Die Zeit läuft…. ab 25. Mai 2018 gilt die neue Datenschutz – Grundverordnung.

Diese gilt für alle Unternehmen, die personenbezogene Daten verarbeiten.

Was sind personenbezogene Daten?

Grundsätzlich sind dies alle Daten, die sich einer bestimmten oder bestimmbaren natürlichen Person zuordnen lassen:
z.B. Name, Geburtsdatum und Alter, Geburtsort, Anschrift, E-Mail-Adresse, Telefonnummer, Sozialversicherungsnummer, Steuernummer, Bankdaten, aber auch Gesundheitsdaten, Fotos oder physische Merkmale.

Somit verarbeiten bereits Kleinunternehmer durch die Auftragsannahme und bei Rechnungslegung personenbezogene Daten.

Welche Pflichten und Maßnahmen sind zu treffen?

Die wichtigsten sind meiner Meinung nach:

  1. Führen eines Verarbeitungsverzeichnisses / Dokumentationspflicht
    Gem. Art 30 DSGVO hat das Verarbeitungsverzeichnis folgendes zu enthalten:
    Namen und Kontaktdaten des Verantwortlichen
    • Zwecke der Verarbeitung der Daten (z.B. Auftrag, Vertrag, Rechnungslegung)
    • Beschreibung der Kategorien betroffener Personen (z.B. Kunden)
    • Beschreibung der Kategorie der personenbezogenen Daten (z.B. Name, Adresse, …)
    • Kategorie von Empfängern der Daten (z.B. Steuerberater, Sub-Unternehmer, Rechtsanwalt)
    • die vorgesehene Frist für die Löschung der Daten (sollte so kurz wie möglich sein)
    • Allgemeine Beschreibung der technischen u. organisatorischen Sicherheitsmaßnahmen (was passiert wenn Ausfall der Systeme, Verschlüsselung,..)
  2. Informationsverpflichtungen/Datenschutzerklärungen gegenüber Mitarbeitern, Kunden und Geschäftspartnern
    eventuell ist eine Einholung von Einwilligungen erforderlich (bei Verarbeitung sensibler Daten – z.B. Krankengeschichte);
    auch bei Versendung von Newslettern sind bestimmte Regelungen zu beachten
  3. Vertragliche Absicherung gegenüber Auftragsverarbeitern
    Beispiel: es werden externe IT-Dienstleister beauftragt und diese kommen mit personenbezogenen Daten in Kontakt
  4. Rechte der betroffenen Personen beachten
    Recht auf Berichtigung, Löschung und Einschränkung der Daten können die betroffenen Personen beantragen
  5. Datensicherheitsmaßnahmen
    Durch technische und organisatorische Maßnahmen muss sichergestellt werden, dass die Daten bestmöglich geschützt sind.

Welche Strafen gibt es bei Nichtbeachtung?
Unternehmen, die diese Regeln nicht einhalten, drohen Strafen bis zu 20 Millionen Euro oder vier Prozent des gesamten weltweit erzielten Jahresumsatzes des vorherigen Geschäftsjahres (der höhere Wert gilt).

Die Wirtschaftskammer stellt viele Informationen sowie Musterdokumente auf Ihrer Homepage zur Verfügung.