Logo O.P.P. - Beratung

IT Recht - Datenschutz

Datenschutz

Schon seit 1980 unterliegt die Verarbeitung personenbezogener Daten in Österreich gesetzlicher Regelung. Das österreichische Datenschutzgesetzt wurde seitdem mehrfach novelliert und basiert inhaltlich seit dem Jahr 2000 auf Grundlage der Richtlinie 95/46/EG. Mit Freitag 25.Mai 2018, 00:00 tritt die Datenschutzgrundverordnung (kurz DSGVO) in Kraft, welche grundlegende Änderungen in der Handhabung des Datenschutzes mit sich bringt.

Durch die Datenschutzgrundverordnung wird klargestellt, dass aufgrund faktischer Gegebenheiten die Erfordernis einer Novellierung bestehender Regelungen und eines europaweit einheitlichen Rechtsschutzes im Zusammenhang mit der Verarbeitung personenbezogener Daten bestanden ist. Nicht zuletzt aufgrund der Erfahrungen Betroffener im Fall „Europe versus Facebook" wurden die Grenzen des bestehenden Rechtsschutzsystems und somit die Erfordernisse eines wirksamen grenzüberschreitenden Schutzes aufgezeigt und somit der Stellenwert des Themas Datenschutz auf europarechtlicher Ebene eindeutig sehr viel Gewicht verliehen.

Die Datenschutzgrundverordnung ist eine EU-Verordnung und somit in den Mitgliedstaaten unmittelbar anwendbares Recht. Eine Verordnung gilt, ohne dass es eines nationalen Umsetzungsaktes bedarf. Steht eine Verordnung im Konflikt mit einem nationalen Gesetz, so hat die Verordnung Vorrang. Dennoch gibt es ein nationales Anpassungsgesetz das „Datenschutz-DeregulierungsGesetz 2018“, kurz DSG und eine Verordnung die sog. „Whitelist“ DSFA-AV (Verordnung der Datenschutzbehörde über die Ausnahmen von der Datenschutzfolgenabschätzung). Es wird vom Gesetzgeber auch noch eine Blacklist erlassen werden (Nach Art 35 Abs. 5 DSGVO muss die Aufsichtsbehörde, eine Liste von Verarbeitungsprozessen zu veröffentlichen, die eine Pflicht zur Durchführung einer DSFA auslöst. Eine Konsultation der europäischen Datenschutz-Behörden untereinander zum Inhalt von Blacklists, ist jedoch notwendig).

Zulässigkeit der Verarbeitung

Vereinfacht lässt sich als Grundsatz herausstreichen, dass „die Verarbeitung personenbezogener Daten grundsätzlich verboten ist“, soweit DSGVO bzw DSG nicht ausdrücklich Ausnahmen von dieser Regel enthält. Im Zusammenhang mit der Zulässigkeit der Verarbeitung personenbezogener Daten unterscheidet die DSGVO hier in die besonderen Kategorien personenbezogener Daten (vormals „sensiblen Daten“) und alle übrigen personenbezogenen Daten. Die Zulässigkeit der Verarbeitung von personenbezogenen Daten beider Kategorien wird in der DSGVO ausführlich erläutert. Die Anwendung dieser Bestimmungen in der Praxis erfordert jedoch mitunter viel Erfahrung und Kenntnisse der spezifischen Judikatur und Literatur.

Datenschutz Schichtenmodell ( © O.P.P. ) zum Zweck des Schutzes der Rechte und Freiheiten des Betroffenen

Datenschutz Schichtenmodell

Verzeichnis der Verarbeitungstätigkeiten (Artikel 30 DSGVO):

Jeder Verantwortliche muss ein Verzeichnis aller Verarbeitungstätigkeiten führen, die seiner Zuständigkeit unterliegen.

Dieses Verzeichnis enthält sämtliche folgenden Angaben:

a) den Namen und die Kontaktdaten des Verantwortlichen und gegebenenfalls des gemeinsam mit ihm Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten;

b) die Zwecke der Verarbeitung;

c) eine Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten;

d) die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind, einschließlich Empfänger in Drittländern oder internationalen Organisationen;

e) Übermittlungen von personenbezogenen Daten an ein Drittland, einschließlich der Angabe des betreffenden Drittlands, Dokumentierung geeigneter Garantien;

f) Fristen für die Löschung der verschiedenen Datenkategorien;

g) eine allgemeine Beschreibung der technischen und organisatorischen Maßnahmen

Jeder Auftragsverarbeiter (vormals Dienstleister) muss ein Verzeichnis führen […], das Folgendes enthält: a) den Namen und die Kontaktdaten der Auftragsverarbeiter und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist und eines etwaigen Datenschutzbeauftragten; b) die Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden; c) gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland und die Dokumentierung geeigneter Garantien; d) allgemeine Beschreibung der technischen und organisatorischen Maßnahmen Das Verzeichnis ist schriftlich zu führen (auch elektronisch)

Das Verzeichnis ist der Aufsichtsbehörde auf Anfrage zur Verfügung zu stellen.

Diese Pflichten gelten nicht für Unternehmen, die weniger als 250 Mitarbeiter beschäftigen, sofern die von ihnen vorgenommene Verarbeitung nicht ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt die Verarbeitung nicht nur gelegentlich erfolgt oder nicht die Verarbeitung besonderer Datenkategorien bzw. Daten über strafrechtliche Verurteilungen und Straftaten einschließt. Bezugspunkt ist die jeweilige Datenanwendung. Alle Grundfunktionen des Unternehmens (z.B. FiBu; Personalakten; Kundendatenbank) erfolgen nicht nur gelegentlich und müssen daher in einem Verzeichnis geführt werden!

Datenschutzbeauftragter

Die Funktion des Datenschutzbeauftragten umfasst sämtliche Tätigkeiten im Zusammenhang mit der Nutzung personenbezogener Daten und deren angemessenem Schutz. Dazu gehören neben laufender Überwachung der Einhaltung der gesetzlichen Bestimmungen und innerbetrieblichen Regeln auch die Verbreitung und Festigung datenschutzrechtlichen Bewusstseins und Wissens. Durch den Datenschutzbeauftragten gibt es einen zentralen Ansprechpartner und Verantwortlichen für alle datenschutzrelevanten Themen eines Unternehmens bzw Organisation. Dieser verfügt durch eine entsprechende Aus- und laufende einschlägige Weiterbildung über das erforderliche Fachwissen. Um seine Aufgabe wirksam wahrnehmen zu können, muss der Datenschutzbeauftragte in seiner Rolle unabhängig und weisungsfrei agieren können und mit entsprechenden Kompetenzen ausgestattet sein. Nur bei Vorliegen dieser Voraussetzungen kann der Datenschutzbeauftragte auch seine Verantwortung wahrnehmen und seine Rolle wirksam ausfüllen. In größeren Unternehmen und auch Organisationen hat sich die Installation eines „IT & Datenschutz-Beirates“ (kurz IDB; © O.P.P.) bewährt. Als Mitglieder des IDB sind Personen in leitender Funktion zu berufen, in deren Verantwortungsbereich personenbezogene Daten anfallen bzw. verarbeitet werden. In diesem Gremium werden einschlägige Themen behandelt, diskutiert und einer Entscheidung zugeführt. Der betriebliche Datenschutzbeauftragte steht diesem Gremium beratend zur Seite und ist für die Umsetzung bzw. fachliche Begleitung erforderlicher Maßnahmen verantwortlich.

Benennung eines Datenschutzbeauftragten (Artikel 37 DSGVO):

Der Verantwortliche und der Auftragsverarbeiter müssen einen Datenschutzbeauftragten (kurz DSBa) benennen, wenn

a) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird […]

b) die Kerntätigkeit in der Durchführung von Verarbeitungs­vorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, oder

c) die Kerntätigkeit in der umfangreichen Verarbeitung besonderer Kategorien von Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten besteht.

Eine Unternehmensgruppe darf einen gemeinsamen DBSa benennen.

Der DSBa wird auf der Grundlage seiner beruflichen Qualifikation und insbesondere des Fachwissens benannt, das er auf dem Gebiet des Datenschutzrechts und der Datenschutzpraxis besitzt, sowie auf der Grundlage seiner Fähigkeit zur Erfüllung der in Artikel 39 genannten Aufgaben. Der DSBa kann Beschäftigter sein oder seine Aufgaben auf der Grundlage eines Dienstleistungsvertrags erfüllen. Die Kontaktdaten des DSBa sind der Aufsichtsbehörde mitzuteilen.

Artikel 38 DSGVO normiert die Stellung des Datenschutzbeauftragten: Der DSBa ist frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Dem DSBa sind die erforderlichen Ressourcen zur Verfügung zu stellen (inkl. Weiterbildung). Der DSBa ist bei der Erfüllung seiner Aufgaben weisungsfrei und darf wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Er berichtet unmittelbar an die höchste Managementebene. Betroffene können den DSBa zur Verarbeitung ihrer Daten befragen und im Zusammenhang mit der Wahrnehmung ihrer Rechte zu Rate ziehen. Der DSBa ist bei der Erfüllung seiner Aufgaben an die Wahrung der Geheimhaltung gebunden. Der DSBa kann andere Aufgaben und Pflichten wahrnehmen, soweit dies nicht zu einem Interessenkonflikt führt.

Artikel 39 DSGVO normiert die Aufgaben des Datenschutzbeauftragter: a) Unterrichtung und Beratung des Verantwortlichen und der Beschäftigten, hinsichtlich ihrer Pflichten; b) Überwachung der Einhaltung der Datenschutzvorschriften sowie der Strategien für den Schutz personenbezogener Daten (Zuweisung von Zuständigkeiten; Sensibilisierung und Schulung der an den Verarbeitungs­vorgängen beteiligten Mitarbeiter und diesbezügliche Überprüfungen); c) Beratung im Zusammenhang mit der Datenschutz-Folgenabschätzung und Überwachung ihrer Durchführung; d) Zusammenarbeit mit der Aufsichtsbehörde; e) Anlaufstelle für die Aufsichtsbehörde (einschließlich der vorherigen Konsultation)

Unsere Leistungen zum Thema Datenschutz

Information

Wir informieren Verantwortliche zu rechtlichen und fachlichen Themen des Datenschutzes, auf Basis bestehender gesetzlicher Bestimmungen. Hierbei werden die gesetzlichen Begriffe im praktischen Kontext erläutert, sowie grundsätzliche Fragen im Zusammenhang mit der Verarbeitung personenbezogener Daten beantwortet. Rechtsfolgen bei Gesetzesverstößen, insbesondere Haftung der Geschäftsführung bzw. der Fachverantwortlichen Erläuterung bevorstehender gesetzlicher Bestimmungen.

Analyse

  • Systematische Analyse aller Datenanwendungen einer Organisation in Bezug auf datenschutzrechtliche Relevanz.
  • Zulässigkeit der Verarbeitung
  • Einhaltung von Dokumentations- und eventuellen behördlichen Genehmigungs- bzw Konsultationspflichten
  • Datensicherheitsmaßnahmen (technisch/organisatorisch)
  • Aktueller Handlungsbedarf (Risiko)

Beratung

  • Organisatorische Maßnahmen zum Datenschutz
  • Bewusstseinsbildende Maßnahmen
  • Verzeichnisse der Verarbeitungstätigkeiten
  • Prozesse zum Schutz der Betroffenenrechte (Auskunft, Löschung, etc)
  • Unterstützung bei der Bewältigung von Datenpannen (data breach)
  • Auftragsverarbeitervereinbarungen, Betriebsvereinbarungen, Verpflichtung auf das Datengeheimnis (in Verbindung mit allgemeinem Geheimnisschutz), etc
  • Wie stellen, auf Wunsch, auch den externen Datenschutzbeauftragten

Ausbildung

Wir bilden Datenschutzbeauftragte aus und bereiten diese zur CIS-Prüfung vor. Die Prüfung kann sowohl im Rahmen der Ausbildung abgelegt werden, als auch auf Wunsch direkt bei CIS.

» Ausbildung zum betrieblichen Datenschutzbeauftragten

Projektvorgehen

  • Analyse der bestehenden Meldungen auf Aktualität und Richtigkeit
  • Strukturierte Erfassung aller Datenanwendungen (IKT oder Papier)
  • Kategorisierung der verarbeiteten Daten in Bezug auf DSGVO / DSG / Whitelist bzw Blacklist
  • Sicherstellung der rechtlichen Voraussetzungen (z.B. Zustimmungserklärungen, Betriebsvereinbarungen, Auftragsverarbeitervereinbarungen)
  • Ermittlung von Dokumentations- und eventuellen behördlichen Genehmigungs- bzw Konsultationspflichten
  • Unterstützung bei der Kommunikation mit der Behörde
  • Unterstützung bei der Umsetzung erforderlichen Datensicherheitsmaßnahmen (TOM’s)