Datenschutz-Grundverordnung für Unternehmensberaterinnen und Unternehmensberater

Unternehmensberaterinnen und Unternehmensberater sind in Sachen EU-Datenschutz-Grundverordnung bekanntlich in mehreren Rollen aktiv:

• In der Beratung ihrer Klienten im Zuge der Implementierung von Maßnahmen zur Erfüllung der Anforderungen der DSGVO
• Als Verantwortliche für die Verarbeitung der eigenen Daten
• Als Auftragsverarbeiter für die Verarbeitung von Daten im Auftrag von Klienten.

Der Fachverband UBIT hat zu Ihrer Unterstützung eine Übersicht über die zahlreichen von der WKO und anderen Organisationen bereitgestellten Unterlagen wie Musterbeispiele, Anleitungen, etc. sowie einen Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Auftragsverarbeiterinnen und Auftragsverarbeiter und einen Leitfaden zur EU-Datenschutz-Grundverordnung (DSGVO) für ihre Pflichten als Verantwortliche erstellt. Eine derartige Sammlung wird wohl nie endgültig abgeschlossen sein, sollten Sie daher noch weitere relevante und zitierbare Quellen kennen, sind wir für Hinweise dankbar. 

1. WKO Unterlagen und Hilfestellung zur DSGVO - wko.at/datenschutz

Die fett markierten Links sind für Unternehmensberaterinnen und Unternehmensberater relevant, wenn sie als Auftragsverarbeiterinnen und Auftragsverarbeiter tätig werden.

Checkliste

Online-Ratgeber zur Datenschutz-Grundverordnung

Online-Ratgeber zu den Informationsverpflichtungen

Die wichtigsten Veränderungen im Überblick

• Verzeichnis von Verarbeitungstätigkeiten führen

Das Verzeichnis löst die derzeitigen DVR-Meldungen ab. Es muss u.a. Namen und Kontaktdaten des Verantwortlichen, den Zweck der Datenverarbeitung, die Kate­gorien der betroffenen Personen und der personenbezogenen Daten, die Kategorien von Empfängern und die Beschreibung der Datensicherheitsmaßnahmen enthalten.

EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Auftragsverarbeiter

Anwendungsbeispiel für Auftragsverarbeiter

EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Verantwortlicher

Anwendungsbeispiel für Verantwortlichen

• Datenschutz durch Technikgestaltung und datenschutzfreundliche Voreinstellungen („privacy by design/privacy by default“) einführen

Damit die Verarbeitung den neuen Anforderungen entspricht und die Rechte der betroffenen Personen geschützt werden, müssen geeignete technische und organisatorische Maßnah­men und Verfahren (z.B. Pseudonymisie­rung) implementiert werden.

Datenschutzrechtliche Voreinstellungen müssen sicherstellen, dass grundsätzlich nur personenbezogene Daten verarbei­tet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist.

Mehr zu Datensicherheitsmaßnahmen

• Datenschutzbeauftragter

Einige Unterneh­men sind außerdem lt. DSGVO verpflichtet, einen eigenen Datenschutzbeauftragten zu bestellen. Betroffen sind Betriebe, deren Kerntätigkeit in einer umfangrei­chen regelmäßigen und systematischen Beobachtung von betroffenen Personen, umfangreichen Verarbeitung besonderer Kategorien von Daten („sensibler Daten“) oder von Daten über strafrechtliche Verur­teilungen oder Straftaten besteht.

Rollenbild der österreichischen betrieblichen und behördlichen Datenschutzbeauftragten inkl. Mustervorlage für die Bestellung einer Person zum/zur Datenschutzbeauftragten gemäß Artikel 37 DSGVO iVm § 5 DSG – Dokument des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at

Mehr zu Datenschutzbeauftragter

Die Pflichten für Unternehmen

• Informationspflicht und Rechte von betroffenen Personen

Informationen und Betroffenenrechte (v.a. Recht auf Auskunft, Berichtigung, Löschung, Datenübertragbarkeit, Widerspruch) müssen unverzüglich, spätestens aber innerhalb eines Monats gegeben und erledigt werden. Diese Frist kann um höchstens weitere zwei Monate verlängert werden.

Mehr zu Informationspflichten

Mehr zu Betroffenenrechte  

• Pflicht zur Datenschutz-Folgenabschätzung

Wenn ein hohes Risiko für die Rechte und Freiheiten der Personen durch die Verarbeitung der Daten be­steht (insbesondere bei Verwendung neuer Techno­logien), so muss Ihr Unternehmen eine Datenschutz- Folgenabschätzung machen. Darin müssen die geplanten Verarbeitungsvorgänge und Zwecke der Datenverarbeitung beschrieben sowie die Notwen­digkeit und Verhältnismäßigkeit der Verarbeitung und mögliche Risiken für die Rechte und Freiheiten betroffener Personen bewertet werden. Diese Risikoanalyse und geplante Abhilfen in der Organisation komplettie­ren die Folgeabschätzung.

Mehr zu Datenschutz-Folgenabschätzung

• Unternehmer müssen Meldung machen

Im Falle von Datenschutzverletzungen (z.B. Verlust eines Datenträgers, Hackerangriff) müssen Unternehmen dies der Datenschutzbehörde und den betroffenen Personen melden. Und zwar in angemessener Frist – höchstens innerhalb von 72 Stunden nach der Entdeckung.

Ausnahme: Wenn die Datenschutzverletzung voraussichtlich kein Risiko (bzw. im Fall der Betroffenen kein hohes Risiko) für die persönlichen Rechte und Freiheiten der Betroffenen bedeutet.

Mehr zu Datenschutzverletzungen

Musterdokumente

Mustervertrag (Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO)

Muster-Verarbeitungsverzeichnis für Verantwortliche

Muster-Verarbeitungsverzeichnis für Auftragsverarbeiter

Musterschreiben zur Auskunftserteilung

Data Breach Notification - Muster Meldung an die Aufsichtsbehörde

Data Breach Notification - Muster Benachrichtigung der betroffenen Person

Datenschutzerklärung für Mitarbeiter

Musterformular Datenschutzerklärung

Links

Ablaufplan Datenschutz-Folgenabschätzung

Auskunftspflicht des Verantwortlichen

Betroffenenrechte

Checkliste

Das Datenschutz-Anpassungsgesetz 2018

Datenschutz und Direktmarketing

Datenschutz-Folgenabschätzung und vorherige Konsultation

Datenschutzrechtliche Pflicht zur Datenübertragbarkeit

Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches

Datenverarbeitung zu Archivzwecken, zu wissenschaftlichen und historischen Forschungszwecken sowie zu statistischen Zwecken

Datenschutzbeauftragter

Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten

Einwilligungserklärung

Grundsätze und Rechtmäßigkeit der Verarbeitung

Informationspflichten

Internationaler Datenverkehr

Meldung von Datenschutzverletzungen (Data Breach Notification)

Pflicht zur Berichtigung, Löschung ("Recht auf Vergessenwerden") und zur Einschränkung der Verarbeitung

Pflichten des Auftragsverarbeiters

Pflichten des Verantwortlichen

Rechtsdurchsetzung und Strafen

Sachlicher und räumlicher Anwendungsbereich

Speicher- und Aufbewahrungsfristen

Verantwortlicher und Auftragsverarbeiter - (Überblick)

Wichtige Begriffsbestimmungen

www.it-safe.at

KMU DIGITAL BeraterInnen

Fragen und Antworten aus dem Chat

2. Unterlagen und Hilfestellung zur DSGVO der Datenschutzbehörde - https://www.dsb.gv.at/datenschutz-grundverordnung

Leitfaden - Verordnung

Artikel 29 Datenschutzgruppe - Beschlossene Leitlinien der Artikel-29-Gruppe

Article 29 Working Party

• Recht auf Datenübertragbarkeit
  Leitlinien zum Recht auf Datenübertragbarkeit

• Datenschutzbeauftragter 
  Leitlinien in Bezug auf Datenschutzbeauftrage

• Federführende Aufsichtsbehörde
  Leitlinien für die Bestimmung der federführenden Aufsichtsbehörde eines Verantwortlichen oder Auftragsverarbeiters

• Datenschutz-Folgenabschätzung und Hohes Risiko
  Leitlinien zur Datenschutz-Folgenabschätzung (DSFA) und Beantwortung der Frage, ob eine Verarbeitung im Sinne der Verordnung 2016/679 "wahrscheinlich ein hohes Risiko mit sich bringt"

Neu: Export-Funktion in DVR-Online

Mit dem In-Geltung-Treten der EU-Datenschutz-Grundverordnung am 25. Mai 2018 entfällt die Verpflichtung zur Erstattung von DVR-Meldungen an die Datenschutzbehörde. Das Datenverarbeitungsregister wird ab diesem Zeitpunkt (bis zum 31. Dezember 2019) zu Archivzwecken fortgeführt werden.

Um einem Auftraggeber die Möglichkeit zu bieten, seine vorhandenen DVR-Meldungen zu sichern, ist es ab sofort möglich, in der Internet-Applikation DVR-ONLINE elektronisch verfügbare Meldungsinhalte sowohl als PDF-Dokumente als auch als XML-Dateien zu exportieren.

Hierfür wurden im DVR-ONLINE-Meldebereich des Auftraggebers entsprechende Funktionen (rote Buttons, siehe Screenshot) eingefügt.

Achtung: für Informationsverbundsysteme besteht diese Möglichkeit nicht.

Mehr zu DVR-Online.

3. Unterlagen und Hilfestellung zur DSGVO des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragter – Privacyofficers.at

Kompakte Checkliste zur Umsetzung der Datenschutz-Grundverordnung

4. Rechtsinformationssystem (RIS)

Hier finden Sie ausgewählte Entscheidungen der Datenschutzkommission von 1990 bis 2013. Ab 2014 finden Sie hier ausgewählte Entscheidungen der Datenschutzbehörde.

https://www.ris.bka.gv.at/Dsk/

Höchstgerichtliche Judikatur: www.ris.bka.gv.at und InfoCuria - Rechtsprechung des Europäischen Gerichtshofs

Stand: 22.10.2019