Informationstechnologie

DSGVO für IT-Dienstleister

Alle wichtigen Infos auf einen Blick

Lesedauer: 3 Minuten

Neuerungen im Datenschutz

  • neue Rechtsgrundlage in der EU bzw. in Österreich durch die Datenschutzgrundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG) idF Datenschutzanpassungsgesetz 2018
  • gültig ab 25. Mai 2018 – keine Übergangsfristen
  • Ziel: einheitliches Datenschutzrecht in der EU (Beachten: Öffnungsklauseln für Mitgliedsstaaten)
Grafik
© Bernd Schauer

Wer ist betroffen?

  • umfassender Anwendungsbereich

  • JEDER, der Daten nicht zu privaten Zwecken verarbeitet, d.h. Unternehmen, Vereine, öffentlicher Bereich (Behörden, öffentliche Stellen, Ministerien, etc.)

  • Eigenverantwortung im Mittelpunkt (Beweislast)

  • Rechtsgrundlage für jede Verarbeitung (z.B. Einwilligung, Gesetz, etc.)

  • sehr hohe Strafen (bis Euro 20 Mio. bzw. 4 % des weltweiten Umsatzes)

Was ist betroffen?

  • Verarbeitungen von personenbezogenen Daten (z.B. Kundenverwaltung, Mitarbeiter, etc.)

  • automatisierte oder nicht automatisierte Datenverarbeitung „Speicherung“ in Dateisystem (auch Papierakte können betroffen sein)

  • Verarbeitung muss bestimmten datenschutzrechtlichen Grundsätzen entsprechen (wie Vertraulichkeit, Integrität, Datensicherheit, etc.)

Wo ist man betroffen?

  • Europäische Union

  • Unternehmen mit Sitz außerhalb Europas, wenn personenbezogene Daten von Betroffenen der EU verarbeitet werden

Betroffenenrechte

  • Umfassende Informationspflichten

  • Recht auf Auskunft

  • Recht auf Berichtigung

  • Recht auf Löschung ("Recht auf Vergessenwerden") (z.B. auch Fotos/Video, etc.)

  • Recht auf Einschränkung der Verarbeitung

  • Recht auf Datenübertragbarkeit

  • Widerspruchsrecht

Verantwortlicher & Auftragsverarbeiter

  • Art 4 Z 7 DSGVO „Verantwortlicher“ = natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

  • Art 4 Z 8 DSGVO „Auftragsverarbeiter“ = natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet.

  • Abgrenzung hinsichtlich

    • Betroffenenrechte (Verantwortlicher als Adressat)
    • Haftung
    • Verantwortlichkeit für technische organisatorische Sicherheitsmaßnahmen
    • Dokumentationspflichten (Verzeichnis der Verarbeitungstätigkeiten, Datenschutzfolge-Abschätzung)
    • Technisch organisatorische Maßnahmen

Datenschutzbeauftragter

Art 37 DSGVO - Benennung eines Datenschutzbeauftragten

  1. Der Verantwortliche und der Auftragsverarbeiter benennen auf jeden Fall einen Datenschutzbeauftragten, wenn
    a.) die Verarbeitung von einer Behörde oder öffentlichen Stelle durchgeführt wird, mit Ausnahme von Gerichten, die im Rahmen ihrer justiziellen Tätigkeit handeln,
    b.) die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, odec.)die Kerntätigkeit des Verantwortlichen oder des Auftragsverarbeiters in der umfangreichen Verarbeitung besonderer Kategorien von Daten gemäß Artikel 9 oder von personenbezogenen Daten über strafrechtliche Verurteilungen und Straftaten gemäß Artikel 10 besteht.

Aufgaben

  • Unterstützung des Verantwortlichen / Auftragsverarbeiters
  • Compliance und Kontrollfunktion
  • Beratung
  • Kontaktperson
  • Schulung / Awareness schaffen

Hilfreiche Unterlagen für IT-Dienstleister 

Ausführliche Informationen sowie Mustervorlagen der WKO - wko.at/Datenschutz 

UBIT Firmen A-Z mit neuer Suchfunktion: DSGVO-Beratung - firmen.wko.at/web/ubit

IT-Dienstleister als auch Unternehmensberater dürfen im Kontext ihrer Fachexpertise und ihres Berechtigungsumfangs Beratungsleistungen zur Implementierung von DSGVO Maßnahmen und Maßnahmen zur Datensicherheit in Betrieben anbieten.

Die Expertenliste für DSGVO Projekte auf der WKO Serviceseite zum Thema Datenschutz verweist direkt auf das UBIT Firmen A-Z. Hier können sich Unternehmen über die einfache, erweiterte Suche einen Überblick über alle Dienstleister verschaffen. Insgesamt stehen vier Zertifikate bei der Suche nach DSGVO-Fachexperten zur Verfügung:

  • DSGVO-Beratung

    UBIT-Mitglieder können diese Kategorie über die Firmen A-Z Wartung (Menüpunkt „Auszeichnungen & Zertifikate“) selbst auswählen. Diese Kategorie steht UBIT-Mitgliedern zur Verfügung, die im Bereich DSGVO als Fachexperten tätig sind und dies in Ihrem Profil (Selbstverwaltung) angegeben haben. Es ist an keine bestimmte Zertifizierung bzw. Qualifikation gebunden.

  • Certified Data & IT Security Expert (CDISE)

    Dieser Zertifizierungslehrgang der incite wird UBIT-Mitgliedern mit Praxiserfahrung als Datenschutz/IT-Sicherheitsexperte angeboten. Die Absolventen sind mit technischen, organisatorischen und juristischen Grundlagen in Bezug auf IT-Sicherheit und Datenschutz vertraut und geben das Wissen an die Unternehmen (Kunden) in Form von z.B. Datenschutz- und IT-Sicherheitskonzepte, Evaluierung bestehender Maßnahmen bzw. Beratungsleistungen für Datenschutz/IT-Sicherheit bzw. DSGVO weiter. Die Eintragung erfolgt automatisiert.

  • Geprüfte/r Datenschutzexpertin/-experte

    Dieser von der incite angebotener Lehrgang dient dazu, um für Unternehmen (Kunden) die Rolle des Datenschutzbeauftragten übernehmen zu können. Die Eintragung erfolgt automatisiert.

  • Anbieter von IT Tools zur Umsetzung der DSGVO

    Für die Umsetzung der Anforderungen der DSGVO können IT Tools wie z.B. Formulare für das Verarbeitungsverzeichnis oder die Folgenabschätzung, Vorlagen für technische und organisatorische Maßnahmen, Reports, Checklisten etc. hilfreich sein. UBIT-Mitglieder, die solche Unterstützungsmaßnahmen bzw. Services für Unternehmen, können diese Kategorie über die Firmen A-Z Wartung (Menüpunkt „Auszeichnungen & Zertifikate“) selbst auswählen. Diese Kategorie steht UBIT-Mitgliedern zur Verfügung, die im Bereich DSGVO als Fachexperten tätig sind und dies in Ihrem Profil (Selbstverwaltung) angegeben haben. Es ist an keine bestimmte Zertifizierung bzw. Qualifikation gebunden.

Stand: 25.09.2018