News und Termine

25.04.2018

EU-Datenschutzgrundverordnung: Tipps für FreiberuflerInnen

Die EU-Datenschutzgrundverordnung muss von Unternehmen aller Branchen und jeder Größenordnung umgesetzt werden. Was das für FreiberuflerInnen bedeutet, war unter anderem Thema der Campus Lectures Tax Management im März.

Gabriele Bolek-Fügl /BDO Austria GmbH. © BDO/Karl Michalski

 

Am 25. Mai 2018 tritt die EU-Datenschutzgrundverordnung (DSGVO) in Kraft. Gabriele Bolek-Fügl, Senior Manager IT-Audit & IT-Advisory bei BDO Austria GmbH und Projektleiterin bei zahlreichen DSGVO Projekten, sprach in ihrem Vortrag an der FH Campus Wien darüber, was insbesondere SteuerberaterInnen, BilanzbuchhalterInnen und FreiberuflerInnen beachten müssen.

Bolek-Fügl empfiehlt, die datenschutzrechtlichen Anforderungen in die Unternehmensprozesse und IT Systeme bestmöglich zu integrieren, um zusätzliche Verwaltungskosten zu minimieren, denn die Umsetzung aller Anforderungen ist in der Regel manuell nur mit einem hohen Arbeitsaufwand zu bewältigen. Zudem gelten bei Verstößen Strafrahmen bis zu € 20 Mio. (oder 4% des weltweiten Jahresumsatzes) bei insbesondere Verletzung von Rechten betroffener Personen, Bestimmungen über den internationalen Datenverkehr, über die Grundsätze rechtmäßiger Datenverarbeitung und ein Strafrahmen bis zu € 10 Mio.(oder 2% des weltweiten Jahresumsatzes) bei Verstößen gegen Bestimmungen zu Datenschutz durch Technik, Auftragsdatenverarbeitung, „Verzeichnis von Datenverarbeitungstätigkeiten“ sowie  Datensicherheit/Folgenabschätzung.

Wichtig, so Bolek-Fügl, ist eine nachhaltige Umsetzung der DSGVO, die sich aufbauend in neun Phasen gestaltet:

Phase 0: Die Ernennung eines/einer Datenschutzbeauftragten oder, falls das Unternehmen gesetzlich keine zwingend benötigt, eines Verantwortlichen für das Thema Datenschutz.
Phase 1: Die Erstellung des Verarbeitungsverzeichnisses als Grundlage für das Umsetzungsprojekt
Phase 2: Erhebung der Rechtsgrundlage für jede Datenverarbeitung im Verarbeitungsverzeichnis (siehe Phase 1)
Phase 3: Durchführung der Datenflussanalyse, um interne Datenflüsse zwischen Abteilungen sowie Unternehmensschwestern zu dokumentieren und internationalen Datenverkehr in Drittländer zu identifizieren
Phase 4: Erstellung einer Risikoprüfung für alle Datenverarbeitungen und bei Identifizierung eines hohen Risikos Durchführung einer Datenschutzfolgeabschätzung (DSFA)
Phase 5: In Abhängigkeit von der Höhe des Risikos Implementierung von Datensicherheitsmaßnahmen in technischer und organisatorischer Hinsicht
Phase 6: Prüfung, ob die Betroffenenrechte (Informations-, Auskunfts- und Berichtigungspflicht, Datenportabilität und Recht auf Einschränkung) zuverlässig und zeitnah erfüllt werden können
Phase 7: Erstellung eines umfassenden Data Breach-Konzeptes. Wichtig: Im Falle eines Vorfalles ist eine umgehende Reaktion notwendig!
Phase 8: es gilt eine Rechenschaftspflicht gegenüber der Datenschutzbehörde. Daher empfiehlt sich die Dokumentation aller Maßnahmen in der Datenschutz-Policy. Dies umfasst alle geeignete technische und organisatorische Maßnahmen die sicherstellen und belegen, dass die DSGVO eingehalten wird.

Zusammenfassend die wichtigsten to do’s laut Bolek-Fügl, die es zu klären oder berücksichtigen gilt, um die Umsetzung zu erleichtern:

  • Ist die Meldung eines Datenschutzbeauftragten notwendig?
  • Ermittlung der Datenanwendungen und Befüllung des Verzeichnisses von Datenverarbeitungstätigkeiten
  • Prüfung der Rechtsgrundlage für alle verzeichneten Datenanwendungen
  • Wurden alle Verträge mit den AuftragnehmerInnen/-geberInnen auf Datenschutzkonformität beurteilt?
  • Definition eines angemessenen Prozesses zur Beurteilung von Risiken
  • Wurden bei allen Datenanwendungen die Risiken identifiziert und angemessene Sicherheitsmaßnahmen (TOMs) implementiert?
  • Können die Betroffenenrechte erfüllt werden?
  • Werden die Betroffenen ausreichend und proaktiv bezüglich ihrer Datenverarbeitung informiert?
  • Wurde ein Löschkonzept implementiert?
  • Kann der Rechenschaftspflicht gegenüber der Behörde nachgekommen werden (Policy)?