Durch die gravierenden Änderungen der DSGVO entsteht eine deutlich weitreichendere Haftung der Geschäftsführung von Klein- und Mittelbetrieben. Sowohl KMUs als auch Einpersonenunternehmen (EPU) sind verpflichtet, eine IT-Risikoanalyse durchzuführen.
Diese Analyse hat potentielle Sicherheitsrisiken zu identifizieren, zu bewerten und die entsprechenden Gegenmaßnahmen zu enthalten. Ihr Ergebnis muss dokumentiert sein, und ist auf Anfrage jederzeit vorzulegen.
Ist dies nicht möglich, drohen hohe Strafen und die persönliche Haftung der Geschäftsführer.
Als Basis unserer Tätigkeit orientieren wir uns – neben der DSGVO – an den Info-Materialien zu IT Sicherheit und Datenschutz der Wirtschaftskammer Österreich. Darin werden grundsätzlich drei Unternehmenstypen unterschieden und entsprechende Mindesterfordernisse definiert:
Passwortschutz auf allen Endgeräten (auf PC, Notebook, Smartphone, Tablet, etc.)
Tägliche Sicherungen der Daten
Antivirus-System
Gängiges Betriebssystem & aktuelle Updates
Zutrittsregelungen für Räumlichkeiten
verpflichtender IT-Partner + laufende Wartung
Antivirus-System & Firewall
Regelmäßige Erneuerung der Hardware
Richtlinien zu Passwörtern
Externe Mitarbeiterschulung (1 x jährlich)
Interne Compliance-Maßnahmen bezügl. Datenschutz
Laufende Offsite-Sicherungen
Brandschutz
ständig erreichbarer IT-Servicepartner
VPN für externe Mitarbeiter
Zugangskontrolle für Serverräume
Backup-Verschlüsselung
Wiederherstellungsrichtlinien für Ernstfälle
Extrem hohe Strafen
bis zu vier Prozent des globalen Umsatzes, was die sonstige Grenze von 20.000.000,00 € deutlich übersteigen kann!
Deutlich erweiterte zivilrechtliche Haftung
Ersatz auch immaterieller Schäden, Verbandsklagen, Beweislastumkehr
Zusätzliche Verantwortung und Haftung für Datenschutzbeauftragte
Stark erweiterte Dokumentations- und Nachweispflichten
Datenschutz-Folgenabschätzung
Weitergehende Prüf- und Abstimmungspflichten statt Vorabkontrolle
Risikobasierter Datenschutz
Massiv erweiterte Transparenzanforderungen
Datensicherheit
Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen
Melde- und Benachrichtigungspflichten
Erweiterte Melde- und Benachrichtigungspflichten bei Datenschutzverstößen
Recht auf Vergessen
Striktere Löschpflichten und Recht auf Vergessen-werden
Koppelungsverbot bei Einwilligungen