DSGVO - Das Verfahrensverzeichnis
Nur noch 105 Tage bis die Datenschutzgrundverordnung (DSGVO) am 25. Mai in Kraft tritt. (Bild: Fotolia)

Kolumne von Gert Natiesta: Die DSGVO geht uns alle was an

Das Verfahrensverzeichnis – die wichtigste Dokumentation

Die Datenschutzgrundverordnung (DSGVO) ist in aller Munde. Kein Wunder! Heute sind es noch exakt 105 Tage, also etwas mehr als drei Monate, bis die Verordnung am 25.5.2018 in Kraft tritt. Gemeinsam mit dem i-Magazin bringe ich Ihnen die DSGVO näher und freue mich, Sie bei einem meiner Workshops zu begrüßen.

Mit dem Start der Datenschutzgrundverordnung tritt ein Paradigmenwechsel ein: weniger Staat, mehr Selbstverantwortung. Oder etwas praxisnaher: Der Staat verlagert die Ressourcen auf seine Untertanen und bestraft, wenn diese sich selbst falsch einschätzen.

Die freudige Tatsache, dass ab dem 25. Mai 2018 keine Meldung mehr an das Datenverzeichnisregister gemacht werden muss bzw. kann, wird durch die Tatsache, dass die Erstellung und Wartung der Dokumentation jetzt in eigener Hand liegt, etwas verringert. Zumal bei Nichtführung des Verfahrensverzeichnisses ein Strafausmaß von bis zu 10 Mio € oder 2 % des weltweiten Umsatzes wie das Damoklesschwert über einem hängt. Bisher war die höchste vergebene Strafe im Bereich Datenschutz kleiner als 2.000 €.

In Artikel 30 DSGVO ist klar geregelt, was zu dokumentieren ist. Für alle Datenwendungen, bei denen personenbezogene Daten verarbeitet werden, ist ein Verzeichnis anzulegen, das zumindest folgende Informationen enthält:

Zuerst einmal die Stammdaten mit Namen des Verantwortlichen, dessen Stellvertreter und gegebenenfalls des Datenschutzbeauftragten (siehe meine letzte Kolumne).

Danach die Zwecke der Verarbeitung, die Kategorien der Daten und die möglichen Empfänger dieser Daten. Dabei ist festzuhalten, ob sich die Empfänger in Drittländern, also außerhalb der EU, befinden – für Elektrotechniker in der Regel eine untergeordnete Thematik.

Anders sieht es mit der Angabe der Löschfristen aus: Sobald ein Datensatz nicht mehr in Verwendung ist, muss er im Sinne der Datenminimalisierung gelöscht werden. Hier können unterschiedliche Fristen zum Einsatz kommen: Während die Bewerbungsunterlagen eines nicht zum Zuge gekommenen Lehrlings maximal 6 Monate und 1 Tag aufbewahrt werden dürfen, ist es mit entsprechenden Verweis auf mögliche Haftungen gerechtfertigt, Projektunterlagen bis zu 30 Jahre aufzubewahren.

Nicht unerwähnt bleiben soll die Auflistung der »Technisch Organisatorischen Maßnahmen« (TOM), die umgesetzt werden, um die auf Unternehmensgröße angepasste Datensicherheit auf dem optimalen Schutzlevel zu halten. Dabei werden allgemeine Maßnahmen wie Antivirenschutz, Firewall, Spiegelung der Festplatten und das gewählte Backupsystem genauso erfasst wie jene TOMs, die pro Applikation eingesetzt sind, also Logins, Passwörter, Zweifachauthentifizierung und mitschreibende Logfiles.

Die DSGVO enthält keine Formalvorschriften. Jeder kann sein Verzeichnis beliebig aufbauen und gestalten. Wenn Sie sich weder mit dem Aufbau noch mit dem grundlegenden Inhalt des Verzeichnisses intensiv beschäftigen wollen, freue ich mich, Sie bei einem meiner Workshops zu begrüßen.

Noch so nebenbei…

Die erstellte Dokumentation dient ausschließlich zur Vorlage vor der Datenschutzbehörde und steht keinen Betroffenen zu Verfügung. Die in Deutschland oft gemachte Unterscheidung zwischen öffentlichen und internen Verfahrensverzeichnis – unsere gründlichen Nachbarn haben eine Zeit lang zwei Verzeichnisse geführt – gibt es in Österreich nicht.

Fazit:

Es ist jedem Unternehmen dringend anzuraten, ein Verfahrensverzeichnis zu erstellen. Abgesehen von der gesetzlichen Verpflichtung und den angedrohten Strafen bei Nichtführung, ist es eine gute Gelegenheit, die firmeninterne IT-Struktur näher zu beleuchten und auch im Sinne des Unternehmens Schutzmaßnahmen zu überprüfen oder zu verbessern.

Lesen Sie das nächste Mal: Die Akteure der DSGVO

Ab Ende Februar 2018 finden österreichweit Praxisworkshops zum Thema Datenschutzgrundverordnung statt. Nach einem Vortrag – Leser dieser Newsletterserie sind dabei im Vorteil – werden die notwendigen Dokumente erstellt. Auf Basis eines webbasierenden Tools adaptieren Sie speziell für die Elektrobranche vorbereitete Unterlagen ­– das spart Zeit! Sowohl der Vortrag als auch der Praxisteil orientieren sich stark an den Erkenntnissen und Empfehlungen der WKO, die als gewichtiger Partner der Wirtschaft schon einiges gemeinsam mit der Datenschutzbehörde ausgearbeitet hat. Anmeldungen zu dieser ersten Workshoprunde nehmen die e-marke oder der KFE gerne entgegen.

 

Die Termine und Orte:

südl. NÖ / Burgenland 26.02.2018

Hotel Restaurant Schwartz,

Bahnstr. 70, 2624 Neusiedl am Steinfeld

Wien 28.02.2018

Gewerbehaus,

Rudolf Sallinger Pl. 1, 1030 Wien

OÖ / nördl. Burgenland 01.03.2018

Stadthotel Gürtler,

Rathausstraße 13, 3300 Amstetten

Steiermark 07.03.2018

Hügellandhof,

Schemerlhöhe 58, 8076 Vasoldsberg / Abfahrt Laßnitzhöhe

Tirol / Vorarlberg 13.03.2018

WK Tirol,

Wilhelm-Greil Str. 7, 6021 Innsbruck

Wien 21.03.2018

Gewerbehaus,

Rudolf Sallinger Pl. 1, 1030 Wien

 

GNU Gert Natiesta Unternehmensberatung
Inhaber DI Mag Gert Natiesta
geprüfter Datenschutzexperte
Rudolf Waisenhorngasse 61
1230 Wien Österreich
Handy: +43 676 606638
E-Mail: g.natiesta@gnu.co.at