent des weltweiten Vorjahresumsatzes.

Meldepflichten

Die DSGVO verpflichtet den Verantwortlichen zu rigorosen Meldepflichten bei Datenpannen sowohl an Behörden als auch an Betroffene.

Betroffenenrechte

Die Betroffenenrechte (z.B. Recht auf Vergessen) werden in der DSGVO intensiv gestärkt.

Datenschutzbeauftragter

Werden in einem Unternehmen personenbezogene oder sensible Daten dergestalt verarbeitet, dass die Art oder der Umfang dieser Verarbeitung eine umfangreiche regelmäßige und systematische Überwachung erforderlich macht, muss dieses Unternehmen ex lege einen Datenschutzbeauftragten benennen.

Wir sind in der Lage, die Aufgaben des Datenschutzbeauftragten für Sie zu übernehmen

Was sind nun personenbezogene Daten & sensible Daten

Die DSGVO normiert diese Begriffe recht eindeutig:

Personenbezogene Daten

sind Informationen

(also nicht nur elektronisch gespeicherte Daten – etwa auch „analoge“ Karteikarten)

die sich auf identifizierte/identifizierbare natürliche Personen beziehen

(ausgeschlossen sind demnach juristische Personen wie etwa Kapitalkgesellschaften)

z.B.: Name, Adresse, Geburtsdatum, Bankdaten, etc.

Die Verarbeitung personenbezogener Daten darf. nur zu bestimmten, legitimen Zwecken erfolgen und muss dem Zweck nach möglichst geringgehalten werden. Es besteht ein Recht auf Löschung aller Daten (Recht auf Vergessenwerden) . Das „Mitnehmen“ von Daten zu anderen Dienstleistern (Datenportabilität) muss sowohl technisch als auch organisatorisch gewährleistet sein.

Sensible Daten

sind personenbezogene Daten

(siehe obige Definition)

aus denen

die rassische/ethnische Herkunft

politische Meinungen

religiöse oder weltanschauliche Überzeugungen

sexuelle Orientierung

biometrische oder genetische Daten

Gesundheitsdaten

hervorgehen.

Die Verarbeitung sensibler Daten ist grundsätzlich untersagt.

Ausnahmen vom Verarbeitungsverbot sensibler Daten

Bei Vorliegen einer ausdrücklichen Erklärung

Bei Ausübung von Rechten aus dem Sozialschutz oder des Arbeitsrechtes

oder zum Schutz lebenswichtiger Interessen.

Ihre Sicherheit

Als Basis unserer Tätigkeit orientieren wir uns – neben der DSGVO – an den Info-Materialien zu IT Sicherheit und Datenschutz der Wirtschaftskammer Österreich. Darin werden grundsätzlich drei Unternehmenstypen unterschieden und entsprechende Mindesterfordernisse definiert:

Einpersonenunternehmen

Passwortschutz auf allen Endgeräten (auf PC, Notebook, Smartphone, Tablet, etc.)

Tägliche Sicherungen der Daten

Antivirus-System

Gängiges Betriebssystem & aktuelle Updates

Zutrittsregelungen für Räumlichkeiten

Klein und Mittelunternehmen

verpflichtender IT-Partner + laufende Wartung

Antivirus-System & Firewall

Regelmäßige Erneuerung der Hardware

Richtlinien zu Passwörtern

Externe Mitarbeiterschulung (1 x jährlich)

Interne Compliance-Maßnahmen bezügl. Datenschutz

Laufende Offsite-Sicherungen

Brandschutz

Mittlere & größere Unternehmen

ständig erreichbarer IT-Servicepartner

VPN für externe Mitarbeiter

Zugangskontrolle für Serverräume

Backup-Verschlüsselung

Wiederherstellungsrichtlinien für Ernstfälle

Ihre Vorteile

Wovor wir Sie schützen, was wir für Sie erledigen:

Extrem hohe Strafen
bis zu vier Prozent des globalen Umsatzes, was die sonstige Grenze von 20.000.000,00 € deutlich übersteigen kann!

Deutlich erweiterte zivilrechtliche Haftung
Ersatz auch immaterieller Schäden, Verbandsklagen, Beweislastumkehr

Zusätzliche Verantwortung und Haftung für Datenschutzbeauftragte

Stark erweiterte Dokumentations- und Nachweispflichten

Datenschutz-Folgenabschätzung
Weitergehende Prüf- und Abstimmungspflichten statt Vorabkontrolle

Risikobasierter Datenschutz
Massiv erweiterte Transparenzanforderungen

Datensicherheit
Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen

Melde- und Benachrichtigungspflichten
Erweiterte Melde- und Benachrichtigungspflichten bei Datenschutzverstößen

Recht auf Vergessen
Striktere Löschpflichten und Recht auf Vergessen-werden

Koppelungsverbot bei Einwilligungen