Datensicherheitsvorschriften für Unternehmen
Das österreichische Datenschutzgesetz verpflichtet Unternehmen bei der Verwendung von personenbezogenen Daten ausdrücklich zur Ergreifung von Datensicherheitsmaßnahmen.
Die verpflichtenden Datensicherheitsvorschriften umfassen Zutritts- und Zugriffsbeschränkungen sowie Protokollierungspflichten.
Zweck der Datensicherheitsmaßnahmen ist insbesondere
- der Schutz der Daten vor zufälliger oder unrechtmäßiger Zerstörung
- unautorisierter Weitergabe bzw Verlust der Daten,
- die Gewährleistung der ordnungsgemäßen Verwendung und
- die Geheimhaltung der Daten vor Unbefugten.
Das Datenschutzgesetz ermöglicht den Unternehmen, abhängig von der Art, Umfang und Zweck der verwendeten Daten und unter Bedachtnahme auf den Stand der Sicherheitstechnik sowie der wirtschaftlichen Vertretbarkeit eine flexible Handhabung der Datensicherheitsmaßnahmen.
Zur Beurteilung, welche Datensicherheitsmaßnahmen zu treffen sind, ist daher bei jeder Datenverwendung eine Risikoanalyse in Hinblick auf Schutzwürdigkeit, Schutzmöglichkeiten und Kosten vorzunehmen.
Entsprechende Datensicherheitsvorschriften sind so zu erlassen und zur Verfügung zu stellen, dass betroffene MitarbeiterInnen sich jederzeit über geltende Regelungen informieren können. Ebenfalls vorgeschrieben sind Belehrungen der MitarbeiterInnen hinsichtlich der geltenden Datensicherheitsvorschriften.
Die Protokollierungspflicht verfolgt den Zweck, die Verwendung von Daten nachvollziehbar zu machen, um deren Rechtmäßigkeit überprüfen zu können sowie die Rechte der Betroffenen auf Auskunft, Richtigstellung und Löschung zu wahren.
Fehlende Datensicherheitsvorschriften bzw – maßnahmen können eine Haftung der Verantwortlichen begründen und mit einer Verwaltungsstrafe bis zu 10.000 Euro geahndet werden.