Professional Documents
Culture Documents
EU-Datenschutz-
grundverordnung
(DSGVO)
Whitepaper
EU-Datenschutzgrundverordnung (DSGVO) 2
Vorwort
Inhalt
2. Bedarf an Aufklärung
und Informationen
Verschiedene Umfragen lassen aufhorchen, denn in relativ Eine Studie mit internationalen Führungskräften zeigt:
vielen Unternehmen herrscht weiterhin Unklarheit über An- 45 % haben einen strukturierten Prozess um sich DSGVO-fit
forderungen, Umsetzung und Konsequenzen der DSGVO. zu machen, davon sind jedoch nur 66 % sicher, dass dieser
Jene, die sich damit aber bereits befassen, sehen durchaus auch zum Erfolg führen wird. Erwartete Vorteile:
die Vorteile der künftigen Regelungen.
71 % Verbesserung der Data Governance
Immerhin 75 Prozent der österreichischen Unternehmen
haben sich bereits grundsätzlich mit den Anforderungen 30 % Image-Aufwertung
der DSGVO auseinandergesetzt. Nur 21 Prozent sind sich
jedoch bewusst, dass als Strafe bis zu 4 Prozent des welt-
29 % steigende Kundenzufriedenheit
weiten Jahresumsatzes fällig werden können.
Quelle: SAS Studie Oktober 2017, www.sas.com/de_at/news/press-releases/2017/oktober/
sas-studie-zur-datenschutz-grundverordnung--dsgvo-wird-zur-zerre.html
35 % CEO
67 % IT-Abteilung
Die Vorbereitung und Umsetzung der Maßnahmen betrifft Zusätzliche Maßnahmen wenn Sie Cloud-Dienste nutzen
das gesamte Unternehmen und ist nur im Team durchführ- Wenn Sie Software as a Service (SaaS) nutzen, etwa Ihre
bar, bestehend aus Geschäftsführung, Vertrieb, Marketing, Buchhaltung oder Lohnverrechnung ausgelagert haben,
Finanz, Personal und IT. oder wenn Abteilungen Daten bei einem Cloud-Service
Provider speichern, so ist dies innerhalb der EU zulässig,
Erstellen einer Maßnahmen–Checkliste mit Zeitplan hier gilt ja für alle dieselbe DSGVO. Folgt man den aktuellen
und Verantwortlichen Stellungnahmen, so ist davon auszugehen, dass England
auch nach dem Brexit die DSGVO berücksichtigen und
• Ist-Analyse: Auflistung aller Prozesse und damit ver-
demnach von der EU-Kommission anerkannt wird. Werden
bundenen Anwendungen, welche personenbezogene
personenbezogenen Daten in ein Drittland außerhalb der
Daten verarbeiten.
EU exportiert, so muss dieser Cloud Provider ein DSGVO-
• Soll-Zustand: Analyse der technischen, organisatori- konformes Datenschutzniveau nachweisen, etwa durch ein
schen und personellen Maßnahmen, welche sind im von der EU anerkanntes Zertifikat.
Sinne der DSGVO und des Datenschutz-Anpassungs-
gesetzes erforderlich sind. Neu ist, dass auch der Cloud-Anbieter für Datenschutzver-
letzungen haftbar gemacht werden kann. Beide Seiten, also
• Verzeichnis, wo wie und zu welchem Zweck Daten
Cloud-Nutzer und -Anbieter, müssen jedenfalls alle Daten-
verarbeitet werden.
schutzmaßnahmen konform dokumentieren.
• Dokumentation aller Datenschutzmaßnahmen und
wie wird Privacy by Design und Privacy by Default Dienstleister-Vereinbarungen müssen Sie daher
umgesetzt. überprüfen und ggf. anpassen.
• Datenschutzfolgenabschätzung
(Risk und Privacy Impact Assessment)
Spezielle Hinweise und Checklisten für Geschäftsführer • Mitarbeiter, die personenbezogene Daten verarbeiten,
Wenn es zu einer Datenschutzverletzung kommt, trägt müssen gesonderte Verschwiegenheitserklärungen
letztendlich der Geschäftsführer die Verantwortung. Daher unterschreiben.
ist es seine vorrangige Aufgabe, die Maßnahmen zur Um- • Daten müssen jederzeit auf Anfrage zur Verfügung
setzung der DSGVO zu steuern. Dazu gehören: gestellt werden können.
• Zusammenstellen eines Teams aus allen Abteilungen • Daten von Bewerbern: Diese Daten kommen aus Ihren
• Festlegen eines Fahrplans, um den Soll-Zustand eigenen Systemen oder von fremden Bewerbungs-
spätestens am 25. Mai 2018 zu erreichen Plattformen; wenn Sie die Einwilligung der Kandidaten
zur Speicherung einholen, können Sie zugleich die
• Zusätzliches Augenmerk auf IT-Themen wie Schutz Erlaubnis abfragen, die Daten auch länger in einem
des Rechenzentrums vor Elementarschäden, Zugriffs- Bewerber-Pool speichern zu dürfen; ohne Einwilligung
berechtigungen und Rollen, Passwort-Policy, Maß- müssen Sie die Daten aller ausgeschiedenen Kandida-
nahmen gegen Datenverlust (Sicherung und Backup), ten wieder löschen.
Einbeziehen aller mobilen Endgeräte
Spezielle Hinweise und Checklisten für HR • Schaffen Sie entsprechende Links und Formulare
für den Dateninhaber, wo er seine Rechte ausüben
Personalabteilungen arbeiten mit sensiblen Daten von
kann (wie Berichtigung, Vergessen werden, Widerruf,
Mitarbeitern und Bewerbern. Hier ist besondere Sorgfalt
Einschränkung der Verarbeitung).
geboten, alle internen Prozesse entsprechend der DSGVO
zu gestalten. Um personenbezogene Daten vor dem Zugriff • Sorgen Sie mit definierten Prozessen für eine rasche
Unbefugter zu schützen, muss HR auf folgendes zusätzlich Bearbeitung des Vorgangs (der angemeldeten Rechte)
achten: innerhalb von 2 Arbeitstagen.
Sprechen Sie rechtzeitig Ihren Software-Anbieter bzw. -Dienstleister auf die Änderungen im Zusammenhang mit der DSGVO
an. Sage DPW ist übrigens bestens auf die DSGVO vorbereitet und erfüllt alle notwendigen Voraussetzungen. Wählen Sie die
für Ihre Situation zutreffenden Fragen an Ihren Software-Partner an Hand dieser Checkliste:
Arbeitet der Anbieter mit einem Consultant Betreffend das Recht auf Vergessen: Gibt
zusammen, der mit rechtlicher Beratung zur es Funktionen zum vollständigen Löschen
DSGVO unterstützt? von Mitarbeitern oder Bewerbern mit allen
zugehörigen Daten?
Kann das Rechenzentrum technische und organi- Gibt es einen gesicherten Prozess, dass der
satorische Maßnahmen nachweisen zum Schutz Dienstleister nach schriftlicher Anforderung die
vor Katastrophen und Hacker-Angriffen? Daten der antragstellenden Person löscht?
Gibt es vorab eine Risikofolgenabschätzung für Kann jeder Mitarbeiter sehen, welche Daten
Verarbeitungen, wo aufgrund neuer Technologien von ihm gespeichert sind und wer/was/wann
oder aufgrund von Art und Umfang ein Risiko für geändert oder gelöscht hat?
den Schutz personenbezogener Daten besteht?
Fazit
Die Sage GmbH ist mit der Sage DPW-Produktpalette führender Anbieter
für Personalmanagement-Software in Österreich. Mit unserem umfassenden
Produktportfolio bieten wir Softwarelösungen für alle Bereiche des Personal-
wesens. Sage DPW-Software ist bei rund 1.000 Kunden implementiert, vom
mittelständischen bis zum multinationalen Unternehmen, in verschiedensten
Branchen.
Sage GmbH
Stella-Klein-Löw-Weg 15
1020 Wien
www.sagedpw.at
© 2018 Sage GmbH. Alle Rechte vorbehalten. Sage, das Sage Logo sowie hier genannte Sage Produktnamen sind eingetragene Markennamen der Sage GmbH.
Alle anderen Markennamen sind Eigentum der jeweiligen Rechteinhaber. Technische, formale und druckgrafische Änderungen vorbehalten. Stand: Januar 2018.
11 | Sage WINCARAT