Erstellt von: Christoph Kirchberger | Erstellt am: 25.04.2018 | Aktualisiert am: 24.05.2018
Haftungsausschluss: Dieser Artikel wurde unter Verwendung der angeführten Quellen mit größter Sorgfalt erstellt. Für die Richtigkeit, Vollständigkeit, Aktualität oder Qualität des bereitgestellten Artikels, kann jedoch keine Gewährleistung übernommen werden. Haftungsansprüche gegen den Ersteller dieses Artikels sind daher ausgeschlossen.
Im Zweifelsfall sollten Spezialisten befragt werden!
Vorwort
Dies ist ein Artikel zur Umsetzung der DSGVO für Selbstständige und KMU. Eine Zusammenfassung aus vielen Fragen und Antworten aus der WKO, bilden die Basis für die anschließende Umsetzungsanleitung. Für die Erstellung wurden vorrangig Quellen der WKO verwendet, um auch das österreichische Anpassungsgesetzt zu berücksichtigen. Es wurde streng versucht, aufgrund des Umfangs des Themas, Wiederholungen zu vermeiden und stattdessen mit Verlinkungen innerhalb des Artikels zu arbeiten. Einige Stellen übersteigen zwar den Umsetzungsbereich gerade für Selbstständige, aber auch für die meisten KMU. Sie wurden zum Zweck der Vollständigkeit, der klaren Abgrenzung und zum besseren Verständnis, jedoch trotzdem eingearbeitet. Dazu zählen auch Links zu externen Quellen.
Die Beispiele und Vorlagen sind an manchen Stellen in mehrfacher Ausfertigung eingefügt. Hier kann die priorisierte Version verwendet, oder sinngemäß die für das Unternehmen oder die jeweilige Situation relevanten Teile, herausgenommen bzw. zusammengefügt, und nicht benötigte Unterlagen ausgelassen werden.
Der Artikel entstand aufgrund der vielen Herausgaben und Broschüren, nicht zuletzt auch durch die WKO, welche einen guten Überblick gaben, jedoch nicht das gesamte Spektrum abdecken und auch meist keine Handlungsanweisung beinhalten. Er entstand aber auch im Kontrast zu den von der WKO auf ihrer Webseite zur Verfügung gestellten Informationen, welche sehr umfassend sind, jedoch meist den Umfang für Selbstständige und KMU bei weitem übersteigen.
Am Ende dieses Artikels, speziell bei der Rechtmäßigkeit von Marketingkampagnen, wird die Rechtslage immer unklarer und komplizierter. Daher wird an dieser Stelle vermehrt auf externe Quellen verwiesen, jedoch mit ausgesucht hochwertigem Inhalt. Hierzu sollten Sie sich allerdings ein eigenes Bild zur derzeitigen Situation machen und entscheiden, wie weit Sie mit Ihrer Marketingkampagne oder Usertracking auf Ihrer Webseite gehen (sich in den oft noch ungeklärten Graubereich wagen) wollen.
Allgemeines zur DSGVO
Die DSGVO gilt ab dem 25.05.2018.
Die Datenschutz-Grundverordnung (DSGVO) ist eine EU-Verordnung, sie ist in allen Mitgliedstaaten unmittelbar anwendbar und muss nicht in nationales Gesetz umgesetzt werden. Dadurch wird eine EU-weite vereinheitlichte Rechtsgrundlage der Datenverarbeitung geschaffen. Bei einem Konflikt mit einem nationalen Gesetzt, hat die EU-Verordnung Vorrang. Öffnungsklauseln lassen für die einzelnen Mitgliedstaaten nationale Regelungen zu. In Österreich sind diese im Datenschutzanpassungsgesetzt geregelt.
Datenschutz-Grundverordnung (DSGVO)
Datenschutzanpassungsgesetzt
https://www.parlament.gv.at/PAKT/VHG/XXV/ME/ME_00322/index.shtml
Datenschutz-Deregulierungs-Gesetz 2018
Zusätzlich zur DSGVO und dem Datenschutzanpassungsgesetzt wurde am 20. April das Datenschutz-Deregulierungs-Gesetz beschlossen. In einigen Berichten kursieren Gerüchte, dass dieses der DSGVO die Zähne ziehen soll. Für öffentliche Organisationen bringt das Gesetzt zwar in der Tat einige Entschärfungen, für Selbstständige und KMU ändert sich hingegen eher wenig. In Bezug auf die angedrohten hohen Geldbußen wird nochmal betont, dass die Behörden bei erstmaligem Vergehen verwarnen statt strafen. In den Ö3 Nachrichten am 22. Mai 9 Uhr äußert sich eine Vertreterin der Datenschutzbehörde für Österreich wie folgt: "Bei groben und vorsätzlichen Verstößen, wenn es schon Verstöße gab oder kein Verarbeitungsverzeichnis erstellt wurde, kann und wird es Geldstrafen geben."
Für DSGVO-Verstöße vor dem 25. Mai heißt es dazu wie folgt: “Ein strafbarer Tatbestand, der vor dem Inkrafttreten dieses Bundesgesetzes verwirklicht wurde, ist nach jener Rechtslage zu beurteilen, die für den Täter in ihrer Gesamtauswirkung günstiger ist; dies gilt auch für das Rechtsmittelverfahren”.
Datenschutz-Deregulierungs-Gesetz 2018
https://www.parlament.gv.at/PAKT/VHG/XXVI/BNR/BNR_00027/index.shtml
Datenschutz-Deregulierungs-Gesetz 2018 - Zusammenfassungen
https://www.derbrutkasten.com/nationalratsbeschluss-dsgvo-ahndung-wird-massiv-entschaerft/
Fragen und Antworten
01. Welche Chancen und Vorteile können sich durch die DSGVO ergeben?
-
Die DSGVO bringt einen einheitlichen Rechtsrahmen für alle EU-Staaten.
-
Ein Anlass um zukünftig Daten besser zu ordnen und zu strukturieren und um die IT-/EDV-Systeme im Unternehmen auf den aktuellen Stand der Technik zu bringen.
-
Aufbesserung des Wissens über die im Unternehmen verarbeiteten Daten.
-
Kunden achten immer genauer auf ihre Daten. Sorgfältige Datenverarbeitung kann daher eine positive Auswirkung auf die Kundenbeziehung haben.
-
Unternehmen die in der EU Dienstleistungen anbieten, müssen nach Artikel 3 (DSGVO) die DSGVO befolgen.
02. Bin ich von der DSGVO betroffen?
Alle Unternehmen die Daten von Personen verarbeiten sind betroffen! Dazu zählen:
-
Vereine
-
Unternehmen (KMU)
-
Einzelunternehmer – Ein-Personen-Unternehmen (EPU)
Siehe auch: 03. Welche Daten sind betroffen?
03. Welche Daten sind betroffen?
Alle personenbezogenen Daten z.B. von Kunden, Mitarbeitern und Geschäftspartnern sowie Mitgliederverzeichnisse.
Personenbezogene Daten sind alle Daten, die eine bestimmte Person erkennbar machen. Darunter fällt:
-
Die IP-Adresse
-
Ein Foto einer Person
-
Eine Adresse mit Namen
-
Pseudonymisierte Daten
-
Sowie alle empfangenen E-Mails (mit Namen) bei allen MitarbeiterInnen.
Aber auch analoge Aufzeichnungen wie Personalakten sowie im Aktenschrank archivierte Daten.
Auch bei intern gespeicherten Personaldaten werden personenbezogene Daten wie Name, Anschrift, Kontodaten sowie die Sozialversicherungsnummer, zum Beispiel für die Personalverrechnung, verarbeitet. Unter Umständen werden auch sensible Daten gespeichert (Allergien, Unverträglichkeiten). Diese Daten müssen alle im Verarbeitungsverzeichnis eingetragen werden.
Und auch Kontaktpersonen beim Kunden und Lieferanten, sowie Durchwahl- oder Firmenhandynummer des Sachbearbeiters, sind personenbezogene Daten.
04. Welche Daten sind nicht betroffen?
Anonyme Daten wie zum Beispiel Statistiken sind nicht betroffen.
05. Brauche ich einen Datenschutzbeauftragten bzw. ab wann brauche ich einen Datenschutzbeauftragten?
Siehe: Prüfen ob ein Datenschutzbeauftragter erforderlich ist.
06. Was ändert sich?
-
Keine Meldung an das Datenverarbeitungsregister mehr nötig.
-
Stattdessen Erstellung eines Datenverarbeitungsregisters.
-
Pflichten der Verantwortlichen, siehe: Umsetzung & Laufend DSGVO-Konformität sicherstellen
-
Erweiterte Rechte Betroffener, siehe:
-
Umsetzung - Betroffenenrechte sicherstellen - Informationspflichten &
-
Laufend DSGVO-Konformität sicherstellen - Betroffenenrechte sicherstellen - Auskunftspflichten.
-
-
Hohe Bußgelder: bis zu 20 Mio. € oder 4% des weltweiten Unternehmensumsatzes vom vorigen Geschäftsjahr.
-
Erweiterte Behördenbefugnisse.
-
Grundsatz der Datenschutzbehörde (in Österreich): Beraten statt zu strafen.
07. Wann dürfen personenbezogene Daten verarbeitet werden?
Siehe: Rechtmäßigkeiten prüfen
08. Darf eine beantragte Löschung abgelehnt werden?
Ja, aber nur wenn zum Beispiel rechtliche Pflichten bestehen, wie die steuerliche Aufbewahrungspflicht nach § 132 Abs 1 BAO. Der Grund für die Ablehnung muss der betroffenen Person jedoch mitgeteilt werden.
Siehe: Rechtmäßigkeiten prüfen
09. Darf ich weiterhin Newsletter versenden?
Siehe: Newsletter
10. Darf noch Weihnachtspost versendet werden?
Per Post wie bisher ja, elektronisch nur wenn eine Einwilligung oder eine aufrechte Kundenbeziehung besteht.
Siehe auch: Wann muss die letzte Interaktion mit dem Kunden stattgefunden haben, damit sie als "aufrecht" gilt?
11. Wie darf ich potenzielle Geschäftskunden, z.B. über die öffentlich zugänglichen Kontaktdaten der Webseite, kontaktieren?
Elektronisch gar nicht und das war auch schon vor der DSGVO so!
12. Darf ich Fotos meiner MitarbeiterInnen ins Internet stellen?
Nur mit Einwilligung der MitarbeiterInnen.
13. Dürfen Fotos von Veranstaltungen oder Firmenfeiern verwendet werden?
Nur mit Zustimmung der TeilnehmerInnen, z.B. im Zuge der Anmeldung, aber in Form einer kurzen Information und eigenen Einwilligung.
14. Ab wann gelten Personen in Bildern oder Videos als personenbezogenes Daten?
Sobald eine Person erkennbar ist.
15. Wie ist mit Bewerbungsunterlagen umzugehen?
Als Grundlage kann hier das Gleichbehandlungsgesetz §15 GlBG herangezogen werden, nachdem Unterlagen sechs Monate für den Fall eines Prozesses aufbewahrt werden müssen. Sollen die Unterlagen länger aufbewahrt werden, muss eine Zustimmung eingeholt werden. Sensible Daten wie die Sozialversicherungsnummer benötigen eine eigene Einwilligung. Sie sollten, wenn möglich, bei einer Bewerbung nicht abgefragt werden.
Vgl.: https://www.wko.at/branchen/stmk/gewerbe-handwerk/Merkblatt_DSGVO_STMK_20180309.pdf S.3
16. Was mache ich mit bereits erhobenen Daten?
Siehe: Rechtmäßigkeiten prüfen
Siehe: Alte Daten bereinigen
17. Was wenn personenbezogene Daten an Vertragspartner wie Steuerberater oder Eventagenturen weitergegeben werden?
-
Es sollte vertraglich abgesichert werden, dass der Vertragspartner die Daten mit ausreichenden Sicherheitsmaßnahmen behandelt, siehe: Bestehende Verträge mit Auftragsverarbeitern überarbeiten.
-
Informationspflichten erfüllen. Die Betroffenen müssen bereits vor Vertragsabschluss, oder bei der Anmeldung zur Veranstaltung, über die Weitergabe informiert werden, siehe: Betroffenenrechte sicherstellen.
18. Worüber müssen betroffene Personen informiert werden?
Siehe: Informationsplichten
19. Müssen die Aktivitäten im Verarbeitungsverzeichnis festgehalten werden?
Nein, im Verarbeitungsverzeichnis ist der Zweck der Datenverarbeitungen einzutragen um so einen Überblick zu schaffen, nicht jedoch die einzelnen Aktivitäten, noch ist für jede Bewerbung ein eigener Datensatz im Verarbeitungsverzeichnis zu erstellen. Ändert sich jedoch etwas an der Datenverarbeitung, muss dies ins Verarbeitungsverzeichnis eingetragen werden.
20. Sind Daten von Firmen personenbezogene Daten?
Daten einer juristischen Person z.B. GmbH sind nach der DSGVO keine personenbezogenen Daten. Nach dem österreichischen Anpassungsgesetzt ist dies leider nicht so eindeutig. Es bleibt hier abzuwarten, was die Gerichte dazu sagen werden.
Nein!
21. Was wenn ein Lieferant nicht bestätigt, dass er sich an die DSGVO hält?
Werden in Zusammenarbeit mit dem Lieferanten personenbezogene Daten verarbeitet und der Lieferant verweigert eine neue Auftragsverarbeitungs-Vereinbarung, verstößt diese Zusammenarbeit mit diesem Lieferanten gegen die DSGVO.
22. Was wenn Daten außerhalb der EU gespeichert werden, zum Beispiel in Clouds?
Generell gilt, dass nur bei Unternehmen in Drittstaaten, in welchen nach einem Beschluss der europäischen Kommission ein angemessenes Datenschutzniveau besteht und wenn sie nach dem Privacy Shield Zertifiziert sind, Daten außerhalb der EU gespeichert werden dürfen.
Derzeit sind das: Andorra, Argentinien, Färöer Inseln, Guernsey, Insel Man, Israel, Jersey, Kanada, Neuseeland, Schweiz, Uruguay sowie die USA.
Ansonsten müssen Standardvertragsklauseln abgeschlossen werden. Mehr dazu unter:
23. Darf ein Auftragsverarbeiter Daten von Kunden an weitere Auftragsverarbeiter/Subunternehmer weitergeben?
Nur mit schriftlicher Genehmigung des Verantwortlichen! Wird ein Subunternehmer ersetzt, muss der Verantwortliche darüber informiert werden. Der Verantwortliche kann gegen den ersetzten Subunternehmer Einspruch erheben.
24. Wie lange müssen Einwilligungen aufgehoben werden?
Zumindest solange bis die Einwilligung widerrufen wurde.
25. Muss zwischen Kundendaten und Personaldaten unterschieden werden und müssen diese separat gespeichert werden?
Nein.
26. Dürfen persönliche Vorlieben aus Kunden- oder Vertriebsgesprächen zur Beziehungspflege gespeichert werden?
Wenn Sie das tun, sollten Sie das auch gut begründen können.
27. Können Bewertungen meines Betriebes aus Bewertungsportalten gelöscht werden?
Es gilt grundsätzlich das Recht auf freie Meinungsäußerung, weshalb hier zwischen diesem und dem Grundrecht auf Datenschutz abzuwägen ist.
28. Was ist bei Verzeichnissen z.B. für die GPLA-/FA-Prüfung zu beachten?
Wenn die Daten aufgrund anderer gesetzlicher Bestimmungen notwendig sind, dürfen diese (für die vorgeschriebene Speicherdauer) behalten werden.
29. Betrifft die DSGVO auch öffentliche Einrichtungen wie Schulen, Krankenhäuser, Polizei usw.?
Ja, mit Ausnahme der Polizei und Militär, diese haben eigen Richtlinien.
30. Kann es ab 25. Mai zu Abmahnungen „findiger“ Anwälte kommen?
Das ist möglich, kommt allerdings in Österreich selten vor.
31. Brauche ich einen externen Berater?
Nein, Sie dürfen ihr Unternehmen auch selber DSGVO-fit machen.
32. Gilt die DSGVO auch für Privatpersonen
Nein!
33. Was müssen Versicherungsmakler beachten, wenn sensible Daten, wie der Gesundheitszustand des Kunden, gespeichert werden.
Für Versicherungsmakler hat der Fachverband einen Leitfaden herausgegeben, welcher bei diesem Bezogen werden kann.
34. Was müssen Autohäuser beachten in Zusammenhang mit Versicherungen und der Weitergabe von Kundendaten an den Autohersteller?
35. Die Rechtsprechung ist sehr schwammig und unterschiedliche Quellen legen manche Dinge unterschiedlich aus. Wie kann ich dann sicher sein?
36. Wird es überhaupt Überprüfungen geben?
Offene Fragen
Wie ist mit Kontaktdaten zu verfahren z.B. Kontakte von Kunden im Smartphone oder Outlook?
Daten, welche nicht mehr aktuell sind, müssen gelöscht werden, vgl.:
Frage: Gibt es eine Ausnahme für das Speichern von Kontaktdaten (ohne Einwilligung aber aufrechter Kundenbeziehung) und wenn ja, ab wann müssen Kontaktdaten gelöscht werden?
Wie ist mit Daten in Bezug auf „Aufklärung und Verfolgung von Straftaten“ umzugehen?
Für ein Angebot im Internet müssen z.B. Name, Adresse, Telefonnummer, E-Mail und Kontodaten angegeben werden. Nach Beendigung der Beziehung mit dem Anbieter, verweigert dieser jedoch die Löschung "nicht benötigter Daten", unter dem Aspekt der Speicherpflicht zur Aufklärung und Verfolgung von Straftaten und der steuerlichen Aufbewahrungsplichten.
Frage: Welche Daten müssen hier tatsächlich gespeichert werden und können auf Anfrage sofort gelöscht werden?
Welche Fristen gelten hier für die Aufklärung und Verfolgung von Straftaten?
Bei einem Webserver / E-Mail-Server werden Logdateien zur Aufklärung und Verfolgung von Straftaten gespeichert. Wie lange müssen/dürfen diese Daten gespeichert werden?
Muss bei der Informationspflicht die Speicherfrist angegeben werden?
Muss bei der Informationspflicht die Rechtsgrundlage für die Speicherung der Daten angegeben werden?
Z.B. berechtigtes Interesse
Ein Unternehmen außerhalb der EU weigert sich meine Daten zu löschen. Ist das erlaubt?
Frage: Muss sich auch opencart oder andere Organisationen außerhalb der EU bei der Bitte, mein Konto und alle personenbezogenen Daten (als EU-Bürger) zu löschen, an die DSGVO halten? Eine Anfrage auf Löschung im März 2018 (vor Inkrafttreten der DSGVO) wurde verweigert. Laut Aussage des Supports kann das Konto nur deaktiviert werden. Es gab allerdings nie Einkäufe von diesem Konto oder sonstige Aktivitäten, welche eine kommentarlose und unbegrenzte Speicherung der Daten nach der DSGVO rechtfertigen würde.
https://www.opencart.com/index.php?route=account/login
Wann muss die letzte Interaktion mit einem Kunden stattgefunden haben, damit sie als "aufrecht" gilt?
Wenn bei der Bearbeitung von Betroffenenrechten deren Name im Logbuch eingetragen wird, wird wiederum ein personenbezogenes Datum erzeugt. Gibt es hierfür Löschungsfristen bzw. Verarbeitungsklauseln? Und wenn ja, welche?
Begriffserklärung
Personenbezogene Daten
Definition nach Artikel 4 (DSGVO):
„alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.“
Quelle: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE
Verarbeitung
Definition nach Artikel 4 (DSGVO):
„jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.“
Quelle: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE
Verantwortlicher
Eine juristische oder natürliche Person, welche für die gesamte Verarbeitung personenbezogener Daten verantwortlich ist. Erfasst ein Unternehmer personenbezogene Daten zur Rechnungserstellung, ist er ein Verantwortlicher.
Die Pflichten des Verantwortlichen:
-
Einhaltung der DSGVO nachweisen können.
-
Betroffenenrechte sicherstellen siehe: Umsetzung
-
mit der Aufsichtsbehörde zusammenarbeiten.
-
Bei einer Datenschutzverletzung unverzüglich eine Meldung an die Datenschutzbehörde machen.
Mehr über die Plichten des Verantwortlichen unter: http://wkw.ereader.tailored-apps.com/pdfs/2177.pdf S. E2
AuftragsverarbeiterInnen
Sind zum Beispiel:
-
Externe BuchhalterInnen
-
Cloud-AnbieterInnen
-
LohnverrechnerInnen
Ein Verantwortlicher kann für seine Verarbeitung (z.B. Lohnverrechnung) externe AuftragsverarbeiterInnen heranziehen. Dafür muss jedoch ein schriftlicher Vertrag, mit den in Artikel 28 (DSGVO) geforderten Inhalten, abgeschlossen werden.
Pflichten des Auftragsverarbeiters:
-
Er darf nur nach den dokumentierten Weisungen des Verantwortlichen tätig werden und muss den Verantwortlichen bei einer Abweichung informieren.
-
Will er weitere Sub-Auftragsverarbeiter einsetzten, braucht er die Zustimmung des Verantwortlichen.
-
Muss nach Beendigung seiner Tätigkeit alle Daten löschen oder zurückgeben.
-
Muss ebenfalls die technischen und organisatorischen Datenschutzmaßnahmen sicherstellen.
-
Mitarbeiter müssen sich zur Vertraulichkeit bzw. Verschwiegenheit verpflichten.
-
Unterstützt den Verantwortlichen bei Anfragen bezüglich Betroffenenrechte.
-
Dem Verantwortlichen alle Informationen zum Nachweis der Einhaltung der geforderten Plichten zur Verfügung stellen und Überprüfung und Inspektionen durch ihn oder einer beauftragten Person ermöglichen.
Einwilligung & Bedingungen
Definition nach Artikel 4 (DSGVO):
„der betroffenen Person jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung, in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.“
Quelle: http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE
Bedingungen für die Einwilligung
Die Bedingungen sind in Artikel 7 (DSGVO) festgehalten.
-
Jede Einwilligung muss getrennt von anderen Einwilligungen eingeholt werden.
-
Für jede Datenverarbeitung muss eine eigene Checkbox vorhanden sein.
-
Checkboxen dürfen nicht schon vorausgefüllt sein.
-
Aufgrund des Kopplungsverbots dürfen Einwilligungen auch nicht zum Beispiel an die AGBs gekoppelt werden.
-
Newsletter dürfen nur mit vorheriger Einwilligung versendet werden.
-
Es dürfen keine unerwünschten telefonischen Werbeanrufe (cold calling) durchgeführt werden.
Mehr über Einwilligungserklärungen:
http://wkw.ereader.tailored-apps.com/pdfs/2177.pdf S. E4
http://wkw.ereader.tailored-apps.com/pdfs/2177.pdf S. E7 23
https://www.wko.at/branchen/noe/handel/D_00a-Einfuehrungspraesentation.pdf S. 10
Data breach – wenn Daten verloren gehen oder gestohlen werden
Wenn ein Datenträger verloren geht oder Daten in Folge eines Hackerangriffes gestohlen werden, muss dies an die Datenschutzbehörde gemeldet werden. Im Falle von sensiblen Daten, müssen auch die betroffenen Personen kontaktiert werden. Ein Auftragsverarbeiter muss dies in so einem Fall dem Verantwortlichen (Auftraggeber) melden.
Vorbereitung
Das Management muss für das Thema sensibilisiert werden. Die Umsetzung der DSGVO ist ein unternehmensweites Unterfangen und nicht rein auf die IT beschränkt. Sie umfasst die Organisation, die Prozesse und das Personalwesen.
Prüfen ob ein Datenschutzbeauftragter erforderlich ist
Falls ja:
-
In die DSGVO Umsetzung mit einbeziehen
Ein Datenschutzbeauftragter ist im Gegensatz zu Deutschland nur unter bestimmten Voraussetzung erforderlich, und zwar wenn:
-
Die Kerntätigkeit regelmäßige umfangreiche Überwachung ist
-
Z.B. Detektivarbeit, siehe auch: Prüfen auf sensible Verarbeitungsdaten
-
-
Die Kerntätigkeit besondere Datenkategorien verarbeitet
-
Z.B. Gesundheitsdaten, siehe auch: Prüfen auf sensible Verarbeitungsdaten
-
-
Versicherungen, Banken, Krankenanstalten
-
Betreibt ein Webshop auch Profiling, ist dies in der Regel nicht die Kerntätigkeit der Webseite. Daher wird auch kein Datenschutzbeauftrager benötigt.
Datenschutzbeauftragter kann sein:
-
Ein eigener Mitarbeiter
-
Externe Datenschutzbeauftragte wie:
-
Ein Anwalt
-
Ein zertifizierter Anbieter
-
Wenn ein Datenschutzbeauftragter erforderlich ist, muss dieser bis zum 25.5.2018 an die Datenschutzbehörde gemeldet werden! Nachstehender soll helfen, die Frage nach einem Datenschutzbeauftragten zu beantworten.
Vorlage - Entscheidungsbaum Datenschutzbeauftragter - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_03d-Datenschutzbeauftragter-Entscheidungsbaum.pdf
Sollten die von Ihnen verarbeiteten Daten einen Datenschutzbeauftragten voraussetzen, kann Ihnen nachstehendes Dokument zur Positionsbeschreibung helfen. Jedoch ist an dieser Stelle das Hinzuziehen eines zertifizierten Beraters zu empfehlen.
https://www.wko.at/branchen/noe/handel/D_03c-Positionsbeschreibung-Datenschutzbeauftragter.docx
Projektverantwortliche und externe Unterstützung abklären
-
IT-Experte
-
Recht- oder (DSGVO-) Compliance-Experte
-
Ansprechpartner in allen Abteilungen
Es kann auch ein Datenschutzmanager bestimmt werden um die Umsetzung der DSGVO sicherzustellen.
Vorlage - Datenschutzmanager Positionsbeschreibung - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_03b-Positionsbeschreibung-Datenschutzmanager.docx
In nachstehendem Dokument kann die Datenschutzorganisation in einem Unternehmen festgehalten werden.
Vorlage - Datenschutzorganisation - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_03a-Uebersicht-Datenschutzorganisation.docx
Logbuch anlegen
Zur besseren Übersicht während des Projektes und zur späteren Nachverfolgung von Änderungen, empfiehlt es sich ein Logbuch anzulegen. Inhaltlich kann z.B. festgehalten werden:
-
Anfragen von Betroffenen und deren Bearbeitung
-
Schulung
-
Änderungen der Verarbeitung usw.
Beispiel - Logbuch - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_10e-Logbuch-Datenschutz.pdf
Vorlage - Logbuch - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_10e-Logbuch-Datenschutz.docx
Siehe auch:
Budget und Timeline festlegen
Abhängig von der Projektgröße kann ein eigenes Projekt aufgesetzt werden und ein Budgetrahmen definiert werden.
Für die Projektplanung finden Sie hier eine Vorlage aus dem Toolset DSGVO der Bundessparte Handel.
Beispiel - Projektplan - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_02a-Projektplan.pdf
Prüfen auf sensible Verarbeitungsdaten
Sensible Daten sollten nur dann verarbeiten werden, wenn eine ausdrückliche Einwilligung oder ein gesetzlicher Auftrag vorliegt. Ansonsten sollte auf die Erhebung sensibler Daten verzichtet werden.
-
Hohes Risiko für die Betroffenen
-
Bewertung auf Basis automatisierter Entscheidungen (Profiling, Direktmarketing)
-
Profiling siehe auch: http://wkw.ereader.tailored-apps.com/pdfs/2177.pdf E2
-
-
Verarbeitung strafrechtlicher Daten
-
Überwachung, Detektivarbeit
-
-
Verarbeitung sensibler personenbezogener Daten (Gesundheitsdaten)
-
Gesundheitsanwendungen, Fitnessapps
-
Sexualität, Gesundheit, Ethnie, Biometrie, Genetik, Religion, Politik, …
-
Strategie
Vor der Umsetzung können zwei grundsätzliche Strategien diskutiert und die zu verwendende Sprache für die Dokumente festgelegt werden.
Der Umgang mit den Daten bestimmt nämlich den Aufwand für die DSGVO. In vielen Fällen wird eine 100% Umsetzung jedoch nicht möglich sein, aufgrund vieler unbestimmter Rechtsbegriffe und fehlender Erfahrungen mit den Behörden bzw. gerichtlichen Entscheidungen. Den Begriff „best practice“ sehe ich in diesem Zusammenhang problematisch, hat nicht zuletzt die mehrheitliche Nichteinhaltung der Rechte von Betroffenen bei der Verarbeitung personenbezogener Daten zu diesem Schritt der EU geführt.
Konzernweite Strategie oder dezentraler Ansatz
Wird die DSGVO für das gesamte Unternehmen umgesetzt oder erfolgt eine separate Umsetzung, zum Beispiel in jeder Niederlassung.
Datenverarbeitung zur reinen Verwaltung oder zum wirtschaftlichen Nutzen
Werden die Daten nur z.B. bei einem Installateur zur reinen Verwaltungszwecken wie Kundenverwaltung und E-Mailkorrespondenz verarbeitet oder wird z.B. durch Auswertungen von Kundendaten das Kundenverhalten analysiert und Kundenprofile für Zielgruppenmarketing erstellt.
Umsetzung
Verarbeitungsverzeichnis - Dokumentation der Verarbeitungsvorgänge
Vorbereitung: Informationen über Prozesse erheben
Wenn möglich, können zur Vorbereitung bei größeren Projekten, die Angaben welche das Verarbeitungsverzeichnis enthalten soll, aus dem nächsten Kapitel, bereits vorab erhoben und dokumentiert werden. Wenn vorhanden, kann auch eine Datenschutzregistermeldung als Grundlage für das Verarbeitungsverzeichnis herangezogen werden.
Verarbeitungsverzeichnis erstellen
Die Datenschutzbehörde empfiehlt jedem Unternehmen ein Verarbeitungsverzeichnis nach Artikel 30 (DSGVO) auch dann anzulegen, wenn Daten nur gelegentlich verarbeitet werden. Die Erfassung kann auch, wenn vorhanden, durch ein Tool unterstützt werden. Wobei hier wieder abzuklären ist, ob der Zugriff zentral oder dezentral erfolgen soll. In größeren Unternehmen kann zuerst nach Abteilungen differenziert werden und dann nach den Daten.
Das Verarbeitungsverzeichnis enthält folgende Angaben:
-
Den Namen und die Kontaktdaten des Verantwortlichen
-
Die Zwecke der Verarbeitung
-
Eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z.B. Kunden und Lieferantendaten, Rechnungsdaten, Adressdaten)
-
Rechtsgrundlage wie z.B. eine Einwilligungserklärung
-
-
Die Kategorien von Empfängern (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater)
-
Auftragsverarbeiter (aktiv/passiv) und Vertragsgrundlage
-
-
Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in den USA)
-
Gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation, einschließlich der Angabe des betreffenden Drittlandes oder der betreffenden internationalen Organisation und die Dokumentierung geeigneter Garantien
-
Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
-
Wenn möglich, eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen
Verarbeitungsverzeichnis – Beispiele und Vorlagen
Vorlage - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_04a-Verfahrensverzeichnis.xlsx
Beispiel - WKO - Muster-Verarbeitungsverzeichnis für Verantwortliche
Vorlage - WKO - Muster-Verarbeitungsverzeichnis für Verantwortliche
Rechtmäßigkeiten Prüfen
Nach dem Verbotsprinzip ist die Verarbeitung personenbezogener Daten grundsätzlich verboten!
Ausnahmen sind:
-
Wenn eine Einwilligung der betroffenen Person vorliegt. Achtung: Kopplungsverbot (Einwilligungen dürfen zum Beispiel nicht an die AGB gekoppelt werden). Siehe: Einwilligung & Bedingungen
-
Zur Erfüllung eines Vertrages oder einer Vertragsanbahnung. Hierzu zwei Beispiele:
-
Betreiben Sie eine Online-Shop ist davon auszugehen, dass Sie die Adressdaten für die Zustellung des Einkaufs verwenden.
-
Geht eine Person zu einem Fotografen, ist davon auszugehen, dass er die Person fotografieren darf. Möchte der Fotograf die Fotos auf seine Webseite veröffentlichen, benötigt dieser jedoch die Zustimmung.
-
Auf dieser Basis sollten nur Daten von Kunden erhoben werden, welche wirklich benötigt werden.
-
Achtung: Personenbezogene Daten müssen nachdem sie ihren Zweck erfüllt haben jedoch gelöscht werden.
-
-
Zur Erfüllung gesetzlicher Pflichten wie zum Beispiel:
-
Steuerliche Aufbewahrungsplichten
-
Auch das Senden von Daten für die Kurtaxe an die Gemeinde ist erlaubt.
-
-
Zum Schutz lebenswichtiger Interessen einer betroffenen Person zum Beispiel bei Ärzten.
-
Zur Wahrnehmung einer Aufgabe im öffentlichen Interesse.
-
Abwägung der berechtigen Interessen, siehe Erwägungsgrund 47 der DSGVO.
-
Z.B. lässt Direktwerbung für ähnliche Produkte an Bestandskunden zu.
-
Bonitätsabfrage für Autoleasing
-
(Verarbeitung die für den Betroffenen „zu erwarten“ ist.)
-
Bei der Verarbeitung personenbezogener Daten sind folgende Grundsätze einzuhalten:
Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz, Zweckbindung, Datenminimierung, Richtigkeit, Speicherbegrenzung, Integrität und Vertraulichkeit.
Vorlage - Rechtsgrundlage erfassen - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_05a-Rechtsgrundlagen-nach-DSGVO.docx
Mehr über die Grundsätze und Rechtmäßigkeit der Verarbeitung
WKO - Gesetzliche Speicher- und Aufbewahrungsfristen
WKO - Grundsätze und Rechtmäßigkeit der Verarbeitung
WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_05d1-Erhebung-von-Interessentendaten.pdf
Risikoanalyse
Je nach verwendetem Verarbeitungsverzeichnis ist die Risikoanalyse bereits inkludiert oder Sie können sie aus dem nachstehenden Dokument entnehmen.
https://www.wko.at/branchen/handel/D_04a-Verfahrensverzeichnis.xlsx S.2
Datenschutz-Folgenabschätzung
Ob eine Datenschutz-Folgenabschätzung durchgeführt werden muss, ist in Artikel 35 (DSGVO) geregelt. Werden z.B. in einem Unternehmen in großem Umfang sensible Daten verarbeitet, muss eine Datenschutz-Folgenabschätzung durchgeführt werden.
Siehe auch: Prüfen auf sensible Verarbeitungsdaten
Folgendes Dokument aus dem WKO Handel Toolset kann ebenfalls für die Beurteilung herangezogen werden:
https://www.wko.at/branchen/handel/D_04a-Verfahrensverzeichnis.xlsx S.2
Unter nachstehendem Link finden Sie eine ausführliche Abhandlung der WKO über die Datenschutz-Folgenabschätzung:
Die Datenschutzbehörde arbeitet zur Zeit an einer Black- und Whiteliste, die angibt, ob eine Datenschutz-Folgenabschätzung notwendig ist.
Auch hier sollte, sofern eine Datenschutz-Folgeabschätzung notwendig ist, aufgrund der Komplexität, ein zertifizierter Berater hinzugezogen werden. Zusätzlich ist eine Meldung an die Datenschutzbehörde zu machen.
Weitere Informationen
Leitlinien zur Datenschutz - Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 „wahrscheinlich ein hohes Risiko mit sich bringt“.
(UK: ICO, ISO 29134)
Auftragsverarbeitung
Bestehende Verträge mit Auftragsverarbeitern überarbeiten
Werden Daten an externe Dienstleister weitergegeben, z.B. Steuerberater oder Clouddienste, sollte vertraglich abgesichert werden, dass mit den Daten DSGVO-Konform umgegangen wird, siehe: Auftragsverarbeiter – Pflichten des Auftragsverarbeiters.
Vorgehen:
-
Bestehende Vorlagen ggf. anpassen
-
Verträge mit neuen und bestehenden Dienstleistern prüfen
Vorlage - Auftragsverarbeiter-Vereinbarung - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_06a-Auftragsverarbeitungsvertrag-nach-Art-28-DSGVO.pdf
Beispiel - Auftragsverarbeiter-Vereinbarung - WKO Handel Toolset
Vorlage - Auftragsverarbeiter-Vereinbarung - WKO Handel Toolset
Datenverarbeitungsverzeichnis für Auftragsverarbeiter
Als Auftragsverarbeiter (Subunternehmer) müssen Sie außerdem ein Datenverarbeitungsverzeichnis für jeden Verantwortlichen, in dessen Auftrag Sie als Auftragsverarbeiter tätig sind, führen.
Vgl.: http://wkw.ereader.tailored-apps.com/pdfs/2177.pdf S.E3
Beispiel - Datenverarbeitungsverzeichnis für Auftragsverarbeiter - WKO
Vorlage - Datenverarbeitungsverzeichnis für Auftragsverarbeiter - WKO
Einwilligungserklärungen anpassen
-
Texte für Einwilligungserklärungen gegebenenfalls präzisieren
-
Bestehende Marketingabläufe anpassen siehe: Rechtmäßigkeit von Marketingkampagnen unbedingt abklären (E-Mail Werbung | Soziale Netzwerke | Affiliate-Marketing)
Siehe auch: Einwilligung & Bedingungen
Vorlage - Einwilligungserklärung - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_05d2-Zustimmungserklaerung.docx
Betroffenenrechte sicherstellen
Um die Betroffenenrechte gemäß Artikel 12 (DSGVO) sicherzustellen, hat der Verantwortliche alle Informationen in präziser, transparenter, verständlicher und leicht zugänglicher Form zu übermitteln.
Die Übermittlung erfolgt schriftlich, ggf. elektronisch und falls von der betroffenen Person verlangt auch mündlich.
Personenbezogenen Daten können bei der Person selbst oder bei anderen Personen erhoben werden. Informationen zur Informationspflicht von Daten, welche nicht bei der betroffenen Personen erhoben wurden, können in Artikel 14 (DSGVO) nachgelesen werden.
Informationspflichten bei Erhebung bei der betroffenen Person
Artikel 13 (DSGVO) regelt personenbezogene Daten die direkt bei Betroffenen erhoben werden (nicht den Auftragsverarbeiter). Es müssen folgende Informationen zum Zeitpunkt der Erhebung den Betroffenen zur Verfügung gestellt werden:
-
Name und Kontakt des Verantwortlichen.
-
Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten.
-
Die Zwecke der Verarbeitung und die Rechtsgrundlage.
-
Gegebenenfalls die berechtigten Interessen.
-
Gegebenenfalls die Empfänger oder Kategorien von Empfängern.
-
Auftragsverarbeiter und Subunternehmer, wenn personenbezogene Daten ausgetauscht werden siehe auch: Bestehende Verträge mit Auftragsverarbeitern überarbeiten.
-
Gegebenenfalls die Übermittlung von personenbezogen Daten an ein Drittland oder eine internationale Organisation.
-
Die Dauer bzw. falls nicht möglich, Kriterien für die Festlegung der Dauer der Datenspeicherung.
-
Betroffenenrechte: Das Bestehen eines Rechts (bei allen Empfängern von Daten wie z.B. Auftragsverarbeitern) auf:
-
Auskunft
-
Berichtigung oder Löschung
-
Einschränkung der Verarbeitung
-
Widerspruchsrecht gegen die Verarbeitung
-
Datenübertragbarkeit (Exportieren von Profildaten und anschließendes Importieren der Daten bei einem ähnlichen Anbieter)
-
Wiederruf von Einwilligungen
-
Beschwerde bei der Aufsichtsbehörde
-
-
Ob die Bereitstellung der Daten gesetzlich oder vertraglich vorgeschrieben ist.
-
Ob die betroffene Person verpflichtet ist, die Daten bereitzustellen und welche Folgen die Nichteinhaltung hätte.
-
Aussagekräftige Informationen über die involvierte Logik und angestrebte Auswirkungen von automatisierten Entscheidungsfindungen inklusive Profiling.
Es sollten daher die Datenschutzerklärungen bzw. Informationspflichten für Kunden und Lieferanten angepasst werden. Die Art der Informationsplicht ist jedoch nicht vorgegeben. Es empfiehlt sich zum Beispiel:
-
Über einen gut sichtbaren Aushang
-
Auf Ihrer Webseite
Mehr über Betroffenenrechte und Informationsplichten unter:
Datenschutzerklärung – Vorlagen
WKO Handel Toolset – Datenschutzerklärung zur Veröffentlichung auf Websites
WKO Datenschutzerklärung - Muster zur Erfüllung der datenschutzrechtlichen Informationspflichten für Webseiten
Auskunftspflichten
Siehe: Auskunftspflichten
Sicherheitsmaßnahmen & technisch organisatorische Umsetzung der DSGVO
Nach Artikel 32 (DSGVO) müssen Verantwortlicher und Auftragsverarbeiter „geeignete technische und organisatorische Maßnahmen“ treffen, welche ein „angemessenes Schutzniveau“ gewährleisten. Personenbezogene Daten dürfen nur mehr verschlüsselt übertragen werden, zum Beispiel in E-Mails oder Kontaktformularen auf Webseiten.
-
Es sind die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen.
-
Die Verfügbarkeit bei einem physischen oder technischen Zwischenfall muss rasch wiederhergestellt werden können.
-
Verfahren zur Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen.
-
Es sind dabei der Stand der Technik, die Implementierungskosten sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere des Risikos zu berücksichtigen.
Es gilt:
-
Privacy by design (Datenschutz durch Technikgestaltung)
-
Privacy by default (Voreinstellungen)
Vorlage - Technisch organisatorische Maßnahmen - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_07a-Technisch-organisatorische-Massnahmen.docx
Interne Richtlinien überarbeiten
MitarbeiterInnen müssen ebenfalls für das Thema DSGVO sensibilisiert werden. Dazu empfiehlt sich das Verfassen oder Aktualisieren von Datenschutz-Richtlinien für das Unternehmen und deren MitarbeiterInnen. Sie beinhalten wie mit Daten umzugehen ist und was nicht erlaubt ist.
-
IT-Richtlinien
-
Sicherstellen, dass Löschfristen eingehalten werden.
-
Sicherstellen, dass einzelne Datensätze auf Anfrage ausgehoben und ggf. gelöscht werden können.
-
Sicherstellen, dass einzelne Datensätze von der Verarbeitung ausgeschlossen werden können.
-
-
Mitarbeiter Datenschutz-Richtlinien
-
Sicherstellen, dass Löschfristen eingehalten werden. Z.B. löschen von personenbezogen Daten, nachdem sie ihren Zweck erfüllt haben.
-
Sicherstellen, dass einzelne Datensätze auf Anfrage ausgehoben und ggf. gelöscht werden können. Z.B. keine personenbezogenen Daten auf privaten Datenträgern speichern.
-
Sicherstellen, dass einzelne Datensätze von der Verarbeitung ausgeschlossen werden können. Z.B. keine eigenen Mailinglisten führen.
-
Beschäftigte sollten auf Verschwiegenheit geschult werden.
-
-
Betriebsvereinbarungen prüfen
Datenschutz-Richtlinien und Datengeheimnis – Vorlagen
Vorlage - WKO Handel Toolset - Allgemeiner Umgang mit persönlichen Daten für Mitarbeiter
https://www.wko.at/branchen/noe/handel/D_09a-Allgemeine-Datenschutzrichtlinie.docx
Vorlage - WKO Handel Toolset - Umgang mit sensiblen Daten für Mitarbeiter
https://www.wko.at/branchen/noe/handel/D_09b-Richtlinie-Umgang-mit-Daten-besonderer-Kategorien.docx
Vorlage - WKO Handel Toolset - Umgang mit mobilen Geräten und Databreach für Mitarbeiter
https://www.wko.at/branchen/noe/handel/D_09c-Umgang-mit-Datentraegern-oder-Privatgeraeten.docx
Vorlage - WKO - Datenschutzerklärung für Mitarbeiter
Beispiel - WKO - Verpflichtungserklärung zum Datengeheimnis für Mitarbeiter
Vorlage - WKO - Verpflichtungserklärung zum Datengeheimnis für Mitarbeiter
Erforderliche Schulungen durchführen
Zusätzlich sollten Schulungen, mit anschließender Bestätigung der Teilnahme und dem Erhalt der Unterlagen, durchgeführt werden.
Vorlage - Schulungsunterlagen - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_09d-Schulungsunterlage.pdf
Vorsicht: MitarbeiterInnen dürfen keine Auskunft geben.
Datenschutzanfragen - Vorlagen
Vorlage - Anweisung für Mitarbeiter - WKO Handel Toolset
Vorlage - Aushang - WKO Handel Toolset
https://www.wko.at/branchen/noe/handel/D_10a2-Datenschutzanfragen-Aushang.docx
Alte Daten bereinigen
Sofern keine Berechtigung für die Speicherung von Daten vorhanden ist, sollten alte Daten gelöscht werden. Eine Berechtigung liegt dann vor, wenn eine (schriftliche) Einwilligung des Kunden vorliegt, ein berechtigtes Interesse besteht, die Daten zu Erfüllung des Vertrages erhoben wurden und nach bundesgesetzlichen (Aufbewahrungs-) Fristen zulässig sind, siehe: Rechtmäßigkeiten Prüfen
Laufend DSGVO-Konformität sicherstellen
Abgesehen von der Beantwortung von Anfragen der Betroffenen, regelmäßigen Datenlöschung und anderen durch die DSGVO hervorgerufenen Aufgaben, sollten für die Zeit nach dem 25.5.2018 weitere Ressourcen eingeplant werden, da erst die ersten Entscheidungen der Datenschutzbehörde zeigen werden, welche Punkte noch nachzubearbeiten sind und wie gewisse Bestimmungen zu verstehen sind.
Regelmäßige Aufgaben
Dokumentation regelmäßig aktualisieren
Wenn sich Arbeitsprozesse in denen personenbezogene Daten verarbeitet werden ändern, muss auch die Dokumentation angepasst und aktualisiert werden. Zum Beispiel bei:
-
Änderungen der Verarbeitungssoftware im Unternehmen
-
Ausweitung der Marketingstrategien
Datensicherheitsmaßnahmen am Stand der Technik
Lassen Sie die Systeme in denen personenbezogene Daten verarbeitet werden und die Policies in ihrem Unternehmen regelmäßig prüfen.
Regelmäßige Prüfung der aktuellen Rechtsprechung
Kontrollieren Sie, ob sich die aktuelle Rechtsprechung geändert hat.
Regelmäßige Überprüfung der DSGVO-Umsetzung und Beantwortung spezieller Fragen z.B. durch Firmenanwalt.
Nicht mehr benötigte Daten regelmäßig löschen.
Prozessetablierung für regelmäßiges Löschen.
Betroffenenrechte sicherstellen: Auf Anfrage über die gespeicherten Daten informieren und ggf. Daten berichtigen oder löschen
Auskunftspflichten
Kunden haben das Recht auf Anfrage hin eine Auskunft zu erhalten, welche Daten von ihnen verarbeitet wurden und das Recht auf Berichtigung und Löschung der Daten.
Wie in Kapitel Betroffenenrechte sicherstellen, erfolgt die Übermittlung schriftlich, ggf. elektronisch und falls von der betroffenen Person verlangt auch mündlich.
Vgl.: Artikel 12 (DSGVO)
Lösch-Ausnahmen: z.B. Bundesgesetzliche (Aufbewahrungs-)Fristen, siehe: Rechtmäßigkeiten prüfen
-
Anfragen sind unverzüglich zu beantworten, in jedem Fall jedoch innerhalb eines Monats (nur im Ausnahmefall 3 Monate).
-
Werden von einer Person wiederholt Anfragen gestellt, können für weitere Kopien angemessene Entgelte verlangt werden.
Zuständigkeit und Ansprechpersonen abklären
Legen Sie fest, wer im Falle einer Anfrage für die Bearbeitung und das Herausgeben der Daten zuständig ist.
Muster zur Meldung etwaiger Verstöße oder Behördenanfragen vorbereiten
Data Breach
Im Falle einer Datenschutzverletzung hat eine Meldung unverzüglich, spätestens jedoch innerhalb von 72 Stunden, an die Aufsichtsbehörde zu erfolgen und die betroffenen Personen müssen direkt informiert werden.
https://www.wko.at/branchen/noe/handel/D_10c-Databreach.pdf
Behördenanfragen
https://www.wko.at/branchen/noe/handel/D_10d-Anfragen-der-Datenschutzbehoerde.docx
Rechtmäßigkeit von Marketingkampagnen unbedingt abklären
Newsletter
Rechtlich ändert sich für den Versand von Newslettern im Wesentlichen nicht viel zu früher.
-
Haben sie eine Zustimmung, dürfen Sie Newsletter versenden.
-
Die Zustimmung sollte schriftlich oder per Opt-In erfolgen.
-
Der Empfänger muss jeder Zeit die Möglichkeit zum Abbestellen des Newsletters haben.
-
Der Versand von Newslettern muss ins Verarbeitungsverzeichnis eingetragen werden.
Siehe auch: E-Mail-Werbung
E-Mail-Werbung
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/E-Mails_versenden_-_aber_richtig.html
Themenvertiefung WKO 02:
Wann darf Werbung verschickt werden?
https://www.youtube.com/watch?v=ei42vn6PlBM
Soziale Netzwerke
Affiliate-Marketing
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/datenverarbeitung-webshop-website.html
Kundenkarten
https://www.wko.at/branchen/noe/handel/umgang-mit-kundenkarten.pdf
Mögliche Fallstrike
-
Beim Versenden von Newslettern wird die Verteilerliste mitgesendet.
-
E-Mailadressen von Kunden sind schützenswerte persönliche Daten.
-
-
Beim Versenden von Newslettern liegt nicht für alle User eine Einwilligung vor.
-
Das Erfassen von Kundendaten auf Aushängeblättern wo sich bereits andere Kunden eingetragen haben, ist zu vermeiden.
-
Für sogenannte virtuelle Blackboards für Firmenverlautbarungen wie z.B. neuer Mitarbeiter Max Muster – XY ist Papa geworden, müssen vor Veröffentlichung die Zustimmungen eingeholt werden.
Achtung!
Die Nutzung des Messenger-Dienst WhatsApp im Unternehmen verstößt gegen die DSGVO.
http://m.oe24.at/digital/WhatsApp-im-Job-bald-nicht-mehr-erlaubt/334011150
Änderungslog
24.05.2018 | Christoph Kirchberger
Deregulierungs-Gesetz hinzugefügt.
Frage 20 (Sind Daten von Firmen personenbezogene Daten?) aktualisiert.
Zusätzliche Links
Von der WKO geführte zertifizierte Berater
WKO - Alle Musterdokumente zur EU Datenschutzgrundverordnung
Quellen
https://www.wko.at/branchen/stmk/gewerbe-handwerk/Merkblatt_DSGVO_STMK_20180309.pdf
http://wkw.ereader.tailored-apps.com/pdfs/2177.pdf
WKO DSGVO Infokit
https://news.wko.at/news/oesterreich/dsgvo-info-kit-1.pdf
https://news.wko.at/news/oesterreich/dsgvo-info-kit-2.pdf
https://news.wko.at/news/oesterreich/dsgvo-info-kit-3.pdf
WKO Handel - Toolset
https://www.wko.at/branchen/noe/handel/datenschutzgrundverordnung-in-handelsunternehmen.html
Sonstiges / branchenspezifische Fragen zur EU-Datenschutz-Grundverordnung - FAQ
Einzugsgebiet
Das Einzugsgebiet umfasst den Bezirk Mödling (Achau, Biedermannsdorf, Brunn am Gebirge, Gaaden, Gießhübl, Gumpoldskirchen, Guntramsdorf, Hinterbrühl, Laxenburg, Maria Enzersdorf, Mödling, Münchendorf, Perchtoldsdorf, Vösendorf, Wiener Neudorf, Wienerwald), Baden und Wien unter der Donau.