Am 4. Mai 2016 wurde die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung, DSGVO)“ veröffentlicht. Sie tritt am 25. Mai 2018 in Geltung. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden.[1]

Obwohl die Datenschutz-Grundverordnung als EU-Verordnung in jedem EU-Mitgliedstaat unmittelbar anwendbar ist, enthält sie dennoch zahlreiche Öffnungsklauseln und lässt dem nationalen Gesetzgeber gewisse Spielräume. Zur Durchführung dieser Öffnungsklauseln und Spielräume wurde in Österreich das „Datenschutz-Anpassungsgesetz 2018“, eine Novelle des DSG 2000 (künftig: DSG) beschlossen.[2]

Die nachfolgende Auflistung von Fragen und Antworten zur neuen Datenschutzverordnung (inklusive Datenschutz-Anpassungsgesetz 2018) folgt der WKO-Seite „EU-Datenschutz-Grundverordnung (DSGVO): Checkliste“.[3] Begriffsbestimmungen finden sich unter: https://www.shiatsu-austria.at/index.php/shiatsu-in-oesterreich/datenschutz-richtlinien-2018/datenschutzverordnung-2018-begriffsbestimmungen 

 
  1. Welche personenbezogenen Daten werden verareitet?
  2. Liegen Standardanwendungen vor?
  3. Was ist der Zweck der Datenverarbeitung?
  4. Welche Grundsätze sind bei der Verarbeitung von personenbezogenen Daten einzuhalten?
  5. Was ist die Rechtsgrundlage der Datenverarbeitung?
  6. Liegt eine Einwilligung für die Verarbeitung von personenbezogenen Daten vor?
  7. Werden personenbezogene Daten für einen anderen Zweck weiterverarbeitet?
  8. Werden sensible Daten verarbeitet?
  9. Geht es um personenbezogene Daten von Kindern?
  10. Erfolgt Profiling?
  11. Werden Auftragsverarbeiter (datenschutzrechtliche Dienstleister) herangezogen?
  12. Werden die Informationspflichten erfüllt?
  13. Werden die Betroffenenrechte erfüllt?
  14. An wen können sich Betroffene wenden?
  15. Welche Datensicherheitsmaßnahmen sind vorhanden?
  16. Ist privacy by design / privacy by default implementiert?
  17. Besteht Dokumentationspflicht – und wie wird diese erfüllt?
  18. Welche Vorkehrungen gegen Datenschutzverletzungen sind vorhanden?
  19. Ist eine Datenschutz-Folgenabschätzung durchzuführen?
  20. Was muss eine Datenschutz-Folgenabschätzung umfassen?
  21. Soll die Datenschutzbehörde vorab konsultiert werden?
  22. Was sind die Prüfschritte bei einer Datenschutz-Folgenabschätzung?
  23. Ist ein Datenschutzbeauftragter notwendig?
  24. Wann ist der Transfer personenbezogener Daten an Drittländer zulässig?
  25. Was sind Besonderheiten im Arbeitnehmerschutz?
  26. Wie weise ich nach, dass meine Datenverarbeitungen DSGVO-konform erfolgen?

 

1. Welche personenbezogenen Daten werden verarbeitet?

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.[4] Beispiele sind Name, Adresse, Geburtsdatum, Bankdaten u.a.m.[5]

Als sensible Daten gelten personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Beispiele sind Fingerabdruck, Irisscan, Krankengeschichte u.a.m.[6]

 

2. Liegen Standardanwendungen vor?

Das Datenschutzgesetz 2000 verlangt vom Auftraggeber[7] einer Datenanwendung vor deren Start grundsätzlich die Meldung an das Datenverarbeitungsregister bei der Datenschutzkommission. Erleichterungen allerdings schaffen nunmehr die 37 Standard- bzw. 5 Musteranwendungen, die in Unternehmen üblicherweise anzutreffen sind[8], wie z.B.:

  • Rechnungswesen und Logistik[9]
  • Personalverwaltung für privatrechtliche Dienstverhältnisse[10]
  • Mitgliederverwaltung[11]
  • Verwaltung von Benutzerkennzeichen[12]
  • Kundenbetreuung und Marketing für eigene Zwecke[13]

Passen die Datenanwendungen in die Standardanwendungen der StMV,

  • weil die Zwecke übereinstimmen,
  • keine anderen Personenkreise erfasst,
  • die Datenarten nicht überschritten werden,
  • die Daten für keine längere als in der StMV genannten Zeitdauer gespeichert bleiben und
  • die personenbezogenen Daten an keine anderen Empfängerkreise gehen, als in der jeweiligen Standardanwendung genannt,

dann bietet das folgende Vorteile:

  • keine Meldung beim Datenverarbeitungsregister,
  • keine Informationsverpflichtung gegenüber den Betroffenen,
  • keine Protokollierung von Übermittlungen und
  • Erleichterungen beim internationalen Datenverkehr.[14]

Im Fall einer Musteranwendung (z.B. Personentransport und Hotelreservierungen oder Zutrittskontrollsysteme) hat eine einfache Meldung beim Datenverarbeitungsregister über die Anwendung DVR-Online (https://www.dsb.gv.at/meldung-beim-dvr) zu erfolgen.

Fällt die Datenverwendung allerdings weder in eine Standard- noch in eine Musteranwendung, so ist eine Meldung[15] an das bei der Datenschutzbehörde eingerichtete Datenverarbeitungsregister vorzunehmen[16], worauf man eine siebenstellige DVR-Nr. zugeteilt bekommt. Diese DVR-Nr. muss bei allen Übermittlungen an Betroffene geführt werden, d.h. auf sämtlichen Schreiben und elektronischen Übermittlungen.[17]

 

3. Was ist der Zweck der Datenverarbeitung?

Mit welchen Zielen werden die Daten erhoben und verarbeitet – und entsprechen die Zwecke denen einer Standardanwendung, einer Musteranwendung oder benötigen sie eine DVR-Nummer?

 

4. Welche Grundsätze sind bei der Verarbeitung von personenbezogenen Daten einzuhalten?[18]

  • Rechtmäßigkeit, Verarbeitung nach Treu und Glauben, Transparenz
    Personenbezogene Daten müssen auf rechtmäßige Weise, nach Treu und Glauben und in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden.[19]
  • Zweckbindung
    Personenbezogene Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden. Sie dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden.[20]
  • Datenminimierung
    Personenbezogene Daten müssen dem Zweck angemessen und erheblich sowie auf das für die Zwecke der Verarbeitung notwendige Maß beschränkt sein.[21]
  • Richtigkeit
    Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein. Es sind alle angemessenen Maßnahmen zu treffen, dass unrichtige personenbezogene Daten gelöscht oder berichtigt werden.
  • Speicherbegrenzung
    Personenbezogene Daten müssen in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Dies erfordert insbesondere, dass die Speicherfrist für personenbezogene Daten auf das unbedingt erforderliche Mindestmaß beschränkt bleibt. Fristen für die Löschung oder regelmäßige Überprüfungen sollten deshalb vorsehen werden. Eine längere Speicherung ist vorbehaltlich der Durchführung geeigneter technischer und organisatorischer Maßnahmen für ausschließlich im öffentlichen Interesse liegende Archivzwecke oder für wissenschaftliche und historische Forschungszwecke oder für statistische Zwecke zulässig.
  • Integrität und Vertraulichkeit
    Personenbezogene Daten müssen in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet. Durch geeignete technische und organisatorische Maßnahmen soll insbesondere auch gewährleistet werden, dass Unbefugte keinen Zugang zu den Daten haben und weder die Daten noch die die Geräte, mit denen diese verarbeitet werden, benutzen können.

 

5. Was ist die Rechtsgrundlage der Datenverarbeitung?

Handelt es sich bei den personenbezogenen Daten nicht um sensible Daten und werden die oben angeführten Grundsätze der Verarbeitung eingehalten, ist die Verarbeitung der Daten rechtmäßig, wenn die betroffene Person ihre Einwilligung gegeben hat.

 

6. Liegt eine Einwilligung für die Verarbeitung von personenbezogenen Daten vor?

Die Verarbeitung personenbezogener Daten ist rechtmäßig, wenn die betroffene Person ihre Einwilligung zur Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben hat.

Die Einwilligung muss durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

Diese Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen, z.B. auch durch Anklicken eines Kästchens auf einer Internetseite.[22]

 

7. Werden personenbezogene Daten für einen anderen Zweck weiterverarbeitet?

Ohne Rücksicht auf eine Vereinbarkeit der Zwecke der Verarbeitung ist eine Weiterverarbeitung (z.B. Kundendaten, die für eine Vertragsabwicklung erhoben werden, sollen für Marketingzwecke verwendet werden) ausschließlich dann zulässig, wenn

  • eine Einwilligung dafür vorliegt, oder
  • eine gesetzliche Grundlage die Weiterverarbeitung vorsieht.

In allen sonstigen Fällen muss die Weiterverarbeitung mit den Zwecken, für die die personenbezogenen Daten ursprünglich erhoben worden sind, vereinbar sein. Um diese Vereinbarkeit festzustellen ist Folgendes zu berücksichtigen:

  • jede Verbindung zwischen den ursprünglichen und neu beabsichtigten Zwecken,
  • der Zusammenhang, in dem die Daten erhoben wurden,
  • die Art der Daten (insbesondere ob sensible oder strafrechtlich relevante Daten vorliegen),
  • mögliche Folgen der Weiterverarbeitung für betroffene Personen und
  • das Vorhandensein angemessener Garantien (z.B. Pseudonymisierung[23]).

Liegt eine solche Vereinbarkeit mit den ursprünglichen Zwecken vor, ist keine andere gesonderte Rechtsgrundlage erforderlich, als diejenige für die Erhebung der personenbezogenen Daten.[24]

Wird eine Weiterverarbeitung der personenbezogenen Daten für einen anderen Zweck beabsichtigt, so muss der betroffenen Person vor dieser Weiterverarbeitung Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen zur Verfügung gestellt werden.

 

8. Werden sensible Daten verarbeitet?

Grundsätzlich ist die Verarbeitung von sensiblen Daten untersagt.

Dieses Verbot gilt aber nicht (u.a.) im Rahmen der Gesundheitsvorsorge, Arbeitsmedizin, medizinische Diagnostik, Versorgung oder Behandlung im Gesundheits- oder Sozialbereich oder für die Verwaltung von Systemen und Diensten im Gesundheits- oder Sozialbereich (auf der Grundlage des Unionsrechts oder des Rechts eines Mitgliedstaates oder eines Vertrages mit einem Angehörigen eines Gesundheitsberufs). In diesem Fall ist für die Verarbeitung sensibler Daten eine „ausdrückliche Einwilligung“ erforderlich.[25]

 

9. Geht es um personenbezogene Daten von Kindern?

Das österreichische Datenschutz-Anpassungsgesetzes 2018 setzt die Altersgrenze für die alleinige Einwilligung zu Angeboten der Informationsgesellschaft mit dem vollendeten 14. Lebensjahr fest.

In sonstigen Fällen hat die Einwilligung durch den Träger der elterlichen Verantwortung oder mit dessen Zustimmung zu erfolgen.

 

10. Erfolgt Profiling?

Unter Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten zu verstehen, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

Profiling unterliegt den Vorschriften der DSGVO, wie etwa der Rechtsgrundlage für die Verarbeitung, den Datenschutzgrundsätzen, der Informations- und Auskunftspflicht und besonderen Regeln, wenn damit eine automatische Generierung von Einzelentscheidungen verbunden ist.

 

11. Werden Auftragsverarbeiter (datenschutzrechtliche Dienstleister) herangezogen?

Mit der EU-Datenschutz-Grundverordnung (DSGVO) wird der Begriff des „datenschutzrechtlichen Dienstleisters“ auf „Auftragsverarbeiter“ geändert.

Ein Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.[26]

 

12. Werden die Informationspflichten erfüllt?

Die Informationspflichten unterscheiden sich, je nachdem, ob die Daten bei den Betroffenen direkt erhoben werden oder nicht.

Werden die Daten bei der betroffenen Person selbst erhoben, so sind den Betroffenen die nachfolgenden Informationen zur Verfügung zu stellen:

  • Namen und Kontaktdaten des Verantwortlichen (gegebenenfalls auch seiner Vertreter),
  • gegebenenfalls Kontaktdaten des Datenschutzbeauftragten,
  • Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung,
  • im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw. eines Dritten sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen,
  • gegebenenfalls Empfänger der Daten,
  • falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften, bzw. generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen oder zumindest, wo eine Kopie erhältlich wäre,
  • Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer,
  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,
  • die Möglichkeit des Widerrufs der Einwilligung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte,
  • gegebenenfalls über das Bestehen automatisierter Entscheidungsfindung, inklusive aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (zB Profiling),
  • sollen die Daten für einen anderen als den ursprünglichen Zweck weiterverarbeitet werden, müssen vor der Weiterverarbeitung auch Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen erteilt werden.

Die Informationen sind den Betroffenen zum Zeitpunkt der Erhebung der Daten zur Verfügung zu stellen, es sei denn die betreffende Person verfügt bereits über diese Informationen.

Werden die Daten bei der betroffenen Person nicht selbst erhoben, so sind den Betroffenen die nachfolgenden Informationen zur Verfügung zu stellen:

  • den Namen und die Kontaktdaten des Verantwortlichen (und gegebenenfalls seiner Vertreter),
  • gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten,
  • Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung,
  • die Kategorien personenbezogener Daten, die verarbeitet werden,
  • gegebenenfalls Empfänger der Daten,
  • falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften, bzw. generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen oder zumindest, wo eine Kopie erhältlich wäre,
  • Dauer der Datenspeicherung bzw. wenn unmöglich die Kriterien für die Festlegung der Dauer,
  • im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw. eines Dritten sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen,
  • Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,
  • die Möglichkeit des Widerrufs der Einwilligung,
  • das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde,
  • aus welcher Quelle die personenbezogenen Daten stammen (z.B. öffentlich zugängliche Quelle),
  • gegebenenfalls über das Bestehen automatisierter Entscheidungsfindung, inklusive aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (z.B. Profiling),
  • sollen die Daten für einen anderen als den ursprünglichen Zweck weiterverarbeitet werden, müssen vor der Weiterverarbeitung auch Informationen über diesen anderen Zweck und alle anderen maßgeblichen Informationen erteilt werden.

Der Verantwortliche erteilt die Informationen innerhalb einer angemessenen Frist nach Erlangung der personenbezogenen Daten, spätestens innerhalb eines Monats. Falls die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an die Person, oder falls die Offenlegung an einen anderen Empfänger beabsichtigt ist, spätestens zum Zeitpunkt der ersten Offenlegung.

Ausnahmen bestehen hier, wenn

  • die betroffene Person bereits über die Informationen verfügt,
  • die Erteilung dieser Informationen unmöglich ist oder einen unverhältnismäßigen Aufwand erfordert (z.B. bei Verarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke) oder falls die Verwirklichung der Ziele der Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt werden würde,
  • die Erlangung oder Offenlegung durch Rechtsvorschriften der Europäischen Union oder der Mitgliedstaaten ausdrücklich geregelt ist,
  • die personenbezogenen Daten gemäß dem Unionsrecht oder dem Recht der Mitgliedstaaten dem Berufsgeheimnis oder einer satzungsmäßigen Geheimhaltungspflicht, unterliegen und daher vertraulich behandelt werden müssen.

 

13. Werden die Betroffenenrechte erfüllt?

Betroffenenrechte sind, Rechte der von einer Datenanwendung betroffenen Person gegenüber dem Verantwortlichen, um sich z.B. gegen unrichtige oder unvollständige Datensätze zur Wehr setzen zu können oder zu verlangen, dass Daten wieder gelöscht werden.

Der Verantwortliche muss geeignete Maßnahmen treffen, um der betroffenen Person alle Informationen und alle Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form in einer klaren und einfachen Sprache zu übermitteln. Die Übermittlung der Informationen erfolgt schriftlich, elektronisch oder in einer anderen Form.[27]

Betroffenenrechte sind:

  • Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person
  • Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden
  • Auskunftsrecht
  • Recht auf Berichtigung
  • Recht auf Löschung („Recht auf Vergessenwerden")
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit
  • Widerspruchsrecht

Die angefragten Informationen müssen unverzüglich, jedenfalls innerhalb eines Monats nach Eingang der Anfrage zur Verfügung gestellt werden. Diese Frist kann um weitere zwei Monate verlängert werden, wenn dies unter Berücksichtigung der Komplexität und der Anzahl von Anträgen erforderlich ist.[28]

Informationen und alle Mitteilungen und Maßnahmen sind unentgeltlich zur Verfügung zu stellen. Bei offenkundig unbegründeten oder exzessiven Anträgen (z.B. wenn die Anfrage häufig wiederholt wird)[29] einer betroffenen Person kann der Verantwortliche entweder

  • ein angemessenes Entgelt verlangen, bei dem die Verwaltungskosten für die Unterrichtung oder die Mitteilung oder die Durchführung der beantragten Maßnahme berücksichtigt werden, oder
  • sich weigern, aufgrund des Antrags tätig zu werden.

 

14. An wen können sich Betroffene wenden?

Erforderlich ist die klare Information, an wen im Unternehmen sich betroffene Personen für die Ausübung ihrer Betroffenenrechte wenden können.

 

15. Welche Datensicherheitsmaßnahmen sind vorhanden?

Um Datensicherheit zu gewährleisten sind u.a. folgende Maßnahmen gefordert:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten (z.B. Passwortsicherungen von Dateien);
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (z.B. Zutritts-/Zugangskontrollen, Zugriffsbeschränkungen);
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (z.B. Backup-Programme);
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. Selbstevaluierungsprozesse).

 

16. Ist privacy by design / privacy by default implementiert?

Zum Schutz der personenbezogenen Daten haben die Verantwortlichen und die Auftragsverarbeiter u.a. auch die Grundsätze des Datenschutzes durch Technik (privacy by design[30]) und durch datenschutzfreundliche Voreinstellungen (privacy by default[31]) zu berücksichtigen und geeignete interne Strategien festzulegen sowie entsprechende Maßnahmen zu setzen.

Sowohl bei der Planung als auch bei der Datenverarbeitung selbst sind geeignete technische und organisatorische Maßnahmen zu berücksichtigen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen (z.B. Pseudonymisierung).

Es sind geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch entsprechende Voreinstellungen grundsätzlich nur solche personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.[32]

 

17. Besteht Dokumentationspflicht – und wie wird diese erfüllt?

Aufgrund der DSGVO ist keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten und auch die DVR-Nummer gehört der Vergangenheit an. Stattdessen sind u.a. Verzeichnisse über die Verarbeitung von Daten zu führen.[33]

Inhalt des Verzeichnisses sämtlicher Verarbeitungstätigkeiten, das der Verantwortliche zu führen hat:

  • Namen und Kontaktdaten des bzw. der Verantwortlichen, des Vertreters des Verantwortlichen sowie eines etwaigen Datenschutzbeauftragten,
  • Zweck der Datenverarbeitung[34],
  • Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (z.B. Kunden und Lieferanten; Rechnungsdaten, Adressdaten),
  • Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (z.B. Sozialversicherung, Finanzamt, Rechtsanwalt, Steuerberater), einschließlich Empfänger in Drittländern oder internationalen Organisationen (z.B. Konzernmutter in USA),
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland (z.B. USA) oder an eine internationale Organisation, einschließlich der Angaben des betreffenden Drittlands oder der betreffenden internationalen Organisation (uU ist auch die Dokumentierung geeigneter Garantien erforderlich),
  • die vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien (nach Möglichkeit),
  • allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit).

 Inhalt des Verzeichnissesdas der Auftragsverarbeiter zu führen hat:

  • Name und Kontaktdaten des Auftragverarbeiters und jedes Verantwortlichen, in dessen Auftrag der Auftragsverarbeiter tätig ist, sowie gegebenenfalls des Vertreters des Verantwortlichen oder des Auftragverarbeiters und eines etwaigen Datenschutzbeauftragten,
  • Kategorien von Verarbeitungen, die im Auftrag jedes Verantwortlichen durchgeführt werden,
  • gegebenenfalls Übermittlungen von personenbezogenen Daten an ein Drittland oder eine internationalen Organisation, einschließlich der Angabe des betreffenden Drittlands oder der betreffenden internationalen Organisation (uU ist auch die Dokumentierung geeigneter Garantien erforderlich).
  • allgemeine Beschreibung der technischen und organisatorischen Datensicherheitsmaßnahmen (nach Möglichkeit).

Diese Verzeichnisse sind schriftlich zu führen, wobei dies auch in einem elektronischen Format erfolgen kann. Musterverzeichnisse finden sich im Downloadbereich der WKO-Website.[35]

Jeder Verantwortliche, jeder Auftragsverarbeiter sowie die jeweiligen Vertreter haben bei der Erfüllung ihrer Aufgaben mit der Aufsichtsbehörde zusammenzuarbeiten. Auf Anfrage sind die Verzeichnisse der Behörde vorzulegen. Anhand dieser Verzeichnisse ist es für die Aufsichtsbehörde möglich, die betreffenden Verarbeitungsvorgänge zu kontrollieren.

Die Pflicht zur Führung des Verarbeitungsverzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern nur dann nicht, wenn

  • die Datenverarbeitung kein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt,
  • die Verarbeitung nur gelegentlich erfolgt und
  • die Verarbeitung keine sensiblen Daten bzw. keine Daten über strafrechtliche Verurteilungen beinhaltet.

 

18. Welche Vorkehrungen gegen Datenschutzverletzungen sind vorhanden?

Eine „Verletzung des Schutzes personenbezogener Daten“ („data breach“) ist eine Verletzung der Sicherheit, die (unbeabsichtigt oder unrechtmäßig) zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden – beispielsweise ein Vorfall, durch den Unbefugten der Zugriff auf Daten möglich wird (z.B. Verlust eines Datenträgers, Hackerangriff …).

Durch einen „data breach“ kann den betroffenen Personen ein physischer, materieller oder immaterieller Schaden entstehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten, Identitätsdiebstahl oder -betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

In diesem Fall sind folgende Schritte erforderlich:

  • Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt sowie
  • Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.

Wird dem Auftragsverarbeiter eine Verletzung des Schutzes personenbezogener Daten bekannt, so muss er diese unverzüglich dem Verantwortlichen melden.

Die Meldung an die Aufsichtsbehörde muss unverzüglich und möglichst binnen 72 Stunden nachdem dem Verantwortlichen diese Verletzung bekannt wurde, erfolgen[36] und muss zumindest folgende Informationen enthalten:[37]

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten (wenn möglich mit Angabe der Kategorien und der ungefähren Zahl der betroffenen Personen, der betroffenen Kategorien und der ungefähren Zahl der personenbezogenen Datensätze),
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
  • eine Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten, und
  • eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Datenschutzverletzung und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Der Verantwortliche muss alle Verletzungen des Schutzes personenbezogener Daten einschließlich aller damit im Zusammenhang stehenden Fakten (Auswirkungen, ergriffene Abhilfemaßnahmen) dokumentieren. Diese Dokumentation dient der Aufsichtsbehörde zur Überprüfung der korrekten Einhaltung der Meldepflicht.

Benachrichtigung der betroffenen Person

Die betroffene Person ist im Falle eines voraussichtlich hohen Risikos unverzüglich von der Datenschutzverletzung zu benachrichtigen. Diese Benachrichtigung muss zumindest Folgendes beinhalten:[38]

  • eine Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten in klarer und einfacher Sprache,
  • den Namen und die Kontaktdaten des Datenschutzbeauftragten oder einer sonstigen Anlaufstelle für weitere Informationen,
  • eine Beschreibung der wahrscheinlichen Folgen der Datenschutzverletzung,
  • eine Beschreibung der vom Verantwortlichen ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung des Schutzes personenbezogener Daten und gegebenenfalls Maßnahmen zur Abmilderung ihrer möglichen nachteiligen Auswirkungen.

Eine Benachrichtigung der betroffenen Person ist nicht erforderlich, wenn

  • auf die von der Verletzung betroffenen personenbezogenen Daten geeignete technische und organisatorische Sicherheitsvorkehrungen angewandt wurden (insbesondere wenn dadurch unbefugte Personen keinen Zugang zu diesen Daten haben, etwa durch Verschlüsselung),
  • der Verantwortliche durch nachträgliche Maßnahmen sichergestellt hat, dass das hohe Risiko für die Rechte und Freiheiten der betroffenen Person aller Wahrscheinlichkeit nach nicht mehr besteht, oder
  • die Benachrichtigung mit einem unverhältnismäßigen Aufwand verbunden wäre. In diesem Fall muss jedoch eine öffentliche Bekanntmachung erfolgen, oder eine ähnliche Maßnahme ergriffen werden, damit die betroffenen Personen vergleichbar wirksam informiert werden.

 

19. Ist eine Datenschutz-Folgenabschätzung durchzuführen?

Eine Datenschutz-Folgenabschätzung hat insbesondere dann zu erfolgen, wenn etwa neue Technologien verwendet werden oder aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen besteht.

Beispielhaft führt die DSGVO selbst folgende Fälle an:

  • systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen: Hiermit sind vor allem Profiling-Maßnahmen angesprochen, die als Grundlage für Entscheidungen dienen, die Rechtswirkungen gegenüber natürlichen Personen entfalten oder diese in erheblicher Weise beeinträchtigen können, z.B. bei der Frage, ob einer natürlicher Person ein Kredit gewährt wird oder nicht,
  • bei einer umfangreichen Verarbeitung sensibler Daten oder von personenbezogenen Daten über strafrechtliche Verurteilungen oder Straftaten,
  • systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche: z.B. mittels Videoüberwachung.

Ob die Voraussetzungen für die Durchführung einer Datenschutz-Folgenabschätzung vorliegen, obliegt der Beurteilung des Verantwortlichen selbst. Hat der verantwortliche Datenverarbeiter einen Datenschutzbeauftragten bestellt, muss er diesen bei der Durchführung der Datenschutz-Folgenabschätzung zu Rate ziehen.

Liegt ein Ansatzpunkt für eine verpflichtende Durchführung einer Datenschutz-Folgenabschätzung vor, hat der Verantwortliche die Datenschutz-Folgenabschätzung vor der Aufnahme der Datenverarbeitung durchzuführen.

 

20. Was muss eine Datenschutz-Folgenabschätzung umfassen?

Die Datenschutz-Folgenabschätzung muss zumindest folgendes enthalten:

  • eine systematische Beschreibung der geplanten Verarbeitungsvorgänge,
  • die Beschreibung der Verarbeitungszwecke (beruft sich der Verantwortliche allenfalls auf die Rechtmäßigkeitsgrundlage des „berechtigten Interesses“, muss er auch bei der Folgenabschätzung dieses berechtigte Interesse beschreiben),
  • eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Datenverarbeitung in Bezug auf den verfolgten Zweck: So muss etwa bewertet werden, ob die Datenverarbeitung für die Zweckerreichung unumgänglich ist oder ob es nicht gelindere Maßnahmen zur Zweckerreichung gibt,
  • eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Perso­nen: Betroffenenrechte wie beispielsweise das Auskunfts-, Löschungs- oder Widerspruchsrecht; weiters die allgemeinen Grundprinzipien wie etwa der Zweckmäßigkeitsgrundsatz, die Transparenz oder die Datenminimierung,
  • die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, einschließlich Garantien, Sicherheitsvorkehrungen und Verfahren, durch die der Datenschutz sichergestellt wird: z.B. Pseudonymisierungs- oder Anonymisierungsmaßnahmen, organisatorische oder personelle Maßnahmen wie etwa Zutritts- oder Zugangsbeschränkungen oder Verschlüsselungen. Bestehen von Unternehmensverbänden Verhaltensregeln, die von der Datenschutzbehörde genehmigt wurden, und hält sich der Verantwortliche auch an diese, können diese bei der Risikobewertung bzw. bei der Bewertung der geplanten Abhilfemaßnahmen gebührend berücksichtigt werden,
  • die vom Datenschutzbeauftragten erteilten Empfehlungen und die dazu getroffenen Entscheidungen,
  • gegebenenfalls den Standpunkt der Betroffenen.

 

21. Soll die Datenschutzbehörde vorab konsultiert werden?

Sollte auf Basis der Datenschutz-Folgenabschätzung ein hohes Risiko für die Rechte und Freiheiten der betroffenen Person festgestellt werden und kann der Verantwortliche keine Maßnahmen zur Eindämmung des Risikos treffen, hat er vor der Verarbeitung die Datenschutzbehörde zu konsultieren.

Diese kann dem Verantwortlichen und gegebenenfalls dem Auftragsverarbeiter innerhalb eines Zeitraumes von bis zu 8 Wochen nach Erhalt des Konsultationsersuchens schriftliche Empfehlungen erteilen.[39]

Einem etwaigen Konsultationsersuchen sind nachfolgende Informationen beizulegen:

  • Angaben zu den Zuständigkeiten des Verantwortlichen (z.B. rechtliche Befugnisse aufgrund einer Berufsberechtigung wie etwa einer Gewerbeberechtigung), der gemeinsam Verantwortlichen und der an der Verarbeitung beteiligten Auftragsverarbeiter, insbesondere bei einer Verarbeitung innerhalb einer Gruppe von Unternehmen,
  • die Zwecke und die Mittel der beabsichtigten Verarbeitung,
  • die zum Schutz der Rechte und der Freiheiten der betroffenen Personen vorgesehenen Maßnahmen und Garantien,
  • sollte ein betrieblicher Datenschutzbeauftragter bestellt worden sein, sind dessen Kontaktdaten anzugeben,
  • die Ausführungen zur Datenschutz-Folgenabschätzung und
  • allenfalls von der Aufsichtsbehörde selbst angeforderte Informationen.

 

22. Was sind die Prüfschritte bei einer Datenschutz-Folgenabschätzung?

a) Prüfung, ob überhaupt die Voraussetzungen für die Durchführung einer verpflichtenden Datenschutz-Folgenabschätzung vorliegen

  • Wird bei der beabsichtigten Datenverarbeitung neue Technologie verwendet oder besteht aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen?
  • Wird eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling) durchgeführt, die in weiterer Folge als Grundlage für Entscheidungen herangezogen werden soll, die für natürliche Personen Rechtswirkungen ent­falten könnte (z.B. zur Frage der Kreditvergabe)?
  • Werden in umfangreicher Art und Weise sensible Daten oder Daten über strafrechtliche Verurteilungen und Straftaten selbst verarbeitet?
  • Erfolgt bei der Datenverarbeitung eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.B. Videoüberwachungen)?
  • Gibt es Listen der Datenschutzbehörde, die Fälle aufzählen, in denen eine Datenschutz-Folgenabschätzung zwingend durchzuführen ist bzw. nicht durchzuführen ist?

b) Erhebung der zu verarbeitenden personenbezogenen Datenarten (z.B. Namen, Adressen, Kontaktdaten, sensible Daten) und Feststellen der Rechtsgrundlage für die Datenverarbeitung[40]:

  • Welche Datenarten werden verarbeitet? Besondere Datenkategorien („sensible Daten“) oder nicht-sensible Daten?
  • Liegt eine Einwilligungserklärung des Betroffenen vor? Bei Kindern: Ist im Falle eines direkt an Kindern gerichtetes Angebot von Diensten der Informationsgesellschaft die datenschutzrechtliche Einwilligung von einem Kind abgegeben worden, das das 14. Lebensjahr vollendet hat? Bei Kindern bis zur Vollendung des 14. Lebensjahres: Liegt die datenschutzrechtliche Einwilligung des gesetzlichen Vertreters vor (idR die Eltern)?
  • Ist die Datenverarbeitung für eine Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen erforderlich?
  • Ist die Datenverarbeitung (auch „sensibler Daten“) für die Erfüllung einer rechtlichen Verpflichtung, z.B. aus dem Arbeitsrecht, erforderlich?
  • Ist die Datenverarbeitung erforderlich, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen?
  • Ist die Datenverarbeitung für eine Aufgabenerfüllung erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde?
  • Besteht auf Seiten des Verantwortlichen oder eines Dritten ein berechtigtes Interesse an der Datenverarbeitung, und überwiegen nicht die Interessen oder Grundfreiheiten der betroffenen Person?

c) Werden die folgenden datenschutzrechtlichen Prinzipien eingehalten?

  • Transparenz: Werden die Informationspflichten erfüllt?
  • Zweckbindungsgrundsatz: Erfolgt die Datenverarbeitung für festgelegte, eindeutige und legitime Zwecke?
  • Minimierungs- und Verhältnismäßigkeitsprinzip: Ist die Datenverarbeitung im Verhältnis zur Zweckerreichung angemessen? Beschränkt sich die Datenverarbeitung auf das notwendige Maß und ist sie für die Zweckerreichung erheblich (z.B. in Bezug auf die Datenarten, personellen Zugriff oder die Speicherungsdauer)?
  • Wie wird sichergestellt, dass die Daten sachlich richtig und auf dem möglichst neuesten Stand sind?
  • Integrität und Vertraulichkeitsgrundsatz: Welche Maßnahmen zur Datensicherheit wurden getroffen?
  • Rechenschaftspflicht: Wie kann bei Anfrage der Aufsichtsbehörde die Einhaltung der datenschutzrechtlichen Prinzipien und Rechtmäßigkeitsvoraussetzungen (z.B. Vorliegen einer Einwilligungserklärung) nachgewiesen werden?

d) Darlegung der Gründe, warum eine Datenschutz-Folgenabschätzung für erforderlich betrachtet wird bzw. für nicht erforderlich betrachtet wird (z.B. Bestehen einer Ausnahme gem. der „white list“).

e) Konsultierung eines allenfalls bestellten betrieblichen Datenschutzbeauftragten

f) Beschreibung der geplanten Verarbeitungsvorgänge

g) Welche möglichen Risiken bei der beabsichtigten Datenverarbeitung bestehen für folgende Schutzziele?

  • Datenverfügbarkeit: Bestehen bei der beabsichtigten Datenverarbeitung Risiken in Bezug auf die Erfüllung der Betroffenenrechte (z.B. Auskunftsrecht, Widerrufsrecht, Widerspruchsrecht, Berichtigungsrecht, Löschungsrecht, Datenübertragbarkeitsrecht, Data Breach Notification)?
  • Integrität und Vertraulichkeit: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf den Schutz der Privatsphäre des Betroffenen in Form etwa unbefugter oder unrechtmäßiger Verarbeitung, (unbeabsichtigten) Verlust, (unbeabsichtigter) Zerstörung oder (unbeabsichtigter) Schädigung?
  • Zweckbindung: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf die Einhaltung des Zweckbindungsgrundsatzes? Besteht die Gefahr, dass im Zuge der Datenverarbeitung von der Einhaltung des einmal festgelegten eindeutigen Datenverarbeitungszweckes abgegangen wird?
  • Sonstige Datenschutzprinzipien: Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den sonstigen datenschutzrechtlichen Grundsätzen (z.B. Datenminimierung, Richtigkeit, Speicherbegrenzung, Transparenz) nicht nachge­kommen werden kann? Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den vorge­schriebenen Informationspflichten nicht nachgekommen werden kann.

h) Auf Basis der Identifizierung möglicher Risiken wird sodann eine Risikoanalyse durchgeführt: Zunächst werden die möglichen Bedrohungen festgehalten (Von wem kann das Risiko ausgehen? Was könnten die Motive für die Bedrohung sein? Was könnte das mögliche Bedrohungsziel sein?). In weiterer Folge wird die Eintrittswahrscheinlichkeit des Risikos zu beurteilen sein und die daraus folgenden möglichen Folgen einer Risikoverwirklichung für die Betroffenenrechte. Diese möglichen Risikofolgen könnten beispielsweise sein:

  • physischer, materieller und immaterieller Schaden beim Betroffenen
  • Verlust der Kontrolle über die Daten
  • Einschränkung bei der Erfüllung der Betroffenenrechte
  • Diskriminierung
  • Identitätsdiebstahl oder -betrug
  • finanzielle Verluste
  • unbefugte Aufhebung der Pseudonymisierung
  • Rufschädigung
  • Verlust der Vertraulichkeit (der Privatsphäre)
  • erhebliche wirtschaftliche oder gesellschaftliche Nachteile

i) Festhalten der bisher getroffenen Abhilfemaßnahmen (status-quo-Erhebung): z.B. Anonymisierung- oder Pseudonymisierungsmaßnahmen, Einsatz von Verschlüsselungstechnologien etc.

j) Aufstellung eines Maßnahmenplanes: Auf Basis der bisherigen Prüfschritte können allfällige „Lücken“ bei der Risikominimierung oder –behebung festgestellt werden und sollte daraus ein entsprechender Maßnahmenplan abgeleitet werden. Dieser Maßnahmenplan könnte nachfolgende Bereiche umfassen:

  • personelle Maßnahmen: z.B. PC-Benutzungsregelungen, Verpflichtungserklärungen der Mitarbeiter in Bezug auf die Einhaltung des Datengeheimnisses, Verfahren bei personellen Änderungen, Regelung bei Einsatz von Fremdpersonal, Schulungen, Abwehr von „social engineering-Angriffen“
  • organisatorische Maßnahmen: z.B. Änderung des internen Prozessablaufes zur Wahrung der Betroffenenrechte
  • Computersicherheit und Virenschutz: z.B. Regelungen betreffend der Auswahl von Passwörtern, Umgang mit Wechselmedien, Einsatz von mobilen IT-Geräten
  • Netzwerksicherheit: z.B. Firewalls, Sicherheit von Web-Browsern
  • Datensicherung und Notfallvorsorge: z.B. die Erstellung eines Datensicherungskonzeptes, Regelung betreffend back-up-Datenträger
  • bauliche und infrastrukturelle Maßnahmen: z.B. Zutrittskontrollen, Zugangsbeschränkungen etc.

Bei der Entscheidung, welche konkreten Maßnahmen umgesetzt werden sollen/müssen, ist unter Berücksichtigung

  • des Standes der Technik,
  • der Implementierungskosten und
  • der Art des Umfangs, der Umstände und der Datenverarbeitungszwecke sowie
  • der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Betroffenenrechte

darauf zu achten, dass ein jeweils angemessenes Schutzniveau gewährleistet wird. Es empfiehlt sich daher eine entsprechende Risikoauflistung (z.B. Risikomatrix) zu erstellen und danach Prioritäten bei der Maßnahmenumsetzung zu setzen.

Bleibt in einem Bereich ein hohes Risiko für die Betroffenenrechte bestehen, für das keine Minimierungsmaßnahmen gesetzt werden (können), ist die Datenschutzbehörde zu konsultieren.

  

23. Ist ein Datenschutzbeauftragter notwendig?

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist für Unternehmen nur in folgenden Fällen dann vorgesehen, wenn

  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive);
  • die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten).

  

24. Wann ist der Transfer personenbezogener Daten an Drittländer zulässig?

Während der Datenverkehr innerhalb der EU aufgrund des durch die DSGVO gewährleisteten gleichen Datenschutzniveaus keinen Beschränkungen unterliegt, ist der Datenverkehr mit Drittländern (oder internationalen Organisationen) nur unter bestimmten Voraussetzungen zulässig.

 

25. Was sind Besonderheiten im Arbeitnehmerschutz?

Wichtig ist hier die Überprüfung von Dienstverträgen, Betriebsvereinbarungen, Dienstordnungen etc., aber auch die rechtzeitige Kommunikation mit dem Betriebsrat.

 

26. Wie weise ich nach, dass meine Datenverarbeitungen DSGVO-konform erfolgen?

Z.B. durch Dokumentation der Einwilligungserklärungen, Verarbeitungsverzeichnis, Dokumentation der ergriffenen Sicherheitsmaßnahmen, Dokumentation der Risikoabschätzung, Protokollierung oder Dokumentation der Weisungen an dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, Dokumentation der Verpflichtung der Mitarbeiter des Auftragsverarbeiters zur Vertraulichkeit etc.

  
  

Quellen

------------------------------------------------------------------------------------------------------------------------------

[1] Bis 24. Mai 2018 gelten die derzeitigen Regelungen des Datenschutzgesetzes 2000. https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=bundesnormen&Gesetzesnummer=10001597. Zugriff 14.01.2018.

[2] Standard- und Musterverordnung 2004, BGBl. II Nr. 312/2004 (StMV): Gesamte Rechtsvorschrift für Standard- und Muster-Verordnung 2004. https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20003495. Datenschutz-Anpassungsgesetz 2018. https://www.ris.bka.gv.at/Dokumente/BgblAuth/BGBLA_2017_I_120/BGBLA_2017_I_120.pdf.  Zugriff 14.01.2018.

[3] https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html. Zugriff 14.01.2018.

[4] Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.

[5] Die Grundsätze des Datenschutzes gelten nicht für „anonyme Informationen“, d.h. für Informationen, die sich nicht auf eine identifizierte oder identifizierbare natürliche Person beziehen, oder personenbezogene Daten, die in einer Weise anonymisiert worden sind, dass die betroffene Person nicht oder nicht mehr identifiziert werden kann. Die Verordnung betrifft somit nicht die Verarbeitung solcher anonymer Daten, dies gilt auch für statistische oder Forschungszwecke.

Die DSGVO gilt nicht für die personenbezogenen Daten Verstorbener (sehr wohl aber können in anderen EU-Mitgliedsstaaten Richtlinien bestehen).

[6] Quelle: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Wichtige-Begriffsbestimmu.html#heading_Personenbezogene_Daten__Art_4_Z_1_. Zugriff 14.01.2018.

[7] Als Auftraggeber ist jede natürliche oder juristische Person oder Personengemeinschaft zu verstehen, die die Entscheidung trifft, für einen bestimmten Zweck personenbezogene Daten zu verarbeiten – gleich. ob es sich um private, wirtschaftliche oder berufliche Informationen, Eigenschaften etc. handelt.

[8] Alle Standardanwendungen weisen durchgehend eine gemeinsame Gliederung dahingehend auf, dass sie neben dem Zweck der Datenanwendung die betroffenen Personengruppen, die von diesen erfassbaren Datenarten und die erlaubten Empfängerkreise sowie die Verwendungsdauer hierzu festlegen.

[9] „Rechnungswesen und Logistik“ behandelt die Verarbeitung und Übermittlung von Daten im Rahmen einer Geschäftsbeziehung mit Kunden und Lieferanten einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenzen) in diesen Angelegenheiten.

[10] Personalverwaltung für privatrechtliche Dienstverhältnisse umfasst die Verarbeitung und Übermittlung von Daten für Lohn-, Gehalts-,Entgeltsverrechnung, Aufzeichnungs-, Auskunfts- und Meldepflichten aufgrund von Gesetzen oder Kollektivverträgen oder Arbeitsverträgen einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenzen) in diesen Angelegenheiten.

[11][11] Mitgliederverwaltung behandelt die Führung von Mitgliederverzeichnissen, Evidenz der Mitglieds- und Förderungsbeiträge, Verkehr mit Mitgliedern/Förderern von Körperschaften des öffentlichen und privaten Rechts (insbesondere Vereine und Personengemeinschaften) einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenzen) in diesen Angelegenheiten.

[12] Verwaltung von Benutzerkennzeichen bezieht sich auf Systemzugriffskontrolle und Verwaltung von Benutzerkennzeichen (Systembenutzer).

[13] Kundenbetreuung und Marketing für eigene Zwecke bezieht sich auf die Verwendung eigener oder zugekaufter Kunden- und Interessentendaten für die Geschäftsanbahnung betreffend das eigene Lieferungs-oder Leistungsangebot einschließlich automationsunterstützt erstellter und archivierter Textdokumente (z.B. Korrespondenzen).

[14] AGBs, Datenschutzerklärungen, Impressum, laufende Verträge, Website-Einstellungen etc. sollten auf jedem Fall überprüft werden!

[15] Diese Meldung umfasst im Wesentlichen den Namen und die Anschrift des Auftraggebers sowie dessen rechtliche Befugnis, den Zweck der Datenanwendung (z.B. Rechnungswesen und Logistik, Mitgliederverwaltung), die Betroffenenkreise (z.B. Kunden, Mitglieder), die verarbeiteten Datenarten (z.B. Name, Anschrift) und die Kreise der Übermittlungsempfänger (z.B. Rechtsvertreter, Vertragspartner) der Datenanwendung.

[16] Über DVR-Online: https://dvr.dsb.gv.at.

[17] Siehe https://www.wko.at/service/wirtschaftsrecht-gewerberecht/DVR-Nummer.html und https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Datenverarbeitungsregister-Verordnung-2013.html. Zugriff 14.01.2018

[18] Der Verantwortliche ist für die Einhaltung der genannten Grundsätze verantwortlich und muss deren Einhaltung nachweisen können („Rechenschaftspflicht“).

[19] Informationen und Mitteilungen zur Verarbeitung der personenbezogenen Daten müssen deshalb leicht zugänglich sein und verständlich in klarer und einfacher Sprache abgefasst werden. Das betrifft insbesondere die Informationen über die Identität des Verantwortlichen und die Zwecke der Verarbeitung sowie die Auskunft darüber, welche personenbezogenen Daten verarbeitet werden.

[20] Als nicht unvereinbar gilt eine Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Zwecke oder für statistische Zwecke.

[21] Das ist auch durch technische Voreinstellungen sicherzustellen: Dass grundsätzlich nur personenbezogene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist, verarbeitet werden.

[22] Wichtig ist, dass im jeweiligen Kontext das Einverständnis der betroffenen Person zur Datenverarbeitung eindeutig erfolgt. Stillschweigen, bereits vorangekreuzte Kästchen oder Untätigkeit stellen keine Einwilligung dar. Dient die Verarbeitung mehreren Zwecken, ist für jeden Zweck der Verarbeitung eine gesonderte Einwilligung nötig.

[23] „Pseudonymisierung“ ist die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können.

[24] Die Weiterverarbeitung für im öffentlichen Interesse liegende Archivzwecke, für wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gilt als vereinbarer und rechtmäßiger Verarbeitungsvorgang.

[25] Die Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten, um noch strengere Vorschriften anzuführen, darf nur unter behördlicher Aufsicht vorgenommen werden.

[26] Es ist die Pflicht des Verantwortlichen, dass dieser nur mit Auftragsverarbeitern zusammenarbeitet, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Personen gewährleistet.

Der Auftragsverarbeiter darf keinen weiteren Auftragsverarbeiter (Subunternehmer) ohne vorherige schriftliche Genehmigung des Verantwortlichen beauftragen. Liegt nur eine allgemeine schriftliche Genehmigung vor, muss der Auftragsverarbeiter den Verantwortlichen immer über jede beabsichtigte Änderung in Bezug auf die Hinzuziehung oder die Ersetzung anderer Auftragsverarbeiter informieren. Der Verantwortliche hat die Möglichkeit, gegen derartige Änderungen Einspruch zu erheben.

[27] Stellt die betroffene Person den Antrag elektronisch, so ist sie nach Möglichkeit auf elektronischem Weg zu unterrichten, sofern sie nichts anderes angibt. Falls von der betroffenen Person verlangt, kann die Information mündlich erteilt werden, sofern die Identität der betroffenen Person in anderer Form nachgewiesen wurde.

Nach geltender Rechtslage, d.h. bis zum 25. Mai 2018, ist es notwendig, dass der Betroffene seine Identität mit entsprechendem Nachweis (Ausweiskopie) bereits bei der Anfrage offen gelegt hat. Nach der DSGVO, d.h. ab 25. Mai 2018, muss der Betroffene das nur, wenn der Verantwortliche begründete Zweifel an seiner Identität hat (z.B. telefonische Anfrage oder über eine Fantasiemailadresse). In diesem Fall kann der Verantwortliche zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind.

[28] Der Verantwortliche muss die betroffene Person aber innerhalb eines Monats nach Eingang der Anfrage über eine Fristverlängerung – zusammen mit den Gründen für die Verzögerung – unterrichten.

Wird der Verantwortliche auf den Antrag der betroffenen Person hin nicht tätig, muss er ebenso die betroffene Person ohne Verzögerung informieren, spätestens aber innerhalb eines Monats nach Eingang der Anfrage über die Gründe für das Nicht-Tätigwerden und über die Möglichkeit, bei einer Aufsichtsbehörde Beschwerde einzulegen oder einen gerichtlichen Rechtsbehelf einzulegen.

[29] Ob die Anfrage des Betroffenen tatsächlich offenkundig unbegründet oder exzessiv war, hat der für die Verarbeitung Verantwortliche zu beweisen.

[30] „Privacy by Design“ bedeutet „Datenschutz durch Technik“ und soll sicherstellen, dass Datenschutz und Privatsphäre schon in der Entwicklung von Technik beachtet werden. Technik ist damit so angelegt, dass die Privatsphäre von NutzerInnen geschützt wird und, dass AnwenderInnen Kontrolle über die eigenen Informationen haben.

[31] Privacy by Default heißt übersetzt „Datenschutz durch datenschutzfreundliche Voreinstellungen“ und bedeutet, dass die Werkeinstellungen datenschutzfreundlich auszugestalten sind. Nach dem Grundgedanken sollen insbesondere die Nutzer geschützt werden, die weniger technikaffin sind und z.B. dadurch nicht geneigt sind, die datenschutzrechtlichen Einstellungen ihren Wünschen entsprechend anzupassen. Dieser Gedanke steht hinter dem Begriff „Privacy Paradox“, wonach Nutzer grundsätzlich den Schutz ihrer Privatsphäre befürworten, aber nicht aktiv entsprechende Einstellungen vornehmen. Quelle: https://www.datenschutzbeauftragter-info.de/was-bedeutet-privacy-by-design-privacy-by-default-wirklich. Zugriff 14.01.2018.

[32] Die Einhaltung eines genehmigten Zertifizierungsverfahrens kann als Faktor herangezogen werden, um die Erfüllung der genannten Maßnahmen nachzuweisen.

[33] Wenn schon Datenanwendungen im DVR registriert sind, können diese als Anhaltspunkt für die Dokumentation dienen.

[34] Auch wenn es nicht zwingend vorgesehen ist, empfiehlt sich (aus Beweisgründen) auch die Angabe der Rechtsgrundlage (z.B. Einwilligungserklärung) für den Datenverarbeitungszweck.

[35] Downloadbereich für Verantwortliche: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-verantwortliche.html  

Muster-Verarbeitungsverzeichnis für Verantwortliche im Doc-Format: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Verantwortlicher.DOCX  

Anwendungsbeispiel für Verantwortliche im Pdf-Format: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-DSGVO-BEISPIEL-Verarbeitungsverzeichnis-Verantwortlicher.pdf  

Downloadbereich für Auftragsverarbeiter: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis-auftragsverarbeite.html

[36] Erfolgt die Meldung später, so ist diese Verzögerung zu begründen.

[37] Eine Muster-Meldung („Data Breach Notification“) an die Aufsichtsbehörde (Österreichische Datenschutzbehörde, Hohenstaufengasse 3, 1010 Wien, Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein!) findet sich auf der WKO-Homepage unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-data-breach-notification-behoerde.html. Zugriff 14.01.2018.

[38] Eine Muster-Benachrichtigung der betroffenen Person findet sich auf der WKO-Homepage unter https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-data-breach-notification-betroffene.html. Zugriff 14.01.2018.

[39] Sollte der beabsichtigte Datenverarbeitungsvorgang eine entsprechende Komplexität aufweisen, kann diese Frist um 6 Wochen verlängert werden. Der Verantwortliche oder gegebenenfalls der Auftragsverarbeiter sind über eine solche Fristverlängerung innerhalb eines Monats nach Eingang des Konsultationsersuchens von der Datenschutzbehörde zu informieren.

[40] Weitere Aspekte sind zu beachten bei (gerichtlich- oder verwaltungs-)strafrechtlichen und sensiblen Daten.