Datenschutzgrundverordnung – Unwort des Jahres

Datenschutzgrundverordnung wurde jüngst zum Unwort des Jahres 2018 gewählt. Für mich als Datenschutzbeauftragten ist das natürlich ziemlich unverständlich.

Und ich frage mich: Warum nur?

Eine zufriedenstellende Antwort kann ich so schnell nicht finden. Sicher, Diskussionen darüber, ob Namensschilder an Haustüren, digitale Weihnachtswünsche beim Adventkalender oder gar das Versenden von Weihnachtskarten datenschutzrechtlich zulässig seien, haben nicht gerade zur Popularität des Begriffs beigetragen. 

Was war oder ist passiert?

Nun die Einführung der DSGVO im Mai 2018 war begleitet von einer noch nie dagewesenen Hysterie. Mögliche Geldbußen (bis zu 20 Mio Euro und mehr) erzeugten eine beispiellose Umsetzungspanik. Die Vernunft ist dabei vielfach auf der Strecke geblieben. Die Aufregung wurde durch Medien und Berater verstärkt, die nicht müde wurden, mittels überzogener Beispiele und Warnungen die Furcht vor dem Datenschutzmonster noch zu steigern. Gut gemeint, ist eben nicht gut gemacht. 

Dabei scheint es doch so einfach, einen Konsens zur Sinnhaftigkeit und Zweckmäßigkeit der Datenschutzgrundverordnung zu finden.

Ein besserer Schutz von Betroffenen bei der Verarbeitung ihrer eigenen Daten durch Behörden und Unternehmen. Mehr Rechte für Betroffene bei der Durchsetzung persönlicher Ansprüche und für Unternehmen mehr Möglichkeiten durch freien Verkehr von personenbezogenen Daten. Da kann doch wirklich niemand ernsthaft etwas dagegen haben?

Nun wir wissen es alle.  Die DSGVO wird anders wahrgenommen, ganz anders. Die Rede ist vom, Bürokratiemonster mit überbordenden Nachweispflichten, Ressourcenfresser oder gar, existenzbedrohenden Hindernis für Unternehmen. Die Datenschutzgrundverordnung, ungeliebt wie das Rauchverbot in der Gastronomie, die Registrierkasssenpflicht oder Allergenkennzeichnungsverordnung. Nur noch komplizierter und folgenschwerer.

Muss das so sein?

Nein, Hoffnung bringt die eigene Erfahrung bei Datenschutzprojekten. Bei einer praxisbezogenen und firmengerechten Umsetzung kommt nämlich viel Gutes zu Tage. Digitale Prozesse werden dann nicht nur in Hinblick auf auferlegte Datenschutzpflichten betrachtet, sondern auch bezüglich vorhandener Wertschöpfungspotenziale durchleuchtet. Entdecken und aktivieren heißt die Devise. Schnell wächst das Bewusstsein für den Wert von personenbezogenen Daten. Nicht umsonst heißt es, Daten sind das Öl des 21. Jahrhunderts. Proaktive Datenschutzstrategien schaffen zukünftige Erfolgspotenziale und Differenzierungsmerkmale in der digitalen Wirtschaft. Und ein marktgerechter Datenschutz wird zum Aktivposten in der Umweltbilanz des Unternehmens. 

Persönlich wünsche ich mir also für das kommende Jahr mehr Konzentration auf wesentliche Ziele der DSGVO: Rechtmäßige und sichere Verarbeitung von personenbezogenen Daten, mehr Transparenz und Rechte für Betroffene sowie weniger Hysterie und Skurrilität im täglichen Umgang mit einem persönlichen Grundrecht.

Das wird doch machbar sein, Oida, oder?

3. OÖ-Datenschutztag – Ein Rückblick

previous arrow
next arrow
Slider

Erste Erfahrungen mit der DSGVO

Am 23. Oktober referierten namhafte Datenschutzexperten beim 3. OÖ-Datenschutztag in der Welser Villa Muthesius über erste Erfahrungen und Herausforderungen bei der Umsetzung der seit 25. Mai 2018 zur Anwendung kommenden neuen Datenschutzbestimmungen.

Interessante Expertenvorträge beim Datenschutztag

Mag Ursula Illibauer, Wirtschaftskammer Österreich, berichtete über erste Anzeichen eines wachsenden Unwillens der Wirtschaftstreibenden bei der aufwändigen Umsetzung der zahlreichen Pflichten und Aufgaben aus der DSGVO in der täglichen betrieblichen Praxis. Die anerkannte Datenschutzexpertin verwies dabei auf zahlreiche Hilfsmittel der Wirtschaftskammer, welche allen Verantwortlichen und Auftragsverarbeitern meist kostenlos zur Verfügung stehen und eine weite Verbreitung gefunden haben.

Der Welser IT-Rechtsspezialist Dr Michael Pachinger skizzierte mögliche Haftungsfragen und Schadenansprüche gegenüber den Verantwortlichen bei Datenschutzverletzungen. Der langjährige EuroPrise Experte erörterte zudem Möglichkeiten einer Datenschutzzertifizierung als Nachweis für eine DSGVO-konforme Verarbeitung von personenbezogenen Daten.

Mag Georg Lechner, langjähriger Mitarbeiter der Datenschutzbehörde, betonte mehrmals die Notwendigkeit, dass sich Verantwortliche und Auftragsverarbeiter bei der Verarbeitung von personenbezogenen Daten mit den Anforderungen der DSGVO ernsthaft auseinandersetzen müssten. Besonders wichtig sei dabei, eine nachvollziehbare Dokumentation einzelner Entscheidungen. Die österreichische Datenschutzbehörde würde dann im konkreten Schadensfall für aufgetretene Fehler eher Verständnis zeigen können. Eine völlige Ignoranz der gesetzlichen Bestimmungen aber absolut nicht goutieren.

Mag Sabine Brunner, Datenschutz-Expertin von pwc Legal, sprach über Besonderheiten bei der Verarbeitung von personenbezogenen Daten im Unternehmensverbund und zeigte verschiedene Lösungen für eine rechtskonforme Umsetzung der DSGVO bei der Verarbeitung und Übermittlung von Daten in Konzernen, zB Corporate Binding Rules.

Aussteller zeigten Tools und Geräte

Begleitet wurde die Veranstaltung von einer frei zugänglichen Ausstellung. Hier präsentierten unter anderem das Welser Datenschutz-Start-Up DataReporter das gleichnamige Datenschutz Management Tool mit einer Vielzahl von Funktionen zur Umsetzung von DSGVO-Aufgaben und Pflichten.  Und der Welser Büroausstatter SSI Schäfer Shop zeigte gemeinsam mit seinem Partner HSM unterschiedliche Geräte zur DSGVO-konformen Vernichtung von Akten und Papierdokumenten.

Datenschutztag ein Erfolg

„Der dritte OÖ-Datenschutztag war aus meiner Sicht ein voller Erfolg. Das Feedback der Teilnehmerinnen und Teilnehmer war überaus positiv. Es gibt in Oberösterreich keine vergleichbare Veranstaltung, bei der sie so direkten Kontakt zu namhaften Experten finden können“, zeigte sich Veranstalter Horst Greifeneder vom Welser Büro für Datenschutz & Datensicherheit zufrieden mit dem Verlauf des heurigen Datenschutztages.

Am Ende der Veranstaltung war klar, dass die Anforderungen einer gesetzeskonformen Umsetzung der neuen Datenschutzbestimmungen für Verantwortliche, Auftragsverarbeiter, Datenschutzbeauftragte oder Behörden eine enorme Herausforderung darstellen und noch lange nicht abgeschlossen sein werden.

3. OÖ-Datenschutztag | 23.10.2018 | Wels

Seit mehr als 100 Tagen ist die DSGVO nun in Kraft und zeigt bereits Wirkung. Die Anzahl der Beschwerden und Meldungen von Datenschutzverletzungen bei der österreichischen Datenschutzbehörde sind signifikant angestiegen. Trotzdem sind noch immer mehr als die Hälfte der Unternehmen damit beschäftigt, die erforderlichen Maßnahmen zur Umsetzung der neuen Aufgaben und Pflichten in die betriebliche Praxis einzuführen.

DSGVO echte Herausforderung

„Die DSGVO ist in der Umsetzung eine echte Herausforderung. Gröbere Schwierigkeiten bereitet vor allem die Tatsache, dass hinsichtlich der konkreten praktischen Umsetzung der zahlreichen gesetzlichen Vorgaben weitgehend Unklarheit besteht. Vor allem kleinere und mittlere Unternehmen kämpfen mit den damit verbundenen Unwägbarkeiten und Bußgeld-Risiken“, verweist der Welser Datenschutzbeauftragte Horst Greifeneder, auf bestehende Herausforderungen für Verantwortliche in den Unternehmen.

3. OÖ-Datenschutztag in Wels

Am 23. Oktober 2018 findet bereits zum dritten Mal der OÖ-Datenschutztag in der Welser Villa Muthesius statt. Das Programm der Veranstaltung ganz im Zeichen der ersten Erfahrungen mit den neuen Datenschutzregelungen in der betrieblichen Praxis. In vier Vorträgen beleuchten namhafte Experten auf praxisnahe Art und Weise offene Fragen und bestehende Herausforderungen in den ersten Monaten der Gültigkeit der neuen Datenschutzregeln.

Ergänzend zu den Experten-Vorträgen präsentieren Anbieter von Datenschutz-Management-Tools und -Dienstleistungen ihre Produkte und Angebote in einer begleitenden Ausstellung.

Programm 3. OÖ-Datenschutztag

Ein spannendes und informatives Programm erwartet die Teilnehmerinnen und Teilnehmer beim 3. OÖ-Datenschutztag in der Welser Villa Muthesius.

  • Die Datenschutz-Expertin der Wirtschaftskammer Österreich, Frau Mag. Ursula Illibauer, spricht über erste Erfahrungen, bestehende Herausforderungen und praktische Hilfsmittel bei der DSGVO-Umsetzung aus Sicht der Unternehmen.
  • Rechtsanwalt Dr. Michael Pachinger, Partner bei SCWP Schindhelm und Experte für IP & IT sowie Datenschutzrecht, erörtert Haftungsfragen und Schadenersatzansprüche der Betroffenen  bei Datenschutzverletzungen und versucht die Farge zu beantworten, ob Zertifizierung eine mögliche Compliance Garantie darstellen könnte.
  • Der langjährige Mitarbeiter der Datenschutzbehörde, Mag. Georg Lechner, spricht über die Notwendigkeit von Datenschutzfolgenabschätzungen und gibt einen Einblick hinsichtlich möglicher Untersuchungen vor Ort und die Zusammenarbeit mit der Datenschutzbehörde.
  • Mag. Sabine Brunner, Expertin für Datenschutzrecht bei PwC Legal, beschäftigt sich mit Spezialfragen der rechtskonformen Umsetzung der DSGVO in einer Unternehmensgruppe und der Möglichkeit zur Benennung eines Konzerndatenschutzbeauftragten.

Die Veranstaltung bietet den Teilnehmerinnen und Teilnehmer zudem die Möglichkeit, sich direkt mit den anwesenden Experten und KollegInnen über laufende Datenschutz-Projekte auszutauschen und in der begleitenden Ausstellung über praxiserprobte Datenschutz Management-Tools zu informieren.

Frühbucher-Bonus

Ticket bis zum 25. September 2018 zum Vorzugspreis von 190 Euro statt 240,- Euro, exkl MwSt. Tickets jetzt online bestellen unter www.bdsb.at/.

KURZINFO

3. OÖ-Datenschutztag, 23.10.2018, 13 – 17 Uhr,
Villa Muthesius Wels, Pollheimerstraße 4, 4600 Wels.
Programm & Anmeldung unter www.bdsb.at oder T 07242-77715.
Veranstalter: Büro für Datenschutz & Datensicherheit, Wels.

Rückfragen?

Gerne stehe ich Ihnen für Fragen zur Veranstaltung oder zum Datenschutz persönlich für Auskünfte zur Verfügung.

Getagged mit: , , ,

Verpflichtung zur Datenschutz-Folgenabschätzung

Die DSGVO sieht bei Verarbeitungen von personenbezogenen Daten mit einem hohen Risiko für die Rechte und Freiheiten des Betroffenen eine verpflichtende, vorab durchzuführende, Datenschutz-Folgenabschätzung durch den Verantwortlichen vor.

Hat eine Form der Verarbeitung, insbesondere bei Verwendung neuer Technologien, aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personenbezogener Daten durch.

Art 35 DSGVO

Im Kern geht es also darum, für bestimmte (hoch riskante) Formen von Verarbeitungen vorab einzuschätzen, welche möglichen Folgen für Betroffene entstehen können.

Verordnungen zur Datenschutz-Folgenabschätzung

Laut DSGVO hat die Aufsichtsbehörde eine Liste der Verarbeitungsvorgänge zu erstellen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist, und diese zu veröffentlichen und mit anderen Aufsichtsbehörden abzustimmen.

Die österreichische Datenschutzbehörde hat bereits im Mai 2018 eine Verordnung für Ausnahmen der Datenschutzfolgenabschätzung (DSFA-AV), eine sogen White-List, verlautbart. Und hat nun in den Sommermonaten, einen Entwurf für eine Verordnung über Verarbeitungsvorgänge, für die eine Datenschutz-Folgenabschätzung durchzuführen ist (DSFA-V), die sogen Black-List, zur Begutachtung nachgereicht. Seit der Aussendung ist nicht viel passiert, dennoch lohnt sich ein Blick auf die in der Blacklist aufgezählten Verarbeitungen, bei denen die Datenschutzbehörde von einem hohen Risiko für Betroffene ausgeht.

Verpflichtende Datenschutz-Folgenabschätzung

Grundsätzlich unterscheidet die Verordnung zwischen Verarbeitungsvorgängen bei denen schon beim Vorliegen eines Kriteriums eine Datenschutz-Folgenabschätzung durchzuführen ist und Verarbeitungen bei denen mindestens zwei Kriterien erfüllt sein müssen. Eine weiterführende, detaillierte Auseinandersetzung mit den einzelnen Kriterien würde den Rahmen des Newsletters sprengen. Ich habe aber nachfolgend, drei für die betriebliche Praxis relevante Verarbeitungen ausgewählt und in Stichworten kurz zusammengefasst:

  • Verarbeitungen, welche die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben und Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der betroffenen Person bewerten und negative rechtliche, physische oder finanzielle Auswirkungen haben können.
  • Netzwerk-basierte Bild-/Tonverarbeitung, welche die Beobachtung, Überwachung oder Kontrolle von Betroffenen zum Ziel oder auf eine systematische, umfangreiche
    Überwachung öffentlich zugänglicher Bereiche abzielen bzw öffentliche Örtlichkeiten oder Straßen erfassen.
  • Verarbeitungen, bei denen Daten aus mehreren, von verschiedenen Verantwortlichen durchgeführten Verarbeitungszwecken zusammengeführt oder abgeglichen werden und die über die von einem Betroffenen üblicherweise zu erwartenden Verarbeitungen hinausgehen, sofern diese für Zwecke erfolgen, für welche nicht alle der zu verarbeitenden Daten direkt beim
    Betroffenen erhoben wurden, oder automatisierte Entscheidungen getroffen werden können, welche die betroffenen Personen in erheblicher Weise beeinträchtigen.
  • Verarbeitung von besonderen Kategorien personenbezogener Daten bei schutzbedürftigen Betroffenen, wie unmündigen Minderjährigen, Arbeitnehmern, Patienten, psychisch Kranken und Asylwerbern.

Ausnahmen bestehen hier allenfalls, im Zusammenhang mit Beschäftigungsverhältnissen, wenn eine Betriebsvereinbarung oder Zustimmung der Personalvertretung vorliegt.

Die oa Ausführungen geben die Verordnung in Kurzfassung wieder. Zu beachten ist ferner, dass nach den mir vorliegenden Informationen die Verordnung noch nicht in Kraft getreten ist, dh. der endgültige Regelungsgehalt der Verordnung ist noch offen. In Hinblick auf die Notwendigkeit und Vorbereitung eigener, erforderlicher Datenschutz-Folgenabschätzungen liefert der Entwurf aber eine wertvolle Orientierung für Verantwortliche.

Links

Save the Date: 3. OÖ-Datenschutztag, 23.10.2018.

Am Dienstag, den 23. Oktober 2018, 13 – 17 Uhr, findet der OÖ-Datenschutztag bereits zu dritten Mal in der Welser Villa Muthesius statt. 4 Expertinnen und Experten von der Datenschutzbehörde, Datenschutzkanzleien und der Wirtschaft sprechen über erste Erfahrungen, Herausforderungen und Best-Practice-Beispiele bei der Umsetzung der DSGVO in die betriebliche Praxis.

Für Schnellentschlossene gibt es einen Frühbucher-Bonus bis zum 18. September 2018.

Programm und Anmeldung unter www.datenschutzbeauftragter.co.at.

Getagged mit: , ,

Datenschutzverletzung – Was ist nun zu tun?

Die DSGVO ist seit knapp 6 Wochen in Anwendung und schon kam es zu einer Datenschutzverletzung bei der österreichischen Nummer 1 bei Markenelektronik. Laut Benachrichtigung der Firma zum Datensicherheitsvorfall (data breach notification) besteht der Verdacht, dass Kundendaten in krimineller Absicht von den Webservern des Unternehmens entwendet wurden. Im gleichen Atemzug versucht das Unternehmen zu beruhigen und teilt mit, dass „zu keinem Zeitpunkt relevante Zahlungsdaten (Kreditkarte, Kontonummer, Paypal-Account usw.) gespeichert wurden und diese daher nicht betroffen sind.“

Bei der Verletzung des Schutzes personenbezogener Daten sieht die DSGVO zwei wesentliche Pflichten für den Verantwortlichen vor:

  1. Meldung bei der Aufsichtsbehörde (Art 33 DSGVO)
  2. Benachrichtigung der betroffenen Personen (Art 34 DSGVO)

Meldung bei der Aufsichtsbehörde

Im Falle einer Datenschutzverletzung mit einem voraussichtlichen Risiko für die Rechte und Freiheiten natürlicher Personen hat der Verantwortliche diese unverzüglich und möglichst binnen 72 Stunden, nachdem ihm die Verletzung bekannt wurde, der Datenschutzbehörde zu melden. Die Datenschutzbehörde stellt hierfür ein eigenes Formular zur Meldung der Verletzung des Schutzes personenbezogener Daten zur Verfügung.

Eine entsprechende, unverzügliche Meldepflicht bei einer bekannt gewordenen Datenschutzverletzung trifft ebenfalls den Auftragsverarbeiter gegenüber dem Verantwortlichen. Die Meldung bei der Datenschutzbehörde hat allerdings immer durch den Verantwortlichen zu erfolgen. Den Datenschutzbeauftragten trifft keine Meldepflicht, aber sehr wohl die Aufgabe zur Zusammenarbeit im Zuge etwaiger Ermittlungen der Aufsichtsbehörde im Zusammenhang mit dem Datenschutzvorfall.

Informationen bei einer Meldung einer Datenschutzverletzung

Art 33 Abs 3 sieht vor, dass die Meldung zumindest nachfolgende Informationen enthält:

  1. eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten, soweit möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der betroffenen personenbezogenen Datensätze;
  2. den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen;
  3. eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten
  4. eine Beschreibung der von dem Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Dokumentationspflicht bei Datenschutzverletzung

Zusätzlich zur Meldepflicht trifft den Verantwortlichen auch noch eine Dokumentationspflicht bei Datenschutzverletzungen. Insbesondere sind alle im Zusammenhang mit der Verletzung des Schutzes personenbezogener Daten stehenden Fakten, deren Auswirkungen und ergriffene Abhilfemaßnahmen zu erfassen. Die Dokumentation dient der Aufsichtsbehörde zur Überprüfung der Einhaltung der Bestimmungen zur Meldung der Verletzung des Schutzes personenbezogener Daten. Eine sorgfältige und umfangreiche Dokumentation sollte sich bei einer etwaigen Geldbuße strafmildernd auswirken.

Benachrichtigung der betroffenen Personen

Bei einer Datenschutzverletzung mit hohem Risiko für die Rechte und Freiheiten natürlicher Personen ist im Hinblick auf transparente Information und der Möglichkeit zur Ergreifung eigener Schutzmaßnahmen die betroffene Person vom Verantwortlichen unverzüglich zu benachrichtigen.

Die Benachrichtigung hat in klarer und einfacher Sprache die Art der Datenschutzverletzung und zumindest die, in den Punkten 2. – 4. angeführten Informationen der Meldung an die Aufsichtsbehörde zu enthalten.

Eine Benachrichtigung der betroffenen Personen ist nicht erforderlich, wenn

  1. der Verantwortliche geeignete technische und organisatorische Sicherheitsvorkehrungen getroffen hat und die von der Verletzung betroffenen personenbezogenen Daten dadurch unzugänglich gemacht wurden, etwa durch Verschlüsselung,
  2. der Verantwortliche durch nachfolgende Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Personen aller Wahrscheinlichkeit nach nicht mehr besteht,
  3. dies mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall hat stattdessen eine öffentliche Bekanntmachung oder eine ähnliche Maßnahme zu erfolgen, durch die die betroffenen Personen vergleichbar wirksam informiert werden.

Die Benachrichtigung sollte neben der Beschreibung der Datenschutzverletzung auch Empfehlungen zur Minderung etwaiger nachteiliger Auswirkungen für die betroffene Person enthalten. Empfehlenswert ist aus Sicht des Verantwortlichen zudem eine enge Absprache der Vorgehensweise mit der Aufsichtsbehörde bzw Strafverfolgungsbehörden. Auch hierbei fungiert ein Datenschutzbeauftragter als Anlaufstelle für die mit dem Datenschutzvorfall befassten Behörden.

Im konkreten, oben angeführten Fall, wurden vom Verantwortlichen als unmittelbare Sicherheitsmaßnahme die Passwörter der Kunden im Webshop außer Kraft gesetzt. Diese Maßnahme ist insofern bemerkenswert, da sie die Vermutung nahelegt, dass, im schlimmsten Fall, ungeschützte Kundenpasswörter ebenfalls entwendet wurden. Angesichts der Angewohnheit zahlreicher Internetnutzer gleiche Anmeldedaten bei verschiedenen Online-Shops zu verwenden, würde das Risiko für einen etwaigen Identitätsbetrug erheblich erhöht werden.

Pflichten für Facebook-Seiten Betreiber

Viele Unternehmen, große und kleine, nutzen Soziale Medien wie Facebook, Google+ ua um ihre Marktpräsenz zu erweitern. Im konkreten Fall stellt sich die Frage, inwieweit man als Betreiber einer betrieblichen Facebook-Seite bzw Facebook-Gruppe im Sinne der DSGVO verantwortlich und haftbar ist.

Grundsätzlich ist also mal zu klären, ob man als Betreiber einer Facebook-Seite auch Verantwortlicher im Sinne der DSGVO ist. Wenn ja, welche Aufgaben und Pflichten erwachsen mir daraus? Und wie kann ich sicherstellen, dass die Verarbeitung von personenbezogenen Daten der Benutzerinnen und Benutzer auch rechtmäßig erfolgt? Eigentlich sind es ja eine ganze Menge mehr an Fragen, die man sich in diesem Zusammenhang stellen kann. Aber ich konzentriere mich jetzt einmal auf diese 3 Kernfragen.

Betreiber einer Facebook-Seite als Verantwortlicher?

Schon diese Frage lässt sich derzeit nicht eindeutig beantworten. Tatsächlich ist sie Gegenstand eines laufenden Verfahrens beim Europäischen Gerichtshof (Rechtssache C-210/16), bei dem es um die Verantwortung des Seiten-Betreibers für Datenschutzverstöße bei der Nutzung von Facebook geht. Folgt man dem Generalanwalt des EuGH, dann ist nämlich neben Facebook in den USA und Europa auch der jeweilige Seiten-Betreiber als (mit)verantwortlich für die Verarbeitungsphase der Erhebung personenbezogener Daten durch Facebook auf der Seite/Gruppe zu sehen. Für den Seiten-Betreiber gelte eine (Mit)Verantwortlichkeit als Administrator der Seite/Gruppe, zumindest für die Phase der Erhebung der Daten. Nationale Instanzen in Deutschland hat diese Mitverantwortung des Seitenbetreibers zuvor klar verneint. Faktum ist, solange der EuGH hier keine  Entscheidung getroffen hat, bleibt die Antwort auf die Frage der Verantwortlichkeit des Seitenbetreibers zumindest offen. Sicherheitshalber sollte man aber beim Betrieb einer Facebook-Seite/Gruppe von einer Rolle als (Mit-)Verantwortlicher ausgehen.

Tolle Übersicht zu dem Thema finden Sie auch bei https://www.dataprotect.at/facebook-fanpages-ga/.

Aufgaben und Pflichten als Seitenbetreiber

Gemeinsam für die Verarbeitung Verantwortliche haben nach Art 26 DSGVO in einer Vereinbarung in transparenter Form festzulegen, wer von ihnen welche datenschutzrechtlichen Verpflichtungen zu erfüllen hat. Insbesondere ist klarzustellen, wer von ihnen welchen Aufgaben bei der Erfüllung von Betroffenenrechten und Informationspflichten bei der Erhebung der Daten nachzukommen hat. Die wesentlichen Inhalte der Vereinbarung sind der betroffenen Person zur Verfügung zu stellen. Ungeachtet der Einzelheiten der Vereinbarung kann die betroffene Person ihre Rechte bei und gegenüber jedem einzelnen der Verantwortlichen geltend machen.

Empfehlungen für Seitenbetreiber

Seitenbetreiber haben sich idR beim Einrichten der Facebook-Seite/Gruppe den Nutzungsbedingungen von Facebook zum Betrieb von Seiten, Gruppen und Veranstaltungen zu unterwerfen. Die Nutzungsbedingungen legen ua fest, dass bei der Nutzung der Seite/Gruppe, eine direkte Datenerhebung durch den Betreiber, und nicht durch Facebook, erfolgt. Der Betreiber hat lt Facebook auch sicherzustellen, dass die Verarbeitung der Daten rechtmäßig erfolgt. Facebook geht sogar soweit zu verlangen, dass der Betreiber alle erforderlichen Einwilligungen („all necessary permissions“) für die Wiederverwendung sicherzustellen hat. Durch wenn die Wieder- oder Weiterverwendung der erhobenen Daten zulässigerweise erfolgen kann, bleibt unklar.

Nachfolgende Empfehlungen seien Seitenbetreibern und Gruppen-Admins nahegelegt (Kein Anspruch auf Vollständigkeit):

  • Einbindung einer eigenen Datenschutzerklärung auf der eigenen Facebook-Seite/-Gruppe;
  • Die Datenschutzerklärung sollte zumindest nachfolgende Informationen enthalten, den Namen und die Kontaktdaten des Verantwortlichen, Zweck und Rechtsgrundlage für die Verarbeitung der Daten, die Speicherdauer, Informationen zu Betroffenenrechten, insbes. Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit. Zusätzlich noch das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, Informationen zur Erforderlichkeit der Bereitstellung und den Folgen einer Nichtbereitstellung der Daten. Siehe dazu auch Art 13 DSGVO;
  • Festlegung welche Aufgaben bei der Erfüllung von Betroffenenrechten man als Betreiber selbst wahrnehmen kann;
  • Hinweis darauf, dass eine Weiterverwendung der Daten durch Facebook stattfindet;
  • Nutzung eines eigenen, mit starkem Passwort gesicherten Accounts für den Betrieb der Seite;
  • Datenschutzfreundliche Voreinstellungen bei den Statistiken für die Seite/Gruppe, wie Page Insights;
  • Hinweis und Link zu den DSGVO-Informationen von Facebook als Ergänzung zur eigenen Datenschutzerklärung;

Im laufenden Verfahren vor dem EuGH ist in den nächsten Monaten mit einem Urteil zu rechnen. Natürlich werden wir dann, wieder über das Thema berichten.

Getagged mit: , , ,

Informationspflicht des Verantwortlichen, Teil 1

Die DSGVO regelt eine Reihe von Mitteilungs- und Informationspflichten für den Verantwortlichen zum Schutz der Rechte der betroffenen Personen. Im Rahmen unserer Tätigkeit als Datenschutzdienstleister bzw Datenschutzbeauftragter sind wir des öfteren in die Planung und Umsetzung von Maßnahmen zur Erfüllung der datenschutzrechtlichen Informationspflichten  eingebunden. In der mehrteiligen Artikelserie „Informationspflichten des Verantwortlichen“ setzen wir uns für Sie mit den erforderlichen Inhalten zur rechtskonformen Umsetzung der Informationspflichten in verschiedenen Verarbeitungsszenarien auseinander.

Informationspflicht – Die Rechtsgrundlage

Die Informationspflicht des Verantwortlichen wird als Recht des Betroffenen im Kapitel III der DSGVO geregelt. Dort heißt es unter anderem:

Der Verantwortliche trifft geeignete Maßnahmen, um der betroffenen Person alle Informationen gemäß den Artikeln 13 und 14 und alle Mitteilungen gemäß den Artikeln 15 bis 22 und Artikel 34, die sich auf die Verarbeitung beziehen, in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln; dies gilt insbesondere für Informationen, die sich speziell an Kinder richten. Die Übermittlung der Informationen erfolgt schriftlich oder in anderer Form, gegebenenfalls auch elektronisch. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde. (Art 12 Abs 1 DSGVO)

Artikel 13 und 14 betreffen die Informationspflicht bei der Erhebung von personenbezogenen Daten bei bzw nicht bei der Person. Artikel 15 bis 22 beziehen sich auf einzelne Betroffenenrechte wie das Auskunfts-, Berichtigungs-, Löschungs- und Verarbeitungseinschränkungsrecht, einschließlich damit verbundener Mitteilungspflichten des Verantwortlichen, die Rechte auf Datenübertragbarkeit und Widerspruch  sowie das Recht des Betroffenen nicht ausschließlich einer automatisierten Verarbeitung unterworfen zu werden. Art 34 DSGVO beschreibt die Informationspflichten gegenüber dem Betroffenen bei Datenschutzverletzungen.

Im Teil 1 widme ich mich der DSGVO-Informationspflicht bei der Erhebung von Daten direkt beim Betroffenen. Für diesen Fall hat der Verantwortliche dem Betroffenen beim Zeitpunkt der Erhebung nachfolgende Daten mitzuteilen:

Informationspflicht bei der
Erhebung von Daten direkt beim Betroffenen

Bei der Erhebung von Daten direkt beim Betroffenen hat der Verantwortliche nachfolgende Daten zur Verfügung zu stellen.

  1. den Namen und die Kontaktdaten des Verantwortlichen sowie gegebenenfalls seines Vertreters;
  2. gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
  3. die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  4. wenn die Verarbeitung zur Wahrung der überwiegenden berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich sind, die berechtigten Interessen, die von dem Verantwortlichen oder einem Dritten verfolgt werden;
  5. gegebenenfalls die Empfänger oder Kategorien von Empfängern der personenbezogenen Daten und
  6. gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln. Anmerkung: In diesem Fall sind noch weitere Aspekte zu beachten.

Um eine faire und transparente Verarbeitung zu gewährleisten, muss der Verantwortliche dem Betroffenen noch weitere Informationen zur Verfügung stellen:

  1. die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
  2. das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung, Löschung oder Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit;
  3. wenn die Verarbeitung auf Grund einer Einwilligung des Betroffenen beruht, das Bestehen eines Rechts, die Einwilligung jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird;
  4. das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
  5. ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte und
  6. das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und aussagekräftige Informationen über die involvierte Logik, die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person.

Beabsichtigt der Verantwortliche zB zu einem späteren Zeitpunkt die personenbezogenen Daten für einen anderen Zweck weiterzuverarbeiten, so hat er den Betroffenen vor der Weiterverarbeitung über den neuen Zweck und alle anderen maßgeblichen Umstände zu informieren.

Die Informationspflicht entfällt, wenn die betroffene Person bereits über die Information verfügt.

 

Beschwerden bei der Datenschutzbehörde

Intensive Vorbereitungsarbeiten bei und mit Kunden für die kommende DSGVO haben für das Bloggen zu Datenschutzthemen wenig Zeit gelassen. Immer wieder wurde ich in der jüngsten Vergangenheit gefragt, welche Rolle die Datenschutzbehörde in Zukunft, insbesondere bei Beschwerden von Betroffenen, wohl spielen wird. Anregung genug, sich mit dem Thema, wie folgt, zu befassen.

Datenschutzbehörde muss sich mit Beschwerden befassen

Generell hat die Aufsichtsbehörde sich mit Beschwerden einer betroffenen Person oder Beschwerden einer Stelle, einer Organisation oder eines Verbandes zu befassen. Die Datenschutzbehörde hat den Gegenstand der Beschwerde in angemessenem Umfang zu untersuchen und den Beschwerdeführer innerhalb einer angemessenen Frist über den Fortgang und die Ergebnisse des Verfahrens zu unterrichten. Betroffene haben somit die Möglichkeit, die Überprüfung konkreter Sachverhalte, welche sich auf eine spezifische beanstandete Verarbeitungstätigkeit beziehen, durch die Datenschutzbehörde zu veranlassen.

Das Einreichen von Beschwerden ist seitens der Aufsichtsbehörde durch die Bereitstellung eines Online-Beschwerdeformulars  zu erleichtern. Im Zusammenhang mit der Bearbeitung von Beschwerden verfügt die Datenschutzbehörde über verschiedene Befugnisse gegenüber dem Verantwortlichen bzw Auftragsverarbeiter. So können ua. Verwarnungen ausgesprochen, Verarbeitungsbeschränkungen verfügt, bestimmte Handlungen angewiesen oder eine Geldbuße verhängt werden.

Datenschutzbehörde unterstützt DSGVO-Umsetzung

Die DSGVO sieht vor, dass die Datenschutzbehörde entsprechende Standardvertragsklauseln für die Heranziehung von Auftragsverarbeitern, den Datenverkehr mit Drittstaaten oder Internationalen Organisationen und eine Liste der Verarbeitungsarten (Black-List), für die eine Datenschutz-Folgenabschätzung nach Art. 35 DSGVO durchzuführen ist, zu erstellen und zu führen haben. Im Zuge von Konsultationen bei Verarbeitungen mit einem hohen Risiko hat die Behörde den Verantwortlichen zu beraten und innerhalb von 8 Wochen nach Erhalt des Ersuchens eine entsprechende schriftliche Empfehlung auszusprechen.

Die Datenschutzbehörde hat im März 2018 einen Entwurf zu einer Verordnung über Ausnahmen von der Datenschutz-Folgenabschätzung („White-List“) vorgelegt. Die gesetzlich vorgeschriebene Black-List hinsichtlich der Verarbeitungsformen, bei denen die Durchführung einer Datenschutz-Folgenabschätzung verpflichtend ist, lässt noch auf sich warten.

Gebührenbefreiung für Betroffene und Datenschutzbeauftragte

Die Erfüllung der Aufgaben der Datenschutzbehörde ist für Betroffene und für Datenschutzbeauftragte grundsätzlich von Gebühren befreit. Die Aufsichtsbehörde kann jedoch bei offenkundig unbegründeten oder exzessiven Anfragen eine angemessene Bearbeitungsgebühr verlangen oder sich weigern, tätig zu werden. Die Beweislast hiefür trägt die Aufsichtsbehörde. In diesem Zusammenhang stellt sich die interessante Frage, ob die Datenschutzbehörde bei Eingaben (Konsultation bei Datenschutz-Folgenabschätzungen) von Verantwortlichen oder Auftragsverarbeitern, welche keinen Datenschutzbeauftragten benannt haben, berechtigt ist, entsprechende Gebühren bei der Bearbeitung der Eingaben zu verlangen?

Datenschutzbehörde soll mehr Personal erhalten

Die Datenschutzbehörde hat im vergangenen Jahr 16 zusätzliche Planstellen beantragt, um die Vollziehung der zusätzlichen Aufgaben und Befugnisse zu gewährleisten. Eine endgültige Entscheidung über die Genehmigung der beantragten, zusätzlichen Planstellen, ist noch nicht gefallen. 2017 versahen 27 Personen in Teil- oder Vollzeit ihren Dienst bei der Datenschutzbehörde.

Getagged mit:

News Update: Datenschutzgesetz

Aufgrund des stark anwachsenden Projektgeschäfts in den letzten Monaten blieb leider keine Zeit für einen neuen Newsletterbeitrag. Das schlechte Gewissen hat mich geplagt und deshalb nehme ich mir heute Zeit, Sie über aktuelle Entwicklungen beim Datenschutzgesetz zu informieren.

Entwurf zum Datenschutz -Deregulierungsgesetz-2018

Am 22.03.2018 wurden von Abgeordneten des Nationalrats ein Antrag für ein Bundesgesetz zur Änderung des Bundes-Verfassungsgesetzes und des Datenschutzgesetzes eingebracht (Datenschutz-Deregulierungsgesetz 2018).

Die wichtigsten Änderungen betreffen die Herausnahme der juristischen Personen aus dem Grundrecht des Datenschutzes, welches somit ab 25. Mai 2018, EU-konform, nur mehr für natürliche Personen gilt. Ausdrücklich geregelt wird, dass das Grundrecht auf Datenschutz  auch Private verpflichtet. Die bisherigen Verfassungsbestimmungen bzgl Zuständigkeit und räumlichem Anwendungsbereich fallen weg bzw werden durch die entsprechende DSGVO-Bestimmung geregelt.

Bei den Durchführungsbestimmungen soll es zu einem Wegfall des Rechts auf Auskunft (Art 15 DSGVO) kommen, wenn durch die Auskunft die Erfüllung einer dem hoheitlich tätigen Verantwortlichen gesetzlich übertragenen Aufgabe gefährdet wird. Diese Regelung sieht stark nach der Verankerung des „Amtsgeheimnisses“ im Datenschutzgesetz aus.

Die Befugnisse des Betriebsrats nach dem Arbeitsverfassungsgesetz sollen im Datenschutzgesetz klarer geregelt werden, insbes Überwachungsbefugnisse, Informationspflichten des Betriebsinhabers, zustimmungspflichtige Maßnahmen und Betriebsvereinbarungen sowie  Mitwirkungsrechte in Bezug auf die Personalvertretung bleiben, soweit sie die Verarbeitung personenbezogener Daten im Beschäftigungskontext betreffen, unberührt.

Im nächsten Schritt kommt es zu Beratungen im Verfassungsausschuss. In welcher Form der Antrag tatsächlich Rechtskraft erlangt wird sich im Laufe der nächsten Wochen zeigen.

Entwurf zur Datenschutz-Folgenabschätzung

Ebenfalls im Netz zu finden war ein Entwurf zur Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutz-Folgenabschätzung („White-List“). Über den Urheber des Entwurfs ist mir derzeit noch nichts bekannt.

Der vorliegende White-List-Entwurf umfasst ua Verarbeitungsvorgänge wie

  • Kundenverwaltung, Rechnungswesen, Logistik, Buchführung
  • Personalverwaltung für privatrechtliche Dienstverhältnisse
  • Kundenbetreuung und Marketing für eigene Zwecke
  • Patienten-/Klienten-/Kundenverwaltung und Honorarabrechnung einzelner Ärzte, Gesundheitsdienstanbieter und Apotheker
  • Rechts- und Beratungsberufe
  • Organisation von Veranstaltungen.
  • u.a.m

Nach Art 35 Pkt 4 DSGVO ist die Datenschutzbehörde darüber hinaus verpflichtet eine Liste der Verarbeitungsvorgänge zu erstellen und zu veröffentlichen, für die eine Datenschutz-Folgenabschätzung durchzuführen ist.

Gerichtssachverständige und Datenschutzgesetz

Die Umsetzung des durch die Öffnungsklauseln der DSGVO eingeräumten gesetzgeberischen Gestaltungsspielraums erfolgt in den spezifischen Materiengesetzen, den Datenschutz-Anpassungsgesetzen. Einen der Entwürfe, nämlich den zum Datenschutz-Anpassungsgesetz Justiz 2018, habe ich mir rausgepickt, um hinsichtlich der Stellung von Sachverständigen bei der Verarbeitung von personenbezogenen Daten für ein Gericht, mehr Informationen zu erlangen.

Entsprechende Reglungen finden sich in den Änderungen zum Gerichtsorganisationsgesetz (GOG) des Gesetzesentwurfs. Festgelegt wird, dass die Gerichte im Rahmen ihrer justiziellen Tätigkeit die hiefür erforderlichen personenbezogenen Daten verarbeiten dürfen. Dabei umfasst die justizielle Tätigkeit, alle Tätigkeiten, die zur Erfüllung der Aufgaben in Angelegenheiten der ordentlichen Gerichtsbarkeit erforderlich sind.

Den Erläuterungen zum Gesetzesentwurf ist ferner zu entnehmen, dass auch die Befundaufnahme und Gutachtenserstattung der gerichtlich bestellten Sachverständigen Teil des gerichtlichen Beweisverfahrens ist und somit in diesem Umfang zur justiziellen Tätigkeit der Gerichte gehört. Damit sollten die für Gerichte im Rahmen der justiziellen Tätigkeiten geltenden Ausnahmen, wie keine Aufsicht der Datenschutzbehörde über die von Gerichten im Rahmen ihrer justiziellen Tätigkeit vorgenommenen Verarbeitungen oder keine Benennung eines Datenschutzbeauftragten erforderlich, auch für Sachverständige im Rahmen ihrer Gerichtstätigkeit ihre Wirksamkeit entfalten,

Das Recht auf Auskunft und Information ist laut den Erläuterungen zum Entwurf für Sachverständige nur eingeschränkt gegeben. Ihnen stehen Akteneinsichtsrechte nur soweit zu, als sie auch Parteistellung haben (zB Gebührenbestimmung des Sachverständigen) oder ein rechtliches Interesse dartun können. Die verarbeiteten Daten der Parteien sollen nicht oder nur im unbedingt nötigen Ausmaß für andere Personen zugänglich sein. Hier könnten sich in der Praxis bei der Übersendung von Akteninhalten zur Erstellung von Befund und Gutachten offene Fragen ergeben.

Das eine generelle Zuordnung der Befundaufnahme und Gutachtenserstattung der gerichtlich bestellten Sachverständigen zur justiziellen Tätigkeit der Gerichte nicht allgemein auf Zustimmung stößt, ist einer Stellungnahme der Datenschutzbehörde zum Entwurf zu entnehmen. Die Datenschutzbehörde betont, dass die Frage, ob Sachverständige und Dolmetscher justizielle Tätigkeiten ausüben, sie daher einem Gericht „im Rahmen der justiziellen Tätigkeit“ zuzurechnen sind, im Einzelfall zu klären sein wird.

Es bleibt also spannend. Und wir bleiben am Ball. Versprochen. Und das schlechte Gewissen wird dafür sorgen, dass Versprechen auch gehalten werden.

Verzeichnis von Verarbeitungstätigkeiten

Die ab 25. Mai 2018 zur Anwendung kommende Datenschutz-Grundverordnung (DSGVO) bringt erhöhte Dokumentations- und Rechenschaftspflichten für Unternehmen bei der Verarbeitung personenbezogener Daten mit sich. Einen Schwerpunkt der Dokumentation wird dabei das Verzeichnis von Verarbeitungstätigkeiten nach Art. 30 DSGVO bilden. Die Verpflichtung zur Erstellung und Führung des Verzeichnisses trifft in der Praxis fast alle Verantwortlichen und Auftragsverarbeiter.

Inhalt des Verarbeitungsverzeichnisses

Der Inhalt des Verzeichnisses ist im wesentlichen im §30 der DSGVO geregelt und umfasst:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation, sowie bei den in Artikel 49 Absatz 1 Unterabsatz 2 genannten Datenübermittlungen die Dokumentierung geeigneter Garantien;

f) wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien;

g) wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen gemäß Artikel 32 Absatz 1 DSGVO.

Sinnvollerweise sollte das Verzeichnis noch mit Informationen zur Rechtmäßigkeit der Verarbeitung ergänzt werden.

Verzeichnis von Verarbeitungstätigkeiten ersetzt DVR-Meldung

Die Pflicht zur Führung eines Verzeichnisses ersetzt in Österreich die Verpflichtung zur Meldung einer Datenanwendung beim Datenverarbeitungsregister (DVR). Die bestehende Offenlegungspflicht ist Teil des DSG 2000 und gilt, bis auf gesetzlich festgelegte Ausnahmen, den sogen Standard- und Musteranwendungen, für alle Auftraggeber bei der Verwendung von personenbezogenen Daten. Bei Durchsicht aktueller Eintragung von Datenanwendungen im Register, kann man jedoch unschwer feststellen, dass diese Pflicht von den Auftraggebern bis dato nicht allzu intensiv wahrgenommen worden ist. Ein Verstoß gegen die Offenlegungspflicht ist aktuell mit einer Verwaltungsstrafe bis 10.000,- Euro bedroht. Mit Einführung der Datenschutz-Grundverordnung entfällt die beschriebene Registrierpflicht von Datenanwendungen.

Stattdessen müssen Verantwortliche (die DSGVO ersetzt den Begriff Auftraggeber durch Verantwortliche) und Auftragsverarbeiter zukünftig zum Nachweis der Einhaltung der datenschutzrechtlichen Vorgaben ein Verzeichnis der Verarbeitungstätigkeiten führen, welches jederzeit und vollständig für die Aufsichtsbehörden vorgehalten werden muss. Bei Regelverstoß droht dann ein Bußgeld von bis zu 10 Mio. Euro oder bei Unternehmen bis zu 2% des Jahresumsatzes, so dass sich hier für Unternehmen ein dringender Handlungsbedarf ergibt.

Die Verantwortung für das Führen des Verarbeitungsverzeichnisses liegt beim Verantwortlichen bzw Auftragsverarbeiter, dh bei Unternehmen idR bei der Geschäftsführung. In der Praxis wird das Erstellen und das Führen des Verzeichnisses der Verarbeitungstätigkeiten meist dem Datenschutzbeauftragten oder Projektverantwortlichen für Datenschutz übertragen.

Tipps zur Erstellung des Verzeichnisses

Unternehmen, die bereits jetzt ihrer Meldepflicht bei Datenverarbeitungsregister nachgekommen sind, wird die Erstellung des Verzeichnisses naturgemäß leichter fallen. Die österreichische Datenschutzbehörde ermöglicht für registrierte Datenanwendungen den Export der gemeldeten Daten  in elektronischer Form. Die exportierten Daten dienen als Grundlage für das neu zu erstellende Verzeichnis von Verarbeitungstätigkeiten. Es sollte in diesen Fällen jedoch unbedingt geprüft werden, inwieweit die bisherigen Registereinträge die inhaltlichen Anforderungen des Art. 30 DSGVO erfüllen und ggf. entsprechend ergänzt werden müssen. Vor allem bei den Löschfristen und bei der Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen zeichnet sich hier ein Nachbesserungsbedarf ab.

Im Falle von nicht vorhandenen Registrierungen, zB für Standardanwendungen wie die „Personalverwaltung für privatrechtliche Dienstverhältnisse“, muss zunächst festgestellt werden, welche Arten von personenbezogenen Daten von Betroffenen, z.B. Beschäftigten, vom Unternehmen erhoben und verarbeitet werden. Ausgangspunkt ist idR eine Inventarisierung der vom Unternehmen eingesetzten internen bzw externen IT-Systeme, Prozesse und Anwendungen, in denen personenbezogene Daten für verschiedene Zwecke verarbeitet werden. Die Ergebnisse der IST-Analyse dienen als Basis für die weitere Dokumentation des Verzeichnisses von Verarbeitungstätigkeiten. Dieses wird in der Praxis zwecks Übersichtlichkeit meist aus mehreren Verzeichnissen für verschiedene Verarbeitungsvorgänge (z.B. Zeiterfassungssystem, CRM System, HR-Informationssystem) bestehen und in elektronischer Form erfolgen.

In der Praxis stellt vor allem die Zuordnung einzelner Datenarten zu Datenkategorien eine Herausforderung dar. Beim Rückgriff auf Datenfelder oder -arten leidet rasch die Übersichtlichkeit des Verzeichnisses und der Aufwand zur Bestimmung der vorgesehenen Löschfristen steigt beachtlich.

Umsetzung erfordert Zeit und Personal

Vor allem Unternehmen ohne Meldungen im DVR bzw  interne Datendokumentation sollten den zeitlichen und personellen Aufwand für die Erstellung der Verzeichnisse nicht unterschätzen. Eine vollständige und DSGVO-konforme Erfassung und Dokumentation der Verarbeitungstätigkeiten im Unternehmen ist von einer Vielzahl von Faktoren abhängig und sollte unbedingt rechtzeitig, effizient und effektiv erfolgen. Das Büro für Datenschutz & Datensicherheit unterstützt Sie gerne mit Dienstleistungen bei der Erstellung und Führung des Verzeichnisses der Verarbeitungstätigkeiten.

Getagged mit: ,
Top