Dokument wird geladen
Praxisleitfaden zur Umsetzung der DSGVO April 2018
HINWEIS: Um eine leichtere Lesbarkeit des Textes zu gewährleisten, wurde im vorliegenden Leitfaden auf die explizit geschlechts- spezifische Schreibweise verzichtet. Hierfür wurde als Vereinfachung stellvertretend für beide Geschlechtsformen jeweils die kürzere männliche Schreibweise angewandt.
Einleitung In heutiger Zeit ist es für uns alle selbstverständlich, unsere Daten im Internet bekannt zu geben und dort zu verarbeiten. So melden wir uns für die verschiedensten Online-Plattformen von sozialen Netz- werken bis zum Online-Shopping und -Banking an. Was aber genau mit unseren Daten geschieht, wem diese übermittelt werden, wo sie gespeichert sind und wie sicher sie aufbewahrt werden, weiß eigent- lich niemand so genau. Um diesem „Wildwuchs“ an Datenverarbeitungen entgegenzuwirken, hat die EU beschlossen, die Verarbeitung personenbezogener Daten transparenter zu gestalten und den Betroffenen die Kontrolle über ihre Daten zu erleichtern. Die Europäische Datenschutzgrundverordnung , kurz DSGVO, wurde zu diesem Zweck im April 2016 beschlossen und regelt den Umgang mit personenbezogenen Daten. Für alle Unternehmen, die in der EU tätig sind, gilt es daher, den Umgang mit personenbezogenen Daten genau zu regeln und achtsam mit diesen Daten umzugehen. Daraus ergibt sich konkreter Handlungsbedarf. Der Schwerpunkt dieser Publikation liegt in der praktischen Umset- zung der Datenschutzvorschriften im Betrieb. Eine Erläuterung der rechtlichen Bestimmungen finden Sie jeweils in der Randleiste bei den entsprechenden Kapiteln. Sie finden darin auch Hilfestellun- gen, die anhand von konkreten Beispielen beschrieben werden. Beachten Sie bitte jedoch: • alle Inhalte bilden die derzeit aktuelle Rechtslage ab • die rechtliche Detailinformation ist bei der konkreten Umsetzung jedenfalls zu beachten. Im Zweifel kontaktieren Sie bitte die Ex- perten Ihrer Wirtschaftskammer • Dieser Leitfaden soll einen generellen Weg bei der Umsetzung der DSGVO darstellen, der jedoch nicht alle denkbaren betriebli- chen Erfordernisse berücksichtigen kann. Die Umsetzungsfrist für die DSGVO endet mit 25. Mai 2018. Bis dahin sind alle Bestimmungen der DSGVO umzusetzen. INHALT DSGVO 3
4 DSGVO
DSGVO & DATEN Wer muss die DSGVO umsetzen? Alle Unternehmen, die in der EU tätig sind und Daten von Personen verarbeiten, müssen die Anforderungen der DSGVO jedenfalls umset- zen. Dabei spielt es keine Rolle, wo das Unternehmen seinen Sitz hat. Es kommt nur darauf an, ob das Unternehmen Daten von Bürgern in der EU verarbeitet. Online Ratgeber – Datenschutz-Grundverordnung Die DSGVO betrifft so gut wie alle Unternehmen. Eine Ausnahme gibt Anwendungsbereich der DSGVO es beim Verzeichnis der Verarbeitungstätigkeiten, die aber nur in Ausnahmefällen zur Anwendung kommt. In welchen Fällen Sie von der DSGVO betroffen sind, finden Sie in den FAQ – Betrifft mich die DSGVO? DSGVO-FAQ. Was sind personenbezogene Daten? Daten sind dann personenbezogen, wenn damit eine natürliche Person identifiziert oder identifizierbar ist. Das ist beispielsweise bei eindeutigen Kennungen wie einer Kreditkartennummer, einer Sozialversicherungsnummer, einer E-Mail-Adresse, aber auch bei FAQ – Was sind personenbezogene Daten? einer Kombination von Adresse und Geburtsdatum möglich. Ebenso personenbezogen sind Daten, die einer natürlichen Person zugeordnet sind. Typisches Beispiel sind Rechnungen, die Sie einer Wichtige Begriffsbestimmungen natürlichen Person zugeordnet haben. DSGVO 5
ÜBERBLICK Umsetzung der DSGVO im Überblick Die DSGVO ist ein umfassendes Regelwerk mit einer Reihe von Anfor- derungen, die erfüllt und Aufgaben, die erledigt werden müssen. Auf den folgenden Seiten finden Sie eine Übersicht über die wichtigsten Schritte. Erhebung aller Verarbeitungsvorgänge & personenbezogenen Daten Stellen Sie fest, wo und wie Sie Daten natürlicher Personen (= betrof- fene Personen) in Ihrem Unternehmen verarbeiten. Üblicherweise handelt es sich bei den natürlichen Personen um Mitarbeiter, Kunden oder Lieferanten sowie Interessenten (Newsletter) oder Website-Be- sucher. Deren Daten werden beispielsweise zur Lohn- und Gehalts- verrechnung, der Kundenakquise & -betreuung sowie zum Versand von Newslettern und dem Betrieb der IT verwendet. Im Zuge dieser Erhebung wird festgestellt, • welche Daten im Detail Sie konkret verarbeiten, • wo diese gespeichert sind (z.B.: Personalverarbeitung, Mitarbeiter- oder Kundendatenbank, Online-Shop-System), • ob es sich dabei um besondere Kategorien von Daten (z.B.: Gesundheitsdaten in der Personalverwaltung) handelt und • ob Sie diese Daten auch tatsächlich benötigen. Prüfung der Zweckbindung und Rechtmäßigkeit Haben Sie festgestellt, welche Daten Sie verarbeiten, so ist zu über- legen, zu welchem Zweck Sie diese Daten verarbeiten. Sie dürfen Da- tenverarbeitungen nur zu einem definierten, rechtmäßigen Zweck durchführen. Dabei dürfen nur jene Daten verarbeitet werden, die Sie tatsächlich für diesen Zweck benötigen (Zweckbindung). Darüber hinaus ist sicherzustellen, dass Sie auch berechtigt sind, die Daten zu verarbeiten, denn für jede Art der Verarbeitung von perso- nenbezogenen Daten ist eine Rechtsgrundlage notwendig (z.B. der Vertrag mit der beschäftigten Person oder dem Kunden, das Gesetz oder auch eine Einwilligung) . 6 DSGVO
ÜBERBLICK Spezielles Augenmerk müssen Sie auf die Rechtmäßigkeit bei der Verarbeitung besonderer Kategorien personenbezogener Daten (ins- bes. Gesundheitsdaten, Religions- und Gewerkschaftszugehörigkeit) legen. Weitergabe der Daten Auch wenn es einem Unternehmen oft nicht bewusst ist, so werden im betrieblichen Ablauf doch häufig Daten weitergegeben. Sie müs- sen also auch feststellen, welche personenbezogenen Daten Sie an wen weitergeben. Dabei kann es sich um Weitergabe an andere Un- ternehmen (z.B.: Dienstleister oder Lieferanten), Behörden (z.B.: Ge- bietskrankenkasse, Finanzamt) oder andere öffentliche Stellen (z.B.: Lehrlingsstelle) handeln. Spezielles Augenmerk ist auf Übermittlungen in Länder außerhalb der EU bzw. internationale Organisationen (z.B.: Facebook, Microsoft, Google usw.) zu legen. Internationaler Datenverkehr Speicherfrist Personenbezogene Daten sind nur so lange aufzubewahren, wie die- se für den eigentlichen Zweck benötigt werden. Entfällt dieser Zweck, so sind die Daten zu löschen, es sei denn, es gibt gesetzliche Aufbe- wahrungsfristen (z.B.: aus dem Steuerrecht). Prüfen Sie daher, welche gesetzlichen Aufbewahrungsfristen es für die Daten in Ihrem Unternehmen gibt. Speicher- und Aufbewahrungspflichten Erstellung des Verzeichnisses der Verarbeitungstätigkeiten Sobald Sie die Fragen aus den obigen Punkten beantwortet haben, dokumentieren Sie in einem nächsten Schritt diese Informationen im Verzeichnis der Verarbeitungstätigkeiten. DSGVO 7
ÜBERBLICK 8 DSGVO Auftragsverarbeiter und Verantwortlicher Es muss außerdem geklärt werden, welche Auftragsverarbeiter Sie beschäftigen. Dabei handelt es sich um Externe, die in Ihrem Auftrag personenbezogene Daten verarbeiten. Beispiele dafür sind Lohnver- rechner, Dienstleister oder Webseitenbetreiber. Mit allen Auftragsverarbeitern ist eine Vereinbarung zu treffen, die schriftlich oder elektronisch dokumentiert werden muss. Sicherheit der Verarbeitung Ein wesentlicher Bestandteil der DSGVO ist die Sicherheit der personenbezogenen Daten. Sie haben für die sichere Speicherung, Verwendung und Weitergabe zu sorgen. Umgang mit Betroffenenrechten Alle natürlichen Personen, deren Daten Sie verarbeiten, haben auf- grund der DSGVO besondere Rechte – die sogenannten Betroffenen- rechte. Zu diesen Personen gehören beispielsweise Ihre Mitarbeiter sowie Ansprechpartner Ihrer Kunden und Lieferanten. Sie müssen sicherstellen, dass die betroffenen Personen diese Rech- te bei Ihnen einfordern können und Sie diese Anfragen innerhalb ei- nes Monats (Verlängerung auf drei Monate in Einzelfällen möglich) beantworten können.
Verhalten bei einem Sicherheitsvorfall Sollte trotz der getroffenen Sicherheitsmaßnahmen eine Daten- schutzverletzung auftreten, so gibt es eine Reihe von Maßnahmen, die Sie in einem solchen Fall durchführen müssen. So ist z.B. inner- halb von 72 Stunden die Datenschutzbehörde von diesem Vorfall zu informieren. Der richtige Umgang mit Sicherheitsvorfällen und Dokumentenvorla- gen für die Meldung muss also gut überlegt und vorbereitet werden. Laufende Prüfung & Aktualisierung Aus der DSGVO ergibt sich eine erhebliche Rechenschaftspflicht, im Rahmen derer Sie nachweisen müssen, dass Sie alle Anforderungen ausreichend erfüllt haben. Die erstellten Dokumentationen und Maß- nahmen sind dazu laufend auf Aktualität sowie Wirksamkeit zu prü- fen und gegebenenfalls zu aktualisieren. Die nächsten Kapitel gehen im Detail auf die hier genannten Umsetzungsschritte ein und beschreiben praxisnahe Beispiele zur Umsetzung. ÜBERBLICK GENERELLE VORGANGSWEISE DSGVO 9 9
ERHEBUNG ALLER VERARBEITUNGSVORGÄNGE & PERSONENBEZOGENEN DATEN Erhebung aller Verarbeitungsvorgänge & personenbezogenen Daten Am Beginn der Umsetzung Ihres Datenschutzprojektes ist zu erhe- ben, welche personenbezogenen Daten Sie überhaupt in Ihrem Unter- nehmen verarbeiten und warum (d.h. zu welchem Zweck) Sie dies tun. Überlegen Sie, welche Vorgänge und Abläufe es in Ihrem Unterneh- men gibt, bei denen personenbezogene Daten verarbeitet werden. Da- bei ist es unerheblich, ob diese Verarbeitung computergestützt oder manuell erfolgt. Grundsätzlich umfasst die DSGVO alle personenbe- zogenen Daten, die strukturiert bzw. elektronisch aufbewahrt und verarbeitet werden. Relevante Vorgänge sind beispielsweise die Lohn- und Gehaltsver- rechnung, die Führung einer Geburtstagsliste aller Mitarbeiter oder Kunden, eine Kundenkartei, die Erstellung und der Versand von Rech- nungen mit Daten einer natürlichen Person oder eine Videoüberwa- chung (z.B.: der Werkshalle oder des Parkplatzes) sowie die Website (mit Website-Analyse-Tool und Cookies) oder Online-Kontaktformula- re und Webshops. In weiterer Folge ist festzustellen, welche konkreten Daten(katego- rien) im Rahmen dieser Verarbeitungsvorgänge verarbeitet werden. Beantworten Sie dabei die folgenden Fragen: • Welche konkreten Daten benötige ich, um beispielsweise den Ver- trag mit dem Kunden/Lieferanten oder den Dienstvertrag mit mei- nen Mitarbeitern zu erfüllen? • Gibt es möglicherweise gesetzliche Vorschriften, die mich zur Ver- arbeitung von Daten verpflichten – z.B. das Steuerrecht? • Gibt es sonstige gute Gründe, warum ich die Daten benötige? Möglicherweise werden Sie feststellen, dass Sie Daten speichern und verarbeiten, die für den Zweck eigentlich nicht notwendig sind. Zur Erfüllung des Dienstverhältnisses ist es z.B. nicht notwendig, dass 10 DSGVO
ERHEBUNG ALLER VERARBEITUNGSVORGÄNGE & PERSONENBEZOGENEN DATEN ein Mitarbeiterbild auf der Webseite des Unternehmens veröffent- licht wird. Gleiches gilt auch für Gruppenfotos gemeinsam mit Kun- den oder Lieferanten. Dies ist zur Erbringung der vertraglichen Leis- tung nicht zwingend notwendig. Im Sinne der Datenminimierung ist der Datenbestand auf das Not- wendigste zu reduzieren, das bedeutet: alle Daten, die Sie nicht unbe- dingt benötigen, müssen Sie löschen. Eine weitere Überlegung, die Sie in diesem Zusammenhang anstellen müssen: Wie lange speichern Sie diese Daten? Es ist klar, dass Sie die persönlichen Daten Ihrer Mitarbeiter speichern und verarbeiten. Aber was passiert, wenn ein Dienstnehmer das Unternehmen ver- lässt? Müssen Sie diese Daten weiter aufbewahren? Dürfen Sie das? Wenn ja, wie lange? Überlegen Sie auch, in welcher Form Sie die Daten verarbeiten. Han- delt es sich dabei um Datenbanken, Software-Programme, Excel-Lis- ten oder analoge Karteien? Die DSGVO unterscheidet zwar bei der Art und Weise der Verarbeitung nicht, im Zuge der Datensicherheit sind aber angemessene Schutzmaßnahmen zu treffen, die unter anderem von der Methode der Verarbeitung abhängig sind. Bestimmte personenbezogene Daten fallen unter die „besonderen Kategorien personenbezogener Daten“ (z.B.: die Sozialversicherungs- nummer und Krankenstandsdaten von beschäftigten Personen). Die- se Datensätze dürfen nur eingeschränkt verarbeitet werden und die Rechtmäßigkeit der Verarbeitung dieser muss besonders geprüft werden. Prüfen Sie, in welchen Bereichen Sie derartige Daten verarbeiten. In jedem Fall wird das bei der Verarbeitung der Sozialversicherungs- nummer für sozialversicherungsrechtliche Zwecke in der Personal- verwaltung zutreffen. Darüber hinaus verwenden Sie unter Umstän- den biometrische Merkmale für Zeiterfassung und Zutrittskontrolle. Sollte Ihre Analyse der Daten und Verarbeitungsvorgänge ergeben, dass Ihre Verarbeitungen mit einem hohen Risiko für die betroffenen Personen verbunden sind, müssen Sie noch weitere Schritte prüfen. Speicher-und Aufbewahrungsfristen Wichtige Begriffsbestimmungen DSGVO 11
ERHEBUNG ALLER VERARBEITUNGSVORGÄNGE & PERSONENBEZOGENEN DATEN FAQ – Wann brauche ich einen Daten- schutzbeauftragten Der Datenschutzbeauftragte Brauche ich einen Datenschutzbeauftragten? Einen Datenschutzbeauftragten brauchen Sie als Verantwortlicher nur unter ganz bestimmten Umständen. Die Gründe für eine notwen- dige Benennung sind in den FAQs detailliert erläutert. Was Sie in jedem Fall bei der Benennung vermeiden müssen, sind In- teressenskonflikte zu den anderen beruflichen Tätigkeiten des Be- auftragten. So würden beispielsweise die Aufgaben des IT-Leiters mit denen des Datenschutzbeauftragten kollidieren und die Benennung dieser Person ist damit nicht möglich. Natürlich ist auch die Benen- nung der Geschäftsleitung aus gleichen Gründen nicht möglich. Ein Spezialfall ergibt sich dadurch natürlich bei EPUs. Sollten Sie ei- nen Datenschutzbeauftragten benötigen, so muss diese Rolle an eine externe Person ausgelagert werden. Beachten Sie bei der Benennung des Beauftragten auch, dass die- se Person die notwendigen fachlichen Qualifikationen mitbringt oder aufbaut und darüber hinaus auch die Mittel zur Umsetzung der ge- setzlichen Aufgaben erhält. Achtung: Der Datenschutzbeauftragte ist gegenüber der Daten- schutzbehörde nicht Verantwortlicher und haftet somit auch nicht für die Nichteinhaltung der DSGVO-Anforderungen. Die Haftung bleibt weiterhin beim Unternehmen. 12 DSGVO
ERHEBUNG ALLER VERARBEITUNGSVORGÄNGE & PERSONENBEZOGENEN DATEN Datenschutz-Folgeabschätzung Eine Datenschutz-Folgeabschätzung ist in der DSGVO gefordert, wenn es ein potentiell hohes Risiko für die Rechte und Freiheiten der be- troffenen Personen gibt. Im ersten Schritt ist also zu definieren, ob ein solches hohes Risiko vorhanden ist. Ablaufplan Datenschutz-Folgeab- schätzung Dabei ist zu bewerten, ob besondere Kategorien von Daten, Daten zu strafrechtlichen Verurteilungen oder die Überwachung öffentlicher Bereiche umfangreich durchgeführt wird. Ebenso relevant wird die Folgeabschätzung bei einer systematischen und umfassenden Be- wertung persönlicher Aspekte natürlicher Personen, wenn die Daten bestimmten Zwecken dienen. Vor der Durchführung einer Datenschutz-Folgeabschätzung sollten Sie auch die gegebenenfalls vorhandene Liste der Daten- schutzbehörde prüfen. Diese können Informationen dazu beinhalten, ob Sie ein Verfahren einer Folgeabschätzung unterziehen müssen oder nicht. In weiterer Folge müssen Sie feststellen, welches Risiko es für die Rechte und Freiheiten der betroffenen Personen es gibt. Bei der Bewertung des Risikos sind folgende Aspekte zu berücksichtigen: • Welche Daten verarbeiten Sie? • Ist die Datenverarbeitung rechtmäßig? Wie ist diese Rechtmäßig- keit sichergestellt? • Halten Sie bei der Verarbeitung die Grundsätze der DSGVO ein? • Welches Risiko besteht hinsichtlich der Vertraulichkeit, Verfügbarkeit oder Integrität? • Wie hoch ist dieses Risiko? • Welche Maßnahmen haben Sie zur Minimierung des Risikos bzw. zum Schutz der Daten getroffen? Die Bewertung des Risikos sollte möglichst objektiv und nachweisbar durchgeführt werden. DSGVO 13
PRÜFUNG DER ZWECKBINDUNG UND RECHTMÄSSIGKEIT Prüfung der Zweckbindung und Rechtmäßigkeit Die Verarbeitung von personenbezogenen Daten darf nur dann erfol- gen, wenn es dafür eine Rechtsgrundlage gibt, auf die Sie sich beru- fen können: Mögliche Grundlagen für die rechtmäßige Verarbeitung sind: • Die Erfüllung eines Vertrages mit der betroffenen Person (z.B.: Dienstvertrag, Kaufvertrag) oder die Anbahnung eines solchen durch Ihren Vertragspartner (Interessenten) • Die Erfüllung einer rechtlichen Verpflichtung (z.B.: gesetzliche Nachweispflicht; steuerliche Aufbewahrungspflichten; gesetzliche Verpflichtungen zur Aufzeichnung der Arbeitszeiten) • Der Schutz lebenswichtiger Interessen einer betroffenen Person oder eines Dritten • Wahrnehmung einer Aufgabe im öffentlichen Interesse oder Aus- Grundsätze und Rechtmäßigkeit der Verarbeitung übung öffentlicher Gewalt • Zur Wahrung eines berechtigten Interesses Ihres Unternehmens, sofern nicht das Interesse oder Rechte der betroffenen Personen überwiegen • Die (freiwillig erteilte und verständlich formulierte) Einwilligung, die jedoch jederzeit widerrufen werden kann Für besondere Kategorien personenbezogener Daten ergeben sich eingeschränkte Rechtsgrundlagen, die gesondert geprüft werden müssen. Als konkreter Handlungsbedarf sind alle Abläufe und die Verwendung der jeweiligen Daten auf Rechtmäßigkeit zu prüfen. Sie müssen also folgende Fragen beantworten: • Auf Basis welcher Rschtsgrundlags führe ich die Verarbeitung durch? • Brauchs ich dis Datsn für disssn Vsrarbsitungszwsck zwingsnd? Ein einfaches Beispiel ist die Verarbeitung von Daten Ihrer Mitarbeiter zum Zweck der Lohn- und Gehaltsverrechnung. Sie verarbeiten die dazu notwendigen Daten zur Erfüllung des Vertrages mit Ihren Be- schäftigten sowie zur Erfüllung einer rechtlichen Verpflichtung (ins- bes. steuerliche Aufbewahrungspflichten und gesetzliche Aufzeich- nungspflichten). Sie verarbeiten darüber hinaus Daten zur Erfüllung der vertraglichen Verpflichtung, indem Sie beispielsweise Zugän- ge zu betrieblichen Informationen oder Arbeitskleidung zur Verfü- gung stellen. Die beruflichen Kontaktdaten Ihrer Mitarbeiter (betrieb- liche E-Mail-Adresse und Telefonnummer) stellen Sie Ihrer gesamten 14 DSGVO
PRÜFUNG DER ZWECKBINDUNG UND RECHTMÄSSIGKEIT Belegschaft zur Verfügung, was als berechtigtes Interesse angesehen werden kann, da es notwendig ist, diese Daten intern im Unternehmen zu verteilen, um die Arbeitsabläufe und Kontaktaufnahmen zu ermög- lichen. Alle Verarbeitungen, die nicht zwingend zur Erfüllung des Dienstver- trages sowie zur Einhaltung rechtlicher Verpflichtungen erforderlich sind oder im Rahmen des berechtigten Interesses stehen, bedürfen einer Einwilligung. Das bedeutet: Wenn Sie diese Daten verarbeiten möchten, müssen Sie die betroffenen Personen um Ihre Erlaubnis fra- gen. Beispiel dafür wäre die Veröffentlichung von Mitarbeiterfotos auf der Webseite oder in sozialen Netzwerken. Bei Einwilligungen sind verschiedene Aspekte zu berücksichtigen, Details dazu finden Sie über den Link. Die gleichen Überlegungen sind für alle Verarbeitungsvorgänge und für alle betroffenen Personengruppen, also auch für Kunden, Liefe- ranten, Partner und andere notwendig. Einwilligungserklärung Darf ich auch mit dsr DSGVO noch sins Vidsoübsrwachung bstrsibsn? Wie bei allen anderen Verarbeitungen ist auch bei der Videoüberwa- chung die Rechtmäßigkeit sicherzustellen. Bildverarbeitung FAQ - Videoüberwachung Relevante Aspekte, die bei der Videoüberwachung (jetzt Bildverarbei- tung genannt) berücksichtigt werden müssen, sind: • Zwsck dsr Übsrwachung Warum gibt es eine Videoüberwachung und ist diese gemäß Österreichischen Anpassungsgesetz rechtmäßig? • Die Aufbswahrungsfrist der Videoaufnahmen beträgt in der Regel 72 Stunden. • Der Zugriff auf dis Aufzsichnungsn sollts singsschränkt sein und nur jenen Personen zur Verfügung stehen, die diesen benötigen bzw. die in einer etwaigen Einwilligungserklärung oder Betriebs- vereinbarung genannt sind. Über die Datenschutzpunkte hinaus sollten Sie bei der Videoüberwa- chung auch etwaige arbeitsrechtliche Aspekte (Betriebsvereinbarung!) beachten. DSGVO 15
Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten ERSTELLUNG DES VERZEICHNISSES DER VERARBEITUNGSTÄTIGKEITEN Erstellung des Verzeichnis der Verarbeitungstätigkeiten Eine wichtige Neuerung in der DSGVO ist das Vsrzsichnis dsr Vsrar- bsitungstätigksitsn, welches von jedem Unternehmen geführt wer- den muss. Auswahl geeigneter und qualifizierter zukünftiger Mitarbeiter Dabei handelt es sich um eine Liste der in Ihrem Unternehmen vor- handenen Vsrarbsitungsvorgängs. Diese Liste kann um einige zu- sätzliche, sinnvolle Informationen ergänzt werden. Folgende Auf- zählung zeigt die zu dokumentierenden Informationen anhand des Beispiels „Bewerbungsverfahren“: • Zwsck dsr Vsrarbsitung • Bsschrsibung dsr Katsgorisn bstroffsnsr Psrsonsn Bewerber • Bsschrsibung dsr Katsgorisn psrsonsnbszogsnsr Datsn Bewerber sonst noch schickt • Katsgorisn von Empfängsrn • Übsrmittlungsn in Drittländsr odsr an intsrnationals Organisa- Kontaktdaten, Lebenslauf, Qualifikationsnachweise, alles was der Personalvermittler tionsn keine • Fristsn für dis Löschung 6 Monate nach Ende Entscheidung über die Auswahl für die Stelle • Tschnischs und Organisatorischs Maßnahmsn zum Schutz dsr Datsn Eingeschränkter Zugriff auf Bewerberdaten; Vernichtung nach Abschluss der Auswahl Alle Verarbeitungsvorgänge sind inklusive dieser Punkte zu doku- mentieren. Das Verzeichnis kann um zusätzliche Punkte, wie bei- spielsweise der bereits geprüften Rschtsgrundlags und die Quslls dsr Datsn erweitert werden. Neben den von Ihnen direkt erhobenen Daten könnten z.B. auch Daten von einer Personalvermittlung bei Ih- nen gespeichert werden. Um das Verzeichnis schnell und einfach zu erstellen, können eini- ge Verarbeitungsvorgänge zusammengefasst werden. Dies kann bei- spielsweise sinnvoll sein, wenn der Zweck, die Kategorien der perso- 16 DSGVO
ERSTELLUNG DES VERZEICHNISSES DER VERARBEITUNGSTÄTIGKEITEN nenbezogenen Daten, die Kategorien der betroffenen Personen und die Kategorien der Empfänger gleich sind. So können Sie beispielsweise die An- und Abmeldung von Mitarbei- tern, die Lohn- und Gehaltsverrechnung, die Urlaubs- und Verwaltung der Krankenstände als Personalverwaltung zusammenfassen. Die DSGVO schreibt nicht vor, in welcher Form oder in welchem De- tailgrad das Verzeichnis zu führen ist. So können Sie dies auf Papier, in einem Word-Dokument, als Excel oder in einem Online-Tool erstellen. Muster-Verarbeitungsverzeichnis für Verantwortliche Wichtig im Zusammenhang mit dem Verzeichnis der Verarbeitungstä- tigkeiten ist, dass dieses im Anlassfall, wenn sich Verarbeitungen er- weitern oder verändern, auf Aktualität geprüft und ggf. ergänzt bzw. korrigiert wird. Eine regelmäßige Prüfung wird also dringend emp- fohlen. Bei der Erstellung kann es auch hilfreich sein, bereits im Datenverar- beitungsregister (DVR) gemeldete Verarbeitungen als Basis heranzu- ziehen. So können Sie dort bereits gemeldete Verfahren und Zwecke in Ihrem neuen Verarbeitungsverzeichnis wiederverwenden. Spei- chern Sie die Auszüge aus dem DVR auch lokal ab, da dieses vor- aussichtlich mit 31.12.2019 abgeschaltet wird. Informationen zu den Datenkategorien und Empfängern finden Sie zudem in der Standard- und Musterverordnung. Datenverarbeitungsregister Standard- und Musterverordnung Achtung: Auch als Auftragsverarbeiter müssen Sie ein Verzeichnis der Verarbeitungstätigkeiten für die Tätigkeiten im Auftrag des jewei- ligen Verantwortlichen (=Ihr Kunde) führen. Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter DSGVO 17
AUFTRAGSVERARBEITER UND VERANTWORTLICHER Auftragsverarbeiter und Verantwortlicher Grundsätzlich können mehrere Stellen in die Datenverarbeitung Ihres Unternehmens eingebunden sein. Daher unterscheidet die DSGVO zwischen drei wesentlichen Partei- en bei der Verarbeitung personenbezogener Daten. • Vsrantwortlichsr Unternehmen , welches die Daten einer natürlichen Person verarbeitet und über die Mittel und den Zweck der Verarbeitung selbst entscheidet. Zum Beispiel verar- beiten Sie als Unternehmen die Daten Ihrer Mitarbeiter sowie Kunden und Liefe- ranten und sind somit Verantwortlicher. • Bstroffsns Psrsonsn Natürliche Personen, deren Daten von einem Verantwortlichen verarbeitet werden. Im konkreten Beispiel also Ihre Mitarbeiter, Kunden und Lieferanten. • Auftragsvsrarbsitsr Eine natürliche oder juristische Person, Behörde oder öffentliche Stelle, die per- sonenbezogene Daten einer betroffenen Person im Auftrag eines Verantwortlichen verarbeitet. Dazu gehören zum Beispiel Lohnverrechner oder IT-Dienstleister. Zur Erfüllung der DSGVO sind von Ihnen alle Auftragsverarbeiter, die Daten in Ihrem Auftrag verarbeiten, zu identifizieren. Dabei kann es sich um externe Lohnverrech- ner, IT-Dienstleister, Hosting-Provider, Werbeagenturen oder Anbieter spezifischer Cloud-Lösungen handeln, wenn von diesen in Ihrem Auftrag personenbezogene Daten verarbeitet werden. Verantwortlicher und Auftragsver- arbeiter Mit allen diesen Auftragsverarbeitern ist eine Auftragsverarbeitervereinbarung abzu- schließen. Dabei handelt es sich um eine Vereinbarung, die den Auftragsverarbeiter zur Einhaltung der gesetzlichen Anforderungen verpflichtet. Diese Auftragsverarbeiterver- einbarung ist schriftlich (oder in elektronisch dokumentierter Form) abzuschließen. Mustervertrag für die Auftrags- verarbeitung Sondsrfall: Das Verhältnis zwischen Verantwortlichem und Auftragsverarbeiter ist nicht immer eindeutig und es kann zu Wechselwirkungen kommen. Sind Sie beispielsweise ein IT-Dienstleister, der die Wartung der IT-Systeme eines Lohnverrechners durchführt, sind Sie Auftragsverarbeiter für die Tätigkeit der IT-Wartung. Erledigt dieser Lohnver- rechner umgekehrt die Lohn- und Gehaltsabrechnung Ihrer Mitarbeiter, so ist dieser gleichzeitig Auftragsverarbeiter für Sie. Das bedeutet: Sie benötigen zwei voneinander unabhängige Vereinbarungen! Achtung: Auch wenn Sie bestimmte Verarbeitungsvorgänge an einen Auftragsverarbei- ter auslagern, bleiben Sie der Verantwortliche, und müssen sich z.B. um die Rechts- grundlage der Verarbeitung selbst kümmern. 18 DSGVO
SICHERHEIT DER VERARBEITUNG Sicherheit der Verarbeitung Als Verantwortlicher sowie als Auftragsverarbeiter sind Sie verpflichtet, ausreichende, dem Stand der Technik entsprechende Sicherheitsmaßnahmen zum Schutz der von Ih- nen verarbeiteten personenbezogenen Daten zu ergreifen. Die DSGVO verweist dabei auf die Angemessenheit der Maßnahmen vor allem im Hinblick auf das Risiko für die Rech- te und Freiheiten der betroffenen Personen. Beim Schutz der Daten geht es in erster Linie um den Schutz der Vertraulichkeit, Integ- rität und der Verfügbarkeit der Daten. Es ist also zu regeln, wie die personenbezogenen Daten vor unbefugtem Zugriff, Verlust und Manipulation geschützt werden. Zu diesem Zweck gibt es eine nahezu endlose Reihe von möglichen Maßnahmen, die er- griffen werden können: • Aufbewahrung von personenbezogenen Daten in pseudonymisierter Form • Verschlüsselung, Speicherung und Weitergabe von personenbezogenen Daten • Anfertigung von verschlüsselten Backups und Aufbewahrung an unterschiedlichen Orten • Verwendung sicherer Passwörter, um den Zugriff auf IT-Systeme zu verhindern • Verwendung von Schreddern oder verplombten Containern für die Entsorgung von Informationen und Daten • Versperren von Büros und Dokumenten, wenn diese unbeaufsichtigt zurückgelassen werden (Clear-Desk) • Einsatz und sichere Konfiguration einer Firewall • Einsatz eines Anti-Viren-Schutzes Diese Liste stellt nur eine kurze Übersicht über mögliche Maßnahmen dar und stellt keinen Anspruch auf Vollständigkeit. Zur Auswahl geeigneter Schutzmaßnahmen, kön- nen Sie sich an die verschiedenen Online-Ratgeber oder an die IT-Security Experts- Groups der WKO wenden. Auch das Thema Weitergabe von Daten via E-Mail sollte beim Thema Datensicherheit berücksichtigt werden. Die Übermittlung von sensiblen Daten über unverschlüsselte E-Mails ist nicht sicher und nicht Stand der Technik. Wird ein E-Mail mit personenbezo- genen Daten (z.B.: monatliche Lohnverrechnungsdaten an den Lohnverrechner) abge- fangen, stellt dies einen unbefugten Zugriff auf Daten und somit eine Datenschutzver- letzung dar. Online-Ratgeber „it-safe“ IT-Safe (mit Checklisten, Broschüren, Rat- gebern) FAQ - Datensi- cherheit IT-Security Ex- perts Group Wichtig ist bei den getroffenen Sicherheitsmaßnahmen, diese auch zu dokumentieren. Dies muss zum Beispiel direkt im Verzeichnis der Verarbeitungstätigkeiten oder kann in einem Informationssicherheitshandbuch erfolgen. Eine umfassende Basis für ein sol- ches Handbuch und mögliche Maßnahmen finden Sie im IT-Sicherheitshandbuch für kleine und mittlere Unternehmen der WKO. IT-Sicherheits- handbuch für KMU DSGVO 19
UMGANG MIT BETROFFENENRECHTEN Umgang mit Betroffenenrechten Betroffenenrechte Betroffene Personen verfügen gemäß DSGVO über definierte Rechte, die sie jederzeit geltend machen können. • Rscht auf Auskunft Jede Person darf von Ihnen Auskunft darüber verlangen, ob bzw. welche personenbezogenen Daten Sie über ihn gespeichert haben und was Sie damit machen. • Rscht auf Bsrichtigung: Eine betroffene Person kann die Berichtigung bzw. Ergänzung der über sie verarbeitenden Daten verlangen. • Rscht auf Löschung (Rscht auf Vsrgssssnwsrdsn): Betroffene Personen haben das Recht auf Löschung der sie be- treffenden personenbezogenen Daten, vorausgesetzt es gibt keine zweckgebundene Notwendigkeit, die Daten weiter zu verarbeiten. So können Sie beispielsweise keine personenbezogenen Daten lö- schen, die Sie aus gesetzlichen Gründen aufbewahren müssen. Ebenfalls von der Löschung ausgenommen sind personenbezo- gene Daten, die Sie zur Abwehr von drohenden Ansprüchen drit- ter Personen aufbewahren müssen (z.B.: Schadensersatzforde- rungen). • Rscht auf Einschränkung: Eine Einschränkung kann gefordert werden, um die personenbe- zogenen Daten von der Verarbeitung auszunehmen, ohne jedoch eine Löschung zu verlangen. • Rscht auf Datsnübsrtragbarksit: Im Zuge der Datenübertragbarkeit kann eine betroffene Person die Übermittlung der von ihr bereitgestellten personenbezogenen Daten an sich oder einen anderen Verantwortlichen verlangen, so- fern die Verarbeitung auf einem Vertrag oder einer Einwilligung beruht. Die Übermittlung muss dabei in einem elektronischen, maschinenlesbaren Format (z.B.: CSV, Excel) erfolgen. • Widsrspruchsrscht Eine betroffene Person kann der Verarbeitung ihrer Daten wider- sprechen, und der Widerspruch löst bei Direktmarketing eine Ver- pflichtung zur Unterlassung der Datenverwendung sowie bei an- deren Gründen eine Abwägung zwischen Interessen aus. 20 DSGVO
UMGANG MIT BETROFFENENRECHTEN Zum Recht auf Löschung ist anzumerken, dass im Sinne der Daten- minimierung und -sparsamkeit, generell alle personenbezogenen Da- ten zu löschen sind, sobald es für diese keinen rechtmäßigen Verar- beitungszweck (mehr) gibt, d.h. die Daten nicht mehr benötigt werden (z.B.: Bewerberdaten = sechs Monate nach Ende des Bewerbungspro- zesses; Daten aus einer Videoüberwachung = 72 Stunden). Sie sollten sich daher firmeninterne Regelung überlegen, wie Sie mit einem solchen Betroffenenbegehren umgehen. Dabei sollten eindeu- tige Verantwortlichkeiten festgelegt werden, die auch der gesamten Belegschaft bekannt sind. Denken Sie bei der Erstellung einer sol- chen Regelung auch an krankheits- bzw. urlaubsbedingte Abwesen- heiten, denn für die Bearbeitung eines Ansuchens haben Sie einen Monat. Es ist notwendig, dass diejenigen Personen, die mit Daten im Unternehmen umgehen, wissen, wer bei einer Anfrage zuständig ist, um nicht unnötig Zeit bei der Beantwortung zu verlieren. DSGVO 21
UMGANG MIT BETROFFENENRECHTEN Wie gehe ich mit Betroffenenbegehren um? Es gibt keine Vorschrift, in welcher Form jemand von Ihnen Auskunft über seine Daten oder die Löschung ebendieser verlangen kann. Sie müssen damit rechnen, dass Sie schriftlich oder per E-Mail, am Te- lefon oder in einem persönlichen Gespräch ein solches Ansuchen be- kommen. Feststellung der Identität Wichtigster Punkt zu Beginn: Überzeugen Sie sich von der Identität des Anfragers, da jede Person natürlich nur ein Auskunftsrecht be- züglich seiner eigenen Daten hat. Nichts wäre unangenehmer, als ei- ner unberechtigten dritten Person die falsche gespeicherte Informati- on weiterzugeben. • Bei telefonischen Ansuchen: Weisen Sie den Anrufer darauf hin, dass – auch zu seinem eigenen Schutz - die Identität geprüft wer- den muss. Ersuchen Sie ihn um ein E-Mail bzw. ein persönliches Gespräch, ev. via Videotelefonie. • Bei E-Mail Ansuchen: Wenn Sie keine Zweifel bezüglich der Identi- tät des Anfragers haben, können Sie eine E-Mail zur weiteren Be- arbeitung des Ansuchens akzeptieren. Ideal wäre es, wenn dieses E-Mail digital signiert wäre. Falls Sie Zweifel an der Identität des Anfragers oder der Echtheit der E-Mail-Adresse haben, verlangen Sie bitte eine genauere Identifikation wie am Telefon. • Bei einem persönlichen Gespräch: Falls Sie die anfragende Per- son nicht kennen, ersuchen Sie um einen Ausweis. Dokumentieren Sie, wie Sie die Identität festgestellt haben. 22 DSGVO
UMGANG MIT BETROFFENENRECHTEN Bearbeitung der Anfrage Auskunft Auf Anfrage müssen Sie die Person darüber informieren, welche Daten Sie über die betroffene Person verarbeiten und warum Sie dies tun. Auskunftspflicht des Verantwortlichen Im Idealfall haben Sie ihr Verarbeitungsverzeichnis so strukturiert, dass Sie sehr schnell die benötigten Informationen zusammenstellen können. Die wichtigsten sind: • welche Daten werden verarbeitet • für welchen Zweck • wie lange werden Sie gespeichert • ob, und wenn ja, an wen diese Daten weitergegeben werden. Sie müssen nun alle Informationen über die anfragende Person zu- sammenstellen. Dabei ist anzuraten, hier einen genauen Prozess in Ihrem Unternehmen festzulegen und den auch strikt einzuhalten. Sollten große Mengen an Informationen über die betroffene Person vorliegen, können Sie eine Präzisierung der Anfrage verlangen. Falls Sie sehr umfangreiche Datenmengen haben und Ihnen die betroffe- ne Person unbekannt ist, könnten Sie sich nach deren Bezug zu Ihrem Unternehmen erkundigen (z.B. Kunde, Lieferant, Anbieter, Messebe- sucher, Veranstaltungsteilnehmer, ehemaliger Mitarbeiter etc.). Idealerweise haben Sie im Verzeichnis der Verarbeitungstätigkeiten auch dokumentiert, wo die personenbezogenen Daten gespeichert sind (z.B.: Excel-Liste, Kundendatenbank oä.). Kopieren Sie die Daten aus den entsprechenden Speicherorten und übermitteln Sie diese an die betroffene Person. Gegebenenfalls sollte dabei auf Verschlüsse- lung gesetzt werden. DSGVO 23
UMGANG MIT BETROFFENENRECHTEN Bsrichtigung, Löschung, Einschränkung Werden Sie zur Berichtigung oder Löschung der Daten bzw. zur Ein- schränkung der Datenverarbeitung aufgefordert, so führen Sie dies durch. Pflicht zur Berichtigung, Löschung und Einschränkung Werden Sie beispielsweise informiert, dass sich der Name der Per- son geändert hat, so passen Sie diesen nach erfolgreicher Identifika- tion an. Im Falle einer Löschung sind die Daten aus Ihren Datenbanken, Netz- laufwerken und E-Mails zu löschen. Backups können nachrangig be- handelt werden. Im Falle einer Datenwiederherstellung aus einem Backup ist aber sicherzustellen, dass bereits gelöschte Daten wieder entfernt werden. Dokumentieren Sie die durchgeführte Handlung. Widsrspruch Verarbeiten Sie Daten auf Basis einer Einwilligung oder eines be- rechtigten Interesses, steht den betroffenen Personen in ungewöhn- lichen Sondersituationen grundsätzlich das Recht auf Widerruf zu, und Sie müssen die Verarbeitung der personenbezogenen Daten ein- stellen. Widerspruch Detaillierte Informationen, wann Sie einem Widerspruch nachkom- men müssen, wann Sie dieses Recht versagen können und wer ei- nen Widerspruch geltend machen kann, finden Sie im weiterführen- den Link. Die Umsetzung des Widerspruches ist zu dokumentieren. Datsnübsrtragbarksit Auf Wunsch sind die personenbezogenen Daten einer betroffenen Person, welche diese bereitgestellt hat, dieser zur Verfügung zu stel- len. Dies hat in einem maschinenlesbaren Format (z.B.: CSV, Excel) zu erfolgen. Detaillierte Angaben zu den Daten, die bereitzustellen sind, und wann Sie einem Ersuchen auf Datenübertragbarkeit nachkommen müssen, finden Sie im weiterführenden Link. Die Übertragung ist zu dokumentieren. Datenübertragbarkeit 24 DSGVO
UMGANG MIT BETROFFENENRECHTEN Überjittlung der Inforjation In jedej Fall jüssen Sie die betroffene Person über die durchge- führten Schritte inforjieren bzw. ij Falle des Auskunftsrechtes die angeforderten Daten überjitteln. Musterschreiben zur Auskunftserteilung Bei der Übermittlung der Informationen sind folgende Punkte zu beachten: • Die Überjittlung erfolgt in der Regel schriftlich, nur auf Wunsch des Anfragers kann sie auch jündlich erteilt werden. • Sie dürfen natürlich nur der betroffenen Person Auskunft geben, also keine Überjittlung an allgejeine Unternehjensadressen. Falls Sie kritische Daten überjitteln, verwenden Sie zusätzliche Sicherheitsjaßnahjen (z.B. E-Mail Verschlüsselung etc.) • Die Auskunft juss in einfacher und klar verständlicher Sprache erfolgen. Eventuell jüssen Sie vielleicht Ihre internen Datenbe- zeichnungen oder Verarbeitungsvorgänge noch überarbeiten. • Sie jüssen den Anfrager ij Rahjen der Auskunft auch über sei- ne weiterführenden Rechte wie Richtigstellung oder Löschung seiner Daten, Untersagen einer weiteren Verarbeitung sowie das Beschwerderecht bei der Aufsichtsbehörde inforjieren. • Wenn Sie keine Daten über den Anfragenden gespeichert haben, schicken Sie ihj eine „Leerjeldung“, denn jede betroffene Per- son hat ein Recht auf Bestätigung der Verarbeitung der perso- nenbezogenen Daten. • Wird der betroffenen Person die Geltendjachung eines Rechtes versagt, so ist ihj dies inklusive einer Begründung ebenso jit- zuteilen. Die Rückjeldung juss in der Regel innerhalb eines Monats ab An- frage erfolgen. Protokollieren Sie den gesajten Vorgang der Anfra- gebeantwortung auch für Ihre Unterlagen. Dies sollte Aufgabe einer zentralen verantwortlichen Person für die Betroffenenrechte sein. Muster - Dokujentationsvorlage für Betroffenenrechte DSGVO 25
UMGANG MIT BETROFFENENRECHTEN Informations- pflichten Online Ratgeber „Informations- pflichten“ Informationspflicht Ein Spezialfall der Betroffenenrechte sind die Informationspflichten. Im Zuge der Erhe- bung personenbezogener Daten müssen Sie die betroffenen Personen über die Verar- beitung detailliert informieren. Es ist unerheblich, ob Sie die Daten direkt bei den be- troffenen Personen oder über Dritte erheben. Sie müssen also die Informationspflicht mit wenigen Ausnahmen und unabhängig von der Rechtsgrundlage der Verarbeitung erfüllen. Am einfachsten kann der Informationspflicht in der Regel dirskt im Zugs dsr Erhsbung nachgekommen werden. Betreiben Sie beispielsweise einen Onlins-Shop, so informie- ren Sie die Personen im Zuge der Registrierung über die Verwendung der Daten. Bei nsusn Mitarbsitsrn wird häufig ein Psrsonalbogsn ausgefüllt, um alle relevanten Daten abzufragen. Weisen Sie die Mitarbeiter im Zuge der Ausfüllung bereits auf die ge- plante Verarbeitung der Daten hin, indem Sie einen kurzen Passus zum Datenschutz er- gänzen. Nehmen Sie eine Klausel zum Datenschutz in die Dienst- oder andere Verträge mit auf und weisen Sie Mitarbeiter sowie Kunden und Lieferanten auf die den Zweck der Daten- verwendung und die Betroffenenrechte hin. Dabei handelt es sich um eine Information, nicht um eine Einwilligung. Bei der Informationspflicht gilt grundsätzlich: js mshr Sis informisrsn, dssto bssssr. Informieren Sie Ihre betroffenen Personen daher über unterschiedliche Kommunikati- onswege, wie beispielsweise: • Datenschutzerklärung auf der Webseite • Datenschutzhinweise bei Online- und anderen Formularen • Hinweis auf den Verarbeitungszweck auf Einwilligungserklärungen • Datenschutzhinweise & -erklärungen in mobilen Apps • Aushängen auf Messeständen und in Verkaufslokalen bzw. -geschäften Es ist zulässig, dass Sie einen allgemeinen Hinweis im Rahmen der Korrespondenz (z.B.: E-Mail oder Schriftstücke) verwenden, in dem Sie auf die Verwendung der per- sonenbezogenen Daten hinweisen, und auf eine Datenschutzerklärung auf der Websi- te verweisen, wenn Sie annehmen können, dass die betroffenen Personen in der Lage sind, sich einfach und ohne große Mühen Kenntnis dieser Information zu verschaffen. Bedenken Sie immer den Weg, auf dem der Kunde zu Ihnen kommt, und informieren Sie beim ersten Kontakt (z.B.: Aushang im Ladenlokal, Hinweis bei der Kassa, Hinweis beim Kontakt-Formular oder Online-Shop, Hinweistafel bei der Videoüberwachung). 26 DSGVO
VERHALTEN BEI EINEM SICHERHEITSVORFALL Verhalten bei einem Sicherheitsvorfall Der Schutz der personenbezogenen Daten ist ein wesentlicher Be- standteil der DSGVO. Zur Datensicherheit gehört auch der Umgang mit Sicherheitsvorfällen – Situationen in denen der Schutz personen- bezogener Daten verletzt wird. Meldung von Datenschutzverletzun- gen (Data Breach Notification) Datenschutzverletzungen sind innerhalb von 72 Stunden an die Da- tenschutzbehörde und unter Umständen auch an die jeweils betroffen Personen zu melden. Muster - Meldung an die Aufsichtsbehörde Verletzungen dieser Art werden als Data-Breach bezeichnet und tre- ten unter anderem bei erfolgreichen Hacking-Angriffen auf Ihr Netz- werk und Ihre Datenbanken, unbeabsichtigter Veröffentlichung von Daten aber auch beim Verlust eines Datenträgers (z.B.: Smartphone, Notebook oder USB-Stick) ein, wenn personenbezogene Daten betrof- fen sind. Verursacht die Datenschutzverletzung ein voraussichtlich hohes Risi- ko für die Rechte und Freiheiten für die betroffenen Personen, müs- sen Sie auch diese über die Datenschutzverletzung informieren. Muster - Benachrichtigung der betroffenen Person Die Herausforderung bei der Meldung an die betroffenen Personen ist die Einschätzung des Risikos einer Datenschutzverletzung. Gelingt es beispielsweise einem Angreifer, sich Zugang zu den Passwörtern Ih- rer Mitarbeiter zu verschaffen und berücksichtigt man dabei, dass die meisten Menschen in der Regel Passwörter mehrfach verwenden, so kann man hier bereits ein hohes Risiko sehen. Der Grund dafür ist ganz einfach: die unbefugte Person könne mit den Zugangsdaten auch Zugriff auf die privaten E-Mail-Konten, Online-Shopping-Portale und viele andere Plattformen erlangen. DSGVO 27
LAUFENDE PRÜFUNG & AKTUALISIERUNG Laufende Prüfung & Aktualisierung Einer der Grundsätze der DSGVO verpflichtet den Verantwortlichen zur nachweislichen Einhaltung der Anforderungen. Konkret bedeutet dies, dass Sie die Wirksamkeit der von Ihnen getroffenen Maßnahmen regelmäßig kontrollieren und nachweisen müssen. Aus diesem Grund sollte ein regelmäßiger Kontrollprozess eingeführt werden. So sollte zumindest einmal pro Jahr geprüft werden, ob Ihre Daten- schutzmaßnahmen und -dokumentationen noch aktuell sind. Dabei sollten unter anderem folgende Punkte geprüft werden: • Ist das Verzeichnis der Verarbeitungstätigkeiten noch aktuell? • Entsprechen ihre Maßnahmen zur Datensicherheit noch dem Stand der Technik? • Sind die etablierten Datensicherheitsmaßnahmen wirksam? • Funktioniert der Prozess zur Beantwortung von Betroffenenbegehren? • Wurden bisherige Betroffenenansuchen dokumentiert? • Gab es Datenschutzvorfälle? Ergänzend sollten auch Ihre Mitarbeiter zumindest jährlich im Umgang mit personenbezogenen Daten sensibilisiert werden. 28 DSGVO
LAUFENDE PRÜFUNG & AKTUALISIERUNG Rechenschaftspflicht Die DSGVO fordert nicht nur die Einhaltung der Anforderungen, sondern auch den Nachweis darüber. So müssen Sie die Wirksamkeit Ihrer Datenschutzmaßnahmen und die konforme Verarbeitung auch nachweisen können. Dies ist nur durch Dokumentation der relevanten Maßnahmen und Tätigkeiten möglich. So sollten Sie zumindest eine Dokumentation über folgende Themenschwerpunkte haben: • Verzeichnis der Verarbeitungstätigkeiten • Arbeitsschritte pro eingegangenem Betroffenenbegehren • Vorhandene Sicherheitsmaßnahmen zum Schutz der personenbezogenen Daten • Schriftliche Vereinbarung mit allen Auftragsverarbeitern Generell ist empfohlen, dass alle Datenschutzmaßnahmen und Tätigkeiten rund um das Thema Datenschutz dokumentiert werden, sofern Ihnen darauf eine Nachweispflicht entstehen kann. DSGVO 29
30 DSGVO
ANMERKUNGEN & WEITERE INFOS Weiterführende Informationen wko.at/datenschutz Diese Themenseite führt Sie durch alle Grundlagen der DSGVO wko.at/datenschutzservice Auf dieser Seite finden Sie alle Serviceangebote der Wirtschaftskammer wie Vertragsmuster, Online-Ratgeber, geförderte Beratungs- und Schulungsangebote, Webinare und Vieles mehr. Ebenso finden Sie hier die Kontaktdaten der Experten in Ihrer Wirtschaftskammer it-safe.at Praxisnahe Informationen und Tools der Bundessparte „Information & Consulting“ zur IT-Sicherheit, die besonders auf die Bedürfnisse kleiner Unternehmen abgestimmt sind DSGVO 31
IMPRESSUM Medieninhaber und Herausgeber Wirtschaftskammer Österreich, Wiedner Hauptstraße 63, 1045 Wien wko.at Autoren Erik Rusek, MSc zert. DSBA (TÜV), Head of Information Security Consulting, VACE Systemtechnik GmbH www.vace-sec.at Dr. Thomas Schweiger, LL.M., CIPP/E, zert. DSBA (DATB, TÜV) www.dataprotect.at Redaktion Mag. Viktoria Haidinger, LL.M, Wirtschaftskammer Österreich Produktion, Gestaltung, Infografiken Inhouse GmbH der Wirtschaftskammern Österreichs April 2018 wko.at/datenschutz