Neue Datenschutz-Verordnung: Erheben Sie nur die Daten, die Sie wirklich brauchen

Die datenschutzrechtlichen Voreinstellungen sind vorwiegend für Softwareanwendungen und sollen sicherstellen, dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich sind, verarbeitet werden. Privacy by Design/Privacy by Default.

Im Sinne der Datensparsamkeit dürfen nur solche Daten erhoben werden, die zur Erbringung des Dienstes wirklich benötigt werden. Cookies sind dabei sehr gefährdet und sammeln mehr an Information als zwingend nötig.

Sobald ein weiteres Unternehmen oder eine natürliche Person etc. beauftragt wird, um von Ihnen erhobene personenbezoge Daten zu verarbeiten, muss der Verantwortliche des Unternehmens sicherstellen, dass geeignete technische und organisatorische Maßnahmen durchgeführt werden, damit die Verarbeitung im Einklang mit der DSGVO steht. Dies hat auf der Grundlage eines Vertrages mit dem Auftragsverarbeiter zu erfolgen.

Verschiedene Behörden bieten Musterverträge hierzu an. Beispiele sind die Lohnverrechnung bei einem externen Unternehmen, Kunden und Ladelisten an Logistikunternehmen oder Buchungen mittels Datenträger. Sie werden zum Auftragsverarbeiter, sobald diese Adressmaterial von Baudatenbanken zukaufen.

Dienstleister müssen sensibilisiert werden

Beim Arbeiten mit Montagefirmen oder externen Gutachtern müssen personenbezogene Daten weitergegeben werden. Dies ist mit der Regelung zur Erfüllung des Vertrages festgehalten.

Dennoch sind die Dienstleister auf Datenschutzrichtlinien hinzuweisen und die Prozesse zu dokumentieren. Auf Kundenseite kann dies im Einzelfall je Auftrag geregelt werden oder über die Allgemeinen Geschäftsbedingungen.

Deklarieren Sie einen Beauftragten für die Datensicherheit

Die Meldepflicht besteht für alle, die eine Verletzung des Schutzes personenbezogener Daten feststellen. Dies ist unverzüglich und möglichst binnen 72 Stunden, nachdem die Verletzung bekannt wurde, der zuständigen Aufsichtsbehörde des Verantwortlichen zu melden.

Dies bedeutet, dass jeder Verantwortliche und dessen Vertreter im Vorfeld einen Prozess oder ein Muster für die Meldung und die zuständige Person bestimmen sollte. Mindestinhalte der Meldung sind in Art 33 Abs. 3 DSGVO geregelt.

Bis zum vollständigen Inkrafttreten der DSGVO sind es nur noch wenige Tage. Nominieren Sie eine zuständige Person (intern/extern) für die Anpassung an die DSGVO. Erheben Sie den Status Quo und analysieren Sie den Anpassungsbedarf.

Darauf aufbauend wird der Maßnahmenplan für den identifizierten Anpassungsbedarf erstellt. Nutzen Sie Checklisten der Interessensvertretungen und Kammern, ebenso die Musterverträge der Behörden.

Der Autor: Harald Hochstaffl war von 2010 bis 2016 GF des Softwarehauses 3E und zudem verantwortlich für das Stammdatenmanagement.