Datenschutz-Grundverordnung für Unternehmensberaterinnen und Unternehmensberater
Wissen für Unternehmensberaterinnen und -berater zur Datenschutzgrundverordnung (DSGVO): in der Beratung, als Verantwortliche, als Auftragsverarbeiter oder als Datenschutzbeauftragte
Lesedauer: 4 Minuten
Unternehmensberaterinnen und Unternehmensberater sind in Sachen EU-Datenschutz-Grundverordnung bekanntlich in mehreren Rollen aktiv:
- In der Beratung ihrer Klienten im Zuge der Implementierung von Maßnahmen zur Erfüllung der Anforderungen der DSGVO
- Als Verantwortliche für die Verarbeitung der eigenen Daten
- Als Auftragsverarbeiter für die Verarbeitung von Daten im Auftrag von Klienten.
Der Fachverband UBIT hat zu Ihrer Unterstützung eine Übersicht über die zahlreichen von der WKO und anderen Organisationen bereitgestellten Unterlagen wie Musterbeispiele, Anleitungen, etc. sowie einen Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Auftragsverarbeiterinnen und Auftragsverarbeiter und einen Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Verantwortliche erstellt. Eine derartige Sammlung wird wohl nie endgültig abgeschlossen sein, sollten Sie daher noch weitere relevante und zitierbare Quellen kennen, sind wir für Hinweise dankbar.
1. WKO Unterlagen und Hilfestellung zur DSGVO - wko.at/datenschutz
Die fett markierten Links sind für Unternehmensberaterinnen und Unternehmensberater relevant, wenn sie als Auftragsverarbeiterinnen und Auftragsverarbeiter tätig werden.
Online-Ratgeber zur Datenschutz-Grundverordnung
Online-Ratgeber zu den Informationsverpflichtungen
Die wichtigsten Veränderungen im Überblick
- Verzeichnis von Verarbeitungstätigkeiten führen
Das Verzeichnis löst die derzeitigen DVR-Meldungen ab. Es muss u.a. Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kategorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten.
EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Auftragsverarbeiter
Anwendungsbeispiel für Auftragsverarbeiter
EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Verantwortlicher
Anwendungsbeispiel für Verantwortlichen
- Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („privacy by design/privacy by default“) einführen
Damit die Verarbeitung den neuen Anforderungen entspricht und die Rechte der betroffenen Personen geschützt werden, müssen geeignete technische und organisatorische Maßnahmen und Verfahren (z.B. Pseudonymisierung) implementiert werden.
Datenschutzrechtliche Voreinstellungen müssen sicherstellen, dass grundsätzlich nur personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist.
Mehr zu Datensicherheitsmaßnahmen
- Datenschutzbeauftragter
Einige Unternehmen sind außerdem lt. DSGVO verpflichtet, einen eigenen Datenschutzbeauftragten zu bestellen. Betroffen sind Betriebe, deren Kerntätigkeit in einer umfangreichen regelmäßigen und systematischen Beobachtung von betroffenen Personen, umfangreichen Verarbeitung besonderer Kategorien von Daten („sensibler Daten“) oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht.
Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten inkl. Mustervorlage für die Bestellung einer Person zum/zur Datenschutzbeauftragten gemäß Artikel 37 DSGVO iVm § 5 DSG – Dokument des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at
Mehr zu Datenschutzbeauftragter
Die Pflichten für Unternehmen
- Informationspflicht und Rechte von betroffenen Personen
Informationen und Betroffenenrechte (v.a. Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) müssen unverzüglich, spätestens aber innerhalb eines Monats gegeben und erledigt werden. Diese Frist kann um höchstens weitere zwei Monate verlängert werden.
Mehr zu Informationspflichten
Mehr zu Betroffenenrechte
- Pflicht zur Datenschutz-Folgenabschätzung
Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten besteht (insbesondere bei Verwendung neuer Technologien), so muss Ihr Unternehmen eine Datenschutz- Folgenabschätzung machen. Darin müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschrieben sowie die Notwendigkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewertet werden. Diese Risikoanalyse und geplante Abhilfen in der Organisation komplettieren die Folgeabschätzung.
Mehr zu Datenschutz-Folgenabschätzung
- Unternehmer müssen Meldung machen
Im Falle von Datenschutzverletzungen (z.B. Verlust eines Datenträgers, Hackerangriff) müssen Unternehmen dies der Datenschutzbehörde und den betroffenen Personen melden. Und zwar in angemessener Frist – höchstens innerhalb von 72 Stunden nach der Entdeckung.
Ausnahme: Wenn die Datenschutzverletzung voraussichtlich kein Risiko (bzw. im Fall der Betroffenen kein hohes Risiko) für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet.
Mehr zu Datenschutzverletzungen
Musterdokumente
Mustervertrag (Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO)
Muster-Verarbeitungsverzeichnis für Verantwortliche
Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter
Musterschreiben zur Auskunftserteilung
Data Breach Notification - Muster Meldung an die Aufsichtsbehörde
Data Breach Notification - Muster Benachrichtigung der betroffenen Person
Datenschutzerklärung für Mitarbeiter
Musterformular Datenschutzerklärung
Links
Ablaufplan Datenschutz-Folgenabschätzung
Auskunftspflicht des Verantwortlichen
Das Datenschutz-Anpassungsgesetz 2018
Datenschutz und Direktmarketing
Datenschutz-Folgenabschätzung und vorherige Konsultation
Datenschutzrechtliche Pflicht zur Datenübertragbarkeit
Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches
Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten
Grundsätze und Rechtmäßigkeit der Verarbeitung
Meldung von Datenschutzverletzungen (Data Breach Notification)
Pflichten des Auftragsverarbeiters
Pflichten des Verantwortlichen
Rechtsdurchsetzung und Strafen
Sachlicher und räumlicher Anwendungsbereich
Speicher- und Aufbewahrungsfristen
Verantwortlicher und Auftragsverarbeiter - (Überblick)
Fragen und Antworten aus dem Chat
2. Unterlagen und Hilfestellung zur DSGVO der Datenschutzbehörde - https://www.dsb.gv.at/datenschutz-grundverordnung
Artikel 29 Datenschutzgruppe - Beschlossene Leitlinien der Artikel-29-Gruppe
- Recht auf Datenübertragbarkeit
Leitlinien zum Recht auf Datenübertragbarkeit
- Datenschutzbeauftragter
Leitlinien in Bezug auf Datenschutzbeauftrage
- Federführende Aufsichtsbehörde
Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters
- Datenschutz-Folgenabschätzung und Hohes Risiko
Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt"
Neu: Export-Funktion in DVR-Online
Mit dem In-Geltung-Treten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde. Das Datenverarbeitungsregister wird ab diesem Zeitpunkt (bis zum 31. Dezember 2019) zu Archivzwecken fortgeführt werden.
Um einem Auftraggeber die Möglichkeit zu bieten, seine vorhandenen DVR-Meldungen zu sichern, ist es ab sofort möglich, in der Internet-Applikation DVR-ONLINE elektronisch verfügbare Meldungsinhalte sowohl als PDF-Dokumente als auch als XML-Dateien zu exportieren.
Hierfür wurden im DVR-ONLINE-Meldebereich des Auftraggebers entsprechende Funktionen (rote Buttons, siehe Screenshot) eingefügt.
Achtung: für Informationsverbundsysteme besteht diese Möglichkeit nicht.
Mehr zu DVR-Online.
3. Unterlagen und Hilfestellung zur DSGVO des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at
Kompakte Checkliste zur Umsetzung der Datenschutz-Grundverordnung
4. Rechtsinformationssystem (RIS)
Hier finden Sie ausgewählte Entscheidungen der Datenschutzkommission von 1990 bis 2013. Ab 2014 finden Sie hier ausgewählte Entscheidungen der Datenschutzbehörde.
https://www.ris.bka.gv.at/Dsk/
Höchstgerichtliche Judikatur: www.ris.bka.gv.at und InfoCuria - Rechtsprechung des Europäischen Gerichtshofs
Stand: 22.10.2019