So geht selbständig.

Datenschutz-Grundverordnung: So setzen Selbständige die DSGVO um

Die DSGVO schiebt dem hemmungslosen Datensammeln seit Mai 2018 einen Riegel vor. Keine Sorge: Für Kleinunternehmen und EPU hält sich der Aufwand meist in Grenzen.

Warum betrifft die Datenschutz-Grundverordnung jedes Unternehmen?

Die Bestimmungen der DSGVO regeln die Verarbeitung von personenbezogenen Daten. Das sind zum Beispiel Name, Adresse, Geburtsdatum, Bankdaten, Sozialversicherungsnummer etc.

Das bedeutet: Sobald Sie Rechnungen ausstellen, Mitarbeiterdaten verwalten, eine Kundendatei führen oder einen Newsletter versenden, verarbeiten Sie personenbezogene Daten im Sinne der DSGVO.

ACHTUNG: Nicht nur digital verarbeitete personenbezogene Daten sind von der DSGVO betroffen. Auch für händisch sortierte Ablagen, wie zum Beispiel alphabetisch sortierte Visitenkarten, gelten die Bestimmungen der DSGVO.

Was ist der Unterschied zwischen „normalen“ Daten und „sensiblen“ Daten?

Die DSGVO unterscheidet zwei Arten von Personendaten, für die unterschiedlich strenge Vorschriften gelten:

  • Sensible personenbezogene Daten sind Einträge, aus denen die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die sexuelle Orientierung hervorgehen, außerdem medizinische Daten und biometrische Daten zur eindeutigen Identifizierung einer Person.
  • Nicht sensible personenbezogene Daten sind alle Daten, die nicht in die erste Kategorie fallen. Also etwa Namen, Adresse, E-Mail-Adresse, Telefon- oder Kundennummer.

%MEDIUM-RECTANGLES%

Was muss ich laut DSGVO bei der Aufbewahrung von Daten beachten?

Die wichtigsten Grundsätze:

  • Sie dürfen personenbezogene Daten nur dann speichern, wenn es einen guten Grund dafür gibt.
  • Sie dürfen nur jene Daten einer Person speichern, die Sie unbedingt benötigen.
  • Sie müssen dafür sorgen, dass die Daten richtig sind, sie also regelmäßig aktualisieren.
  • Sie sind dafür verantwortlich, dass die Daten nicht von Unbefugten (dazu zählen u.U. auch eigene Mitarbeiter!) eingesehen oder gestohlen werden oder abhanden kommen. Dazu müssen Sie geeignete Sicherheitsvorkehrungen treffen und auch Mitarbeiter entsprechend schulen.
  • Sensible Daten dürfen nur unter ganz bestimmten Voraussetzungen gespeichert und verarbeitet werden – nämlich wenn die betroffene Person ihre ausdrückliche Einwilligung gegeben hat oder es um den Schutz eines lebenswichtigen Interesses geht. Für diese Daten gelten auch besonders strenge Sicherheitsbestimmungen.
  • Sie müssen jeder Person, die anfragt, (kostenlos) Auskunft darüber erteilen, welche Daten Sie über sie gespeichert haben und diese auf Verlangen löschen – es sei denn, Sie sind gesetzlich verpflichtet, diese Daten aufzubewahren.

Wie lange darf ich Daten speichern?

Wann und wie lange Sie Daten aufbewahren dürfen bzw. müssen ist von Fall von Fall verschieden. Ein paar Beispiele:

  • Zur Steuererklärung gehörige Daten müssen in der Regel sieben Jahre lang aufbewahrt werden.
  • Verträge, wenn die Leistung im Rahmen eines gewerblichen oder sonstigen geschäftlichen Betriebs erbracht wurden, müssen drei Jahre lang verfügbar bleiben.
  • Informationen zu einem Arbeitsverhältnis, um ein Dienstzeugnis auszustellen, müssen Sie 30 Jahre parat haben.
  • Fahrtenbücher, Lenkzeiten etc. müssen Sie zwei Jahre vorweisen können.
  • Dokumente sowie alle Belege und Aufzeichnungen betreffend Geschäftsbeziehungen und Transaktionen („Geldwäschebestimmungen“) sind für fünf Jahre aufzubewahren.

ACHTUNG: Bewahren Sie Unterlagen, die Ihr Geschäft betreffen, zumindest sieben Jahre auf, denn solange kann die Finanz im Normalfall die Vorlage aller Unterlagen, die Ihren Geschäftsverkehr betreffen, einsehen wollen.

Antworten auf die häufigsten Fragen bezüglich der Aufbewahrungsfristen und Löschung nach der DSGVO finden sich auf der Website der Wirtschaftskammer über diesen Link

Was muss ich bei der Verarbeitung der Daten beachten?

  • Sie dürfen Daten nur dann verarbeiten, wenn die betroffene Person Ihnen eine schriftliche oder mündliche Einwilligung dazu gibt.
  • An der Datenverarbeitung beteiligte Personen sind – insbesondere wenn es sich um „sensible Daten“ handelt – nachweislich auf die Sorgfalts-Pflichten hinzuweisen.
  • Wenn Sie die Verarbeitung bestimmter Daten auslagern (z.B. Lohnverrechnung, Steuerberatung, Anwaltskanzlei, Inkassobüro, Newsletter-Versand, Cloud-Dienste, etc.) müssen Sie mit dem Auftragnehmer einen Vertrag abschließen, in dem dieser sich zur Einhaltung der Datenschutz-Bestimmungen verpflichtet.

ACHTUNG: Besondere Vorsicht ist geboten, wenn die Daten außerhalb der EU oder des EWR verarbeitet werden (z.B.: Norwegen, Island und Liechtenstein). Erlaubt ist die Datenübermittlung auch in folgende Ländern: Andorra, Argentinien, Kanada, Schweiz, Färöer Inseln, Guernsey, Israel, Isle of Man, Jersey, Neuseeland und Uruguay.

Der Europäische Gerichtshof hat das EU-US Privacy Shield-Abkommen mit den USA seit dem 16. Juli 2020 für ungültig erklärt. Damit müssen für betreffende Übermittlungsmöglichkeiten und Datenverarbeitung entsprechende EU-Standardvertragsklauseln oder explizite Einwilligungen der Betroffenen vorliegen.

Wie gehe ich vor, um dem Gesetz Genüge zu tun?

Sie sind verpflichtet, ein Verfahrensverzeichnis anzulegen. Darin müssen Sie zu jeder Verarbeitungstätigkeit den Zweck, das Risiko bei Verlust der Daten, Empfängerkategorien und Ihre technisch-organisatorischen Maßnahmen zum Schutz und zur Wartung der Daten angeben. Eine Vorlage dazu finden Sie auf dem Portal der WKO.

So legen Sie ein Verfahrensverzeichnis an:

  1. Verschaffen Sie sich zunächst einen Überblick, wo in Ihrem Unternehmen personenbezogene Daten gespeichert bzw. verarbeitet werden – z.B. Buchhaltung, Lohnverrechnung, Kundenkartei, elektronisches Adressverzeichnis, Cloud-Speicher, Newsletter-Tool, ...

  2. Prüfen Sie, ob Sie die Zustimmung aller betroffenen Personen für die Verarbeitung dieser Daten haben. Legen Sie eine geeignete Dokumentation dazu an. Die Formulierung für eine Zustimmung könnte in etwa so lauten:
    „Der Vertragspartner stimmt zu, dass seine persönlichen Daten, nämlich ... (die Datenarten genau aufzählen, z.B. „Name“, „Adresse“, etc.) ... zum Zweck der ... (genaue Zweckangabe, z.B. „zur Zusendung von Werbematerial über die Produkte der Firma NN“) ... bei der Firma NN gespeichert werden. Diese Einwilligung kann jederzeit bei ... (Angabe der entsprechenden Kontaktdaten) ... widerrufen werden.“

    Zustimmungserklärungen
    zum Downloaden gibt es auf dem Portal der WKO.

  3. Schreiben Sie zu jeder Datenart, wie lange Sie diese Daten aufbewahren dürfen/müssen. Nützen Sie die Auflistung der wichtigsten Speicherfristen sowie das detaillierte Muster mit Beschreibung der WKO.

  4. Geben Sie bei jeder Datenart an, wie sie diese regelmäßig auf Richtigkeit überprüfen.

  5. Überlegen Sie sich zu jeder Datenart, wie die Daten sicher wieder gelöscht werden können. (Denken Sie dabei auch an Backups!)

  6. Stellen Sie sicher, dass Ihre Sicherheitsmaßnahmen auf dem neusten Stand sind. Das Gesetz verlangt den „aktuellen Stand der Technik“. In puncto IT Security sind das etwa eine ausreichende Zugangskontrolle inklusive Dokumentation und der Einsatz von zeitgemäßer Hard- und Software.

Was muss ich beachten, wenn ich Cloud-Dienste wie Mailing-Programme, Speicher, Kooperations-Tools u.Ä. verwende?

Sie müssen sichergehen, dass es (Compliance-) Verträge gibt, die gewährleisten, dass der Anbieter die Vorgaben der DSGVO einhält. Muster (inkl. Download) für Auftragsverarbeiter innerhalb von EU und EWR finden Sie auf dem Portal der WKO.

Gibt es so etwas wie ein "Checkliste", an die ich mich halten kann?

Ja, von der WKO gibt es einen guten Überblick, wie Sie Schritt für Schritt vorgehen.

Wie wird überprüft, ob ich die DSGVO einhalte?

Eine offizielle Überprüfung findet nur im Anlassfall statt, also wenn Sie jemand bei der Datenschutzbehörde meldet. Eine „Anzeige“ kann etwa von enttäuschten Mitarbeitern, unzufriedene Kunden, aber auch von Mitbewerbern aus dem In- und Ausland kommen. Dann meldet sich die Datenschutzbehörde beim betreffenden Unternehmen zur Prüfung an.

Auszug aus bisherige „DSGVO-Strafbescheide“ in Österreich:

  • September 2018: Wettanbieter (illegale Videoüberwachung) – 4.800,- EUR
  • November 2018: Kebab Restaurant (Unrechtmäßiger Einsatz Überw.-Kamera) – 1.500,- EUR
  • August 2019: Fußballtrainer (Filmaufnahmen in Damendusche) – 11.000,- EUR
  • Oktober 2019: Med. Allergie-Ambulatorium (Verstöße gegen die Meldepflichten und Nichtbestellung eines Datenschutzbeauftragten) – 50.000,- EUR
  • Dezember 2020: Privatperson (Patientendaten auf Facebook) – 600,- EU

Unterstützung bei der Ist-Analyse, Planung und Umsetzung der DSGVO Maßnahmen

Eine allgemeine Übersicht über die Serviceangebote der Wirtschaftskammer findet sich auf der Website der Wirtschaftskammer über diesen Link.

Im Rahmen der KMU.DIGITAL? Digitalisierungsförderung erhalten kleine und mittlere Unternehmen Zuschüsse bei der Statusanalyse und der Strategieberatung im Bereich der IT- Security. Dabei werden auch Themen wie die notwendige DSGVO-Dokumentation (zum Beispiel Verarbeitungsverzeichnisse und Auflistung der technisch organisatorischen Maßnahmen) und entsprechende Umsetzungsmaßnahmen behandelt. Weitere Informationen und eine Anleitung für die Einreichung finden sich hier.

Resümee

Die Datenschutz-Bestimmungen bringen für die meisten Unternehmen sicherlich einen gewissen Mehraufwand mit sich. Sie sind aber auch ein guter Anlass, die Struktur Ihrer Datenablage zu hinterfragen und gegebenenfalls zu optimieren.

Die Zusatzarbeit, speziell für Kleinstbetriebe, sollte überschaubar sein. Denn: Die Einwilligung für die Verarbeitung von personenbezogenen Daten müsste – unabhängig von den neuen Bestimmungen – ja bereits vorliegen. Dasselbe gilt für die sichere und technisch zeitgemäße Infrastruktur für die Datenverarbeitung. Mit der Erstellung des geforderten Verzeichnisses der Verarbeitungstätigkeiten ist also der Großteil der Aufgaben schon erledigt!

Weiterlesen: So bereiten Sie Ihren Webshop auf die DSGVO vor

Weiterlesen: Ich möchte einen Newsletter versenden – Was muss ich rechtlich beachten

Weiterlesen: Wie geeignet sind google-drive, Dropbox & Co für Ihr Business

Kommentare ( 0 )

Mehr zum Thema

Know-how für Selbständige

Die kompakten Port41-Erfolgstipps kommen jede Woche via E-Mail. Kostet nichts. Bringt viel.

Login

Passwort vergessen?

Der Link ist zu Ihnen unterwegs.

E-Mail nicht erhalten?
- Bitte sieh in deinem Spamordner nach.
- Hab noch ein bisschen Geduld. Es kann ein paar Minuten dauern, bis das E-Mail bei dir ist.

Kein Problem! Wir senden dir einen Link zu, mit dem du dein Passwort zurücksetzen können.

Ein Fehler ist aufgetreten. Wir konnten Ihnen leider keine Link zum Zurücksetzen deines Passwortes schicken.

Bitte kontrolliere deine Internetverbindung, versuchen es in einiger Zeit erneut, oder kontaktiere uns, falls das Problem weiterhin besteht.

Diese E-Mail Adresse ist uns leider nicht bekannt.

Bitten gib deine E-Mail Adresse an

Die E-Mail Adresse ist ungültig

Registrieren

Fast geschafft!

Ein Bestätigungslink an ist unterwegs. Damit kannst du deine Registrierung abschließen.

E-Mail nicht erhalten?
- Bitte sieh in deinem Spamordner nach.
- Hab noch ein bisschen Geduld. Es kann ein paar Minuten dauern, bis das E-Mail bei dir ist.

Wir haben deine Registrierung erhalten. Aber leider ist der E-Mail-Versand deiner Registrierungsbestätigung fehlgeschlagen.

Bitte kontaktiere uns unter Bitte aktiviere JavaScript damit wir dein Konto freischalten.

Registriere dich um Fragen zu stellen und Beiträge zu kommentieren – nicht zuletzt, um deine Expertise bekannt zu machen. Trage dich daher vorzugsweise unter deinem echten Namen ein.

Ein Fehler ist aufgetreten. Deine Registrierung konnte nicht gespeichert werden.

Bitte kontrolliere deine Internetverbindung, versuchen es in einiger Zeit erneut, oder kontaktiere uns, falls das Problem weiterhin besteht.

Diese E-mail-Adresse wurde bereits registriert.

Hast du dein Passwort vergessen? Klicke , um dein Passwort neu zu setzen.

(Mit * markierte Felder sind Pflichtfelder)

Bitten wähle eine Anrede aus

Bitten gib deinen Vornamen an

Bitten gib deinen Nachnamen an

Geburtsdatum

Bitten gib deine E-Mail Adresse an

Die E-Mail Adresse ist ungültig

Bitte gib ein Passwort an

Das Passwort muss mindestens 8 Zeichen lang sein und mindestens 1 Großbuchstaben, 1 Kleinbuchstaben sowie 1 Zahl enthalten

(Das Passwort muss mindestens 8 Zeichen lang sein und mindestens 1 Großbuchstaben, 1 Kleinbuchstaben sowie 1 Zahl enthalten)

Bitte akzeptiere unsere AGB und Forenregeln

Port41 Erfolgstipps

Vielen Dank für dein Interesse an den Port41 Erfolgstipps!

Ein Bestätigungslink an ist unterwegs.

E-Mail nicht erhalten?
- Bitte sieh in deinem Spamordner nach.
- Hab noch ein bisschen Geduld. Es kann ein paar Minuten dauern, bis das E-Mail bei dir ist.

Erprobtes Know-how ‐ kostenlos, jede Woche neu.

Kommentar melden

Wir legen Wert auf eine zivilisierte und produktive Gesprächsbasis.

Hier kannst du Postings melden, die deiner Meinung nach straf- oder zivilrechtliche Normen verletzen, den guten Sitten widersprechen oder dem Ansehen von Port41 schaden.

Vielen Dank für die Meldung!

Meldung des Postings von

Ein Fehler ist aufgetreten. Die Meldung konnte nicht abgesendet werden.

Bitte kontrolliere deine Internetverbindung, versuchen es in einiger Zeit erneut, oder kontaktiere uns, falls das Problem weiterhin besteht.

(Mit * markierte Felder sind Pflichtfelder)

Bitten gib deinen Namen an

Bitten gib deine E-Mail Adresse an

Die E-Mail Adresse ist ungültig

Bitten gib eine Begründung an

Die Begründung ist leider zu lang. Bitte beschränke die Begründung auf Zeichen

(Maximale Länge Zeichen) (Noch Zeichen frei) (Keine Zeichen mehr frei) ( Zeichen zu viel!)