Abonnieren Sie mit dem nachfolgenden Formular unseren Newsletter und erhalten Sie noch heute ein vollständiges Muster zur Erstellung eines Betriebsübergabebogens inkl. wertvoller Zusatzinformationen.
Die nachfolgenden Erklärungen basieren auf diesem Beispiel.
Da wir die grundlegenden Begriffe definiert haben, können wir jetzt zum eigentlichen Thema übergehen: Datenschutzverletzungen in Ihrem Unternehmen.
E-Mails werden oft als Mittel zur Übertragung von personenbezogenen Daten (Datenverarbeitung) verwendet. Im Rahmen der Übertragung per E-Mail gibt es einige riskante Themen, wir werden uns aber auf ein Problem fokussieren, welches Sie sofort und ohne zusätzliche Kosten beheben können, und zwar auf den offenen Mailverkehr. Von einem offenen Mailverkehr spricht man, wenn ein E-Mail für mehrere Empfänger bestimmt ist und diesen bekannt wird, welchen Personen dieses E-Mail noch zugestellt wurde. Problematisch hierbei ist, dass E-Mail-Adressen oft den Vor- und Nachnamen beinhalten, und ein Name zählt zu den personenbezogenen Daten. Eine Datenschutzverletzung bei mehreren Empfängern kann jedoch einfach umgangen werden, indem die Funktion „BCC“ statt den Funktionen „An“ und „CC“ verwendet wird.
Mittlerweile verfügt ein Großteil der heimischen Unternehmen über eine eigene Anlage zur Videoüberwachung. Diese ist grundsätzlich unproblematisch, wenn entsprechende Maßnahmen umgesetzt werden, welche Eingriffe in die Rechte der Betroffenen verhindern. Ein Großteil der Maßnahmen betrifft Inhalte, die auf den Aufnahmen zu erkennen sind, Löschkonzepte und eingeschränkte Zugriffsmöglichkeiten der Mitarbeiter. Wir werden in diesem Beitrag erneut auf eine Maßnahme eingehen, die Sie schnell und kostengünstig umsetzen können, und zwar die Kennzeichnungspflicht.
Folgende Informationen müssen gemäß Art. 13 DSGVO in Verbindung mit § 12 und § 13 DSG (in Österreich) und § 4 BDSG (in Deutschland) jedenfalls vorliegen:
Die Sensibilisierung und Aufklärung von Mitarbeitern ist in Anbetracht der Kosten eines Data Breach immer noch vergleichsweise günstig.
Die DSGVO ist kein neues Thema, weshalb es bereits auch einige Statistiken in Bezug auf Datenschutzverletzungen gibt. Überwiegend kommen diese Statistiken zum selben Ergebnis:
Die eigenen Mitarbeiter sind die größte Gefahrenquelle sowohl für Ihre Daten als auch für die Daten Ihrer Kunden.
Mitarbeiter müssen beispielsweise darüber informiert werden, dass personenbezogene Daten, die versehentlich an den falschen Empfänger geraten (versehentliche Datenlecks), eine Datenschutzverletzung darstellen. Als solche darf sie nicht ignoriert werden, es müssen umgehend Maßnahmen gesetzt werden.
Weitere Risiken sind:
Einige dieser Probleme werden höchstwahrscheinlich in Ihrem Unternehmen regelmäßig auftreten, wenn Mitarbeiter nicht sensibilisiert werden.
Am einfachsten können Sie diese Risiken durch jährliche Schulungen und interne Datenschutz-Richtlinien minimieren.
„Wir versenden aber keine personenbezogenen Daten über WhatsApp. Die App nutzen wir lediglich privat.“ Auch wenn WhatsApp ausschließlich privat von Mitarbeitern genutzt wird, kann das ein Problem sein, wenn Mitarbeiter das private Smartphone auch zur Kommunikation mit Kunden verwenden oder wenn WhatsApp auf dem Firmenhandy benutzt wird.
Das Problem liegt darin, dass WhatsApp einen Zugriff auf das Adressbuch hat und somit auch auf personenbezogene Daten (Name und Telefonnummer) zugreifen kann.
Dieses Hindernis können Sie selbstverständlich umgehen, indem Sie auf die Benutzung von WhatsApp verzichten. Eine weitere Möglichkeit ist allerdings ein Daten-Container auf dem Smartphone. Solche Daten-Container sind geschützte Bereiche, die Firmendaten trennen und so eine Synchronisation von diesen Daten mit Apps wie WhatsApp verhindern können.
Grundsätzlich müssen personenbezogene Daten gelöscht werden, wenn sie für den Zweck, für den sie verarbeitet wurden, nicht länger notwendig sind, weshalb ein Löschkonzept im Unternehmen absolut notwendig ist. ACHTUNG: Es gibt gesetzliche Aufbewahrungsfristen wie z. B. § 132 BAO (Österreich) oder § 147 AO (Deutschland), die eine längere Aufbewahrungsfrist vorsehen, auch wenn der Zweck der Verarbeitung nicht länger gegeben ist.
Die Löschung betrifft nicht ausschließlich digitale Daten, sondern auch physische Aktenordner, die nicht nach eigener Einschätzung entsorgt werden dürfen. Für personenbezogene Daten gilt immer mindestens die Sicherheitsstufe 3 gemäß der Norm DIN 66399.
In jedem Unternehmen wird es zu Verletzungen der DSGVO kommen, wenn das Know-how fehlt und Mitarbeiter nicht regelmäßig sensibilisiert werden.
Das Risiko von intern-verursachten Verletzungen können Sie am besten durch die Bestellung eines Datenschutzbeauftragten und durch regelmäßige Schulungen senken. Weiterführende Informationen zu unserem DSGVO-Rundumschutz, können Sie hier einsehen.
Haftungsausschluss: Mit diesem Blog möchten wir nur die Aufmerksamkeit unserer Leser auf die Gefahren im Datenschutz lenken, weshalb der Blog nicht als rechtliche Beratung zu sehen ist und diese auch nicht ersetzen kann. Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für allfälligen Schadenersatz.
Milan Vasic, unser zertifizierter Datenschutzbeauftragter
Selbstständige in Österreich stehen täglich vor der Herausforderung, eine effiziente einfache Buchführung aufzubauen, die nicht nur alle gesetzlichen Anforderungen erfüllt, sondern gleichzeitig Zeit spart und
Wer die Buchhaltung outsourcen möchte, stellt sich zwei zentrale Fragen: Was kostet das? Und was spare ich mir intern tatsächlich ein? Dieser Leitfaden liefert eine
Das Thema „Mitarbeiter kündigen“ ist sensibel und rechtlich komplex. Wer einen strukturierten Prozess, klare Kommunikation ohne heißen Brei und die gesetzlichen Bestimmungen im Blick behält,
Wer Zeitausgleich richtig organisiert, schafft Planungssicherheit und vermeidet Konflikte. Dieser Leitfaden erklärt, wann Zeitausgleich auszahlen sinnvoll ist, welche Spielregeln gelten und wie Unternehmen die Abläufe
Wer darf Mitarbeiter im Krankenstand kündigen – und unter welchen Bedingungen? Dieser Leitfaden fasst die gesetzlichen bestimmungen in Österreich kompakt zusammen und zeigt, welche Pflichten
Buchhaltung Outsourcing entlastet Ihre MitarbeiterInnen, reduziert Kosten und schafft Rechtssicherheit – mit einem ganzen Team aus expert innen, festen AnsprechpartnerInnen und digitalen Prozessen. Wer die
Im Rahmen der Beurteilung der Effizienz von Aufträgen ist eine Kostenrechnung von besonderer Bedeutung. Die Kostenrechnung erlaubt einen Blick darauf, wie effektiv sich die Abwicklung
Wie berechne ich einen Betriebsabrechnungsbogen (BAB), was muss ich beachten, welche Aufgaben erfüllt der Betriebsabrechnungsbogen und wie funktioniert es am effektivsten?
Unser Geschäftsführer Herr Dr.
Geschäftsführer und Gesellschafter eines KMU konzentrieren sich primär auf die eigene Kerntätigkeit des Unternehmens und legen oft nicht genug Wert auf den Datenschutz. Dies führt
In unserem letzten Blogbeitrag sind wir auf 5 typische Datenschutzverletzungen in Ihrem Unternehmen eingegangen.
Bei einem Großteil der Unternehmer ist das Thema Datenschutz bereits angekommen
Blog
Geschäftsführer und Gesellschafter eines KMU konzentrieren sich primär auf die eigene Kerntätigkeit des Unternehmens und legen oft nicht genug Wert auf den Datenschutz. Warum auch? „Wir verarbeiten doch keine personenbezogenen Daten, wir sind ein kleines Unternehmen, welches bloß Produkte und Dienstleistungen anbietet und die österreichische Wirtschaft ankurbelt!“
Leider stimmt diese Aussage nicht ganz. Wenn Sie Kunden, Mitarbeiter oder nur eine Webseite haben, können Sie grundsätzlich davon ausgehen, dass auch Sie von der DSGVO betroffen sind.
Bevor wir zu dem eigentlichen Thema übergehen, werden wir kurz einige Begriffe aus der DSGVO definieren:
Was sind personenbezogene Daten? Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierbare oder identifizierte (lebende) natürliche Person beziehen. Beispiele dafür sind: Name, Telefonnummer, Anschrift, E-Mail-Adresse, Geburtsdatum, IP-Adresse oder eine Ausweisnummer. Für Sie bedeutet das, dass Sie sich im Anwendungsbereich der DSGVO befinden. Dabei ist es irrelevant, welche Kategorie von Daten Sie in Ihrem Unternehmen verarbeiten. Betroffen sind etwa Daten von Ihren Kunden, Lieferanten und Arbeitnehmern.
„Das stimmt aber nicht, ich verarbeite keine Daten, ich erfasse Sie bloß!“ Leider ist auch die Datenerfassung eine Datenverarbeitung. Grundsätzlich ist jeder im Zusammenhang mit personenbezogenen Daten stehender Vorgang (Erhebung, Löschung, Organisation, Speicherung, Anpassung oder Veränderung) eine Datenverarbeitung.
„Ok, das mag alles so sein, mein Unternehmen hat den Sitz aber außerhalb der EU, weshalb ich definitiv nicht von der DSGVO betroffen bin!“ Naja, das stimmt so nicht ganz.
Wir haben bereits festgestellt, dass der sachliche Anwendungsbereich der DSGVO die Verarbeitung von personenbezogenen Daten erfasst.
Räumlich erfasst die DSGVO zunächst die gesamte Union. Es ist aber zu beachten, dass der räumliche Anwendungsbereich nicht bloß auf diese eingeschränkt ist. Auch Unternehmen, die keinen Sitz in der EU haben, ihre Produkte und Leistungen aber an Kunden in der EU anbieten (das Angebot muss dabei „offensichtlich beabsichtigt“ sein), sind ebenfalls von der DSGVO umfasst. In den Anwendungsbereich der DSGVO fallen auch Unternehmen aus Drittländern, wenn Sie eine Zweigstelle/Abteilung/Filiale in der EU haben, auch wenn keine Rechtspersönlichkeit vorliegt und wenn keine Produkte oder Dienstleistungen angeboten werden (z. B. Datenverarbeitung in internen Abteilungen).
Bei der Verarbeitung von personenbezogenen Daten ist die Staatsangehörigkeit nicht ausschlaggebend, wichtig ist nur der Aufenthaltsort der Personen. Ein Spezialfall für die Anwendbarkeit der DSGVO im Ausland ist gegeben, wenn eine Niederlassung aufgrund von völkerrechtlichen Bestimmungen dem Unionsrecht bzw. dem innerstaatlichen Recht eines Mitgliedstaates unterliegt (z. B.: diplomatische Vertretungen).
Da wir die grundlegenden Begriffe definiert haben, können wir jetzt zum eigentlichen Thema übergehen: Datenschutzverletzungen in Ihrem Unternehmen.
E-Mails werden oft als Mittel zur Übertragung von personenbezogenen Daten (Datenverarbeitung) verwendet. Im Rahmen der Übertragung per E-Mail gibt es einige riskante Themen, wir werden uns aber auf ein Problem fokussieren, welches Sie sofort und ohne zusätzliche Kosten beheben können, und zwar auf den offenen Mailverkehr. Von einem offenen Mailverkehr spricht man, wenn ein E-Mail für mehrere Empfänger bestimmt ist und diesen bekannt wird, welchen Personen dieses E-Mail noch zugestellt wurde. Problematisch hierbei ist, dass E-Mail-Adressen oft den Vor- und Nachnamen beinhalten, und ein Name zählt zu den personenbezogenen Daten. Eine Datenschutzverletzung bei mehreren Empfängern kann jedoch einfach umgangen werden, indem die Funktion „BCC“ statt den Funktionen „An“ und „CC“ verwendet wird.
Mittlerweile verfügt ein Großteil der heimischen Unternehmen über eine eigene Anlage zur Videoüberwachung. Diese ist grundsätzlich unproblematisch, wenn entsprechende Maßnahmen umgesetzt werden, welche Eingriffe in die Rechte der Betroffenen verhindern. Ein Großteil der Maßnahmen betrifft Inhalte, die auf den Aufnahmen zu erkennen sind, Löschkonzepte und eingeschränkte Zugriffsmöglichkeiten der Mitarbeiter. Wir werden in diesem Beitrag erneut auf eine Maßnahme eingehen, die Sie schnell und kostengünstig umsetzen können, und zwar die Kennzeichnungspflicht.
Folgende Informationen müssen gemäß Art. 13 DSGVO in Verbindung mit § 12 und § 13 DSG (in Österreich) und § 4 BDSG (in Deutschland) jedenfalls vorliegen:
Die Sensibilisierung und Aufklärung von Mitarbeitern ist in Anbetracht der Kosten eines Data Breach immer noch vergleichsweise günstig.
Die DSGVO ist kein neues Thema, weshalb es bereits auch einige Statistiken in Bezug auf Datenschutzverletzungen gibt. Überwiegend kommen diese Statistiken zum selben Ergebnis:
Die eigenen Mitarbeiter sind die größte Gefahrenquelle sowohl für Ihre Daten als auch für die Daten Ihrer Kunden.
Mitarbeiter müssen beispielsweise darüber informiert werden, dass personenbezogene Daten, die versehentlich an den falschen Empfänger geraten (versehentliche Datenlecks), eine Datenschutzverletzung darstellen. Als solche darf sie nicht ignoriert werden, es müssen umgehend Maßnahmen gesetzt werden.
Weitere Risiken sind:
Einige dieser Probleme werden höchstwahrscheinlich in Ihrem Unternehmen regelmäßig auftreten, wenn Mitarbeiter nicht sensibilisiert werden.
Am einfachsten können Sie diese Risiken durch jährliche Schulungen und interne Datenschutz-Richtlinien minimieren.
„Wir versenden aber keine personenbezogenen Daten über WhatsApp. Die App nutzen wir lediglich privat.“ Auch wenn WhatsApp ausschließlich privat von Mitarbeitern genutzt wird, kann das ein Problem sein, wenn Mitarbeiter das private Smartphone auch zur Kommunikation mit Kunden verwenden oder wenn WhatsApp auf dem Firmenhandy benutzt wird.
Das Problem liegt darin, dass WhatsApp einen Zugriff auf das Adressbuch hat und somit auch auf personenbezogene Daten (Name und Telefonnummer) zugreifen kann.
Dieses Hindernis können Sie selbstverständlich umgehen, indem Sie auf die Benutzung von WhatsApp verzichten. Eine weitere Möglichkeit ist allerdings ein Daten-Container auf dem Smartphone. Solche Daten-Container sind geschützte Bereiche, die Firmendaten trennen und so eine Synchronisation von diesen Daten mit Apps wie WhatsApp verhindern können.
Grundsätzlich müssen personenbezogene Daten gelöscht werden, wenn sie für den Zweck, für den sie verarbeitet wurden, nicht länger notwendig sind, weshalb ein Löschkonzept im Unternehmen absolut notwendig ist. ACHTUNG: Es gibt gesetzliche Aufbewahrungsfristen wie z. B. § 132 BAO (Österreich) oder § 147 AO (Deutschland), die eine längere Aufbewahrungsfrist vorsehen, auch wenn der Zweck der Verarbeitung nicht länger gegeben ist.
Die Löschung betrifft nicht ausschließlich digitale Daten, sondern auch physische Aktenordner, die nicht nach eigener Einschätzung entsorgt werden dürfen. Für personenbezogene Daten gilt immer mindestens die Sicherheitsstufe 3 gemäß der Norm DIN 66399.
In jedem Unternehmen wird es zu Verletzungen der DSGVO kommen, wenn das Know-how fehlt und Mitarbeiter nicht regelmäßig sensibilisiert werden.
Das Risiko von intern-verursachten Verletzungen können Sie am besten durch die Bestellung eines Datenschutzbeauftragten und durch regelmäßige Schulungen senken. Weiterführende Informationen zu unserem DSGVO-Rundumschutz, können Sie hier einsehen.
Haftungsausschluss: Mit diesem Blog möchten wir nur die Aufmerksamkeit unserer Leser auf die Gefahren im Datenschutz lenken, weshalb der Blog nicht als rechtliche Beratung zu sehen ist und diese auch nicht ersetzen kann. Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für allfälligen Schadenersatz.
Milan Vasic, unser zertifizierter Datenschutzbeauftragter
Selbstständige in Österreich stehen täglich vor der Herausforderung, eine effiziente einfache Buchführung aufzubauen, die nicht nur alle gesetzlichen Anforderungen erfüllt, sondern gleichzeitig Zeit spart und
Wer die Buchhaltung outsourcen möchte, stellt sich zwei zentrale Fragen: Was kostet das? Und was spare ich mir intern tatsächlich ein? Dieser Leitfaden liefert eine
Das Thema „Mitarbeiter kündigen“ ist sensibel und rechtlich komplex. Wer einen strukturierten Prozess, klare Kommunikation ohne heißen Brei und die gesetzlichen Bestimmungen im Blick behält,
Wer Zeitausgleich richtig organisiert, schafft Planungssicherheit und vermeidet Konflikte. Dieser Leitfaden erklärt, wann Zeitausgleich auszahlen sinnvoll ist, welche Spielregeln gelten und wie Unternehmen die Abläufe
Wer darf Mitarbeiter im Krankenstand kündigen – und unter welchen Bedingungen? Dieser Leitfaden fasst die gesetzlichen bestimmungen in Österreich kompakt zusammen und zeigt, welche Pflichten
Buchhaltung Outsourcing entlastet Ihre MitarbeiterInnen, reduziert Kosten und schafft Rechtssicherheit – mit einem ganzen Team aus expert innen, festen AnsprechpartnerInnen und digitalen Prozessen. Wer die
Im Rahmen der Beurteilung der Effizienz von Aufträgen ist eine Kostenrechnung von besonderer Bedeutung. Die Kostenrechnung erlaubt einen Blick darauf, wie effektiv sich die Abwicklung
Wie berechne ich einen Betriebsabrechnungsbogen (BAB), was muss ich beachten, welche Aufgaben erfüllt der Betriebsabrechnungsbogen und wie funktioniert es am effektivsten?
Unser Geschäftsführer Herr Dr.
Geschäftsführer und Gesellschafter eines KMU konzentrieren sich primär auf die eigene Kerntätigkeit des Unternehmens und legen oft nicht genug Wert auf den Datenschutz. Dies führt
In unserem letzten Blogbeitrag sind wir auf 5 typische Datenschutzverletzungen in Ihrem Unternehmen eingegangen.
Bei einem Großteil der Unternehmer ist das Thema Datenschutz bereits angekommen
Blog
In unserem letzten Blogbeitrag sind wir auf 5 typische Datenschutzverletzungen in Ihrem Unternehmen eingegangen.
Bei einem Großteil der Unternehmer ist das Thema Datenschutz bereits angekommen und es werden fleißig die ersten Maßnahmen zu Herstellung eines rechtskonformen Zustandes gesetzt. Die Umsetzung wird zwar durch Förderungen unterstützt, jedoch bleibt es nichtsdestotrotz ein zeitlich aufwendiges und kostspieliges Vorhaben. Deshalb sind Unternehmer oft gezwungen, Prioritäten zu setzen, denn wer bisher noch nichts in Bezug auf Datenschutz unternommen hat, muss jetzt sehr viel nachholen.
Viele Unternehmen haben das Problem, dass Sie das Risiko eine Strafe zu bekommen, nur schwer einschätzen können und deshalb auch keine Prioritäten setzen können.
In diesem Beitrag gehen wir auf 5 Datenschutzverletzungen ein, für die das Risiko einer Strafe besonders hoch ist.
So gut wie jedes Unternehmen hat die eigene Videoüberwachung gekennzeichnet. Ist Ihre Videoüberwachung aber auch im Sinne der Datenschutzgrundverordnung ordnungsmäßig gekennzeichnet? Die Antwort laute höchstwahrscheinlich nein.
„Was muss ich denn bei meiner Videoüberwachung in Bezug auf Datenschutz beachten?“
Grundsätzlich ist die Videoüberwachung wie auch die meisten Prozesse in Verbindung mit Kunden eine Verarbeitung personenbezogener Daten. Damit gibt die DSGVO auch genau vor, wie eine Einwilligung erteilt werden kann und wie Sie der Informationspflicht nachkommen können. Bei den meisten Unternehmen sind es die folgenden Informationen:
Eine Webseite ist Visitenkarte und Schaufenster Ihres Unternehmens, da diese meist der erste Anlaufpunkt von Neukunden, Lieferanten, Bewerbern, aber auch neugierigen Konkurrenten ist. Genau deshalb ist hier das Risiko einer Strafe besonders hoch.
„Wie soll ein Laie erkennen, ob meine Webseite DSGVO-konform ist?“
Ein Großteil der Datenschutzverletzungen ist selbst für Personen ohne Fachkenntnisse im Bereich der DSGVO erkennbar, da solche Verstöße regelmäßig medial verfolgt werden (Stichwort: Google Fonts Abmahnungen) und viele bereits wissen, wie sie beispielsweise fehlerhaft konfigurierte Cookie Banner erkennen können. Die eigentliche Gefahr besteht jedoch, wenn Personen Ihre Schwachstellen nutzen möchten, um Ihnen zu Schaden oder um sich selbst dadurch zu bereichern.
Achten Sie deshalb bei der Erstellung einer neuen Webseite darauf, dass Sie einen professionellen und fachkundigen Dienstleister damit beauftragen, sonst kann die einmalige Ersparnis bei den Beschaffungskosten ein teures Nachspiel haben.
„Wie kann ich einschätzen, ob mein Dienstleister über das notwendige Know-how verfügt?“ Unser Partnerunternehmen, die itweb GmbH, lässt jede neue Webseite von einem zertifizierten Datenschutzbeauftragten überprüfen und kann diese mit Hilfe von Förderungen auch kostengünstig umsetzen – das sollte auch die Webagentur Ihrer Wahl gewährleisten können.
Gemäß Art. 15 DSGVO hat eine betroffene Person das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob ihre personenbezogenen Daten verarbeitet werden. Sollte das zutreffen, so hat die betroffen Person das Recht auf Herausgabe der in Art. 15 Abs. 1-4 aufgezählten Informationen. Diese Auskunft hat der Verantwortliche spätestens binnen eines Monats zu erteilen, eine Verlängerung um weitere zwei Monate ist zwar möglich, jedoch muss diese speziell begründet werden.
„Wie soll ich denn bitte meinen eigentlichen Aufgaben nachkommen, wenn ich im Rahmen der Auskunftspflicht so viel machen muss?“
Dies stellt einen erheblichen Aufwand dar, wenn Sie nicht mit sämtlichen Verarbeitungen in Ihrem Unternehmen vertraut sind und diese nicht dokumentiert haben. In diesem Fall verlieren sowohl Sie als auch Ihre Mitarbeiter viel Zeit.
Es gibt aber eine gute Nachricht: Das muss nicht zwingend so sein!
Wenn Sie Ihre Verarbeitungen in einem softwareunterstützten Verarbeitungsverzeichnis wie unserem DSGVO-Rundumschutz pflegen, dann haben Sie einen einmaligen Aufwand von wenigen Stunden und können später sämtliche Auskunftspflichten mit wenigen Klicks erfüllen!
„Warum ist das Risiko bei der Auskunftspflicht groß?“
Wenn eine betroffene Person vom Auskunftsrecht Gebrauch macht, dann können Sie grundsätzlich davon ausgehen, dass diese Person ihre Rechte kennt und durchaus verärgert sein wird, wenn Sie Ihrer Pflicht nicht nachkommen. Dementsprechend wird die betroffene Person wissen, dass sie über ein Recht auf Beschwerde bei der Datenschutzbehörde verfügt.
Dieses Thema ist besonders heikel, da Sie auf eine Verarbeitung personenbezogener Daten durch beispielsweise Facebook so gut wie keinen Einfluss haben. Falls Sie ein Unternehmensprofil auf einer solchen Seite haben, sollten Sie dies in der Datenschutzerklärung Ihrer Webseite berücksichtigen. Das gilt insbesondere dann, wenn die betroffenen Personen per Link auf Ihrer Webseite auch zum Unternehmensprofil auf Sozialen Medien gelangen können.
Außerdem sollten Sie sowohl die Datenschutzerklärung als auch das Impressum Ihrer Webseite im Unternehmensprofil einbinden. Mit der Verwendung sozialer Medien besteht jedoch ein gewisses Risiko, selbst wenn Sie die Verarbeitungen in Ihrer Datenschutzerklärung einbinden. Deshalb sollten Sie diese nur verwenden, wenn ein Verzicht für Sie einen Wettbewerbsnachteil darstellen würde. Zu beachten ist, dass soziale Netzwerke die Nutzungsbedingungen jederzeit ändern können, deshalb müssen Sie regelmäßig kontrollieren, ob Ihre Datenschutzerklärung noch aktuell ist.
Mit Data Breach, auch bekannt als Datenpanne oder Datenleck, bezeichnet man einen Kontrollverlust über Daten. Zu einem solchen Kontrollverlust kommt es, wenn Unberechtigte Zugriff auf Daten erhalten, Daten entwendet bzw. manipuliert werden oder wenn Daten unabsichtlich gelöscht werden.
Eine Datenpanne müssen Sie als Verantwortlicher gemäß Art. 33 Abs. 1 DSGVO unverzüglich und möglichst binnen 72 Stunden bei der zuständigen Behörde (in Österreich bei der Datenschutzbehörde) melden. Sollte die Meldung nicht innerhalb von 72 Stunden erfolgen, so müssen Sie dies begründen.
„Das mag zwar so sein, mich wird aber mit Sicherheit keiner hacken!“
Leider werden Unternehmen immer öfter zum Opfer von Cyberkriminalität. Laut dem Deloitte Cyber Security Report war die Hälfte der heimischen Unternehmen Opfer von Ransomware-Angriffen. Bei 18 % kam es in Folge solcher Cyber-Angriffe zu einer Datenverschlüsselung.
Außerdem kann der Verlust eines Diensthandys oder sonstigen mobilen Endgeräten zu einer Datenpanne führen. Das Risiko können Sie durch regelmäßige Schulung der Mitarbeiter drastisch senken, jedoch nicht ausschließen. Allgemein empfiehlt es sich deshalb, in die IT-Infrastruktur Ihres Unternehmens zu investieren.
Das Risiko einer Strafe durch die Datenschutzbehörde ist bei Datenpannen sehr hoch, kann aber drastisch gesenkt werden, wenn ersichtlich ist, dass Sie in Bezug auf Datenschutz und Datensicherheit nicht nachlässig sind.
Für Unternehmer, welche erst jetzt mit der Umsetzung der DSGVO im Unternehmen beginnen, kann dieser Beitrag als Leitfaden dienen, damit Prioritäten gesetzt werden. Keineswegs sollten Sie sich nur auf die offensichtlichen Schwachstellen fokussieren.
Die DSGVO mag für Sie eine Hürde sein, jedoch ist sie für den Schutz Ihrer Kunden und Ihres Unternehmens unerlässlich.
Disclaimer und Haftungsausschluss:
Aus Gründen der besseren Lesbarkeit wird auf die gleichzeitige Verwendung der Sprachformen männlich, weiblich und divers (m/w/d) verzichtet. Sämtliche Personenbezeichnungen gelten gleichermaßen für alle Geschlechter.
Mit diesem Blog möchten wir die Aufmerksamkeit unserer Leser auf die Gefahren im Datenschutz lenken, weshalb der Blog nicht als rechtliche Beratung zu sehen ist und diese nicht ersetzen kann. Trotz sorgfältiger inhaltlicher Kontrolle übernehmen wir keine Haftung für allfälligen Schadenersatz.
Milan Vasic, unser zertifizierter Datenschutzbeauftragter
Selbstständige in Österreich stehen täglich vor der Herausforderung, eine effiziente einfache Buchführung aufzubauen, die nicht nur alle gesetzlichen Anforderungen erfüllt, sondern gleichzeitig Zeit spart und
Wer die Buchhaltung outsourcen möchte, stellt sich zwei zentrale Fragen: Was kostet das? Und was spare ich mir intern tatsächlich ein? Dieser Leitfaden liefert eine
Das Thema „Mitarbeiter kündigen“ ist sensibel und rechtlich komplex. Wer einen strukturierten Prozess, klare Kommunikation ohne heißen Brei und die gesetzlichen Bestimmungen im Blick behält,
Wer Zeitausgleich richtig organisiert, schafft Planungssicherheit und vermeidet Konflikte. Dieser Leitfaden erklärt, wann Zeitausgleich auszahlen sinnvoll ist, welche Spielregeln gelten und wie Unternehmen die Abläufe
Wer darf Mitarbeiter im Krankenstand kündigen – und unter welchen Bedingungen? Dieser Leitfaden fasst die gesetzlichen bestimmungen in Österreich kompakt zusammen und zeigt, welche Pflichten
Buchhaltung Outsourcing entlastet Ihre MitarbeiterInnen, reduziert Kosten und schafft Rechtssicherheit – mit einem ganzen Team aus expert innen, festen AnsprechpartnerInnen und digitalen Prozessen. Wer die
Im Rahmen der Beurteilung der Effizienz von Aufträgen ist eine Kostenrechnung von besonderer Bedeutung. Die Kostenrechnung erlaubt einen Blick darauf, wie effektiv sich die Abwicklung
Wie berechne ich einen Betriebsabrechnungsbogen (BAB), was muss ich beachten, welche Aufgaben erfüllt der Betriebsabrechnungsbogen und wie funktioniert es am effektivsten?
Unser Geschäftsführer Herr Dr.
Geschäftsführer und Gesellschafter eines KMU konzentrieren sich primär auf die eigene Kerntätigkeit des Unternehmens und legen oft nicht genug Wert auf den Datenschutz. Dies führt
In unserem letzten Blogbeitrag sind wir auf 5 typische Datenschutzverletzungen in Ihrem Unternehmen eingegangen.
Bei einem Großteil der Unternehmer ist das Thema Datenschutz bereits angekommen
