Die EU-Datenschutz-Grundverordnung

Was sich ändert – und was zu tun ist

Unternehmen aller Branchen müssen sich neuen Herausforderungen stellen, die direkt oder indirekt auf den Datenschutz einwirken: So sind neue Technologien und geänderte Kundenansprüche umfassend zu berücksichtigen, während sich gleichzeitig das von Unternehmen selbst gesammelte Datenvolumen exponentiell vergrößert. Auch erhöhen sich die gesetzlichen Anforderungen an die Datennutzungspraxis. Produkte und Dienstleistungen wie Cloud-Services oder die Auslagerung von IT-Services senken Kosten und sind weiterhin auf dem Vormarsch. Dies führt zu neuen Risiken betreffend des notwendigen Datenschutzniveaus gegenüber Kunden, Mitarbeitern und Aufsichtsbehörden. Angesichts einer zunehmend mobilen Belegschaft – virtueller Teams, die einen globalen Zugriff auf Systeme und Daten durch Laptops, Web-Portale und Smartphones rund um die Uhr fordern – sind die Risiken in der heutigen Datenlandschaft schwer definierbar und noch schwieriger zu steuern. Vor diesem Hintergrund wurde im Mai 2016 die neue Datenschutz-Grundverordnung (DSGVO) veröffentlicht, anzuwenden sind die Regelungen ab Mai 2018.

Im Rahmen der DSGVO sind Unternehmen mit der strengeren Pflichten zur Dokumentation ihrer Datenschutz-Compliance konfrontiert. So müssen Unternehmen die Einhaltung dokumentieren und auf Anfrage belegen können. Auf der prozessualen Ebene gilt es im Zuge der Implementierung oder Anpassung von Prozessen oder IT-Systemen Vorgaben der DSGVO, „Datenschutzes durch Technik“ (Data Protection By Design) oder „datenschutzfreundlichen Voreinstellungen“ (Data Protection By Default), zu berücksichtigen. Darüber hinaus sieht die DSGVO eine formalisierte Vorabbewertung (Data Protection Impact Assessment) auf IT-System-Ebene und Prozessebene vor. Dies bedeutet eine verpflichtende Erhebung und Bewertung möglicher Risiken im Zuge der Einführung neuer bzw. Änderung bestehender Prozesse oder IT-Systeme.

Kein Unternehmen wird am Thema Datenschutz in den nächsten Jahren vorbeikommen. Meldungen über Missstände im Bereich Datenschutz können für Unternehmen heute den Verlust der wirtschaftlichen Grundlage bedeuten. Ein angemessenes Datenschutzmanagementsystem unterstützt, die gesetzlichen und betrieblichen Anforderungen systematisch zu planen, organisieren, steuern und zu überwachen.

Wie können wir helfen?

• Statusaufnahme Datenschutz: Durchführung eines Datenschutz-Quick-Check zur Bestimmung des aktuellen Status bzw. des notwendigen Anpassungsbedarfs
• Sicherstellung der Datenschutz-Governance und Compliance: Erarbeitung von Datenschutzzielen sowie Festlegung des Handlungsbedarfes und eines Zeitplanes, um Rechtkonformität herzustellen. Unterstützung bei der Implementierung eines Compliance Management Systems
• Auditierung: Berichte für unternehmensinterne Gremien (z. B. Aufsichtsrat oder Geschäftsführung), Unterstützung der Internen Revision bei Sonderuntersuchungen und Prüfung der Wirksamkeit von internen Kontrollsystemen (IKS) oder Compliance Management Systemen 

Bei Fragen melden Sie sich bei Herrn Mag. (FH) Florian Mundigler, MBA, Manager Data Privacy.