Datenschutz – Folgenabschätzung
Durch die gravierenden Änderungen der DSGVO entsteht eine deutlich weitreichendere Haftung der Geschäftsführung von Klein- und Mittelbetrieben. Sowohl KMUs als auch Einpersonenunternehmen (EPU) sind verpflichtet, eine IT-Risikoanalyse durchzuführen.
Diese Analyse hat potentielle Sicherheitsrisiken zu identifizieren, zu bewerten und die entsprechenden Gegenmaßnahmen zu enthalten. Ihr Ergebnis muss dokumentiert sein, und ist auf Anfrage jederzeit vorzulegen.
Ist dies nicht möglich, drohen hohe Strafen und die persönliche Haftung der Geschäftsführer.
Wir sind in der Lage, die Risikoanalyse nach den Bestimmungen der DSGVO für Sie vorzunehmen und Sie dadurch rechtlich abzusichern.
IT-Rechtsberatung
Ist Ihre IT rechtskonform? Wir bieten IT-Rechtsberatung um Ihnen Sicherheit zu geben!
Seit vielen Jahren dürfen wir die renommierte Rechtsanwaltskanzlei FG-LAW – Fr. Dr. Kordula Fleiß-Goll zu unserer Kooperationspartnerin in Fragen der IT-Rechtsberatung zählen. Aus diesem Grund können wir Ihnen uneingeschränkte Kompetenz bei der Umsetzung der rechtlichen Aspekte der DSGVO zusichern.
Wir sind in der Lage, Ihre IT rechtskonform nach den Bestimmungen der DSGVO zu gestalten
Dies ist von essentieller Bedeutung, da sich im Zuge der neuen EU-Datenschutzgrundverordnung, die mit Mai 2018 EU-weit ohne Übergangsfrist anzuwenden ist, die IT-Rechtslage in Österreich gravierend verändert. Vor allem folgende Punkte erfordern die rechtlich eindeutige Absicherung der Unternehmensverantwortlichen:
Marktortprinzip
Wenn weder Sitz noch Niederlassung des Unternehmens sich in der EU befinden, aber dieses den betroffenen Personen entgeltlich oder unentgeltlich in der Union Waren oder Dienstleistungen anbietet oder deren Verhalten beobachtet, ist die DSGVO anzuwenden.
Haftungsrisiken
Die Strafbestimmungen der DSGVO enthalten erweiterte Haftungsrisiken und empfindliche Strafen bis zu 20.000.000,00 € (in Worten 20 Millionen Euro)
oder
4 Prozent des weltweiten Vorjahresumsatzes.
Meldepflichten
Die DSGVO verpflichtet den Verantwortlichen zu rigorosen Meldepflichten bei Datenpannen sowohl an Behörden als auch an Betroffene.
Betroffenenrechte
Die Betroffenenrechte (z.B. Recht auf Vergessen) werden in der DSGVO intensiv gestärkt.
Datenschutzbeauftragter
Werden in einem Unternehmen personenbezogene oder sensible Daten dergestalt verarbeitet, dass die Art oder der Umfang dieser Verarbeitung eine umfangreiche regelmäßige und systematische Überwachung erforderlich macht, muss dieses Unternehmen ex lege einen Datenschutzbeauftragten benennen.
Wir sind in der Lage, die Aufgaben des Datenschutzbeauftragten für Sie zu übernehmen
Was sind nun personenbezogene Daten & sensible Daten
Die DSGVO normiert diese Begriffe recht eindeutig:
Personenbezogene Daten
sind Informationen
(also nicht nur elektronisch gespeicherte Daten – etwa auch „analoge“ Karteikarten)
die sich auf identifizierte/identifizierbare natürliche Personen beziehen
(ausgeschlossen sind demnach juristische Personen wie etwa Kapitalkgesellschaften)
z.B.: Name, Adresse, Geburtsdatum, Bankdaten, etc.
Die Verarbeitung personenbezogener Daten darf. nur zu bestimmten, legitimen Zwecken erfolgen und muss dem Zweck nach möglichst geringgehalten werden. Es besteht ein Recht auf Löschung aller Daten (Recht auf Vergessenwerden) . Das „Mitnehmen“ von Daten zu anderen Dienstleistern (Datenportabilität) muss sowohl technisch als auch organisatorisch gewährleistet sein.
Sensible Daten
sind personenbezogene Daten
(siehe obige Definition)
aus denen
die rassische/ethnische Herkunft
politische Meinungen
religiöse oder weltanschauliche Überzeugungen
sexuelle Orientierung
biometrische oder genetische Daten
Gesundheitsdaten
hervorgehen.
Die Verarbeitung sensibler Daten ist grundsätzlich untersagt.
Ausnahmen vom Verarbeitungsverbot sensibler Daten
Bei Vorliegen einer ausdrücklichen Erklärung
Bei Ausübung von Rechten aus dem Sozialschutz oder des Arbeitsrechtes
oder zum Schutz lebenswichtiger Interessen.
Ihre Sicherheit
Als Basis unserer Tätigkeit orientieren wir uns – neben der DSGVO – an den Info-Materialien zu IT Sicherheit und Datenschutz der Wirtschaftskammer Österreich. Darin werden grundsätzlich drei Unternehmenstypen unterschieden und entsprechende Mindesterfordernisse definiert:
Einpersonenunternehmen
Passwortschutz auf allen Endgeräten (auf PC, Notebook, Smartphone, Tablet, etc.)
Tägliche Sicherungen der Daten
Antivirus-System
Gängiges Betriebssystem & aktuelle Updates
Zutrittsregelungen für Räumlichkeiten
Klein und Mittelunternehmen
verpflichtender IT-Partner + laufende Wartung
Antivirus-System & Firewall
Regelmäßige Erneuerung der Hardware
Richtlinien zu Passwörtern
Externe Mitarbeiterschulung (1 x jährlich)
Interne Compliance-Maßnahmen bezügl. Datenschutz
Laufende Offsite-Sicherungen
Brandschutz
Mittlere & größere Unternehmen
ständig erreichbarer IT-Servicepartner
VPN für externe Mitarbeiter
Zugangskontrolle für Serverräume
Backup-Verschlüsselung
Wiederherstellungsrichtlinien für Ernstfälle
Ihre Vorteile
Wovor wir Sie schützen, was wir für Sie erledigen:
Extrem hohe Strafen
bis zu vier Prozent des globalen Umsatzes, was die sonstige Grenze von 20.000.000,00 € deutlich übersteigen kann!
Deutlich erweiterte zivilrechtliche Haftung
Ersatz auch immaterieller Schäden, Verbandsklagen, Beweislastumkehr
Zusätzliche Verantwortung und Haftung für Datenschutzbeauftragte
Stark erweiterte Dokumentations- und Nachweispflichten
Datenschutz-Folgenabschätzung
Weitergehende Prüf- und Abstimmungspflichten statt Vorabkontrolle
Risikobasierter Datenschutz
Massiv erweiterte Transparenzanforderungen
Datensicherheit
Datenschutz durch Technik und durch datenschutzfreundliche Voreinstellungen
Melde- und Benachrichtigungspflichten
Erweiterte Melde- und Benachrichtigungspflichten bei Datenschutzverstößen
Recht auf Vergessen
Striktere Löschpflichten und Recht auf Vergessen-werden
Koppelungsverbot bei Einwilligungen