Skip to main content

Jedes Unternehmen sollte sich auf die DSGVO vorbereiten, doch nicht jedes Unternehmen muss sich gleich intensiv vorbereiten. Nicht alle Arbeiten sind schon vor dem 25. Mai zu erledigen, und nicht alle Arbeiten müssen überhaupt zwingend durchgeführt werden.

Entscheidend ist, dass die Umsetzung eines DSGVO-Projekts der konkreten Situation und Gefährdungslage im Unternehmen gerecht wird - also angemessen erfolgt. 

Drei Ziele sollten verfolgt werden: (1) einen raschen Überblick erhalten, (2) die Herausforderung kostenschonend meistern, (3) den Output des Projekts in einem kurzen Zeitablauf optimieren.

Geht man ein DSGVO-Projekt zielgerichtet, strukturiert und systematisch an und setzt geeignete Tools und Vorlagen ein, dann kann man, ohne in Aktionismus zu verfallen und ohne die Mitarbeiter völlig zu überfordern, die Herausforderung der DSGVO rasch meistern, das Risiko von Strafzahlungen minimieren und ein gutes Maß an Legal Compliance erreichen.

Sourcing International unterstützt dabei, einen guten Überblick über die 10 wichtigsten DSGVO-To-Dos zu erhalten, zeigt, wie man ein DSGVO-Projekt in 3 Phasen angemessen aufsetzt und wie man die einzelnen Herausforderungen in 24 Arbeitspaketen vernünftig strukturiert. Leitfäden und Infografik, Vorlagen, Templates und Online-Tools helfen dabei, rasch einen angemessenen DSGVO-Status zu erlangen.

Mit der Sourcing-International-Methode in kurzer Zeit DSGVO-Readiness garantiert.

Phasen und Methode

Die Phasen 1 und 2 werden jeweils nach der bewährten PDCA-Methode durchgeführt:

PLAN 

Planung des Vorgehens

DO

Umsetzungshandlungen

CHECK

GAP-Analyse oder Wirksamkeitsanalyse

ACT

Einführung in der Breite und regelmässige Überprüfung

Die 20 Wichtigsten Fragen und Antworten

Kurz gesagt ist die DSGVO von allen natürlichen und Rechtspersonen zu befolgen, die personenbezogene Daten automatisiert verarbeiten. Im Detail: Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen (Art. 2, Abs. 1 DSGVO). Um ein ernsthaftes Risiko einer Umgehung der Vorschriften zu vermeiden, sollte der Schutz natürlicher Personen technologieneutral sein und nicht von den verwendeten Techniken abhängen (Erwägungsgrund 15 DSGVO).

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 4, Abs. 1 DSGVO). Es macht dabei keinen Unterschied, ob die Daten selbst zusätzlich als schutzwürdig, schutzbedürftig oder sensibel einzustufen sind. Daten von Rechtspersonen werden durch die DSGVO nicht geschützt. Zur Klarstellung: Die DSGVO gilt explizit nicht für die Verarbeitung von personenbezogenen Daten durch natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten. Wenngleich sich diese 20 Fragen und Antworten auf den privatwirtschaftlichen Sektor beziehen, sollte dennoch erwähnt werden, dass die DSGVO nicht ausschließlich für den privatwirtschaftlichen Sektor gilt.

Die DSGVO gilt auch für pseudonymisierte Daten (Art. 4, Nr. 5 DSGVO), da diese auch als personenbezogene Daten gelten (Erwägungsgrund 26 DSGVO). Die einzige Art von personenbezogenen Daten, auf die die DSGVO keine Anwendung findet, sind anonymisierte Daten (Art. 2, Abs. 1; Erwägungsgrund 26 DSGVO). Ob verschlüsselte Daten anonymisiert oder lediglich pseudonymisiert sind, kann nicht pauschal für alle Daten bestimmt werden, da die Antwort von der spezifischen Form der Verschlüsselung abhängt und davon, ob es einen Schlüssel zur Entschlüsselung gibt und wer darauf Zugriff hat.

Nichtsdestotrotz gelten Pseudonymisierung und Verschlüsselung als Methoden zur Verringerung des Risikos von Datenverarbeitung, und ihre Anwendung wird, soweit angebracht, gutgeheißen (Erwägungsgrund 83; Art. 6, Abs. 4, Unterabs. e; Art. 32, Abs. 1, Unterabs. a; Art. 34, Abs. 3, Unterabs. a DSGVO).

Die DSGVO gilt auch für Backup-Daten und archivierte Daten. Die Verordnung sieht keine Ausnahmen bezüglich ihres Anwendungsbereichs für archivierte oder Backup-Daten vor.

Die DSGVO ist von privatwirtschaftlichen Unternehmen zu befolgen (vgl. Antwort 1), sofern diese innerhalb der EU personenbezogene Daten automatisiert verarbeiten. Genau gesagt ist die DSGVO zu befolgen, wenn die Verarbeitung im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der EU erfolgt, unabhängig davon, ob die Verarbeitung in der EU stattfindet (Art. 3, Abs. 1 DSGVO). Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der EU befinden, durch einen nicht in der EU niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht,

  1. betroffenen Personen in der EU Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist;
  2. das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der EU erfolgt. (Art. 3, Abs. 2 DSGVO)

Obwohl die DSGVO nur die EU-Mitgliedsstaaten erwähnt, sind die Länder des EWR, die nicht EU-Mitgliedsstaaten sind, ebenfalls verpflichtet, die DSGVO als Bedingung für ihre Teilnahme am EWR anzuwenden.

Die DSGVO hebt derzeit geltende Prinzipien für die Verarbeitung personenbezogener Daten nicht auf. Insbesondere behält die DSGVO die vier elementaren Prinzipien der bisher gültigen Direktive 95/46/EC bei:

  1. Verbot der Verarbeitung ohne Einwilligung der betroffenen Person oder Vorliegen eines anderen Rechtegrundes (“”Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist: ...””) (Art. 6, Abs. 1 DSGVO). Dies bedeutet ein grundsätzliches Verbot der Verarbeitung, solange diese nicht autorisiert ist. 
  2. Zweckbindung (Art. 6, Abs. 4; Art. 5, Abs. 1, Unterabs. b DSGVO);
  3. Transparenz (Art. 13 & 14 DSGVO);
  4. Rechte der betroffenen Personen (Art. 15 ff. DSGVO).

Im Vergleich zur Direktive 95/46/EC sieht die DSGVO mehr Verpflichtungen für Datenverantwortliche und Auftragsverarbeiter in Bezug auf die Dokumentation der Erfüllung der Vorgaben der DSGVO durch organisatorische Maßnahmen vor sowie Veränderungen im räumlichen Anwendungsbereich der EU-Datenschutzvorgaben. Insbesondere: Räumlicher Anwendungsbereich (Art. 3 DSGVO), Rechenschaftspflicht (Art. 5, Abs. 2 DSGVO), Verpflichtungen von Datenverantwortlichen betreffend die Rechte der betroffenen Personen (Art. 12 DSGVO), Verpflichtung des Datenverantwortlichen zu organisatorischen Maßnahmen (Art. 24 DSGVO), Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen (Art. 25 DSGVO) (in Kombination mit “”Datenminimierung”” (Art. 5, Abs. 1, Unterabs. c DSGVO)), Meldepflicht bei Datenschutzverletzungen (Art. 33 & 34 DSGVO), Datenschutz-Folgenabschätzung (Art. 35 DSGVO), Konsultation mit Aufsichtsbehörden (Art. 36 DSGVO) und, unter bestimmten Umständen, Benennung eines Datenschutzbeauftragten (Art. 37 ff. DSGVO), Geldbußen (Art. 83 DSGVO) sowie gemeinsame Haftung durch Datenverantwortlichen und Auftragsverarbeiter lt. Art. 82 DSGVO. Dies bedeutet in Summe, dass der fundamental neue Aspekt der DSGVO das Prinzip der umfassenden Verpflichtung zu Dokumentation und Einhaltung des Datenschutzes beim Datenverantwortlichen (Unternehmen) ist.

To browse the entire content, download the full "GPDR: The 20 Most Important Questions and Answers" publication.

Anfrage für Publikationen

Dr. Tobias Höllwarth ist zertifiziert von Austrian Standards (EU-DSGVO Datenschutzbeauftragter)

Kontakt

Formular [DE]

Details