Ist die Verarbeitung Ihrer Daten DSGVO-kompatibel?

Die Ausgangslage

Ob Mitarbeiterinnen und Mitarbeiter, Kunden und Klienten oder Interessentinnen und Interessenten: personenbezogene Daten sind nicht nur notwendig für die Kontaktaufnahme, für Angebote oder Vereinbarungen, statistisch verarbeitet sind sie die Grundlage für viele Managemententscheidungen. Daher haben viele Unternehmen bisher solche Daten möglichst umfassend und dauerhaft gespeichert – damit sie für künftige Anwendungsfälle zur Verfügung stehen – etwa wenn ein neues Produkt vorgestellt wird, ein neuer Tarif zur Anwendung kommt oder das eigene Portfolio weiter entwickelt werden soll. Diese Vorgehensweise wird durch die neue EU-Verordnung wesentlich eingeschränkt.

Die Datenschutz-Grundverordnung

Am 25. Mai 2018 ist es soweit: die neue, europaweit einheitliche Datenschutz-Grundverordnung tritt in Kraft. An Stelle der Meldepflicht bei der Datenschutzbehörde (sie wird gestrichen) tritt die Verantwortung der Unternehmen. Grundsätzlich dürfen personenbezogene Daten nur mehr für den jeweiligen bestimmten Verwendungszweck verarbeitet werden. Um dies zu gewährleisten, ist ein Verzeichnis der Verarbeitungstätigkeiten zu erstellen, es sind Folgeabschätzungen bei möglichen Datenschutzverletzungen durchzuführen, weiters sind umfangreiche Informationspflichten gegenüber den Betroffenen zu berücksichtigen. Bei Verletzungen drohen sehr hohe Strafen. Informationen finden Sie unter anderem auf den Seiten der Wirtschaftskammer.

Offene Fragen

Digital Business Transformation als KonzeptDamit verbunden sind viele offene Fragen: Wie ist die die Informationspflicht nach Art. 13 umzusetzen? Auf Verlangen müssen Daten gelöscht werden – gilt dies auch für Backups? Ist das Mitsenden aller Empfängeradressen an alle Mailempfänger zulässig? Welche Mitarbeiterinnen und Mitarbeiter dürfen auf CRM-Daten zugreifen? Was ist eine Datenschutzverletzung, die angezeigt werden muss? Und schließlich: welche Dokumentationspflichten sind zu erfüllen, welche technischen Vorkehrungen betreffend Datensicherheit zu treffen?

Drei Herausforderungen

Unternehmen stehen damit vor drei großen Herausforderungen:

  1. Klärung der rechtlichen Fragen: Wie bei jeder umfassenden gesetzlichen Materie gibt es Interpretationsspielraum betreffend konkrete Umsetzungsanforderungen: was ist im konkreten Fall zumutbar? Was ist ein berechtigtes Interesse? Eine endgültige Klärung solcher Fragen findet zumeist in Form von Höchstgerichtsentscheiden statt. Hier ist vorab die Expertise von Juristinnen und Juristen erforderlich.
  2. Datenverarbeitung: In welcher Form, welcher Struktur werden die Daten verarbeitet? Welche Berechtigungssysteme sind zu implementieren? Wie ist sicher zu stellen, dass jederzeit die Auskunftspflicht, die Pflicht, Daten zu löschen gewährleistet wird? Wie können Daten rechtskonform anonymisiert werden? Hier sind IT-Expertinnen und Experten gefragt.
  3. Definition der Prozesse, Erstellung des Handbuches: Wie werden Kompetenzen und Verantwortlichkeiten festgelegt? Wie werden Berechtigungssysteme implementiert? Welche Workflows sind zu definieren, wenn Daten etwa für statistische Zwecke ausgewertet werden, wenn ein Antrag auf Löschung erfolgt? Hier sind Prozessmanagerinnen und –manager gefordert.

Unterstützung durch OBJENTIS

Als Unternehmen mit dem Schwerpunkt „Software Integration“ unterstützen wir unsere Kunden durch

  1. eine Status-Quo Erhebung und die Definition des Anpassungsbedarfes. Das Ergebnis dient auch als Grundlage für die rechtliche Klärung.
  2. eine Definition von Prozessen und Verarbeitungsschritten. Wir gehen dabei Use-Case-basiert vor und definieren Abläufe und Berechtigungen von der Erfassung der Daten über die Verarbeitung bis hin zur Löschung oder zur Anonymisierung für statistische Zwecke oder zur Meldung von Datenschutzverletzungen.
  3. die Erstellung eines Verfahrensverzeichnisses und eines Handbuches entsprechend der Compliance Pflicht der Unternehmen
  4. die Schulung des Schlüsselpersonales
  5. den Test und die Analyse der adäquaten Umsetzung des Verfahrensverzeichnisses.

Warum Sie jetzt handeln sollten

Für die Umsetzung der DSGVO-Verordnung ist Eile geboten. Übereinstimmung besteht bei vielen Expertinnen und Experten, dass die Umsetzung kein Thema der IT-Abteilung alleine ist, sie betrifft das gesamte Unternehmen. Holen Sie sich Experten-Know how von außen: Unterstützung bietet unter anderem die Wirtschaftskammer und Rechtsanwälte.

Für die Analyse und die Definition der Prozesse sowie für den Test der Umsetzung ist OBJENTIS ein kompetenter Partner.