2018-05: EU-Datenschutz-Grundverordnung (DSGVO): Checkliste

Die Bestimmungen der EU-Datenschutz-Grundverordnung (DSGVO) gelten ab 25.5.2018. Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet (z.B. eine Kundendatei führt, Rechnungen ausstellt, Lieferantendaten speichert), ist von der neuen Rechtslage betroffen.

Die nachstehende Checkliste soll dabei helfen, die erforderlichen Schritte für eine rechtskonforme Anwendung des DSGVO zu garantieren.

1. Vorbereitung

  • Für die Anpassung an die DSGVO zuständige Personen (intern/extern) nominieren
  • Zeit- und Budget-Planung

2. Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand)

  • Welche personenbezogenen Daten werden verarbeitet?

Personengebundenen Daten sind Informationen über eine natürliche Person, die Auskunft über ihren Namen, ihre Kennnummer, ihre Standortdaten, ihre Online-Kennung oder eine oder mehrere besondere Merkmale über ihre physische, physiologische, genetische, psychische, wirtschaftliche, kulturelle oder soziale Identität dieser Person offenbart.

Beispiele: Name, Adresse, Geburtsdatum, Bankdaten, etc.

  • Welche Datenanwendungen bestehen?
    • Welche Standardanwendungen liegen derzeit vor?

Das neue Datenschutzrecht verlangt vom Auftraggeber einer Datenanwendung vor deren Start grundsätzlich die Meldung an das Datenverarbeitungsregister bei der Datenschutzkommission.

Unternehmen können allerdings in den Genuss wesentlicher Erleichterungen durch die Standard- und Musterverordnung 2004 kommen, welche insgesamt 37 Standardanwendungen bzw. 5 Musteranwendungen vorsieht, die gerade in Unternehmen üblicherweise anzutreffen sind und sie daher von der Meldepflicht befreit.

Stellt ein Auftraggeber fest, dass seine Datenanwendungen in die Standardanwendungen der StMV passen, dann bietet dies für den Auftraggeber folgende Vorteile:  Keine Meldepflicht beim Datenverarbeitungsregister, keine Informationsverpflichtung gegenüber den Betroffenen, keine Protokollierung von Übermittlungen, Erleichterungen beim internationalen Datenverkehr (s.u.)

  • Wird eine Bildverarbeitung (z.B. Videoüberwachung) durchgeführt?

Unter einer „Bildaufnahme“ versteht das DSG „die durch Verwendung technischer Einrichtungen zur Bildverarbeitung vorgenommene Feststellung von Ereignissen im öffentlichen oder nicht-öffentlichen Raum zu privaten Zwecken. Zur Bildaufnahme gehören auch dabei mitverarbeitete akustische Informationen“.

Dazu zählen grundsätzlich alle Bildaufnahmen durch Verantwortliche des privaten Bereichs (so z.B. auch das Anfertigen von Fotografien zu beruflichen Zwecken). Aufnahmen zur Vollziehung hoheitlicher oder schlicht hoheitlicher Aufgaben benötigen weiterhin eine gesonderte gesetzliche Rechtsgrundlage.

Eine Bildaufnahme ist zulässig, wenn sie im lebenswichtigen Interesse einer Person erforderlich ist, die betroffene Person zur Verarbeitung ihrer personenbezogenen Daten eingewilligt hat, sie durch besondere gesetzliche Bestimmungen angeordnet oder erlaubt ist, oder im Einzelfall überwiegende berechtigte Interessen des Verantwortlichen oder eines Dritten bestehen und die Verhältnismäßigkeit gegeben ist.

  • Erfolgt profiling?

Darunter versteht die DSGVO jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen. Beispiel: Automationsunterstützte Analyse der Kreditwürdigkeit eines Kunden.

  • Überprüfen Sie Ihre AGB, Datenschutzerklärungen, Impressum, laufende Verträge, Website-Einstellungen, etc
  • Was sind die Zwecke meiner Datenverarbeitungen?
  • Was ist die Rechtsgrundlage der Datenverarbeitung?

Bei jeder Datenanwendung sind die Grundsätze der Rechtmäßigkeit der Verarbeitung, die Verarbeitung nach Treu und Glauben, die Einhaltung der Transparenz, die Zweckbindung der Verarbeitung, die Datenminimierung nach Notwendigkeit, die Richtigkeit der Daten, die Einhaltung der Integrität und Vertraulichkeit, sowie die Einhaltung der Speicher- und Aufbewahrungsfristen zu beachten.

Bei Einhaltung der Grundsätze ist die Verarbeitung – sofern es sich nicht um „sensible Daten“ (= besondere Kategorie von personenbezogenen Daten) handelt – rechtmäßig, wenn eine ausdrückliche Einwilligung erfolgt ist, die Verarbeitung für die Erfüllung eines Vertrages oder rechtlichen Verpflichtung notwendig ist, die Verarbeitung erforderlich ist um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen. Weiteres wenn die Verarbeitung für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde oder die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich.

  • Liegt eine Einwilligung vor?

Die Einwilligung muss durch eine eindeutige bestätigende Handlung erfolgen, mit der freiwillig, für den konkreten Fall, in informierter Weise und unmissverständlich bekundet wird, dass die betroffene Person mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.
Diese Einwilligung kann schriftlich, elektronisch oder auch mündlich erfolgen, etwa auch durch Anklicken eines Kästchens auf einer Internetseite, durch die Auswahl technischer Einstellungen für Dienste der Informationsgesellschaft oder andere Erklärungen oder Verhaltensweisen, die im jeweiligen Kontext eindeutig das Einverständnis der betroffenen Person zur Datenverarbeitung signalisieren. Stillschweigen, bereits vorangekreuzte Kästchen oder Untätigkeit können keine Einwilligung darstellen. Wenn die Verarbeitung mehreren Zwecken dient, ist für jeden Zweck der Verarbeitung eine gesonderte Einwilligung nötig.

  • Welche sensiblen Daten werden verarbeitet?

Sensible Daten sind personenbezogene Daten, aus denen die rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Gewerkschaftszugehörigkeit hervorgehen, sowie die Verarbeitung von genetischen Daten, biometrischen Daten zur eindeutigen Identifizierung einer natürlichen Person, Gesundheitsdaten oder Daten zum Sexualleben oder der sexuellen Orientierung einer natürlichen Person. Beispiele: Fingerabdruck, Irisscan, Krankengeschichte

  • Werden Kindern Dienste der Informationsgesellschaft angeboten?

Für die Rechtmäßigkeit der Einwilligung eines Kindes bei einem Angebot von Diensten der Informationsgesellschaft legt die DSGVO eine Altersgrenze von 16 Jahren fest. Die EU-Mitgliedstaaten können aber niedrigere Altersgrenzen vorsehen, allerdings nicht unter das vollendete 13. Lebensjahr. Das österreichische Datenschutzgesetz (DSG) i.d.F. des Datenschutz-Anpassungsgesetzes 2018 setzt diese Altersgrenze mit dem vollendeten 14. Lebensjahr fest.

  • Werden Auftragsverarbeiter herangezogen?

Mit der DSGVO wurde der Begriff des datenschutzrechtlichen Dienstleisters auf „Auftragsverarbeiter“ geändert. Dieser wird definiert als eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Erfolgt eine Verarbeitung im Auftrag eines Verantwortlichen, so arbeitet dieser nur mit Auftragsverarbeitern, die hinreichend Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen dieser Verordnung erfolgt und den Schutz der Rechte der betroffenen Person gewährleistet.

  • Gibt es schriftliche Vereinbarungen für die Auftragsverarbeitung?
  • Weist der Auftragsverarbeiter die erforderliche Zuverlässigkeit auf?
  • Wie werden die Informationspflichten (nach der DSGVO) erfüllt?

Die Informationspflichten nach der DSGVO trennen sich in eine Auflistung von Informationen, welche zu erteilen sind, wenn die Daten bei Betroffenen direkt erhoben wurden und für den Fall, dass die Daten nicht bei Betroffenen selbst erhoben wurden.

Informationspflichten bezüglich: Namen und Kontaktdaten des Verantwortlichen (und ggf seiner Vertreter); ggf Kontaktdaten des Datenschutzbeauftragten; Verarbeitungszwecke und Rechtsgrundlagen der Verarbeitung; im Falle einer Datenverarbeitung aufgrund berechtigter Interessen des Verantwortlichen bzw eines Dritten sind die berechtigten Interessen, die vom Verantwortlichen oder einem Dritten verfolgt werden, auszuweisen; ggf Empfänger der Daten, falls die Absicht besteht, die Daten an ein Drittland oder eine internationale Organisation zu übermitteln, muss auch darüber informiert werden, ebenso wie über das Vorhandensein oder das Fehlen eines Angemessenheitsbeschlusses der Europäischen Kommission. Weiters ist im Falle von Datenübermittlung vorbehaltlich geeigneter Garantien oder aufgrund von verbindlichen internen Datenschutzvorschriften, bzw generell aufgrund von besonderen Ausnahmebestimmungen eben auf diese geeigneten oder angemessenen Garantien zu verweisen oder zumindest, wo eine Kopie erhältlich wäre; Dauer der Datenspeicherung bzw wenn unmöglich die Kriterien für die Festlegung der Dauer,; Betroffenenrechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch,; die Möglichkeit des Widerrufs der Einwilligung; das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist; ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte; ggf über das Bestehen automatisierter Entscheidungsfindung, inkl aussagekräftiger Informationen über die involvierte Logik und die Tragweite der Entscheidung (zB Profiling).

  • Wie werden die Betroffenenrechte (nach der DSGVO) erfüllt?

Betroffenenrechte sind, wie der Name schon sagt, Rechte der von einer Datenanwendung betroffenen Person (= Betroffener) gegenüber dem Verantwortlichen. Sie kann sich damit z.B. gegen unrichtige oder unvollständige Datensätze zur Wehr setzen oder verlangen, dass Daten wieder gelöscht werden. Welche Rechte gibt es?:

Informationspflicht bei Erhebung von personenbezogenen Daten bei der betroffenen Person, Informationspflicht, wenn die personenbezogenen Daten nicht bei der betroffenen Person erhoben wurden, Auskunftsrecht, Recht auf Berichtigung, Recht auf Löschung („Recht auf Vergessenwerden“), Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit, Widerspruchsrecht

  • An wen in meinem Unternehmen können sich betroffene Personen für die Ausübung ihrer Betroffenenrechte wenden?
  • Welche Datensicherheitsmaßnahmen sind vorhanden?

Die Datensicherheit bei der Verarbeitung von personenbezogenen Daten soll in Zukunft noch effektiver gewährleistet werden.  Dabei sind ua folgende Maßnahmen gefordert:

  • die Pseudonymisierung und Verschlüsselung personenbezogener Daten (z.B. Passwortsicherungen von Dateien);
  • die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherzustellen (z.B. Zutritts-/Zugangskontrollen, Zugriffsbeschränkungen). Dazu gehört auch, dass unterstellte natürliche Personen, die Zugang zu personenbezogenen Daten haben, diese nur auf Anweisung des Verantwortlichen verarbeiten („Auftragsprinzip“);
  • die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen (z.B. Backup-Programme);
  • ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung (z.B. Selbstevaluierungsprozesse).
  • Wie ist privacy by design/privacy by default implementiert?

Datenschutz durch Technik „Privacy by design“

Sowohl bei der Planung als auch bei der Datenverarbeitung selbst haben der Verantwortliche und der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen zu berücksichtigen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten. Dabei sind der Stand der Technik, die Implementierungskosten, die Art, der Umfang, die Umstände und die Zwecke der Verarbeitung sowie die unterschiedlichen Eintrittswahrscheinlichkeiten und Schwere der Risiken für die Rechte und Freiheiten natürlicher Personen zu berücksichtigen (z.B. Pseudonymisierung).

Datenschutzfreundliche Voreinstellungen „Privacy by default“

Der Verantwortliche hat geeignete technische und organisatorische Maßnahmen zu treffen, die sicherstellen, dass durch entsprechende Voreinstellungen grundsätzlich nur solche personenbezogene Daten verarbeitet werden, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erforderlich ist. Diese Verpflichtung gilt für die Menge der erhobenen personenbezogenen Daten, den Umfang ihrer Verarbeitung, ihre Speicherfrist und ihre Zugänglichkeit. Solche Maßnahmen müssen insbesondere sicherstellen, dass personenbezogene Daten nicht ohne Eingreifen der Person einer unbestimmten Zahl von natürlichen Personen zugänglich gemacht werden.

Die Einhaltung eines genehmigten Zertifizierungsverfahrens kann als Faktor herangezogen werden, um die Erfüllung der genannten Maßnahmen nachzuweisen.

  • Besteht für meine  Datenverarbeitungen Dokumentationspflicht?
  • Wie wird die Dokumentationspflicht erfüllt?

Aufgrund der DSGVO ist keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten und auch die DVR-Nummer gehört der Vergangenheit an. Stattdessen sind ua Verzeichnisse über die Verarbeitung von Daten zu führen (siehe dazu auch „Verantwortlicher und Auftragsverarbeiter“). Diese Pflicht trifft sowohl den Verantwortlichen als auch den Auftragsverarbeiter. Der Umfang der Dokumentationspflicht ist für den Auftragsverarbeiter geringer als für den Verantwortlichen.

  • Welche Vorkehrungen gegen Datenschutzverletzungen existieren schon in meinem Unternehmen?

Die DSGVO definiert eine „Verletzung des Schutzes personenbezogener Daten“ (data breach) als eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden.

Als „data breach“ kann daher z.B. ein Vorfall verstanden werden, durch den Unbefugten der Zugriff auf Daten möglich wird (z.B. Verlust eines Datenträgers, Hackerangriff …). Dadurch kann den betroffenen Personen ein physischer, materieller oder immaterieller Schaden entstehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten, Identitätsdiebstahl oder –betrug, finanzielle Verluste, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile.

Daher sieht die DSGVO für den Fall einer solchen Verletzung des Schutzes personenbezogener Daten folgende Melde- und Benachrichtigungspflichten vor:

  1. Meldung an die zuständige Aufsichtsbehörde, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt sowie
  2. Benachrichtigung der betroffenen Person, wenn die Verletzung des Schutzes personenbezogener Daten voraussichtlich ein hohes Risiko für die persönlichen Rechte und Freiheiten natürlicher Personen zur Folge hat.
  • Ist für meine Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen?
    • Welche Risiken aus der Datenverarbeitung ergeben sich für die Rechte und Freiheiten der Betroffenen?
    • Wie kann ich den Risikoeintritt verhindern oder zumindest minimieren?
  • Ist eine vorherige Konsultation bei der Aufsichtsbehörde notwendig?
  • Brauche ich einen Datenschutzbeauftragten?

Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist für Unternehmen nur in folgenden Fällen vorgesehen, wenn

  • die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.B. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive).
  • die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.B. Krankenanstalten).
  • Welcher Datenverkehr mit dem EU-Ausland besteht und auf welcher Rechtsgrundlage?
  • Besonderheiten Arbeitnehmerdatenschutz
    • Überprüfung von Dienstverträgen, Betriebsvereinbarungen, Dienstordnungen, etc
    • Rechtzeitige Kommunikation mit dem Betriebsrat
  • Wie weise ich nach, dass meine Datenverarbeitungen DSGVO-konform erfolgen? (z.B. Dokumentation der Einwilligungserklärungen, Verarbeitungsverzeichnis, Dokumentation der ergriffenen Sicherheitsmaßnahmen, Dokumentation der Risikoabschätzung, Protokollierung oder Dokumentation der Weisungen an dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, Dokumentation der Verpflichtung der Mitarbeiter des Auftragsverarbeiters zur Vertraulichkeit, etc)

3. Maßnahmenplan (für gem Pkt 2. identifizierten Anpassungsbedarf)

  • Zeitliche und budgetäre Planung (Priorisierung der Ziele)
  • Maßnahmen festlegen
  • Maßnahmen umsetzen

Hinweis
Dieser Beitrag bezieht sich überwiegend auf Informationen der Wirtschaftskammer Österreich „Checkliste“. Auf dem Informationsportal wurden, soweit dies möglich war, die weiblichen Formen integriert, um der geschlechtergerechten Formulierung zu entsprechen. Einzig bei legistischen Ausdrücken wurde die männliche Form beibehalten, um keinen Widerspruch zu Gesetzestexten herzustellen. Es wird jedoch ausdrücklich darauf hingewiesen, dass die nur in der männlichen Form niedergeschriebenen Aussagen und Formulierungen selbstverständlich auch Frauen gegenüber gelten. Die Informationen beziehen sich auf die Rechtslage zum 23.01. 2018.