Pflichten für Facebook-Seiten Betreiber

Viele Unternehmen, große und kleine, nutzen Soziale Medien wie Facebook, Google+ ua um ihre Marktpräsenz zu erweitern. Im konkreten Fall stellt sich die Frage, inwieweit man als Betreiber einer betrieblichen Facebook-Seite bzw Facebook-Gruppe im Sinne der DSGVO verantwortlich und haftbar ist.

Grundsätzlich ist also mal zu klären, ob man als Betreiber einer Facebook-Seite auch Verantwortlicher im Sinne der DSGVO ist. Wenn ja, welche Aufgaben und Pflichten erwachsen mir daraus? Und wie kann ich sicherstellen, dass die Verarbeitung von personenbezogenen Daten der Benutzerinnen und Benutzer auch rechtmäßig erfolgt? Eigentlich sind es ja eine ganze Menge mehr an Fragen, die man sich in diesem Zusammenhang stellen kann. Aber ich konzentriere mich jetzt einmal auf diese 3 Kernfragen.

Betreiber einer Facebook-Seite als Verantwortlicher?

Schon diese Frage lässt sich derzeit nicht eindeutig beantworten. Tatsächlich ist sie Gegenstand eines laufenden Verfahrens beim Europäischen Gerichtshof (Rechtssache C-210/16), bei dem es um die Verantwortung des Seiten-Betreibers für Datenschutzverstöße bei der Nutzung von Facebook geht. Folgt man dem Generalanwalt des EuGH, dann ist nämlich neben Facebook in den USA und Europa auch der jeweilige Seiten-Betreiber als (mit)verantwortlich für die Verarbeitungsphase der Erhebung personenbezogener Daten durch Facebook auf der Seite/Gruppe zu sehen. Für den Seiten-Betreiber gelte eine (Mit)Verantwortlichkeit als Administrator der Seite/Gruppe, zumindest für die Phase der Erhebung der Daten. Nationale Instanzen in Deutschland hat diese Mitverantwortung des Seitenbetreibers zuvor klar verneint. Faktum ist, solange der EuGH hier keine  Entscheidung getroffen hat, bleibt die Antwort auf die Frage der Verantwortlichkeit des Seitenbetreibers zumindest offen. Sicherheitshalber sollte man aber beim Betrieb einer Facebook-Seite/Gruppe von einer Rolle als (Mit-)Verantwortlicher ausgehen.

Tolle Übersicht zu dem Thema finden Sie auch bei https://www.dataprotect.at/facebook-fanpages-ga/.

Aufgaben und Pflichten als Seitenbetreiber

Gemeinsam für die Verarbeitung Verantwortliche haben nach Art 26 DSGVO in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche datenschutzrechtlichen Verpflichtungen zu erfüllen hat. Insbesondere ist klarzustellen, wer von ihnen welchen Aufgaben bei der Erfüllung von Betroffenenrechten und Informationspflichten bei der Erhebung der Daten nachzukommen hat. Die wesentlichen Inhalte der Vereinbarung sind der betroffenen Person zur Verfügung zu stellen. Ungeachtet der Einzelheiten der Vereinbarung kann die betroffene Person ihre Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Empfehlungen für Seitenbetreiber

Seitenbetreiber haben sich idR beim Einrichten der Facebook-Seite/Gruppe den Nutzungsbedingungen von Facebook zum Betrieb von Seiten, Gruppen und Veranstaltungen zu unterwerfen. Die Nutzungsbedingungen legen ua fest, dass bei der Nutzung der Seite/Gruppe, eine direkte Datenerhebung durch den Betreiber, und nicht durch Facebook, erfolgt. Der Betreiber hat lt Facebook auch sicherzustellen, dass die Verarbeitung der Daten rechtmäßig erfolgt. Facebook geht sogar soweit zu verlangen, dass der Betreiber alle erforderlichen Einwilligungen („all necessary permissions“) für die Wiederverwendung sicherzustellen hat. Durch wenn die Wieder- oder Weiterverwendung der erhobenen Daten zulässigerweise erfolgen kann, bleibt unklar.

Nachfolgende Empfehlungen seien Seitenbetreibern und Gruppen-Admins nahegelegt (Kein Anspruch auf Vollständigkeit):

  • Einbindung einer eigenen Datenschutzerklärung auf der eigenen Facebook-Seite/-Gruppe;
  • Die Datenschutzerklärung sollte zumindest nachfolgende Informationen enthalten, den Namen und die Kontaktdaten des Verantwortlichen, Zweck und Rechtsgrundlage für die Verarbeitung der Daten, die Speicherdauer, Informationen zu Betroffenenrechten, insbes. Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit. Zusätzlich noch das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, Informationen zur Erforderlichkeit der Bereitstellung und den Folgen einer Nichtbereitstellung der Daten. Siehe dazu auch Art 13 DSGVO;
  • Festlegung welche Aufgaben bei der Erfüllung von Betroffenenrechten man als Betreiber selbst wahrnehmen kann;
  • Hinweis darauf, dass eine Weiterverwendung der Daten durch Facebook stattfindet;
  • Nutzung eines eigenen, mit starkem Passwort gesicherten Accounts für den Betrieb der Seite;
  • Datenschutzfreundliche Voreinstellungen bei den Statistiken für die Seite/Gruppe, wie Page Insights;
  • Hinweis und Link zu den DSGVO-Informationen von Facebook als Ergänzung zur eigenen Datenschutzerklärung;

Im laufenden Verfahren vor dem EuGH ist in den nächsten Monaten mit einem Urteil zu rechnen. Natürlich werden wir dann, wieder über das Thema berichten.

Getagged mit: , , ,

Informationspflicht des Verantwortlichen, Teil 1

Die DSGVO regelt eine Reihe von Mitteilungs- und Informationspflichten für den Verantwortlichen zum Schutz der Rechte der betroffenen Personen. Im Rahmen unserer Tätigkeit als Datenschutzdienstleister bzw Datenschutzbeauftragter sind wir des öfteren in die Planung und Umsetzung von Maßnahmen zur Erfüllung der datenschutzrechtlichen Informationspflichten  eingebunden. In der mehrteiligen Artikelserie „Informationspflichten des Verantwortlichen“ setzen wir uns für Sie mit den erforderlichen Inhalten zur rechtskonformen Umsetzung der Informationspflichten in verschiedenen Verarbeitungsszenarien auseinander.

Informationspflicht – Die Rechtsgrundlage

Die Informationspflicht des Verantwortlichen wird als Recht des Betroffenen im Kapitel III der DSGVO geregelt. Dort heißt es unter anderem:

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. (Art 12 Abs 1 DSGVO)

Artikel 13 und 14 betreffen die Informationspflicht bei der Erhebung von personenbezogenen Daten bei bzw nicht bei der Person. Artikel 15 bis 22 beziehen sich auf einzelne Betroffenenrechte wie das Auskunfts-, Berichtigungs-, Löschungs- und Verarbeitungseinschränkungsrecht, einschließlich damit verbundener Mitteilungspflichten des Verantwortlichen, die Rechte auf Datenübertragbarkeit und Widerspruch  sowie das Recht des Betroffenen nicht ausschließlich einer automatisierten Verarbeitung unterworfen zu werden. Art 34 DSGVO beschreibt die Informationspflichten gegenüber dem Betroffenen bei Datenschutzverletzungen.

Im Teil 1 widme ich mich der DSGVO-Informationspflicht bei der Erhebung von Daten direkt beim Betroffenen. Für diesen Fall hat der Verantwortliche dem Betroffenen beim Zeitpunkt der Erhebung nachfolgende Daten mitzuteilen:

Informationspflicht bei der
Erhebung von Daten direkt beim Betroffenen

Bei der Erhebung von Daten direkt beim Betroffenen hat der Verantwortliche nachfolgende Daten zur Verfügung zu stellen.

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. wenn die Verarbeitung zur Wahrung der überwiegenden berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Anmerkung: In diesem Fall sind noch weitere Aspekte zu beachten.

Um eine faire und transparente Verarbeitung zu gewährleisten, muss der Verantwortliche dem Betroffenen noch weitere Informationen zur Verfügung stellen:

  1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  3. wenn die Verarbeitung auf Grund einer Einwilligung des Betroffenen beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Beabsichtigt der Verantwortliche zB zu einem späteren Zeitpunkt die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, so hat er den Betroffenen vor der Weiterverarbeitung über den neuen Zweck und alle anderen maßgeblichen Umstände zu informieren.

Die Informationspflicht entfällt, wenn die betroffene Person bereits über die Information verfügt.

 

Beschwerden bei der Datenschutzbehörde

Intensive Vorbereitungsarbeiten bei und mit Kunden für die kommende DSGVO haben für das Bloggen zu Datenschutzthemen wenig Zeit gelassen. Immer wieder wurde ich in der jüngsten Vergangenheit gefragt, welche Rolle die Datenschutzbehörde in Zukunft, insbesondere bei Beschwerden von Betroffenen, wohl spielen wird. Anregung genug, sich mit dem Thema, wie folgt, zu befassen.

Datenschutzbehörde muss sich mit Beschwerden befassen

Generell hat die Aufsichtsbehörde sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes zu befassen. Die Datenschutzbehörde hat den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und die Ergebnisse des Verfahrens zu unterrichten. Betroffene haben somit die Möglichkeit, die Überprüfung konkreter Sachverhalte, welche sich auf eine spezifische beanstandete Verarbeitungstätigkeit beziehen, durch die Datenschutzbehörde zu veranlassen.

Das Einreichen von Beschwerden ist seitens der Aufsichtsbehörde durch die Bereitstellung eines Online-Beschwerdeformulars  zu erleichtern. Im Zusammenhang mit der Bearbeitung von Beschwerden verfügt die Datenschutzbehörde über verschiedene Befugnisse gegenüber dem Verantwortlichen bzw Auftragsverarbeiter. So können ua. Verwarnungen ausgesprochen, Verarbeitungsbeschränkungen verfügt, bestimmte Handlungen angewiesen oder eine Geldbuße verhängt werden.

Datenschutzbehörde unterstützt DSGVO-Umsetzung

Die DSGVO sieht vor, dass die Datenschutzbehörde entsprechende Standardvertragsklauseln für die Heranziehung von Auftragsverarbeitern, den Datenverkehr mit Drittstaaten oder Internationalen Organisationen und eine Liste der Verarbeitungsarten (Black-List), für die eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen ist, zu erstellen und zu führen haben. Im Zuge von Konsultationen bei Verarbeitungen mit einem hohen Risiko hat die Behörde den Verantwortlichen zu beraten und innerhalb von 8 Wochen nach Erhalt des Ersuchens eine entsprechende schriftliche Empfehlung auszusprechen.

Die Datenschutzbehörde hat im März 2018 einen Entwurf zu einer Verordnung über Ausnahmen von der Datenschutz-Folgenabschätzung („White-List“) vorgelegt. Die gesetzlich vorgeschriebene Black-List hinsichtlich der Verarbeitungsformen, bei denen die Durchführung einer Datenschutz-Folgenabschätzung verpflichtend ist, lässt noch auf sich warten.

Gebührenbefreiung für Betroffene und Datenschutzbeauftragte

Die Erfüllung der Aufgaben der Datenschutzbehörde ist für Betroffene und für Datenschutzbeauftragte grundsätzlich von Gebühren befreit. Die Aufsichtsbehörde kann jedoch bei offenkundig unbegründeten oder exzessiven Anfragen eine angemessene Bearbeitungsgebühr verlangen oder sich weigern, tätig zu werden. Die Beweislast hiefür trägt die Aufsichtsbehörde. In diesem Zusammenhang stellt sich die interessante Frage, ob die Datenschutzbehörde bei Eingaben (Konsultation bei Datenschutz-Folgenabschätzungen) von Verantwortlichen oder Auftragsverarbeitern, welche keinen Datenschutzbeauftragten benannt haben, berechtigt ist, entsprechende Gebühren bei der Bearbeitung der Eingaben zu verlangen?

Datenschutzbehörde soll mehr Personal erhalten

Die Datenschutzbehörde hat im vergangenen Jahr 16 zusätzliche Planstellen beantragt, um die Vollziehung der zusätzlichen Aufgaben und Befugnisse zu gewährleisten. Eine endgültige Entscheidung über die Genehmigung der beantragten, zusätzlichen Planstellen, ist noch nicht gefallen. 2017 versahen 27 Personen in Teil- oder Vollzeit ihren Dienst bei der Datenschutzbehörde.

Getagged mit:

News Update: Datenschutzgesetz

Aufgrund des stark anwachsenden Projektgeschäfts in den letzten Monaten blieb leider keine Zeit für einen neuen Newsletterbeitrag. Das schlechte Gewissen hat mich geplagt und deshalb nehme ich mir heute Zeit, Sie über aktuelle Entwicklungen beim Datenschutzgesetz zu informieren.

Entwurf zum Datenschutz -Deregulierungsgesetz-2018

Am 22.03.2018 wurden von Abgeordneten des Nationalrats ein Antrag für ein Bundesgesetz zur Änderung des Bundes-Verfassungsgesetzes und des Datenschutzgesetzes eingebracht (Datenschutz-Deregulierungsgesetz 2018).

Die wichtigsten Änderungen betreffen die Herausnahme der juristischen Personen aus dem Grundrecht des Datenschutzes, welches somit ab 25. Mai 2018, EU-konform, nur mehr für natürliche Personen gilt. Ausdrücklich geregelt wird, dass das Grundrecht auf Datenschutz  auch Private verpflichtet. Die bisherigen Verfassungsbestimmungen bzgl Zuständigkeit und räumlichem Anwendungsbereich fallen weg bzw werden durch die entsprechende DSGVO-Bestimmung geregelt.

Bei den Durchführungsbestimmungen soll es zu einem Wegfall des Rechts auf Auskunft (Art 15 DSGVO) kommen, wenn durch die Auskunft die Erfüllung einer dem hoheitlich tätigen Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird. Diese Regelung sieht stark nach der Verankerung des „Amtsgeheimnisses“ im Datenschutzgesetz aus.

Die Befugnisse des Betriebsrats nach dem Arbeitsverfassungsgesetz sollen im Datenschutzgesetz klarer geregelt werden, insbes Überwachungsbefugnisse, Informationspflichten des Betriebsinhabers, zustimmungspflichtige Maßnahmen und Betriebsvereinbarungen sowie  Mitwirkungsrechte in Bezug auf die Personalvertretung bleiben, soweit sie die Verarbeitung personenbezogener Daten im Beschäftigungskontext betreffen, unberührt.

Im nächsten Schritt kommt es zu Beratungen im Verfassungsausschuss. In welcher Form der Antrag tatsächlich Rechtskraft erlangt wird sich im Laufe der nächsten Wochen zeigen.

Entwurf zur Datenschutz-Folgenabschätzung

Ebenfalls im Netz zu finden war ein Entwurf zur Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung („White-List“). Über den Urheber des Entwurfs ist mir derzeit noch nichts bekannt.

Der vorliegende White-List-Entwurf umfasst ua Verarbeitungsvorgänge wie

  • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
  • Personalverwaltung für privatrechtliche Dienstverhältnisse
  • Kundenbetreuung und Marketing für eigene Zwecke
  • Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdienstanbieter und Apotheker
  • Rechts- und Beratungsberufe
  • Organisation von Veranstaltungen.
  • u.a.m

Nach Art 35 Pkt 4 DSGVO ist die Datenschutzbehörde darüber hinaus verpflichtet eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.

Gerichtssachverständige und Datenschutzgesetz

Die Umsetzung des durch die Öffnungsklauseln der DSGVO eingeräumten gesetzgeberischen Gestaltungsspielraums erfolgt in den spezifischen Materiengesetzen, den Datenschutz-Anpassungsgesetzen. Einen der Entwürfe, nämlich den zum Datenschutz-Anpassungsgesetz Justiz 2018, habe ich mir rausgepickt, um hinsichtlich der Stellung von Sachverständigen bei der Verarbeitung von personenbezogenen Daten für ein Gericht, mehr Informationen zu erlangen.

Entsprechende Reglungen finden sich in den Änderungen zum Gerichtsorganisationsgesetz (GOG) des Gesetzesentwurfs. Festgelegt wird, dass die Gerichte im Rahmen ihrer justiziellen Tätigkeit die hiefür erforderlichen personenbezogenen Daten verarbeiten dürfen. Dabei umfasst die justizielle Tätigkeit, alle Tätigkeiten, die zur Erfüllung der Aufgaben in Angelegenheiten der ordentlichen Gerichtsbarkeit erforderlich sind.

Den Erläuterungen zum Gesetzesentwurf ist ferner zu entnehmen, dass auch die Befundaufnahme und Gutachtenserstattung der gerichtlich bestellten Sachverständigen Teil des gerichtlichen Beweisverfahrens ist und somit in diesem Umfang zur justiziellen Tätigkeit der Gerichte gehört. Damit sollten die für Gerichte im Rahmen der justiziellen Tätigkeiten geltenden Ausnahmen, wie keine Aufsicht der Datenschutzbehörde über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen oder keine Benennung eines Datenschutzbeauftragten erforderlich, auch für Sachverständige im Rahmen ihrer Gerichtstätigkeit ihre Wirksamkeit entfalten,

Das Recht auf Auskunft und Information ist laut den Erläuterungen zum Entwurf für Sachverständige nur eingeschränkt gegeben. Ihnen stehen Akteneinsichtsrechte nur soweit zu, als sie auch Parteistellung haben (zB Gebührenbestimmung des Sachverständigen) oder ein rechtliches Interesse dartun können. Die verarbeiteten Daten der Parteien sollen nicht oder nur im unbedingt nötigen Ausmaß für andere Personen zugänglich sein. Hier könnten sich in der Praxis bei der Übersendung von Akteninhalten zur Erstellung von Befund und Gutachten offene Fragen ergeben.

Das eine generelle Zuordnung der Befundaufnahme und Gutachtenserstattung der gerichtlich bestellten Sachverständigen zur justiziellen Tätigkeit der Gerichte nicht allgemein auf Zustimmung stößt, ist einer Stellungnahme der Datenschutzbehörde zum Entwurf zu entnehmen. Die Datenschutzbehörde betont, dass die Frage, ob Sachverständige und Dolmetscher justizielle Tätigkeiten ausüben, sie daher einem Gericht „im Rahmen der justiziellen Tätigkeit“ zuzurechnen sind, im Einzelfall zu klären sein wird.

Es bleibt also spannend. Und wir bleiben am Ball. Versprochen. Und das schlechte Gewissen wird dafür sorgen, dass Versprechen auch gehalten werden.

Verzeichnis von Verarbeitungstätigkeiten

Die ab 25. Mai 2018 zur Anwendung kommende Datenschutz-Grundverordnung (DSGVO) bringt erhöhte Dokumentations- und Rechenschaftspflichten für Unternehmen bei der Verarbeitung personenbezogener Daten mit sich. Einen Schwerpunkt der Dokumentation wird dabei das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO bilden. Die Verpflichtung zur Erstellung und Führung des Verzeichnisses trifft in der Praxis fast alle Verantwortlichen und Auftragsverarbeiter.

Inhalt des Verarbeitungsverzeichnisses

Der Inhalt des Verzeichnisses ist im wesentlichen im §30 der DSGVO geregelt und umfasst:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Sinnvollerweise sollte das Verzeichnis noch mit Informationen zur Rechtmäßigkeit der Verarbeitung ergänzt werden.

Verzeichnis von Verarbeitungstätigkeiten ersetzt DVR-Meldung

Die Pflicht zur Führung eines Verzeichnisses ersetzt in Österreich die Verpflichtung zur Meldung einer Datenanwendung beim Datenverarbeitungsregister (DVR). Die bestehende Offenlegungspflicht ist Teil des DSG 2000 und gilt, bis auf gesetzlich festgelegte Ausnahmen, den sogen Standard- und Musteranwendungen, für alle Auftraggeber bei der Verwendung von personenbezogenen Daten. Bei Durchsicht aktueller Eintragung von Datenanwendungen im Register, kann man jedoch unschwer feststellen, dass diese Pflicht von den Auftraggebern bis dato nicht allzu intensiv wahrgenommen worden ist. Ein Verstoß gegen die Offenlegungspflicht ist aktuell mit einer Verwaltungsstrafe bis 10.000,- Euro bedroht. Mit Einführung der Datenschutz-Grundverordnung entfällt die beschriebene Registrierpflicht von Datenanwendungen.

Stattdessen müssen Verantwortliche (die DSGVO ersetzt den Begriff Auftraggeber durch Verantwortliche) und Auftragsverarbeiter zukünftig zum Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben ein Verzeichnis der Verarbeitungstätigkeiten führen, welches jederzeit und vollständig für die Aufsichtsbehörden vorgehalten werden muss. Bei Regelverstoß droht dann ein Bußgeld von bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes, so dass sich hier für Unternehmen ein dringender Handlungsbedarf ergibt.

Die Verantwortung für das Führen des Verarbeitungsverzeichnisses liegt beim Verantwortlichen bzw Auftragsverarbeiter, dh bei Unternehmen idR bei der Geschäftsführung. In der Praxis wird das Erstellen und das Führen des Verzeichnisses der Verarbeitungstätigkeiten meist dem Datenschutzbeauftragten oder Projektverantwortlichen für Datenschutz übertragen.

Tipps zur Erstellung des Verzeichnisses

Unternehmen, die bereits jetzt ihrer Meldepflicht bei Datenverarbeitungsregister nachgekommen sind, wird die Erstellung des Verzeichnisses naturgemäß leichter fallen. Die österreichische Datenschutzbehörde ermöglicht für registrierte Datenanwendungen den Export der gemeldeten Daten  in elektronischer Form. Die exportierten Daten dienen als Grundlage für das neu zu erstellende Verzeichnis von Verarbeitungstätigkeiten. Es sollte in diesen Fällen jedoch unbedingt geprüft werden, inwieweit die bisherigen Registereinträge die inhaltlichen Anforderungen des Art. 30 DSGVO erfüllen und ggf. entsprechend ergänzt werden müssen. Vor allem bei den Löschfristen und bei der Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen zeichnet sich hier ein Nachbesserungsbedarf ab.

Im Falle von nicht vorhandenen Registrierungen, zB für Standardanwendungen wie die „Personalverwaltung für privatrechtliche Dienstverhältnisse“, muss zunächst festgestellt werden, welche Arten von personenbezogenen Daten von Betroffenen, z.B. Beschäftigten, vom Unternehmen erhoben und verarbeitet werden. Ausgangspunkt ist idR eine Inventarisierung der vom Unternehmen eingesetzten internen bzw externen IT-Systeme, Prozesse und Anwendungen, in denen personenbezogene Daten für verschiedene Zwecke verarbeitet werden. Die Ergebnisse der IST-Analyse dienen als Basis für die weitere Dokumentation des Verzeichnisses von Verarbeitungstätigkeiten. Dieses wird in der Praxis zwecks Übersichtlichkeit meist aus mehreren Verzeichnissen für verschiedene Verarbeitungsvorgänge (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) bestehen und in elektronischer Form erfolgen.

In der Praxis stellt vor allem die Zuordnung einzelner Datenarten zu Datenkategorien eine Herausforderung dar. Beim Rückgriff auf Datenfelder oder -arten leidet rasch die Übersichtlichkeit des Verzeichnisses und der Aufwand zur Bestimmung der vorgesehenen Löschfristen steigt beachtlich.

Umsetzung erfordert Zeit und Personal

Vor allem Unternehmen ohne Meldungen im DVR bzw  interne Datendokumentation sollten den zeitlichen und personellen Aufwand für die Erstellung der Verzeichnisse nicht unterschätzen. Eine vollständige und DSGVO-konforme Erfassung und Dokumentation der Verarbeitungstätigkeiten im Unternehmen ist von einer Vielzahl von Faktoren abhängig und sollte unbedingt rechtzeitig, effizient und effektiv erfolgen. Das Büro für Datenschutz & Datensicherheit unterstützt Sie gerne mit Dienstleistungen bei der Erstellung und Führung des Verzeichnisses der Verarbeitungstätigkeiten.

Getagged mit: ,

Datenschutz für Immobilienmakler

Am 15. Dezember 2017 durfte ich auf Einladung von ERA Immobilien Austria einen Kurzvortrag zum Thema „Datenschutz für Immobilienmakler“ halten. Ziel der Veranstaltung war die grundlegende Information der anwesenden Makler zum den bevorstehenden Anforderungen durch die das Inkrafttreten der DSGVO und des DS-AG 2018 im Mai 2018. In der Vorbereitung auf den Vortrag bin ich auf ein eine interessante Information gestoßen, die mich veranlasst hat, nachfolgenden Beitrag zu schreiben.

Datenschutzprüfung von Immobilienmaklern in Bayern

Immobilienmakler erheben und speichern im Zuge ihrer Tätigkeit bei der Vermietung beim Verkauf von Wohnraum eine Fülle von, mitunter auch sensiblen, personenbezogenen Daten. Diese Ausgangslage veranlasste das Bayrische Landesamt für Datenschutzaufsicht (BayLDA) im Jahre 2015, landesweit zu prüfen, welche personenbezogenen Daten von Immobilienmaklern auf welche Art und Weise und zu welchem Zeitpunkt erhoben werden Vorrangiges Ziel der immer noch andauernden Prüfung ist es, die Makler in Hinblick auf Datenschutz und Datensicherheit zu sensibilisieren, und festzuhalten, welche Daten zu welchem Zeitpunkt erhoben werden dürfen und welche Daten für den Zweck der Vermietung bzw. des Kaufs einer Immobilie aus datenschutzrechtlicher Sicht nicht benötigt werden – und somit folglich nicht erhoben werden dürfen.

Bisheriges Fazit der Prüfung lt BayLDA besteht bei fast allen geprüften Maklern ein Handlungsbedarf bezüglich dem Umfang der erhobenen Daten und der Sicherheit ihrer Webseite.Auch gängige Verfahren zur Reichweitenmessung für E-Mail Aussendungen oder Webseiteninhalte, zB Google Analytics werden oft nicht datenschutzkonform eingesetzt. Ebenso konnte häufig keine Datenschutzerklärung vorgefunden werden.

Auskunftspflicht der Immobilienmakler

Legitimiert war die Prüfung durch die BayLDA durch das deutsche Datenschutzgesetz, welches der Aufsichtsbehörde ein anlassloses Kontrollrecht einräumt. Eine entsprechende Prüfung durch der Datenschutzbehörde im Zuge eines Schwerpunktverfahrens wäre im übrigen auch in Österreich möglich.

Die Auskunftspflicht der Immobilienmakler erstreckte sich im konkreten Fall auf folgende Themen:

  1. Erhebung von Daten über Miet- und Kaufinteressenten einschließlich der Speicherdauer dieser personenbezogenen Daten.
  2. Angaben zur elektronischen Datenerhebung, wie etwa die Kontaktaufnahme per E-Mail oder über die eigene Webseite.
  3. Einzelne Angaben zur Datensicherheit, insbesondere zu den getroffenen technischen und organisatorischen Maßnahmen (z.B. verschlüsselte Kommunikation).
  4. Umfassende Angaben zur Anfertigung von Kopien, insbesondere von den Ausweisen der Interessenten und Mieter
  5. Einsatz externer IT-Dienstleister, wie beispielsweise Cloud-Dienste-Anbieter, Wartungsunternehmen etc.

Das vorläufige Fazit der Behörde zeigt, dass es im Einzelfall, gerade für kleine oder Ein-Personen-Unternehmen die datenschutzkonforme Verarbeitung von personenbezogenen Daten einige Fallstricke beinhalten kann. Eine erste Orientierungshilfe für eine rechtskonforme Handhabung der Datenerhebung im Zuge der Maklertätigkeit liefert das Informationsblatt „Einholung von Selbstauskünften bei Mietinteressenten“. Das 6-seitige Dokument beschreibt in Hinblick auf deutsches Recht die eng gesetzten Grenzen beim Umgang mit personenbezogenen Daten. Die getroffenen Feststellungen in Hinblick auf die gültige oder ungültige Verarbeitung von personenbezogenen Daten bei der „Verwaltung von Besichtigungstermin“ „ Annahme eines Mietangebots“ sowie „Entscheidung für einen bestimmten Mietinteressenten“ sind weitgehend auch für Österreich anwendbar.

Konsequenzen aus Datenschutzverletzungen

Bei Verletzungen des Datenschutzes drohen ab 25. Mai 2018 deftige Strafen für die Verantwortlichen. In Hinblick auf die im oben angeführten Datenschutzmängel könnten seitens der Aufsichtsbehörde schmerzhafte Bußgelder in der Höhe von bis zu 10 Mio Euro verhängt werden. Um entsprechende Strafen zu vermeiden, empfiehlt sich für betroffene Unternehmen eine rechtzeitige und umfassende Vorbereitung auf die zukünftigen Pflichten und Aufgaben durch die DSGVO und das DS-AG 2018.

Links

 

2. OÖ-Datenschutztag – Ein Format gewinnt an Profil

Datenschutztag

Am 24. Oktober 2017 fand in der Welser Villa Muthesius der 2. OÖ-Datenschutztag statt. Im Zuge der Veranstaltung informierten vier Datenschutzexperten über aktuelle Themen in Zusammenhang mit der für 2018 anstehenden Datenschutzreform. Neben den Vorträgen präsentierten Aussteller ihre Datenschutz Management Tools im Dialog mit den Teilnehmerinnen und Teilnehmer.

Datenschutzbehörde mit neuen Aufgaben und Befugnissen

Der stellvertretende Leiter der Datenschutzbehörde, Matthias Schmidl, informierte, in seinem überaus interessanten Einblick in aktuelle Belange der Datenschutzbehörde, über zukünftige, deutlich erweiterte Tätigkeitsbereiche der österreichischen Aufsichtsbehörde.  Die Behörde wird ab Mai 2018 mit einer Reihe von erweiterten Aufgaben und den damit verbundenen Befugnissen  ausgestattet werden, ua unmittelbare Untersuchungsbefugnisse und die Befugnis zur Verhängung von Geldbußen.

Schmidl kündigte auch an, dass die im Gesetz vorgeschriebene Liste der Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, noch im heuer als Verordnungsentwurf in Begutachtung gehen soll. In Hinblick auf das Verzeichnis der Verarbeitungstätigkeiten, verwies auf die seit kurzem bestehenden Exportfunktionen das Datenverarbeitungsregisters (DVR), welche dem Verantwortlichen die Möglichkeit bietet, die Meldedaten der bestehenden Registrierungen von Datenanwendungen herunterzuladen, um diese, als Ausgangspunkt für ein zukünftiges Verzeichnis der Verarbeitungstätigkeiten verwenden zu können.

Aktuelle Entwicklungen im Datenschutzrecht

Der Linzer IT-Anwalt, Thomas Schweiger, unterstrich in seinem, mit einer Vielzahl von praktischen Beispielen gespickten Vortrag, die Konsequenzen von Datenschutzverletzungen für die Verantwortlichen.

Neben unweigerlichen Imageverlusten drohen den betreffenden Unternehmen in Zukunft auch empfindliche Geldbußen bis zu einer Höhe von 20 Mio Euro und mehr.

Schweiger machte auch deutlich, dass Haftung und Compliance im neuen Datenschutzrecht zwei Seiten einer Medaille sind. Je genauer ein Unternehmen, die Bestimmungen des Datenschutzrechtes einhalte, desto geringer wird das Risiko, wegen Schadenersatz in Anspruch genommen zu werden oder eine Geldbuße von der Datenschutzbehörde zu erhalten. Schadenersatzansprüche, die, laut Schweiger, auch Geschäftsführer bei Regressforderungen empfindlich treffen können.

Professionelles Datenschutz Management

Der IT-Sicherheits- und Datenschutzexperte Peter Kleebauer präsentierte in seinem Vortrag, ein, im Zuge seiner Beratungstätigkeit entwickeltes professionelles Datenschutz-Management-System.

Basierend auf vier Fachbereiche: IT, Organisation, Recht und Prozesse entstand dabei ein Praxisleitfaden für Verantwortliche und Auftragsverarbeiter zur Umsetzung einer risikoorientierten Datenschutz-Compliance im Unternehmen.

Anhand von ausgewählten Beispielen verdeutlichte er überaus anschaulich die vielseitigen und praxisnahen Anwendungsmöglichkeiten des Datenschutz-Management-Systems.

Aufgaben eines Datenschutzbeauftragten

Zum Abschluss referierte der Welser Sachverständige für Datenschutz und externe Datenschutzbeauftragte, Horst Greifeneder, über Aufgaben und Pflichten eines Datenschutzbeauftragten in der Praxis.

Neben den Aufgaben aus der DSGVO könne der Datenschutzbeauftragte weitere Tätigkeiten im Rahmen der erforderlichen Maßnahmen zur Datenschutz-Compliance übernehmen. Wichtig sei dabei, dass die Maßnahmen im Rahmen eines eigenen Datenschutz Management Prozesses sorgfältig geplant, umgesetzt und laufend überprüft  bzw verbessert werden. Das Datenschutz Management sei ein fortlaufender Prozess, der im Sinne der Betroffenen, Verantwortlichen und Auftragsverarbeiter stets weiterentwickelt werden muss.

Zufriedene Teilnehmer, neuer Datenschutztag im April 2018

Die Teilnehmerinnen und Teilnehmer der Veranstaltungen zeigten sich im persönlichen Gespräch durchwegs sehr zufrieden mit der Organisation, den Inhalten, Referenten und Ausstellern. Nachfolgend ein paar Aussagen, die in Erinnerung geblieben sind:

Sehr spannend und aufschlussreich. Habe einige wichtige Anregungen für meine eigene Kanzleiarbeit mitnehmen können.

Vollprofis am Werk. Die Vorträge waren alle sehr informativ, unterhaltsam und interessant.

Ein kompetentes Fachpublikum und großes Interesse an unserer Software-Lösung. Als Aussteller haben wir uns bei der Veranstaltung sehr wohl gefühlt.

Die Location und Gastlichkeit waren top. Sehr freundliche und kompetente Aussteller mit interessanten Software-Lösungen für Datenschutz-Management.

Persönlich möchte ich mich bei allen Teilnehmerinnen und Teilnehmer bedanken, welche mit ihrem Interesse und ihren Fragen wesentlich dazu beigetragen haben, den 2.OÖ-Datenschutztag erfolgreich zu machen.

Der nächste OÖ-Datenschutztag ist für den 25. April 2018 geplant.

Rechenschaftspflicht für Verantwortliche und Auftragsverarbeiter

Die EU-weite Datenschutz-Grundverordnung (DSGVO) wird nach einer Übergangsphase von zwei Jahren am 25. Mai 2018 auch in Österreich wirksam werden. Sie bringt, neben einem Wegfall der in Österreich geltenden Meldepflicht für Datenanwendungen im Datenverarbeitungsregister, eine Reihe von neuen Dokumentationspflichten (Rechenschaftspflicht) für Verantwortliche und Auftragsverarbeiter mit sich. Zentraler Baustein, um der normierten Rechenschaftspflicht zu genügen, ist das vom Verantwortlichen und Auftragsverarbeiter zu führende Verzeichnis der Verarbeitungstätigkeiten. Zusätzlich müssen auch das Vorhandensein von Einwilligungen (Art. 7 Abs. 1), das Ergebnis von Datenschutz-Folgenabschätzungen (Art. 35 Abs. 7) sowie geeignete, technische und organisatorische Datensicherheitsmaßnahmen (Art. 32 Abs. 1) durch entsprechende Dokumentationen vom Verantwortlichen und/oder Auftragsverarbeiter nachgewiesen werden können.

Verzeichnis der Verarbeitungstätigkeiten

Dieses Verzeichnis der Verabreitungstätigkeiten betrifft sämtliche – auch teilweise – automatisierte Verarbeitungen sowie nicht automatisierte Verarbeitungen personenbezogener Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Grundsätzlich ist jeder Verantwortliche (z. B. Unternehmen, Freiberufler, Verein) und Auftragsverarbeiter zur Erstellung und Führung eines solchen Verzeichnisses verpflichtet. Es wird in der Praxis wegen der Unterschiede bei den eingesetzten Verfahren notwendigerweise oft aus einer Reihe von Einzelbeiträgen bestehen müssen. Das Verfahrensverzeichnis wird somit die Summe der einzelnen Verfahrensbeschreibungen sein. [1]

Einwilligungen durch betroffene Personen

Beruht die Verarbeitung der personenbezogenen Daten auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten rechtmäßig eingewilligt hat. Grundsätzlich kann die Einwilligung durch die betroffenen Person auch mündlich oder elektronisch erfolgen. Aus Gründen der späteren Nachweisbarkeit der erfolgten Einwilligung empfiehlt sich mE die Schriftform oder ein Double-Opt-In Verfahren. Die Einwilligung muss auch nach Jahren noch nachweisbar sein, was insbesondere bei schriftlichen Erklärungen eine Herausforderung darstellen könnte. Stichwort: Personenbezogenes Dokumenten Management System.

Ferner sind bestehende Einwilligungen bis zur Anwendbarkeit der DSGVO im Mai 2018 upzudaten, eine weitere Übergangsfrist ist nicht vorgesehen. Ab diesem Datum müssen alle genutzten Einwilligungen den verschärften Anforderungen der DSGVO genügen.

Ergebnis der Datenschutzfolgenabschätzungen

Hat die Form der geplanten Datenverarbeitung von personenbezogenen Daten ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so muss der Verantwortliche vorab eine Datenschutzfolgenabschätzung der Verarbeitungsvorgänge in Hinblick auf den Schutz personenbezogener Daten durchführen.

In Hinblick auf geltende Prüfpflichten sind die Inhalte und Ergebnisse einer durchgeführten Datenschutzfolgenabschätzung durch den Verantwortlichen schriftlich zu dokumentieren.

Dokumentation der technischen und organisatorischen Datensicherheitsmaßnahmen

Verantwortliche und Auftragsverarbeiter haben, um ein dem Risiko angemessenes (Daten-)Schutzniveau zu gewährleisten, unter Berücksichtigung des Stands der Technik, der Implementierungskosten und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen geeignete technische und organisatorische Maßnahmen zu treffen.

Die zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten getroffenen Maßnahmen sind ua in Hinblick auf geltende Nachweis- und Prüfpflichten für Verantwortliche und Auftragsverarbeiter zwangsläufig zu dokumentieren.

Geldbußen bei Verstößen gegen die Rechenschaftspflicht

Verstöße durch eine fehlende oder nicht vollständige Dokumentationen oder das Nichtvorlegen der Dokumentationen nach Aufforderung durch die Aufsichtsbehörde können von der Datenschutzbehörde mit Geldbußen von bis zu 20 Mio EUR oder im Fall eines Unternehmens von bis zu 4 % seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs sanktioniert werden.

Empfehlung hinsichtlich Rechenschaftspflicht

Aus unserer Sicht ist es für Unternehmen empfehlenswert, rechtzeitig mit der Planung und Umsetzung einer strukturierten Datenschutzdokumentation, zB vollständiges Verzeichnis von Verarbeitungstätigkeiten. Eine vollständige und aktuelle Datenschutzdokumentation dient als wesentliche Grundlage für dem Verantwortliche und Auftragsverarbeiter zur Erfüllung der, gemäß Art. 5 Abs. 2 DSGVO vorgesehenen Rechenschaftspflicht zur ordnungsgemäßen Verarbeitung von personenbezogenen Daten im Unternehmen.

Die ordnungsgemäße Erfüllung der Rechenschaftspflicht durch den Verantwortlichen bzw dem Auftragsverarbeiter ist bei der Entscheidung durch die Datenschutzbehörde über die Verhängung einer Geldbuße und über deren Betrag gebührend zu berücksichtigen.

Quellen

[1]  Verzeichnis von Verarbeitungstätigkeiten – Art. 30 DS-GVO, Datenschutzkonferenz.

Getagged mit: , ,

Datenschutz für Bewerberdaten

Unternehmen erhalten auf elektronischem Wege fast täglich Bewerbungen auf offene Stellen. Dabei handelt es sich entweder um Initiativbewerbungen oder um eine Bewerbung für eine aktuelle Stellenausschreibung. Die nicht ordnungsgemäße Verarbeitung und Übermittlung von erhaltenen Bewerberdaten kann dabei für den Verantwortlichen schnell zur unvermuteten, datenschutzrechtlichen Stolperfalle werden.

Im Zuge meiner Tätigkeit als externer Datenschutzbeauftragter bin ich immer wieder mit nachfolgenden Fragen konfrontiert:

  • Wie lange dürfen personenbezogene Bewerberdaten (Motivationsschreiben, Lebensläufe, Bewerbungsmappen, Video-Interviews uä) eigentlich gespeichert werden?
  • An wem innerhalb des Unternehmens dürfen sie weiter gegeben werden?
  • Wie dürfen Bewerberdaten erhoben werden und was ist dabei zu beachten?

Bewerberdaten sind zu löschen

Personenbezogene Daten sind zu löschen, wenn sie zur Erfüllung der Datenverarbeitungszweckes nicht mehr benötigt werden und keine rechtmäßige Grundlage für eine weitere Aufbewahrung mehr besteht. Zweck der elektronischen Verarbeitung von Bewerberdaten ist die Auswahl einer, für die freie Arbeitsstelle geeigneten Person. Ist die Stelle besetzt, sind die Bewerberdaten also zu löschen? Im Prinzip ja, außer es gibt eine ausdrückliche, am besten schriftliche, Einwilligung der Bewerberin oder des Bewerbers für eine weitere zulässige Verarbeitung der Bewerberdaten oder eine gesetzliche Grundlage für ein überwiegendes berechtigtes Interesse des Unternehmens für eine längere Aufbewahrung der Daten, zB bis zu 3-jährige Verjährungsfrist hinsichtlich der Geltendmachung von Ansprüchen des Gleichbehandlungsgesetzes (§15 GlBG).

Die häufig geübte Praxis der Übernahme von Bewerberdaten in eine Art von „Bewerberregister“ für zukünftige Stellenausschreibungen ist wohl durch ein überwiegendes berechtigtes Interesse des Unternehmens nicht zu rechtfertigen und bedarf somit der ausdrücklichen Einwilligung der Bewerberin oder des Bewerbers. Wobei es sich empfiehlt diese Einwilligung erst nach der ursprünglichen Stellenbesetzung vorzunehmen, um keinen Einwilligungsdruck auf Bewerberinnen und Bewerber auszuüben.

Zugang und Zugriff auf Bewerberdaten beschränkt

Bewerberdaten dürfen im Unternehmen nur denjenigen Personen zugänglich gemacht werden, die mit der Bewerbung für eine offene Stelle befasst sind. In kleinen und mittleren Unternehmen ist das in der Regel der Arbeitgeber selbst oder die Personalabteilung. Ebenfalls ein berechtigtes Interesse zur Einsichtnahme in personenbezogene Bewerberdaten haben zukünftige Vorgesetzte der Bewerberin bzw des Bewerbers, sofern sie im Zusammenhang mit der gegenständlichen Stellenausschreibung mit ihnen zusammenarbeiten und über deren Einstellung mitentscheiden werden. Schließlich hat auch der Betriebsrat einen bedingten, rechtlichen Anspruch auf die Überprüfung der Grundlagen für die Verarbeitung und Übermittlung der Bewerberdaten (§91 ArbVG).

Sichere Verwendung von Bewerberdaten

Die elektronische Erhebung von Bewerberdaten per E-Mail oder online-gestütztem Bewerbungsformular ist in der Regel durch die mögliche Begründung eines Arbeitsvertrages rechtlich gedeckt. Allerdings sind seitens des Unternehmens für die Erhebung und Übermittlung der Daten, entsprechende organisatorische und technische Datensicherheitsmaßnahmen zu gewährleisten. Werden die Daten im Auftrag des Unternehmens durch einen Dienstleister, zB Personalberater oder eine Online-Jobplattform erhoben bzw übermittelt, sind mit diesem geeignete organisatorische und technische Maßnahmen zum rechtmäßigen Schutz der Daten vertraglich zu vereinbaren. Die ungesicherte Übermittlung von Bewerberdaten im Klartext, ob per Mail oder Formulardaten, ist ein absolutes No-Go. Weiters sind seitens des Unternehmens geeignete Sicherheitsmaßnahmen gegen den unberechtigten Zugriff bzw Zugang zu den Bewerberdaten  zu treffen. So sollte zB das Kopieren von Bewerberdaten auf externe Datenträger bzw die Mitnahme zur Durchsicht der Daten im Home Office entweder gänzlich untersagt oder nur dann erlaubt werden, wenn die Daten verschlüsselt worden sind.

Links

 

 

Getagged mit:

Datenschutz-Anpassungsgesetz 2018

Seit 12. Mai 2017 liegt ein Ministerialentwurf für das Datenschutz-Anpassungsgesetz 2018 vor. Mit der Gesetzesvorlage soll das österreichische Datenschutzgesetz an die Datenschutzgrundverordnung (DSGVO) angepasst werden. Das Werk umfasst  77 Paragraphen und knapp 31 Seiten. Ziel des Entwurfes ist die Aufhebung des bestehenden Datenschutzgesetzes (DSG 2000) und die Erlassung eines neuen Datenschutzgesetzes, mit welchem die durchzuführenden Bestimmungen der DSGVO geregelt werden sollen.

Grundrecht auf Datenschutz

Mit der Aufhebung des DSG 2000 entfällt auch das per Verfassungsgesetz geregelte Grundrecht auf Datenschutz. Im neuen Datenschutzgesetz soll deshalb ein Grundrecht auf Datenschutz geschaffen werden, das inhaltlich auf dem in § 1 DSG 2000 geregelten Grundrecht basiert, jedoch verständlicher ausgestaltet und an die Terminologie der DSGVO angepasst ist sowie nur natürliche Personen schützt.

Durchführung der Datenschutz-Grundverordnung

Die allgemeinen Bestimmungen zur Durchführung der Datenschutz-Grundverordnung enthalten eine interessante Regelung bezüglich der Berichtigung oder Löschung von personenbezogenen Daten. Diese kann, nach Einschränkung der Datenverarbeitung, aus wirtschaftlichen oder technischen Gründen nur zu bestimmten Zeitpunkten vorgenommen werden. Weiters sind hier Ausführungen zur Geheimhaltungspflicht des Datenschutzbeauftragten und zum Datengeheimnis für Verantwortliche, Auftragsverarbeiter und ihre Mitarbeiter enthalten.

Die Einrichtung und Befugnisse der Datenschutzbehörde werden festgelegt genau wie Rechtsbehelfe, Haftung und Sanktionen. Regelungen zur Bildverarbeitung ersetzen die im DSG 2000 vorhandenen Bestimmungen zur Videoüberwachung.

Das Datenschutz-Anpassungsgesetz 2018 sieht bei Verstößen die Verhängung von Geldbußen gegen eine juristische Person vor. Gegen Behörden und öffentliche Stellen können keine Geldbußen verhängt werden. Sofern eine Tat nicht nach einem Tatbestand der DSGVO nicht mit strengeren Strafen bedroht ist, werden Vergehen als Verwaltungsübertretung mit einer Geldstrafe bis zu 50.000 Euro geahndet.

Für die Verarbeitung personenbezogener Daten zum Zweck der wissenschaftlichen Forschung und Statistik, der Benachrichtigung und Befragung von betroffenen Personen, der Freiheit der Meinungsäußerung und Informationsfreiheit und im Katastrophenfall finden sich eigene Regelungen im Entwurf zum Datenschutz-Anpassungsgesetz.

Kommentar zum Datenschutz-Anpassungsgesetz

Der erste Eindruck, Der vorliegende Entwurf ist im Vergleich zum deutschen Anpassungsgesetz sehr gut lesbar und übersichtlich. In weiten Teilen werden Bestimmungen der DSGVO übernommen, Anpassungen werden vor allem in Hinblick auf die Datenschutzbehörde, den Datenschutzrat sowie die Übernahme von bestehenden Regelungen im DSG 2000 durchgeführt. Im nächsten Schritt werden wir den Entwurf im Detail auswerten und Sie weiter informieren.

Gesetzesmaterialien

Ministerialentwurf und weitere Materialien zum Datenschutz-Anpassungsgesetz

 

 

 

Getagged mit:
Top