Die Deadline rückt näher – DSG-VO
Die Deadline rückt näher – DSG-VO
Viele Unternehmen sind nicht vorbereitet.
Die Datenschutz-Grundverordnung gilt vom Einzelunternehmen bis zum Megakonzern.
Extrem hohe Strafen bis 20.000.000 Euro oder 4% des letztjährigen Konzernumsatzes sind möglich!
Gültigkeit
Die neue EU- Datenschutz Grundverordnung ist ab 25.05.2018 anzuwenden.
Da es sich um eine EU-Verordnung handelt, ist diese sofort gültig.
Es müssen dazu weder nationale Gesetze oder Verordnungen geschaffen werden.
Aufgrund der darin enthaltenen Öffnungsklausel dürfen die Länder jedoch zusätzlich
Gesetze und Verordnungen erlassen.
Das heißt, es kann in den einzelnen Ländern zu beachtende Regelungen geben.
In Österreich wurde das „Datenschutz-Anpassungsgesetz 2018“ erlassen.
ABER: EU-Recht steht über nationales Recht.
In der Verordnung geht es um die Verarbeitung von personenbezogene Daten die in einem Dateisystem gespeichert werden.
DSG-VO Artikel 4 (1)
"personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder
identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen;
als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt,
insbesondere mittels Zuordnung zu einer Kennung wie einem Namen,
zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung
oder
zu einem oder mehreren besonderen Merkmalen identifiziert werden kann,
die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen
Identität dieser natürlichen Person sind;
räumlicher Anwendbarkeit
DSG-VO Artikel 3
Die Verordnung gilt weltweit, sofern es sich um betroffene Personen mit Aufenthaltsort in der EU handelt.
Ausländische Dienstanbieter müssen diese Verordnung einhalten.
Beispiel:
• …
Betroffene Personenkreise
Alle Menschen
Beispiele:
• Mitarbeiter
• Kunden
• Lieferanten
• …
Nicht-Anwendbarkeit
DSG-VO Artikel 2 (c)
Die Verordnung ist nicht anzuwenden bei natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.
Nur begrenzte Anwendbarkeit
Datenschutz Anpassungsgesetz 2018 § 27
Auf die Verarbeitung, zu journalistischen Zwecken oder zu wissenschaftlichen,
künstlerischen oder literarischen Zwecken.
Was ist eine Verarbeitung?
DSG-VO Artikel 4 (2)
"Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang
oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten
wie
das Erheben,
das Erfassen,
die Organisation,
das Ordnen,
die Speicherung,
die Anpassung
oder
Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch
Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder
die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung
Mögliche Beispiele von Anwendungen
DSG-VO Artikel 4 (6)
„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;
Da es keine Einschränkung per Definition auf digitale Ablagen gibt, kann die Anwendbarkeit auf Dateisystem in Papierform nicht ausgeschlossen werden.
Deshalb sollten diese mit berücksichtigt werden.
Generell gilt:
Die Erhebung, Verarbeitung, … von personenbezogenen Daten ist verboten!
(Name und Zusatz-Information)
Ausgenommen wenn dies aufgrund einer Rechtsgrundlage zulässig oder erforderlich ist
und die Schutzziele und Grundsätze nachweisbar eingehalten werden.
Dokumentationspflicht
Ohne schriftlicher Nachweisführung der Legalität darf keine Datenerfassung erfolgen.
Beispiele von Anwendungen
• Bewerbungsunterlagen
• Mitgliederverzeichnis
• Strafregisterauszug
• Lohnabrechnung
• Geburtstagsliste
• Qualifikationsnachweise
• Auflistung von Jubilare
• Löhne / Gehälter
• Dienstzeugnis
• Videoüberwachung
• Fotos von Personen
• KFZ-Kennzeichen Arbeitnehmer
• Outlook-Kontakte
• Unterschriftenliste z.B. Teilnahmeliste von Schulungen
• Erhebung Arbeitsunfall
• …
Verantwortlich
Datenschutz Anpassungsgesetz 2018 § 19
Die Datenschutzbehörde kann Geldbußen gegen eine juristische Personen verhängen, wenn Verstöße begangen wurden, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.
Risiken bei Nichteinhaltung
DSG-VO Artikel 83
Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem
Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem
Einzelfall wirksam, verhältnismäßig und abschreckend ist.
Fahrlässigkeit reicht für eine Strafe
Mangelnde Vorbereitung kann als Fahrlässigkeit gesehen werden.
Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs
verhängt, je nachdem, welcher der Beträge höher ist.
Bei Verstößen gegen die spezielle Bestimmungen werden Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.
Risiken bei Nichteinhaltung
Durch das Datenschutzanpassungsgesetz 2018 wird
In besonderen Fällen auf das Strafgesetzbuch hingewiesen.
Damit dies jedoch zum Tragen kommt ist Vorsatz erforderlich.
Da Strafgesetzbuch sieht in speziellen Fällen auch Freiheitsstrafen vor.
Risiken bei Nichteinhaltung
Datenschutz Anpassungsgesetz 2018 § 18
Jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen das 1. oder
2. Hauptstück ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz.
Artikel 79 DSG-VO
Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden,
in dem die betroffene Person ihren Aufenthaltsort hat.
Beispielsweise klagt ein deutscher Kunde in Deutschland
gegen einen österreichischen Verantwortlichen.
Risiken bei Nichteinhaltung
Negativwerbung in der Öffentlichkeit.
Grundsätze für die Verarbeitung personenbezogener Daten
„ZWECKBINDUNG“
DSG-VO Artikel 5
Personenbezogen Daten dürfen nur für den vereinbarten rechtmäßigen Zweck verarbeitet werden.
Beispiel:
„Ich brauche Ihre Daten für die Lohnverrechnung.“
Diese Daten dürfen dann für nichts anderes verwendet werden.
Eine Verwendung für die Qualitäts-Matrix ist somit nicht erlaubt.
„DATENMINIMIERUNG“
DSG-VO Artikel 5
Es dürfen nur die für den Zweck absolut notwendige Daten erfasst werden.
Beispiel:
„Geben sie mir sicherheitshalber nach diese persönlichen Daten.
Eventuell können wir diese später brauchen“
Speichern auf Vorrat ist verboten.
Nur das notwendigste.
Jede Daten Art muss begründet werden.
„RICHTIGKEIT“
DSG-VO Artikel 5
Notwendige Daten müssen gepflegt werden.
Ungültige Daten sind nicht zulässig.
Beispiel:
„In der Personaldatenbank ist eine Wohnadresse hinterlegt,
welche sich bereits vor einem Jahr geändert hat. “
Es wird eine Systematik benötigt um die Richtigkeit von Daten zu gewährleisten.
„SPEICHERBEGRENZUNG“
DSG-VO Artikel 5
Daten dürfen nur solange gespeichert werden, wie diese unbedingt erforderlich sind.
Beispiel:
„Ein Bewerber schickte Bewerbungsunterlagen für die ausgeschriebene Stelle im Verkauf.
Die Stelle wurde jedoch an jemanden anders vergeben.
Es ist nicht anzunehmen, dass eine weiter Stelle für diese Funktion in absehbarer Zeit frei wird.“
Ohne eigens erteilter Genehmigung des Bewerbers dürfen die Bewerbungsunterlagen nicht archiviert werden.
Bewerbungsunterlagen dürfen maximale 6 Monate gespeichert werden.
(Rechtsgrundlage Gleichbehandlungsgesetz)
„INTEGRITÄT UND VERTRAULICHKEIT“
DSG-VO Artikel 5
in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen
Beispiel:
Aus einer Anwendung können ohne größere Probleme beigefügte Dokumente abgerufen werden.
“Data protection by design“ und „data protection by default“ sind erforderlich.
„RECHENSCHAFTSPFLICHT“
DSG-VO Artikel 5
Es reicht nicht, dass etwas nicht getan wird, sondern es muss umfangreich nachgewiesen werden,
dass alle Grundsätze eingehalten werden.
Beispiel:
Wer greift wo und wie zu?
Sind diese Personen bekannt und berechtigt?
Wie ist der Prozess bei ausgelagerten Systemen?
Welche Anweisungen und Systemabsicherungen sind gegeben?
Rechtmäßigkeit der Verarbeitung
DSG-VO Artikel 6
Generell ist die Verarbeitung der Daten verboten,
außer Sie können eine Rechtsgrundlage benennen.
• Einwilligung der betroffenen Person
• Erfüllung eines Vertrages
• Rechtliche Verpflichtung (z. B.: Gesetz)
• Lebenswichtige Interessen
• Öffentliches Interesse
• Berechtigte Interesse des Verantwortlichen oder eines Dritten
Beispiel Bewerbungsunterlagen:
Bewerbungsunterlagen dürfen 6 Monate aufbehalten werden.
Grundlage dazu ist das Gleichbehandlungsgesetz § 15
welches eine Beschwerde bis zu 6 Monate zulässt.
Wenn Sie eine andere Rechtsgrundlage
mit einer längeren Frist benennen können gilt dieses.
Somit müssen Sie sich mit allen relevanten Möglichkeiten beschäftigen!
Einwilligung der betroffenen Person
DSG-VO Artikel 7
Die Einwilligung muss nachweisbar sein.
Die betroffene Person kann die Einwilligung jederzeit wiederrufen.
Die betroffene Person kann verlangen, dass personenbezogene Daten unverzüglich gelöscht werden, bzw. die Einschränkung der Verarbeitung verlangen.
Besser als eine Einwilligung ist das Vorliegen einer rechtlichen Verpflichtung.
Erfüllung eines Vertrages
DSG-VO Artikel 7
Um einen Vertrag zu erfüllen werden beispielsweise die Kontaktdaten verschiedener Personen benötigt.
Diese Kontaktdaten dürfen solange der Vertrag Bestand hat verwendet werden.
Eventuell bestehen nach Ablauf der Vertragslaufzeit rechtliche Ansprüche des Vertragspartners.
Beispielsweise Garantiansprüche.
Somit verlängert dich die zulässige Datenverarbeitungsdauer bis zum Ablauf dieser Garantieansprüche.
Rechtliche Verpflichtung
Beispiel:
Arbeitszeiterfassung und Grundlage für die Lohnabrechnung.
Hier bestehen unter anderem Verpflichtungen nach dem AZG, ARB, KJBG, ArbIG, ASVG.
Für die verschiedenen Datenfelder bestehen Verpflichtungen zwischen 1 Jahr und 30 Jahre.
Daten, welche 30 Jahre aufliegen müssen, müssen 30 Jahre abrufbar sein.
Daten für welche jedoch nur eine Verpflichtung von 1 Jahr besteht, dürfen keine 30 Jahre abrufbar sein.
Daraus ergeben sich einerseits IT technische Herausforderungen
für die Löschung von Datenfelder,
wie auch Notwendigkeiten für organisatorische Regelungen.
Lebenswichtige Interessen
Beispiel:
Verarbeitung der letzten Handy-Positionsdaten einer verschollenen Person.
öffentliches Interessen
Beispiel:
Archivzwecke, wissenschaftliche oder historische Interessen oder zu statistischen Zwecken
berechtigte Interessen
DSG-VO Erwägungsgrund 47
Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.
Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen.
Beispiel:
Ein berechtigtes Interesse könnte hinsichtlich Leistungsdaten eines Arbeiters im Betrieb vorliegen.
Nach Austritt des Mitarbeiters aus dem Betrieb wäre aber die Archivierung
dieser Leistungsdaten nicht mehr mit berechtigten Interesse zu begründen.
Verarbeitung besonderer Kategorien personenbezogener Daten
DSG-VO Art 9
Verarbeitung besonderer Kategorien personenbezogener Daten
Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.
Ausgenommen es gibt dafür eine ausdrückliche Einwilligung bzw.
wenn ein Fall nach Art. 9 (2) vorliegt.
Verarbeitung besonderer Kategorien personenbezogener Daten
Beispiele:
• Erhebung der Gewerkschaftszugehörigkeit im Rahmen der Personalverrechnung.
• Fotos von Mitarbeitern auf der Firmen-Homepage.
• Fingerabdruckscanner bei Zutrittssystemen.
• …
Verarbeitung besonderer Kategorien personenbezogener Daten
Weiteres Beispiele:
Fotos und Daten von Mitarbeiter scheinen in einem Konzern (z.B. in Active Directory) auf.
Dieser Konzern hat einen Standort außerhalb in Indien.
Indien scheint nicht in der Liste der sicheren Drittstaaten auf.
(Commission decisions on the adequacy of the protection of personal data in third countries)
Somit muss DSG-VO Art 46 beachtet werden.
Ein Verantwortlicher darf personenbezogene Daten nur an ein Drittland oder eine internationale Organisation übermitteln, sofern der Verantwortliche geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.
Nähere Definition in DSG-VO Artikel 45 (2).
Bei einer Datenübertragung aufgrund einer Einwilligung muss hier der Betroffene umfassend über die Risiken der Übermittelung seiner Daten informiert werden.
Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
DSG-VO Art 13
Werden personenbezogene Daten bei der betroffenen Person erhoben, so muss der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mitteilen:
• Kontaktdaten des für die Erhebung Verantwortlichen
• Kontaktdaten des Datenschutzbeauftragten
• Zweck der Erhebung und Rechtsgrundlage
• Berechtigte Interessen von Dritten
• Empfänger der Daten
• Dauer der Datenspeicherung
• Recht auf Auskunft
• Recht auf Widerruf der Einwilligung
• Beschwerderecht und Aufsichtsbehörde
• Bestehen eine automatischen Entscheidungsfindung (ev. automatischer Bewerbertest)
• Weitere beabsichtigte Weiterverarbeitung der Daten
• Woher kommen ergänzende Daten die von Dritten erhoben wurden
• Recht auf Berichtigung falscher Daten
Auskunftsrecht
DSG-VO Art 15
Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen
Die Beantwortung muss innerhalb der gesetzlichen Frist erfolgen.
Verzeichnis von Verarbeitungstätigkeiten
DSG-VO Art 30
Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.
Beispiel:
„Alle Anwendungen die personenbezogene Daten beinhalten müssen aufgelistet werden.
Dies geht vom Zeiterfassungsprogramm über Personaldatenbanken, ERP-Systeme hin
bis zu einfachen Excel-Listen (z. B.: Liste der KFZ-Kennzeichen der Mitarbeiter).“
Der Inhalt der Listen ist in der Vorordnung vorgegeben.
Es müssen laufend Datenschutz-Folgeabschätzungen durchgeführt werden.
Das Verabeitungsverzeichnis ist die erste Grundlage um mit der Umsetzung der DSG-VO beginnen zu können!
Sicherheit der Verarbeitung
DSG-VO Art 32
Die Anwendungen müssen sicher sein, dass Unbefugte keinen einfachen Zugriff darauf erlangen können.
Die Beurteilung des angemessen Schutzniveaus sind zu jeder Anwendung erforderlich.
Beispiel:
„Eine öffentlich zugänglichen Verzeichnis abgespeicherte Excel-Liste über die KFZ-Kennzeichen der Mitarbeiter ist als nicht entsprechend zu betrachten.“
Datenschutzbeauftragter
DSG-VO Artikel 37, Datenschutzanpassungsgesetz 2018 § 57 (AT), BDSG § 38 (DE)
DSG-VO:
Der Verantwortliche benennt auf jeden Fall einen Datenschutzbeauftragten, wenn …
die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, …
AT:
Verweist auf DSG-VO
DE:
Soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind.
Meldepflicht an die Behörde – Data Breach / Datenleck
DSG-VO Artikel 33
Bei einem Datenleck muss der Behörde innerhalb von 72 die Verletzung gemeldet werden.
Ausnahme: keine Gefahr für die betroffenen Personen
Befugnisse der Behörde
Datenschutzanpassungsgesetz 2018 § 11
• Kann Datenverarbeitungen überprüfen
• Einschau in die Datenverarbeitung
• Unterlagen begehren
• Räumlichkeiten betreten
• Datenverarbeitungsanlagen in Betrieb nehmen
• Aufklärung verlangen
• …
Umsetzungsfahrplan
Projektverantwortlichen / Datenschutzbeauftragten bestellen, Projektstart
Interne / externe Mitwirkende definieren, Projektumfang, Budget und Zeithorizont definieren.
Verfahrensverzeichnis / internationaler Datenverkehr
Erheben der relevanten Anwendungen (Mitarbeiter, Kunde, Lieferant, interne und externe Anwendungen)
Verfahrensdokumentation erstellen
Name der Datenverarbeitung (des Prozesses)
Eigentümer
Technische Beschreibung
Konkreter Zweck der Datenverarbeitung
Rechtsgrundlagen und daraus ergebende Archivierungsdauer
Kategorien betroffener Personen, deren Daten verarbeitet werden
Kategorien personenbezogener Daten, die verarbeitet werden und
Kategorien von Empfängern
Drittländer, an die Daten weitergegeben werden, unter Angabe des konkreten Drittlands und bei Ausnahmetransfer der Drittlandsgarantien
Datensicherheitsbeschreibung
Löschkonzept
Informationspflicht
Infopflichten vorbereiten; Auskunftsrecht, Löschrecht, Datenportabilität, Verständigungspflichten
Auftragsverarbeiter
Erhebung der Auftragsverarbeiter und der Verträge
Verfahrensverzeichnis / internationaler Datenverkehr
Erheben der relevanten Anwendungen (Mitarbeiter, Kunde, Lieferant, interne und externe Anwendungen)
Policies
It-Policies überarbeiten, Betriebsvereinbarungen (ArbVG §97)prüfen
Datenmissbrauch
Organisation darauf vorbereiten; Musterschreiben; Notfallkontakte; Ernstfall üben
Datenschutz durch Technik und Voreinstellung
Anwendbarkeit prüfen, technische und organisatorische Maßnahmen umsetzen
Datenschutz-Folgeabschätzung (DPIA)
Beschreibung der Anwendung und ihrer Zwecke; Identifizieren von Risiken; Beschreibung von Datensicherheitsmaßnahmen;
Löschfristen; Datenempfänger und Begründung; …
Schulungen
Schulung der Belegschaft in allen Ebenen und Geschäftsbereichen zur Awarenessbildung und Prävention
Bericht: AKTIVNEWS_AT_05_009
Fotos: AKTIVNEWS_AT_05_009
