//
Skip to main content

Die Deadline rückt näher – DSG-VO

Viele Unternehmen sind nicht vorbereitet.

Die Deadline rückt näher – DSG-VO

Viele Unternehmen sind nicht vorbereitet.

 

Die Datenschutz-Grundverordnung gilt vom Einzelunternehmen bis zum Megakonzern.

Extrem hohe Strafen bis 20.000.000 Euro oder 4% des letztjährigen Konzernumsatzes sind möglich!

 

 

Gültigkeit

Die neue EU- Datenschutz Grundverordnung ist ab 25.05.2018 anzuwenden.

Da es sich um eine EU-Verordnung handelt, ist diese sofort gültig.

Es müssen dazu weder nationale Gesetze oder Verordnungen geschaffen werden.

Aufgrund der darin enthaltenen Öffnungsklausel dürfen die Länder jedoch zusätzlich

Gesetze und Verordnungen erlassen.

Das heißt, es kann in den einzelnen Ländern zu beachtende Regelungen geben.

In Österreich wurde das „Datenschutz-Anpassungsgesetz 2018“ erlassen.

ABER: EU-Recht steht über nationales Recht.

In der Verordnung geht es um die Verarbeitung von personenbezogene Daten die in einem Dateisystem gespeichert werden.

DSG-VO Artikel 4 (1)

"personenbezogene Daten" alle Informationen, die sich auf eine identifizierte oder

identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen;

als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt,

insbesondere mittels Zuordnung zu einer Kennung wie einem Namen,

zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung

oder

zu einem oder mehreren besonderen Merkmalen identifiziert werden kann,

die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen

Identität dieser natürlichen Person sind;

 

 

räumlicher Anwendbarkeit

DSG-VO Artikel 3

Die Verordnung gilt weltweit, sofern es sich um betroffene Personen mit Aufenthaltsort in der EU handelt.

Ausländische Dienstanbieter müssen diese Verordnung einhalten.

Beispiel:

•       Facebook

•       Google

•       …

 

 

Betroffene Personenkreise

Alle Menschen

Beispiele:

•       Mitarbeiter

•       Kunden

•       Lieferanten

•       …

 

 

Nicht-Anwendbarkeit

DSG-VO Artikel 2 (c)

Die Verordnung ist nicht anzuwenden bei natürliche Personen zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten.

Nur begrenzte Anwendbarkeit

Datenschutz Anpassungsgesetz 2018 § 27

Auf die Verarbeitung, zu journalistischen Zwecken oder zu wissenschaftlichen,

künstlerischen oder literarischen Zwecken.

 

 

Was ist eine Verarbeitung?

DSG-VO Artikel 4 (2)

"Verarbeitung" jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang

oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten

wie

das Erheben,

das Erfassen,

die Organisation,

das Ordnen,

die Speicherung,

die Anpassung

oder

Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch

Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder

die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung

 

 

Mögliche Beispiele von Anwendungen

DSG-VO Artikel 4 (6)

„Dateisystem“ jede strukturierte Sammlung personenbezogener Daten, die nach bestimmten Kriterien zugänglich sind, unabhängig davon, ob diese Sammlung zentral, dezentral oder nach funktionalen oder geografischen Gesichtspunkten geordnet geführt wird;

Da es keine Einschränkung per Definition auf digitale Ablagen gibt, kann die Anwendbarkeit auf Dateisystem in Papierform nicht ausgeschlossen werden.

Deshalb sollten diese mit berücksichtigt werden.

 

 

Generell gilt:

Die Erhebung, Verarbeitung, … von personenbezogenen Daten ist verboten!

(Name und Zusatz-Information)

Ausgenommen wenn dies aufgrund einer Rechtsgrundlage zulässig oder erforderlich ist

und die Schutzziele und Grundsätze nachweisbar eingehalten werden.

 

 

Dokumentationspflicht

Ohne schriftlicher Nachweisführung der Legalität darf keine Datenerfassung erfolgen.

Beispiele von Anwendungen

•       Bewerbungsunterlagen

•       Mitgliederverzeichnis

•       Strafregisterauszug

•       Lohnabrechnung

•       Geburtstagsliste

•       Qualifikationsnachweise

•       Auflistung von Jubilare

•       Löhne / Gehälter

•       Dienstzeugnis

•       Videoüberwachung

•       Fotos von Personen

•       KFZ-Kennzeichen Arbeitnehmer

•       Outlook-Kontakte

•       Unterschriftenliste z.B. Teilnahmeliste von Schulungen

•       Erhebung Arbeitsunfall

•       …

 

 

Verantwortlich

Datenschutz Anpassungsgesetz 2018 § 19

Die Datenschutzbehörde kann Geldbußen gegen eine juristische Personen verhängen, wenn Verstöße begangen wurden, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

 

 

Risiken bei Nichteinhaltung

DSG-VO Artikel 83

Jede Aufsichtsbehörde stellt sicher, dass die Verhängung von Geldbußen gemäß diesem

Artikel für Verstöße gegen diese Verordnung gemäß den Absätzen 5 und 6 in jedem

Einzelfall wirksam, verhältnismäßig und abschreckend ist.

Fahrlässigkeit reicht für eine Strafe

Mangelnde Vorbereitung kann als Fahrlässigkeit gesehen werden.

Geldbußen von bis zu 10 000 000 EUR oder im Fall eines Unternehmens von bis zu 2 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs

verhängt, je nachdem, welcher der Beträge höher ist.

Bei Verstößen gegen die spezielle Bestimmungen werden Geldbußen von bis zu 20 000 000 EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs verhängt, je nachdem, welcher der Beträge höher ist.

 

 

Risiken bei Nichteinhaltung

Durch das Datenschutzanpassungsgesetz 2018  wird

In besonderen Fällen auf das Strafgesetzbuch hingewiesen.

Damit dies jedoch zum Tragen kommt ist Vorsatz erforderlich.

Da Strafgesetzbuch sieht in speziellen Fällen auch Freiheitsstrafen vor.

 

 

Risiken bei Nichteinhaltung

Datenschutz Anpassungsgesetz 2018 § 18

Jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen das 1. oder

2. Hauptstück  ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz.

Artikel 79 DSG-VO

Wahlweise können solche Klagen auch bei den Gerichten des Mitgliedstaats erhoben werden,

in dem die betroffene Person ihren Aufenthaltsort hat.

Beispielsweise klagt ein deutscher Kunde in Deutschland

gegen einen österreichischen Verantwortlichen.

 

 

Risiken bei Nichteinhaltung

Negativwerbung in der Öffentlichkeit.

 

 

Grundsätze für die Verarbeitung personenbezogener Daten

„ZWECKBINDUNG“

DSG-VO Artikel 5

Personenbezogen Daten dürfen nur für den vereinbarten rechtmäßigen Zweck verarbeitet werden.

Beispiel:

„Ich brauche Ihre Daten für die Lohnverrechnung.“

Diese Daten dürfen dann für nichts anderes verwendet werden.

Eine Verwendung für die Qualitäts-Matrix ist somit nicht erlaubt.

 

 

„DATENMINIMIERUNG“

DSG-VO Artikel 5

Es dürfen nur die für den Zweck absolut notwendige Daten erfasst werden.

Beispiel:

„Geben sie mir sicherheitshalber nach diese persönlichen Daten.

Eventuell können wir diese später brauchen“

Speichern auf Vorrat ist verboten.

Nur das notwendigste.

Jede Daten Art muss begründet werden.

 

 

„RICHTIGKEIT“

DSG-VO Artikel 5

Notwendige Daten müssen gepflegt werden.

Ungültige Daten sind nicht zulässig.

Beispiel:

„In der Personaldatenbank ist eine Wohnadresse hinterlegt,

welche sich bereits vor einem Jahr geändert hat. “

Es wird eine Systematik benötigt um die Richtigkeit von Daten zu gewährleisten.

 

 

„SPEICHERBEGRENZUNG“

DSG-VO Artikel 5

Daten dürfen nur solange gespeichert werden, wie diese unbedingt erforderlich sind.

Beispiel:

„Ein Bewerber schickte Bewerbungsunterlagen für die ausgeschriebene Stelle im Verkauf.

Die Stelle wurde jedoch an jemanden anders vergeben.

Es ist nicht anzunehmen, dass eine weiter Stelle für diese Funktion in absehbarer Zeit frei wird.“

Ohne eigens erteilter Genehmigung des Bewerbers dürfen die Bewerbungsunterlagen nicht archiviert werden.

Bewerbungsunterlagen dürfen maximale 6 Monate gespeichert werden.

(Rechtsgrundlage Gleichbehandlungsgesetz)

 

 

„INTEGRITÄT UND VERTRAULICHKEIT“

DSG-VO Artikel 5

in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschließlich Schutz vor unbefugter oder unrechtmäßiger Verarbeitung und vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Schädigung durch geeignete technische und organisatorische Maßnahmen

Beispiel:

Aus einer Anwendung können ohne größere Probleme beigefügte Dokumente abgerufen werden.

“Data protection by design“ und „data protection by default“ sind erforderlich.

 

 

„RECHENSCHAFTSPFLICHT“

DSG-VO Artikel 5

Es reicht nicht, dass etwas nicht getan wird, sondern es muss umfangreich nachgewiesen werden,

dass alle Grundsätze eingehalten werden.

Beispiel:

Wer greift wo und wie zu?

Sind diese Personen bekannt und berechtigt?

Wie ist der Prozess bei ausgelagerten Systemen?

Welche Anweisungen und Systemabsicherungen sind gegeben?

 

 

Rechtmäßigkeit der Verarbeitung

DSG-VO Artikel 6

Generell ist die Verarbeitung der Daten verboten,

außer Sie können eine Rechtsgrundlage benennen.

•       Einwilligung der betroffenen Person

•       Erfüllung eines Vertrages

•       Rechtliche Verpflichtung (z. B.: Gesetz)

•       Lebenswichtige Interessen

•       Öffentliches Interesse

•       Berechtigte Interesse des Verantwortlichen oder eines Dritten

Beispiel Bewerbungsunterlagen:

Bewerbungsunterlagen dürfen 6 Monate aufbehalten werden.

Grundlage dazu ist das Gleichbehandlungsgesetz § 15

welches eine Beschwerde bis zu 6 Monate zulässt.

Wenn Sie eine andere Rechtsgrundlage

mit einer längeren Frist benennen können gilt dieses.

Somit müssen Sie sich mit allen relevanten Möglichkeiten beschäftigen!

 

 

Einwilligung der betroffenen Person

DSG-VO Artikel 7

Die Einwilligung muss nachweisbar sein.

Die betroffene Person kann die Einwilligung jederzeit wiederrufen.

Die betroffene Person kann verlangen, dass personenbezogene Daten unverzüglich gelöscht werden, bzw. die Einschränkung der Verarbeitung verlangen.

Besser als eine Einwilligung ist das Vorliegen einer rechtlichen Verpflichtung.

 

 

Erfüllung eines Vertrages

DSG-VO Artikel 7

Um einen Vertrag zu erfüllen werden beispielsweise die Kontaktdaten verschiedener Personen benötigt.

Diese Kontaktdaten dürfen solange der Vertrag Bestand hat verwendet werden.

Eventuell bestehen nach Ablauf der Vertragslaufzeit rechtliche Ansprüche des Vertragspartners.

Beispielsweise Garantiansprüche.

Somit verlängert dich die zulässige Datenverarbeitungsdauer bis zum Ablauf dieser Garantieansprüche.

 

 

Rechtliche Verpflichtung

Beispiel:

Arbeitszeiterfassung und Grundlage für die Lohnabrechnung.

Hier bestehen unter anderem Verpflichtungen nach dem AZG, ARB, KJBG, ArbIG, ASVG.

Für die verschiedenen Datenfelder bestehen Verpflichtungen zwischen 1 Jahr und 30 Jahre.

Daten, welche 30 Jahre aufliegen müssen, müssen 30 Jahre abrufbar sein.

Daten für welche jedoch nur eine Verpflichtung von 1 Jahr besteht, dürfen keine 30 Jahre abrufbar sein.

Daraus ergeben sich einerseits IT technische Herausforderungen

für die Löschung von Datenfelder,

wie auch Notwendigkeiten für organisatorische Regelungen.

 

 

Lebenswichtige Interessen

Beispiel:

Verarbeitung der letzten Handy-Positionsdaten einer verschollenen Person.

 

 

öffentliches Interessen

Beispiel:

Archivzwecke, wissenschaftliche oder historische Interessen oder zu statistischen Zwecken

 

 

berechtigte Interessen

DSG-VO Erwägungsgrund 47

Ein berechtigtes Interesse könnte beispielsweise vorliegen, wenn eine maßgebliche und angemessene Beziehung zwischen der betroffenen Person und dem Verantwortlichen besteht, z. B. wenn die betroffene Person ein Kunde des Verantwortlichen ist oder in seinen Diensten steht.

Auf jeden Fall wäre das Bestehen eines berechtigten Interesses besonders sorgfältig abzuwägen.

Beispiel:

Ein berechtigtes Interesse könnte hinsichtlich Leistungsdaten eines Arbeiters im Betrieb vorliegen.

Nach Austritt des Mitarbeiters aus dem Betrieb wäre aber die Archivierung

dieser Leistungsdaten nicht mehr mit berechtigten Interesse zu begründen.

 

 

Verarbeitung besonderer Kategorien personenbezogener Daten

DSG-VO Art 9

Verarbeitung besonderer Kategorien personenbezogener Daten

Die Verarbeitung personenbezogener Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person ist untersagt.

Ausgenommen es gibt dafür eine ausdrückliche Einwilligung bzw.

wenn ein Fall nach Art. 9 (2) vorliegt.

 

 

Verarbeitung besonderer Kategorien personenbezogener Daten

Beispiele:

•       Erhebung der Gewerkschaftszugehörigkeit im Rahmen der Personalverrechnung.

•       Fotos von Mitarbeitern auf der Firmen-Homepage.

•       Fingerabdruckscanner bei Zutrittssystemen.

•       …

 

 

Verarbeitung besonderer Kategorien personenbezogener Daten

Weiteres Beispiele:

Fotos und Daten von Mitarbeiter scheinen in einem Konzern (z.B. in Active Directory) auf.

Dieser Konzern hat einen Standort außerhalb in Indien.

Indien scheint nicht in der Liste der sicheren Drittstaaten auf.

(Commission decisions on the adequacy of the protection of personal data in third countries)

Somit muss DSG-VO Art 46 beachtet werden.

Ein Verantwortlicher darf personenbezogene Daten nur an ein Drittland oder eine internationale Organisation übermitteln, sofern der Verantwortliche geeignete Garantien vorgesehen hat und sofern den betroffenen Personen durchsetzbare Rechte und wirksame Rechtsbehelfe zur Verfügung stehen.

Nähere Definition in DSG-VO Artikel 45 (2).

Bei einer Datenübertragung aufgrund einer Einwilligung muss hier der Betroffene umfassend über die Risiken der Übermittelung seiner Daten informiert werden.

 

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person

DSG-VO Art 13

Werden personenbezogene Daten bei der betroffenen Person erhoben, so muss der Verantwortliche der betroffenen Person zum Zeitpunkt der Erhebung dieser Daten Folgendes mitteilen:

•       Kontaktdaten des für die Erhebung Verantwortlichen

•       Kontaktdaten des Datenschutzbeauftragten

•       Zweck der Erhebung und Rechtsgrundlage

•       Berechtigte Interessen von Dritten

•       Empfänger der Daten

•       Dauer der Datenspeicherung

•       Recht auf Auskunft

•       Recht auf Widerruf der Einwilligung

•       Beschwerderecht und Aufsichtsbehörde

•       Bestehen eine automatischen Entscheidungsfindung (ev. automatischer Bewerbertest)

•       Weitere beabsichtigte Weiterverarbeitung der Daten

•       Woher kommen ergänzende Daten die von Dritten erhoben wurden

•       Recht auf Berichtigung falscher Daten

 

 

Auskunftsrecht

DSG-VO Art 15

Die betroffene Person hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob sie betreffende personenbezogene Daten verarbeitet werden; ist dies der Fall, so hat sie ein Recht auf Auskunft über diese personenbezogenen Daten und auf folgende Informationen

Die Beantwortung muss innerhalb der gesetzlichen Frist erfolgen.

 

 

Verzeichnis von Verarbeitungstätigkeiten

DSG-VO Art 30

Jeder Verantwortliche und gegebenenfalls sein Vertreter führen ein Verzeichnis aller Verarbeitungstätigkeiten, die ihrer Zuständigkeit unterliegen.

Beispiel:

„Alle Anwendungen die personenbezogene Daten beinhalten müssen aufgelistet werden.

Dies geht vom Zeiterfassungsprogramm über Personaldatenbanken, ERP-Systeme hin

bis zu einfachen Excel-Listen (z. B.: Liste der KFZ-Kennzeichen der Mitarbeiter).“

Der Inhalt der Listen ist in der Vorordnung vorgegeben.

Es müssen laufend Datenschutz-Folgeabschätzungen durchgeführt werden.

Das Verabeitungsverzeichnis ist die erste Grundlage um mit der Umsetzung der DSG-VO beginnen zu können!

 

 

Sicherheit der Verarbeitung

DSG-VO Art 32

Die Anwendungen müssen sicher sein, dass Unbefugte keinen einfachen Zugriff darauf erlangen können.

Die Beurteilung des angemessen Schutzniveaus sind zu jeder Anwendung erforderlich.

Beispiel:

„Eine öffentlich zugänglichen Verzeichnis abgespeicherte Excel-Liste über die KFZ-Kennzeichen der Mitarbeiter ist als nicht entsprechend zu betrachten.“

 

 

Datenschutzbeauftragter

DSG-VO Artikel 37, Datenschutzanpassungsgesetz 2018 § 57 (AT), BDSG § 38 (DE)

DSG-VO:

Der Verantwortliche benennt auf jeden Fall einen Datenschutzbeauftragten, wenn …

die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, …

AT:

Verweist auf DSG-VO

DE:

Soweit in der Regel mindestens zehn Personen ständig mit der automatisierten Verarbeitung personenbezogener Daten beschäftigen sind.

 

 

Meldepflicht an die Behörde – Data Breach / Datenleck

DSG-VO Artikel 33

Bei einem Datenleck muss der Behörde innerhalb von 72 die Verletzung gemeldet werden.

Ausnahme: keine Gefahr für die betroffenen Personen

 

 

Befugnisse der Behörde

Datenschutzanpassungsgesetz 2018 § 11

•       Kann Datenverarbeitungen überprüfen

•       Einschau in die Datenverarbeitung

•       Unterlagen begehren

•       Räumlichkeiten betreten

•       Datenverarbeitungsanlagen in Betrieb nehmen

•       Aufklärung verlangen

•       …

 

 

Umsetzungsfahrplan

Projektverantwortlichen / Datenschutzbeauftragten bestellen, Projektstart

Interne / externe Mitwirkende definieren, Projektumfang, Budget und Zeithorizont definieren.

Verfahrensverzeichnis / internationaler Datenverkehr

Erheben der relevanten Anwendungen (Mitarbeiter, Kunde, Lieferant, interne und externe Anwendungen)

Verfahrensdokumentation erstellen

Name der Datenverarbeitung (des Prozesses)

Eigentümer

Technische Beschreibung

Konkreter Zweck der Datenverarbeitung

Rechtsgrundlagen und daraus ergebende Archivierungsdauer

Kategorien betroffener Personen, deren Daten verarbeitet werden

Kategorien personenbezogener Daten, die verarbeitet werden und

Kategorien von Empfängern

Drittländer, an die Daten weitergegeben werden, unter Angabe des konkreten Drittlands und bei Ausnahmetransfer der Drittlandsgarantien

Datensicherheitsbeschreibung

Löschkonzept

Informationspflicht

Infopflichten vorbereiten; Auskunftsrecht, Löschrecht, Datenportabilität, Verständigungspflichten

Auftragsverarbeiter

Erhebung der Auftragsverarbeiter und der Verträge

Verfahrensverzeichnis / internationaler Datenverkehr

Erheben der relevanten Anwendungen (Mitarbeiter, Kunde, Lieferant, interne und externe Anwendungen)

Policies

It-Policies überarbeiten, Betriebsvereinbarungen (ArbVG §97)prüfen

Datenmissbrauch

Organisation darauf vorbereiten; Musterschreiben; Notfallkontakte; Ernstfall üben

Datenschutz durch Technik und Voreinstellung

Anwendbarkeit prüfen, technische und organisatorische Maßnahmen umsetzen

Datenschutz-Folgeabschätzung (DPIA)

Beschreibung der Anwendung und ihrer Zwecke; Identifizieren von Risiken; Beschreibung von Datensicherheitsmaßnahmen;

Löschfristen; Datenempfänger und Begründung; …

Schulungen

Schulung der Belegschaft in allen Ebenen und Geschäftsbereichen zur Awarenessbildung und Prävention

 

 

Bericht: AKTIVNEWS_AT_05_009

Fotos: AKTIVNEWS_AT_05_009

» ACHTUNG SYMBOLBILDER!

Nutzen Sie kostenlos unseren Lokali-Upload für Ihre Bilder!
Informieren Sie uns schnell und unkompliziert über neue Ereignisse und Informationen.

LOKALI UPLOAD

Werbung