Bocking 13
6306 Söll / Austria

T: +43 512 250025
F: +43 512 219921 7770

office@it-networks.euwww.it-networks.eu

EDV

EDV

IT-Lösungen Schnelle Reaktionszeit, Top-Service, 24 h Hotline, und vieles mehr! Erfahren Sie mehr

Hotline: Tel.: +43 512 250025 / E-mail: hotline@it-networks.eu

FernwartungTicket

EU-DSGVO: Die Zeit tickt ...

Bereits am 14.04.2016 wurde im Europäischen Parlament die Datenschutz-Grundverordnung beschlossen. Mit dieser Verordnung wurden die Regeln für die Verarbeitung personenbezogener Daten, die Betroffenenrechte, sowie die Pflichten der Verantwortlichen in der EU vereinheitlicht. Die Bestimmungen dieser EU Datenschutz-Grundvereinbarung gelten ab 25.05.2018. Jedes Unternehmen, dass personenbezogene Daten verarbeitet (z.B. Fakturierung, Kunden- oder Lieferantenkartei, Personaldaten, etc.), muss bis dahin sämtliche Prozesse an die neue Rechtslage anpassen.

Erhebung des Status Quo

Zu allererst sollte man den Ist-Zustand analysieren. Welche personenbezogenen Daten werden verarbeitet, und welche Anwendungen auf meinen Systemen verarbeiten solche Daten? Werden auf der Website personenbezogene Daten erhoben? Zu welchem Zweck finden meine Datenverarbeitungen statt? Welche Rechtsgrundlage existiert? Gibt es eine Einwilligung des/der jeweiligen Betroffenen? Werden sensible Daten verarbeitet, oder werden Kindern Dienste der Informationsgesellschaft angeboten?

Ebenso werden schrifitliche Vereinbarungen für die Auftragsverarbeitung notwendig. Auftragsverarbeiter sind z.B. Lieferanten, welche für Sie direkt Lieferungen an den Endkunden tätigen. Ebenso ein Steuerberater oder Lohnverrechner, welcher für Sie als Dienstleister tätig ist. Welche Auftragsverarbeiter haben Sie bzw. können Sie sich sicher sein, dass diese die EU-DSGVO einhalten?

Wie werden personenbezogene Daten geschützt?

In der EU-DSGVO ist die Datensicherheit bei der Verarbeitung von personenbezogenen Daten ein wichtiges Thema. Hierbei geht es nicht nur um die Welt der Informationstechnologie, sondern auch um Ordner mit personenbezogenen Daten, welche ich in Schränken habe. Sind diese momentan frei zugänglich? Werden Mitarbeiter in Sachen Datenschutz sensibilisiert oder geschult? Hier sind technische und organisatorische Maßnahmen, sogenannte TOMs gefordert.

Datensicherheitsmaßnahmen

Im Österreichischen Datenschutz-Anpassungsgesetz werden im § 54 Datensicherheitsmaßnahmen definiert welche besagen, dass der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu treffen haben, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Sicherheitsmaßnahmen bzw. Umsetzung

Sicherheitsmaßnahme Umsetzung des Verantwortlichen Beispiele
Zugangskontrolle Verwehrung des Zugangs zu Verarbeitungsanlagen, mit denen die Verarbeitung durchgeführt wird, für Unbefugte Serverraum versperrt, ebenso Laptops bei Nichtgebrauch. Zutritt nur für Berechtigte möglich
Datenträgerkontrolle Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern Sicherungsbänder verwahren, ein zentraler Datenträger, auf dem die Daten gespeichert werden
Speicherkontrolle Verhinderung der unbefugten Eingabe von personenbezogenen Daten sowie der unbefugten Kenntnisnahme, Veränderung und Löschung von gespeicherten personenbezogenen Daten Der Admistrator erstellt ein Berechtigungskonzept für die verschiedenen Benutzer, wobei der Zugriff nur auf das Notwendigste beschränkt wird
Benutzerkontrolle Verhinderung der Nutzung automatisierter Verarbeitungssysteme mit Hilfe von Einrichtungen zur Datenübertragung durch Unbefugte Der Admistrator erstellt ein Berechtigungskonzept für die verschiedenen Benutzer, wobei der Zugriff nur auf das Notwendigste beschränkt wird
Zugriffskontrolle Gewährleistung, dass die zur Benutzung eines automatisierten Verarbeitungssystems Berechtigten ausschließlich zu den ihrer Zugangsberechtigung unterliegenden personenbezogenen Daten Zugang haben Benutzerkonten mit einer entsprechenden Policy, welche die Passwortkomplexität, sowie deren Gültigkeitsdauer regelt. Anzahl der Administratorkonten auf das "Notwendigste" reduzieren
Übertragungskontrolle Gewährleistung, dass überprüft und festgestellt werden kann, an welche Stellen personenbezogene Daten mit Hilfe von Einrichtungen zur Datenübertragung übermittelt oder zur Verfügung gestellt wurden oder werden können Datenübertragung nur an Empfänger, welche zum Erhalt der Daten berechtigt sind. Z.B. Auftragsverarbeiter wie Steuerberater, Lohnverrechner, etc.
Eingabekontrolle Gewährleistung, dass nachträglich überprüft und festgestellt werden kann, welche personenbezogenen Daten zu welcher Zeit und von wem in automatisierte Verarbeitungssysteme eingegeben worden sind Protokollierung, wer auf welche Daten wann zugegriffen hat. Kann z.B. durch Versionisierung umgesetzt werden. Ebenso können das die meisten rechtssicheren Emailarchive
Transportkontrolle Verhinderung, dass bei der Übermittlung personenbezogener Daten sowie beim Transport von Datenträgern die Daten unbefugt gelesen, kopiert, verändert oder gelöscht werden können Genaue Dienstanweisung, wie mit den Daten bei Transport durch externe Festplatten, USB-Sticks oder mobile Endgeräte (Laptop, Smartphones, Tablets) umgegangen wird. Wird ein Gerät defekt oder bedarf es einen Service, muss sichergestellt werden, dass die Daten vom Auftragsverarbeiter vertraulich behandelt werden
Wiederherstellung Gewährleistung, dass eingesetzte Systeme im Störungsfall wiederhergestellt werden können Zuverlässige und mindestens tägliche Datensicherung mit periodischen Tests auf Wiederherstellbarkeit
Datenintegrität Gewährleistung, dass alle Funktionen des Systems zur Verfügung stehen, auftretende Fehlfunktionen gemeldet werden (Zuverlässigkeit) und gespeicherte personenbezogene Daten nicht durch Fehlfunktionen des Systems beschädigt werden können Hardware-Firewall, Software-Firewall, Intrusion-Dedection-Systeme, zuverlässiger Virenschutz, Betriebssystem- sowie Programmupdates

Strafen / Bußgelder / Sanktionen (Art. 77 - 84)

Je nach den verschiedenen Bereichen gelten Bußgelder bis zu 20 Mio. EUR oder 4% des weltweiten Konzernumsatzes, jeweils das was höher ist, als Maximalstrafe. Wie und in welchem Umfang diese Strafen angewendet werden, wird die Praxis zeigen. Aus den europaweit ausgesprochenen Strafen wird sich eine Art Bußgeldkatalog entwickeln. Auch wenn nicht immer gleich mit der Höchststrafe zu rechnen ist, steht in der DSGVO zu den Bußgeldern: "Jede Aufsichtsbehörde stellt sicher, dass ... Geldbußen ... in jedem Einzelfall wirksam, verhältnismäßig und abschreckend" sind.

Resümee

Die EU-DSGVO wird ab 25.05.2018 in allen Mitgliederstaaten der Europäischen Union in Kraft treten. Wir kommen also nicht drum herum, uns mit diesem Thema zu befassen. Andernfalls werden empfindliche Strafen drohen. Dieser Artkel behinhaltet längst nicht alles, um die neue DSGVO zu verstehen oder korrekt umzusetzen. Es wird auf jeden Fall empfohlen, eine entsprechende Beratung einzuholen. Es gibt noch unzählige Themen wie Löschfristen, Privacy by Default, Privacy by Design, Einwilligungen von Betroffenen, Verträge mit Auftragsverarbeitern, Mitarbeiteranweisungen u.v.m., welche Beachtung finden müssen.

Gerne unterstützen wir Sie bei der Umsetzung und freuen uns auf Ihre Kontaktaufnahme.