Der Countdown läuft. Die EU Datenschutz-Grundverordnung, die am 25. Mai 2018 in Kraft tritt, stellt so gut wie alle Unternehmen vor eine große Herausforderung. Dabei wissen viele noch immer nicht, ob und in welchem Ausmaß sie selbst von der DSGVO betroffen sind. Aus einer Studie (1), die von der IDC (International Data Corporation) im Oktober 2017 durchgeführt wurde, geht hervor, dass fast die Hälfte der deutschen Unternehmen noch keine Maßnahmen zur Umsetzung der EU-DSGVO getroffen haben. In Österreich sieht die Lage nicht viel anders aus. Denjenigen aber, die sich nicht vorbereiten, drohen böse Überraschungen.
Gerade Ein-Personen-Unternehmen und Freelancer sind oft fälschlicher der Meinung, dass sie von der neuen Verordnung nicht betroffen sind. Wir beantworten hier Fragen, die speziell für Sie als EPU interessant sind: In welchen Fällen könnten Sie abgemahnt oder bestraft werden? Was ist zu tun, um einer Abmahnung oder einer Strafzahlung zu entgehen? Welche Punkte sind konkret umzusetzen? Wo fangen Sie am besten an? In unserem großen DSGVO-Ratgeber liefern wir Ihnen detaillierte Antworten auf diese und weitere Fragen. Dazwischen streuen wir Aufgaben, die Sie am besten immer gleich erledigen. Auf diese Weise wollen wir Sie dabei unterstützen, die benannten Punkte der DSGVO besser zu versehen.
Wir beginnen gleich mit einer Aufgabe: Machen Sie den Einstufungstest für Kleinunternehmen von Microsoft, um einen ersten Überblick darüber zu erhalten, welche Punkte für Sie von besonderer Relevanz sind: https://www.microsoft.com/de-de/aktion/IT-Sicherheit/dsgvo-check.aspx?wt.mc_id=AID643340_QSG_193279
Ausnahmslos alle sind betroffen. Auch Sie!
Das neue EU-Datenschutzgesetz (DSGVO) wurde geschaffen, um das Datenschutzrecht innerhalb der Europäischen Union zu vereinheitlichen. Zu beachten sind ab dem 25. Mai 2018 99 Artikel und 13 Erwägungsgründe, wobei lediglich acht der 99 Artikel IT-Tools betreffen. Diese acht Artikel haben es aber in sich, wie Sie gleich sehen werden.
Sie als EPU mit Niederlassung innerhalb des Unionsgebietes sind nicht aus den DSGVO-Regelungen ausgeschlossen! Ebenso haben die Artikel Gültigkeit, wenn Sie als EPU zwar keine Niederlassung im Unionsgebiet besitzen, aber Waren oder Dienstleistungen innerhalb dieser anbieten.
Nun sind Sie gefordert: Denken Sie gleich beim Lesen mit!
Die Verpflichtungen, die Sie betreffen könnten, sind dermaßen umfangreich, dass wir hier viele Punkte anführen müssen, die zwar Sie als EPU in Ihrem Bereich / in Ihrer Branche (z.B. Texter) nicht treffen, jedoch für andere EPUs (z.B. SEO-Manager, E-Commerce, Webdesigner, …) von hoher Relevanz sind. Wir empfehlen Ihnen daher, sich stichwortartig Notizen über diejenigen Punkte zu machen, die für Sie wichtig sind. So können Sie sich vor der Umsetzung über diese Punkte im Einzelnen noch ausführlicher informieren.
Es handelt sich also bei der DSGVO um ein Verbot mit Ausnahmen. Dieses Verbot findet Anwendung auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten UND auf die nicht automatisierte Verarbeitung personenbezogener Daten. Sobald Sie also personenbezogene Daten in ein Dateisystem einpflegen und speichern, verarbeiten Sie Daten, die von der DSGVO erfasst werden.
Behalten Sie den nächsten Passus beim Lesen des gesamten Textes im Hinterkopf:
Die Verarbeitung von Daten ist somit grundsätzlich immer unzulässig, außer es liegt ein Rechtfertigungsgrund vor. Sobald einer der folgenden Rechtfertigungsgründe vorliegt, ist die Datenverarbeitung zulässig. Diese Rechtfertigungsgründe (Erlaubnistatbestände) sind:
Sie verarbeiten nur Daten, die
- von der betroffenen Person eingewilligt wurden (Einwilligungserklärung).
- zur Erfüllung eines Vertrages notwendig sind (z.B.: Name, Adresse, UID-Nummer, Telefonnummer, Mailadresse).
- zur Erfüllung rechtlicher Verpflichtungen unerlässlich sind (z.B.: Kaufvertrag, Arbeitsvertrag.
- lebenswichtige Interessen der betroffenen Person schützen (z.B.: E-Card).
- im öffentlichen Interesse liegen oder in Ausübung einer öffentlichen Gewalt erfolgt (z.B.: Justiz, Gericht).
- zur Wahrung der berechtigten Interessen eines Dritten erforderlich sind (eingeschränkt).
Eine interessante Ausnahme aus dem DSGVO wollen wir Ihnen nicht vorenthalten. Geschützt werden lediglich natürliche Personen. Juristische Personen werden durch die EU-Grundverordnung nicht geschützt. Verarbeiten Sie also beispielsweise Daten von Kapitalgesellschaften (z.B. GmbH), fällt das nicht in den Regelungsbereich der DSGVO.
Wie und von wem wird die EU-DSGVO überwacht und bestraft?
Schon jetzt gibt es in den einzelnen Mitgliedstaaten Aufsichtsbehörden, die ab Mail 2018 noch stärker zusammenarbeiten werden als zuvor. Vor allem, um grenzüberschreitende Sachverhalte zu überprüfen. Die Aufsichtsbehörden aller Mitgliedstaaten sind im Europäischen Datenschutzausschuss vertreten.
Die in Österreich eingerichtete nationale Aufsichtsbehörde ist die Österreichische Datenschutzbehörde (2).
Das darf die Österreichische Datenschutzbehörde:
- Ahndung von Verstößen (zusätzlich oder anstelle) mittels Geldbußen (idH von bis zu 20 Millionen Euro oder 4% des weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahres).
- Anordnung der Aussetzung der Übermittlung von Daten an Dritte.
- Aussprechen von Beschränkungen und Verboten von Datenverarbeitungen.
- Bestimmte Räumlichkeiten zum Zweck der Untersuchung betreten.
- Sie anweisen, Ihre Daten zu berichtigen oder zu löschen.
- Sie anweisen, Ihre Datenverarbeitungen mit der DSGVO in Einklang zu bringen und die betreffenden Personen von dem begangenen Datenschutzverstoß zu benachrichtigen.
- Verwarnungen
- Zertifizierungen widerrufen.
- Zwangsmittel durchsetzen.
Alle hier genannten Befugnisse können nicht nur gegen den Verantwortlichen, sondern auch gegen den Auftragsverarbeiter gerichtet werden!
Weitere Einrichtungen
Finden Sie hier eine Liste der Österreichischen Einrichtungen, die sich mit Belangen zum Datenschutz auseinandersetzen. Ebenfalls auf dieser Seite finden Sie nationale Datenschutzbehörden sowie internationale Organisationen: https://www.dsb.gv.at/links
Geldbußen
Geldbußen werden als Verwaltungsstrafen von der Österreichischen Datenschutzbehörde verhängt, und können bis zu 20 Millionen Euro oder 4 % des weltweit erzielten Jahresumsatzes des vergangenen Geschäftsjahres ausmachen. Wie die Behörde im Speziellen mit EPUs verfahren wird, bleibt abzuwarten.
Eine Geldbuße von bis zu EUR 20.000.000,- sieht die DSGVO bei folgenden Tatbeständen vor:
- Missachtung d. Bescheids d. Datenschutzbehörde
- Unrechtmäßige Datenspeicherung
- Unzulässige Auslandsübermittlung
- Verletzung des Auskunftsrechts
- Verletzung des Löschungsrechts
Eine Geldbuße von bis zu EUR 10.000.000,- sieht die DSGVO bei folgenden Tatbeständen vor:
- Fehlende Elternzustimmung
- Fehlender Datenschutzbeauftragter
- Kein Verarbeitungsverzeichnis
- Mangelhafte Datensicherheit
- Nicht-Kooperation mit der Datenschutzbehörde
- Nichtvornahme der Datenschutz-Folgeabschätzung
Begriffsbestimmungen
Profiling:
Sammeln von Personendaten zum Zweck der Analyse, Überwachung und/oder Beeinflussung von Personen.
Pseudonymisierung:
Maßnahme zum Zweck des Datenschutzes. Daten werden derart verändert, dass sie nicht mehr zur Identifikationen von Personen verwendet werden können.
Data Breach:
Verletzung des Schutzes personenbezogener Daten.
Besonders sensible Daten:
Daten zur Ethnie, Sexualität, Gesundheit, politische Ansichten, Biometrie und Genetik.
Personenbezogene Daten:
- Adresse
- Cookies
- E-Mail-Adresse
- Geburtstag
- IP-Adressen
- Kfz-Kennzeichen
- Kontodaten
- Name
- Standortdaten
- Telefonnummer
- Tracking-Cookies
Verarbeitung:
Das Erheben, Offenlegen, Übermitteln, Löschen oder Speichern von personenbezogenen Daten fällt unter diesen Begriff.
E-Privacy
Bei der ePrivacy-Verordnung steht der Datenschutz in der elektronischen Kommunikation im Fokus. Sie ersetzt die vorergehende ePrivacy-Richtlinie und die Cookie-Richtlinie. Überschneiden sich die Regelungen von ePrivacy und DSGVO, dann genießt erstere den Vorrang.
Auftragsdatenverarbeitung
Auch dieser Punkt kann für Sie als EPU interessant sein: Werden Daten von einem Dritten verarbeitet, kann nicht nur über den Auftraggeber eine Geldbuße verhängt werden, sondern auch über jene Einrichtung, welche die Daten im Auftrag weiterverarbeitet. Solche Fälle können beispielsweise sein:
- Cloud Computing
- Externer Newsletter
- Externes Kundencenter
- Externes Marketing
- Externes Rechenzentrum
Auch der Auftragnehmer muss in solchen Fällen ein Verarbeitungsverzeichnis erstellen und technische Maßnahmen zur Datensicherheit ergreifen.
Die Rechte des Betroffenen
Die betroffenen Personen genießen mit der DSGVO einen besonderen Schutz ihrer Daten. Diesen können sie auch einklagen.
- Auskunftsrecht (3)
- Berichtigungsrecht (4)
- Löschungsrecht (4)
- Recht auf Vergessenwerden (5)
- Widerspruchsrecht (6)
- Recht auf Einschränkung der Verarbeitung (4)
- Recht auf Datenübertragbarkeit (7)
- Recht auf Beschwerde bei der Aufsichtsbehörde (8)
- Einbringen vor Gericht bei Untätigkeit der Aufsichtsbehörde (z.B. Verbraucherschutz oä.) (9)
- Wahrung der Interessen der Arbeitnehmer (10)
Ihre Pflichten als EPU bei der Verarbeitung von Daten
Bevor wir zu den verpflichtenden Punkten kommen, noch ein Hinweis: Haben Sie die Rechtfertigungsgründe / Erlaubnistatbestände unter dem ersten Absatz dieses Textes noch im Hinterkopf? Diese werden Ihnen bei den unten angeführten Punkten dann eine Hilfe sein, wenn Sie sich nach dem Lesen des Punktes fragen, ob Sie in Ihrem individuellen Fall nun verpflichtet sind, diesen umzusetzen oder nicht.
- Datenschutz-Folgenabschätzung (DSFA)
Die DSFA müssen Sie dann vornehmen, wenn die Verarbeitung der Daten ein erhöhtes Risiko für die Rechte und Freiheiten natürlicher Personen darstellt. Laut DSGVO Art. 35 Abs. 4 wurde von der Aufsichtsbehörde eine „Liste der Verarbeitungsvorgänge“ erstellt, die Auskunft darüber gibt, für welche Vorgänge eine Datenschutz-Folgenabschätzung durchzuführen ist.
Mit einer einfachen Risikobewertung können Sie jedoch zunächst selbst abschätzen, wie riskant die von Ihnen verarbeiteten Daten eingestuft werden, und ob sich daraus ableiten lässt, ob in weitere Folge eine DSFA durchgeführt werden muss. Dazu ordnen Sie sich zunächst einer der drei Schutzbedarfskategorien zu:
1: Geringer bis mittlerer Schutzbedarf
Ein Datenmissbrauch hätte nur geringfügige Auswirkungen für den Betroffenen. Geringer Schutzbedarf: Adresse, Kontaktdaten, Telefonnummer, E-Mail. Mittlerer Schutzbedarf: Kontostände, Prüfungsergebnisse, Kreditauskünfte.
2: Hoher Schutzbedarf
Ein Datenmissbrauch hätte erhebliche Auswirkungen. Dazu zählen sensible Daten wie Steuerdaten, strafbare Handlungen, Beurteilungen eines Mitarbeiters, berufliche Laufbahn, Angaben über Krankheiten oder Behinderungen.
3: Sehr hoher Schutzbedarf
Ein Datenmissbrauch könnte zum wirtschaftlichen Ruin führen oder die persönliche Unversehrtheit gravierend beeinträchtigen. Dazu gehören hochsensible Daten wie: Adressen von polizeilichen V-Leuten, Namen und Adressen von Zeugen.
Für den Fall, dass Sie in Ihrem Unternehmen lediglich Daten mit geringem oder mittlerem Schutzbedarf verarbeiten, ist für Sie hier die Risikobewertung abgeschlossen. Sie müssen keine Datenschutz-Folgenabschätzung durchführen.
Für alle anderen empfiehlt es sich, auch noch die Eintrittswahrscheinlichkeit, also die Wahrscheinlichkeit eines möglichen Datenmissbrauchs, abzuschätzen:
- vernachlässigbar/begrenzt (normal)
- wesentlich (hoch)
- maximal (sehr hoch)
Ergibt sich aus dieser Risikoabschätzung ein hohes oder sehr hohes Risiko, müssen Sie eine Datenschutz-Folgenabschätzung durchführen. Der Nachweis zur erbrachten Datenschutz-Folgeabschätzung ist Ihre gesetzliche Pflicht! Erfahren Sie in einer Kundmachung der WKO, veröffentlicht auf der Seite der zurich.at, mehr über die Erstellung einer DSFA: https://www.zurich.at/images/bav_nl/12_2017/wko_ablaufplan_datenschutz-folgenabschaetzung.pdf
Sollten Sie mindestens zwei der folgenden Kriterien erfüllen, müssen Sie zwingend eine DSFA durchführen:
- Scoring, Evaluierung, inkl. Profiling und Vorhersagen
- Automatisierte Entscheidungen, die rechtliche Wirkung haben, oder im Gewicht vergleichbar sind
- systematische Beobachtung (z. B. durch Videoaufzeichnungen)
- Sensible Daten
- Datenverarbeitung in großem Umfang
- Datensätze, die abgeglichen oder kombiniert werden
- Daten von besonders schutzbedürftigen Personen (z. B. Arbeitnehmer, Kinder)
- Nutzung innovativer technologischer und organisatorischer Lösungen (z. B. Fingerabdruckscan, Gesichtserkennung)
- Betroffene können ein Recht oder eine Dienstleistung ohne vorgeschaltete Datenverarbeitung nicht in Anspruch nehmen
Schadensabschätzung
Schätzen Sie ab, welcher Schaden der betroffenen Person bei Datenmissbrauch entstehen könnte.
- Diskriminierung
- Identitätsdiebstahl
- Rufschädigung
- Finanzieller Verlust
- Hinderung der Kontrolle über eigene Daten
- Profiling mit Standortdaten
Risikominimierung
Jeder, der personenbezogene Daten verarbeitet, ist verpflichtet, eine dem Verhältnis zum Risiko angemessene Technik (z.B. Virenschutz, Virenscanner, Firewall, Datenverschlüsselung) zur Risikominimierung anzuwenden.
- Informationspflicht
Sobald Sie Daten erheben, müssen Sie den Betroffenen darüber informieren. Das gilt auch dann, wenn sie Daten erheben, die Sie nicht beim Betroffenen selbst einholen. Geht es beispielsweise um Daten, die Sie sich aus dem Impressum des Internetauftrittes holen, um Kaltakquise zu betreiben, dann kann das besonders bei Privatpersonen zukünftig noch gröbere Probleme verursachen, als dies ohnehin schon der Fall ist.
Auch das Direktmarketing per E-Mail bedarf einer ausdrücklichen Einwilligung. Dafür fallen zukünftig die Regelungen zu Werbung und Adresshandel vollständig weg. Das Stichwort, nach dem Sie in diesem Zusammenhang suchen müssen, um weitere Informationen darüber zu sammeln, lautet „berechtigte Interessen“.
- Benennung eines Datenschutzbeauftragten
Ist Ihr Kerngeschäft die Überwachung und der Umgang mit personenbezogenen Daten, dann haben Sie auch als EPU einen Datenschutzbeauftragten zu bestimmen. Für die Umsetzungspflicht ist nämlich keine Beschäftigten-Mindestanzahl vorgesehen. Das heißt, wenn der oben genannte Punkt auf Sie zutrifft, müssen Sie in den sauren Apfel beißen. Als eine Möglichkeit für EPUs steht die gemeinsame Ernennung eines externen Datenschutzbeauftragten auf Basis eines Dienstleistungsvertrags zur Verfügung. Die Kontaktdaten Ihres Datenschutzbeauftragten müssen veröffentlicht, und der Datenschutzbehörde mitgeteilt werden. Bei Nichtbestellung eines Datenschutzbeauftragten droht eine Geldbuße in der Höhe von bis zu 10 Millionen Euro oder 2 % des weltweiten Jahresumsatzes.
Informationen darüber, welche Aufgaben der Datenschutzbeauftragte zu erfüllen hat, erhalten Sie auf der Seite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Der-Datenschutzbeauftragt.html
- Verzeichnis aller Verarbeitungstätigkeiten
Das Verzeichnis aller Verarbeitungstätigkeiten müssen Sie nicht führen. Diese Regelung ist für alle Unternehmen ab einer Mitarbeiterzahl von mindestens 250 verpflichtend. Mit einer Ausnahme. Sobald Sie sensible oder hochsensible Daten verarbeiten, die ein Risiko für die Rechte und Freiheiten der Betroffenen darstellen, trifft Sie die Verpflichtung auch als Ein-Personen-Unternehmer.
- Datenschutzerklärungen anpassen
Erweitern Sie Ihre bereitgestellten Informationen! Die Anforderungen an die Information und Belehrung der betroffenen Personen steigen durch die DSGVO. Die Datenschutzbestimmungen mit allen notwendigen Informationen müssen deswegen zukünftig
- Präzise
- Transparent
- Verständlich
- Leicht zugänglich
- In klarer und einfacher Sprache sein.
- Einwilligungserklärungen
Wie bereits anfangs erwähnt, ist die Verarbeitung von Daten grundsätzlich verboten. Die DSGVO regelt danach die Punkte, die aus dem Verbot ausgenommen sind.
Schon jetzt ist nach dem BDSG eine Einwilligung zur Verarbeitung von Daten erforderlich. Diese musste bisher in schriftlicher Form erfolgen. Mit dem Inkrafttreten der DSGVO ändert sich lediglich die Form der Einwilligung. Sie muss zukünftig nicht mehr schriftlich erfolgen. Sprich: In Zukunft ist es erlaubt, eine mündliche Einverständniserklärung abzugeben. Bloßes Schweigen oder Untätigkeit (z.B.: Opt-Out-Lösungen) darf jedoch zu keiner Einwilligung führen. Für die Einverständnis ist eine eindeutige Handlung erforderlich. Aber Vorsicht! Auch im Falle einer mündlichen Einverständniserklärung besteht eine Nachweispflicht. Wir raten daher, bei der schriftlichen Form zu bleiben.
Danach wird es jedoch etwas komplizierter. Ein wichtiger Punkt in diesem Zusammenhang ist die Freiwilligkeit. Dieser umfasst auch die Tatsache, dass es dem Betroffenen jederzeit und ohne Begründung möglich sein muss, seine Einverständnis zu widerrufen.
Diese Freiwilligkeit bringt einige Voraussetzungen mit sich. Besonders dann, wenn es sich bei dem Betroffenen um einen Arbeitnehmer, und damit um eine lt. Verordnung „besonders schutzbedüftige Person“, handelt. Da das Thema Arbeitnehmer für EPUs nicht relevant ist, wird es in diesem Text vernachlässigt. Wollen Sie sich über die Voraussetzungen der Freiwilligkeit im Detail informieren, können Sie dies auf der Seite von t3n.de tun: https://t3n.de/news/dsgvo-einwilligungen-843918/
Wichtiger für Sie als EPU ist das sogenannte Kopplungsverbot. Die DSGVO regelt damit zum Beispiel das Verbot, die Nutzung eines Internetportals mit der Einwilligung zur Datenverarbeitung zu koppeln. Möglicherweise darf zukünftig auch der Download von E-Books nicht mit der Einwilligung zur Datenverarbeitung gekoppelt werden. Wie streng diese Vorgehensweise geahndet werden wird, bleibt abzuwarten.
Was Sie auf jeden Fall tun sollten, ist Ihre Einverständniserklärungen zu überprüfen, und gegebenenfalls den Text zu erneuern bzw. die Erklärungen erneut einzuholen. Unwirksame Einwilligungen können nämlich mit Bußgeld geahndet werden. Eine Freiwilligkeit ist nach DSGVO außerdem nur dann gegeben, wenn der Betroffene über sein Widerspruchsrecht Bescheid weiß. Hinterlegen Sie daher die „Hinweise zum Widerrufsrecht“ direkt neben der Einwilligungserklärung. Vernachlässigen Sie in diesem Zusammenhang auch nicht, dass alle Informationen transparent und leicht verständlich gegeben werden müssen. Informieren Sie also ebenso direkt bei der Einwilligungserklärung über den Zweck, die Art und den Umfang der Datenverarbeitung.
Tipp der WKO: Bevor Sie Einverständniserklärungen einholen, prüfen Sie, ob nicht bereits eine andere Rechtsgrundlage ausreicht, um rechtskonform zu arbeiten. Andere Rechtsgrundlagen (Anm.: Rechtsfertigungsgründe. Erinnern Sie sich?) können sein:
- Die Datenverarbeitung ist zur Erfüllung eines Vertrages notwendig.
- Die Datenverarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung notwendig.
- Die Datenverarbeitung erfüllt lebenswichtige Interessen.
Weitere Rechtsgrundlagen finden Sie auf der Informationsseite der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Einwilligungserklaerung-.html
- Prozess für den Widerruf der Einwilligung überprüfen
Prüfen sie im Zuge der Einverständniserklärung gleich den Prozess für den Widerruf.
- Prozessplan bei Datenpannen (Data Breach Notification)
Schon bisher waren Datenpannen mit Risikodaten (z.B.: sensible Daten, Berufsgeheimnisse, strafbare Handlungen, Ordnungswidrigkeiten, Kontodaten) meldepflichtig. Mit der DSGVO verschärft sich die Meldepflicht noch einmal. Ab Mai muss künftig jede Verletzung des Schutzes personenbezogener Daten der Aufsichtsbehörde gemeldet werden. Einzige Ausnahme: Die Datenpanne führt voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen. Wer die Datenschutz-Risikoanalyse unter Punkt 1 bereits vorgenommen hat, der hat schon eine Ahnung darüber, wie riskant seine Datenverarbeitung lt. DSGVO eingeschätzt wird.
Nach jeder Datenpanne muss eine weitere Risikoanlayse durchgeführt werden. Ergibt diese, dass der Data Breach ein erhöhtes Risiko für den Betroffenen darstellt, muss er umgehend über die Datenpanne informiert werden. Ebenso ist die Dokumentationspflicht nach einer Datenpanne obligatorisch.
- Prozess zur Übertragung in gängige elektronische Formate
Auch als EPU müssen Sie die Datenübertragung gewährleisten. Das heißt, Sie sind verpflichtet, personenbezogene Daten den betroffenen Personen in „gängiger elektronischer Form“ zur Verfügung zu stellen. Die von Ihnen bereitgestellten Daten können vom Betroffenen selbst an einen Dritten weitergeleitet werden. Dabei dürfen keinerlei Behinderungen bei der Datenübertragung entstehen. Mit dieser Befugnis soll erreicht werden, dass die betroffenen Personen mehr Kontrolle über ihre Daten erhalten.
- Datenweitergabe an Dritte
Achten Sie darauf, Daten rechtssicher weiterzugeben. Das ist für Sie dann wichtig, wenn Sie beispielsweise Kundendaten nach einem getätigten Kauf an eine Kreditanstalt weiterleiten.
- Geeignete technische Maßnahmen zum Schutz der Daten ergreifen
Wie bereits bei der Risikominimierung erwähnt, ist jeder, der personenbezogene Daten verarbeitet, verpflichtet, eine dem Verhältnis zum Risiko angemessene Technik (z.B. Virenschutz, Virenscanner, Firewall, Datenverschlüsselung) zur Risikominimierung anzuwenden.
Überall dort, wo personenbezogene Daten erhoben, verarbeitet oder genutzt werden, sind geeignete technische Maßnahmen zum Schutz der Daten zu ergreifen. Das gilt auch für die Auswahl des Auftragsdatenverarbeiters; also für den Dritten, den Sie für die Weiterverarbeitung auswählen. Aber was heißt „geeignete technische Maßnahmen“? Dazu hat die EU-Verordnung zwar keine dezidierten Punkte angeführt, von externen Datenschutzbeauftragten können jedoch folgende Informationen erhoben werden:
- Durch eine Zutrittskontrolle soll schon allein der räumliche Kontakt verwehrt werden. Im Falle von sensiblen Daten kann die Zutrittskontrolle durch Einbruchmeldeanlagen, Fenstervergitterung, usw. umgesetzt werden.
- Durch die Zugangskontrolle soll Unbefugten der Einstieg in das IT-System verwehrt werden. Eine geeignete Zugangskontrolle kann eine hohe Passwortqualität, eine Bildschirmsperre, eine Firewall, usw. sein.
- Die Zugriffskontrolle soll gewährleisten, dass nur berechtigte Nutzer Zugriff auf das IT-System haben. Dazu zählen Fernwartungskontolle, Verschlüsselungsverfahren, Laufwerkverriegelungen, usw.
- Die Weitergabekontrolle soll eine unzulässige Weitergabe von Daten verhindern. Geeignete Maßnahmen können sein: die Beauftragung eines zuverlässigen Transportunternehmens, Verschlüsselungsverfahren, usw.
- Die Eingabekontrolle soll die Verarbeitung der Daten überwachen. Eine Eingabekontrolle kann erfolgen durch ein Protokollauswertungssystem, ein sicheres Ablageverfahren, usw.
- Mit der Auftragskontrolle werden externe Dienstleister in die Pflicht genommen. Geeignete Maßnahmen können schriftliche Verträge sein.
- Durch die Verfügbarkeitskontrolle soll der Schutz vor Datenverlust und Zerstörung sowie die Wiederherstellung gewährleistet werden. Geeignete Maßnahmen sind E-Mail-Archivierung, eine unabhängige Stromversorgung, Klimaanlagen in Serverräumen, eine sichere Aufbewahrung von Datensicherungen, usw.
- Mit dem Trennungsgebot soll die zweckentfremdete Nutzung von Daten verhindert werden. Eine geeignete Maßnahme kann beispielsweise eine klare innerbetriebliche Vorgabe für die Erhebung, Speicherung und Verarbeitung von Daten sein.
Denken Sie daran, dass alle genannten Maßnahmen auch dokumentiert werden müssen!
Die geeigneten Maßnahmen, die bei Ihnen ergriffen werden müssen, richten sich nach der Eintrittswahrscheinlichkeit und der Schwere des Risikos (siehe Risikobewertung).
- E-Mail-Verschlüsselung
Nach Meinung von Experten wird die DSGVO nicht ohne E-Mail-Verschlüsselung umzusetzen sein. Sobald Kunden vermehrt auf den sicheren und vertraulichen Umgang mit ihren Daten achten, werden Sie nicht umhinkommen, eine E-Mail-Verschlüsselung einzurichten.
- EU-Gesetzgebung und nationale Gesetzgebung im Auge behalten
Das ist der letzte Punkt, den Sie gerade als EPU nicht verabsäumen sollten. SalesBlog-Tipp: Legen Sie sich das Stichwort „DSGVO“ und „Datenschutz-Grundverordnung“ in Google Alerts an, und lassen Sie sich so die neuesten Veröffentlichungen zu diesen beiden Keywords per Mail zusenden. So bleiben Sie immer auf dem neuesten Stand.
DSGVO-Software
In manchen Branchen werden Sie sich als EPU möglicherweise die Unterstützung durch eine DSGVO-Software einholen wollen. Sie vereinfacht die Einhaltung von Datenschutzbestimmungen. Wir stellen Ihnen hier zwei vertrauenswürdige Anbieter vor:
- DSGVO-Lösung von Kaspersky
- DSGVO-kompatible Produkte von Microsoft
Zertifizierungsstellen
Auf Wunsch können Sie die Verarbeitungsvorgänge in Ihrem Betrieb durch akkreditierte Stellen zertifizieren lassen. Mit Datenschutzsiegel oder Datenschutzprüfzeichen können Sie nachweisen, dass die Datenverarbeitung in Ihrem Betrieb in Übereinstimmung mit der DSGVO erfolgt.
Zertifizierungsstellen und – standards sind:
Zertifizierungsstandard ISO/IEC 27001
Zertifizierungsstellen:
- CIS – Certification & Information Security Service GmbH
- Österreichischen Computergesellschaft
- TÜV Austria Cert GmbH
- TÜV Rheinland AG
- TÜV SÜD Landesgesellschaft Österreich GmbH
Als DSGVO-Zertifizierungsstelle neu hinzukommen werden die nationalen Aufsichtsbehörden, in Österreich ist das die Österreichische Datenschutzbehörde.
Rechtliche Grundlage online
http://eur-lex.europa.eu/legal-content/DE/TXT/PDF/?uri=CELEX:32016R0679&from=DE
Finden sie hier weitere Praxishilfen online:
DSGVO-Checkliste der WKO: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html
Eine weitere sehr gut aufbereitete DSGVO-Checkliste finden Sie online auf der Seite des Vereins österreichischer betrieblicher und behördlicher Datenschutzbeauftragten – Privacyofficers.at: https://www.privacyofficers.at/Privacyofficers_Checkliste_Umsetzung_DSGVO_v1.0_24052017_FINAL.pdf
DSGVO-Webcast-Schulungen von Microsoft (in Englisch): https://info.microsoft.com/ThrivingInTheGDPRera-OnDemandRegistration.html
Erste Schritte von Microsoft: https://www.microsoft.com/de-de/trustcenter/privacy/gdpr/resources
Vorlagen und Muster zur EU-Datenschutzgrundverordnung: https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Musterdokumente-zur-EU-Datenschutzgrundverordnung.html