dataprotect.at   -   der Beratungsansatz

dataprotect.at  berät Unternehmen oder sonstige Organisationen bei der Planung und Umsetzung von   
Datenschutz-Compliance-Projekten 

 

"Compliance"

Selbstverpflichtung sich an Regeln zu halten

 

"Accountability" = Rechenschaftspflicht

Verantwortung überprüfbar wahrnehmen ...
Verantwortung & Rechenschaftspflicht  sind zwei Seiten einer Medaille ... wesentlicher Bestandteil der Good Governance


Allgemeines

Mit 25. Mai 2018 tritt die Datenschutz-Grundverordnung (DSGVO) in Geltung; sie ist seit ca. 2 Jahren in Kraft und in der VO 679/2016 finden sich wesentliche Pflichten für die Dokumentation für Organisationen (Unternehmen, Behörden, öffentliche Stellen …) sowie Organisationsaufgaben (insbes. transparente Information bei der Verarbeitung personenbezogener Daten natürlicher Personen.

 

Am 12.5.2017 wurde das Datenschutz-Anpassungsgesetz 2018 in Österreich im Entwurf veröffentlicht, das in § 1 das Grundrecht auf Datenschutz (Verfassungsbestimmung) beinhaltet:

 

(1) Jede natürliche Person hat Anspruch auf Geheimhaltung der sie betreffenden personenbezogenen Daten, auf Auskunft über die Verarbeitung solcher Daten sowie auf Richtigstellung unrichtiger Daten und auf Löschung unzulässigerweise verarbeiteter Daten.

(2) Beschränkungen sind nur mit Einwilligung der betroffenen Person, in dessen lebenswichtigem Interesse, im öffentlichen Interesse, und zwar nur aufgrund einer gesetzlichen Grundlage, oder im überwiegenden berechtigten Interesse eines anderen zulässig. Diese Beschränkungen müssen notwendig und verhältnismäßig und, insbesondere im Hinblick auf den Zweck, die verarbeiteten Daten und die Art der Verarbeitung, für die betroffene Person vorhersehbar sein. Im Rahmen hoheitlicher Tätigkeiten dürfen Beschränkungen nur aufgrund von Gesetzen, die aus den in Art. 8 Abs. 2 der Europäischen Konvention zum Schutze der Menschenrechte und Grundfreiheiten (EMRK), BGBl. Nr. 210/1958, genannten Gründen notwendig sind, vorgesehen werden.

(3) Das Grundrecht auf Datenschutz verpflichtet auch Private.

 

In Österreich mussten Datenanwendungen, abgesehen von Standard- und Musteranwendungen nach der StMV 2004 beim Datenverarbeitungsregister gemeldet werden; diese Verpflichtung wurde von vielen Organisationen nicht so genau genommen.

 

Ab 25.5.2018 trifft die Organisationen eine Rechenschaftspflicht („Accounta-bility“) und eine Nachweispflicht (siehe insbes. Art. 5 DSGVO), dh jede Organisation, die personenbezogene Daten natürlicher Personen verarbeitet, muss sich selbst mit den Daten „beschäftigen“, die Verarbeitungsvor-gänge analysieren, uU umstellen, und sodann gesetzeskonformes Verhalten dokumentieren und für den Fall der Überprüfung durch die Aufsichtsbehörde auch nachweisen können.

 

 

Der Ansatz von dataprotect.at ist es, eine Organisation in die Lage zu versetzen, mit Unterstützung von dataprotect.at die Aufgaben, die die DSGVO (und das österreichische DSG nach dem Datenschutz-Anpassungs-gesetz 2018) stellt, zu erfüllen.

 

Dies entweder durch

  • direkte Beauftragung zur Erstellung und Umsetzung eines „Datenschutz-Compliance-Konzeptes“ oder aber
  • ·auch als Berater iS eine „Train the Trainer-Konzeptes“ um die verantwortliche/n Person/en in die Lage zu versetzen, ihre Aufgaben im Bereich „Datenschutz-Compliance“ wahrzunehmen, und diese begleitend zu unterstützen

 


4. Risiko managen

 

Wenn sich während der bisherigen Schritte herausgestellt hat, dass eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann, dann ist eine Datenschutz-Folgenabschätzung iSd Art. 35 DSGVO durchzuführen.

 

 

Eine DSFA / DPIA (Data Protection Impact Assessment) / PIA (Privacy Impact Assessment) soll systematisch durchgeführt werden, und ist insbes. dann notwendig, wenn durch die Datenverarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen gegeben ist.

 

Ein derartiges hohes Risiko (siehe insbes. Art. 35 Abs. (1) DSGVO) kann z.B. bei einer Verarbeitung die Folge der Verwendung neuer Technologien, insbes. aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung entstehen.

 

Die Aufsichtsbehörden werden eine sog. weiße Liste von Verarbeitungs-vorgängen, die keine DSFA erforderlich machen, erstellen und veröffentlichen. Weiters wird auch eine sog. schwarze Liste von Verarbeitungsvorgängen, für die eine DSFA durchzuführen ist, von den Behörden erstellt und veröffentlicht.

 

Eine DSFA hat zumindest folgenden Inhalt:

 

·         eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung, gegebenenfalls einschließlich der von dem Verantwortlichen verfolgten berechtigten Interessen

·         eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck;

·         eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

·         die zur Bewältigung der Risiken geplanten Abhilfemaßnahmen, ein-schließlich Garantien, Sicherheitsvor-kehrungen und Verfahren, durch die der Schutz personenbezogener Daten sichergestellt und der Nachweis dafür erbracht wird, dass die Bestimmungen der DSGVO eingehalten werden.

 

dataprotect.at unterstützt bei der Erstellung von Risikoanalysen, die aus Sicht des Betroffenen erfolgen müssen, und koordiniert gemeinsam mit der Organisation eine eventuelle Konsultation mit der Aufsichts-behörde.  

 

  


Besonderheit für „Branchen-Unternehmen“

 

„Cluster“ für DSGVO-Compliance

 

Der Aufwand für einzelne Organisationen, Datenschutz-Compliance-Projekte zu beginnen und umzusetzen ist sowohl in personeller als auch in monetärer Hinsicht beachtlich.

 

Gleichartige Unternehmen (z.B. Autohändler, Transportunternehmen, Apotheken, Seniorenheime, Lebens-mittelhandel …) werden gleichartige (rechtliche) Fragestellungen im Zusammenhang mit der DSGVO haben, und gleichartige Lösungen bieten sich an.

 

Jeder Teilnehmer verliert etwas an „Selbständigkeit“, kann jedoch von den Kenntnissen und Erfahrungen der anderen Teilnehmer profitieren, und durch die Ressourcenbündelung auch eine Reduktion des eigenen Aufwandes bei der Abarbeitung der einzelnen Schritte zur Compliance erreichen.

 

dataprotect.at bietet daher die Möglichkeit, dass (gleichartige) Unternehmen sich in „Cluster“ zusammenschließen, und gemeinsam das Projekt „Datenschutz-Compliance“ durchführen.

 

Dies bedeutet, dass die Teilnehmer im gemeinsamen Projekt die internen Datenprozesse offenlegen (müssen), wobei es nicht um die Offenlegung von Betriebs- und Geschäftsgeheimnissen geht, sondern um die Struktur und die Datenströme an sich. Es könnten dann gleichförmige Lösungsansätze für die Teilnehmer erarbeitet werden, die allen Teilnehmern zur Verfügung gestellt werden, damit diese ihre „datenschutzrechtlichen Hausaufgaben“ erfüllen können. Die Teilnehmer verpflichten sich auch zur Geheimhaltung etwaiger bekannt gewordener Prozessabläufe und Unzulänglichkeiten; es soll nicht möglich sein, Wettbewerbsvorteile oder –nachteile durch die Datenverarbeitung zu erreichen oder zu beanstanden.

 

Ziel ist es, gemeinsam die Datenschutz-Compliance (möglichst) zu erreichen. Jede Organisation kann sich selbst auf ihre Kerntätigkeiten konzentrieren. 

 

 

 

 

 

 

Umsetzungsansatz: Eine kurze Anleit-ung zur Compliance

Die französische Datenschutzbehörde CNIL hat am 15.3.2017 eine 6-Schritte-Methode zur Vorbereitung auf die DSGVO veröffentlicht. Diese soll es Organisationen ermöglichen, sich rechtzeitig auf die Verpflichtungen und Vorgaben der DSGVO vorzubereiten, und die Vorgaben korrekt umzusetzen.

 

Dieser „Umsetzungsansatz“ versucht, diese Anleitung in einfacher Form darzustellen, und dataprotect.at möchte die Organisationen bei der Umsetzung beratend unterstützen.

 

Die „methodologie en 6 etapes“ („6-Schritte-Methode“) umfasst:

 

  •  Verantwortliche/n bestellen („Désigner un pilote“)
  • Datenstruktur erheben („Cartographer“)
  •  Maßnahmen priorisieren („Prioriser“)
  • Risiko managen („Gerer le risques“)
  • Organisieren („Organiser“) 
  • Dokumentieren („Documenter“)

 


2. Datenstruktur erheben

  In diesem Schritt identifiziert die Organisation die Daten im Detail, und zwar in der Form, dass ein Verzeichnis von Verarbeitungstätigkeiten iSd Art 30 DSGVO erstellt wird.

 

 

Es ist eine umfassende Dokumentation der Datenverarbeitungen notwendig, die in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wird. Wichtig ist in diesem Zusammenhang, dass es nicht darum geht, die einzelnen Daten zu identifizieren, sondern

·         ausgehend vom jeweiligen Zweck einer Verarbeitung (z.B. Personalverwaltung, Videoüberwachung Parkplätze, Leistungsdatenerhebung, Kunden- oder Lieferantenverwaltung)

  •  die betroffenen (natürlichen!) Personen (z.B. Mitarbeiter, Bewerber, Kunden, Lieferanten, Newsletterabonennten) und 
  • notwendigen (Stichwort: Datenminimierung) Datenarten zu kategorisieren (ausgehend vom Risiko, das die DSGVO den einzelnen Datenarten zuweist, z.B. Stammdaten, Kommunikationsdaten, Gesundheitsdaten, tracking-Daten, Daten über Verhalten, Leistungsdaten), sowie
  •  Empfängergruppen (dieser Datenarten) zu identifizieren und
  • die Speicherdauer (Löschungsfristen) festzulegen, sowie
  • überdies die TOMs (technische und organisatorische Maßnahmen gem. § 32 Abs. 1 DSGVO) zu beschreiben

 

 

 

 

Diese Aufgabe kann – je nach Art und Größe der Organisation – mit speziellen Tools und Programmen zur Verwaltung der personenbezogenen Daten oder auch in Excel oder Word erfolgen.

 

 

Sinnvollerweise wird diese Aufgabe in größeren Organisationen nicht selbst vom Datenschutzmanager erledigt, sondern holt dieser die notwendigen Informationen von den Fachabteilungen in schriftlicher Form oder in Interviews ein; die Erfahrung hat gezeigt, dass nur schriftliche Anfragen an die Fachabteilungen oft nicht ausreichen, um die notwendigen Informationen zu erhalten. Die verantwortliche Person sollte daher sdie Stellen und/oder Einheiten (in der Organisation) kontaktieren hat, die (personenbezogene) Daten innerhalb der Datenstruktur erheben und verarbeiten und danach mit den erhaltenen Informationen ein Verzeichnis der Verarbeitungstätigkeiten mit den (Haupt-)Zwecken der Verarbeitungen und den Kategorien von personenbezogenen Daten erstellen.

 

In der „Abfrage“ der Daten sollten auch die (Daten-)Lieferanten/

Auftragsdatenverarbeiter, die in die Verarbeitungsaktivitäten involviert sind, identifiziert werden und es ist fest-zustellen, ob die (personen-bezogenen) Daten übermittelt werden und an wen, und wo und wie lange die Daten gespeichert werden.

 

Schon bei der Ausarbeitung des „Fragebogens“ oder „Interviewleit-fadens“, bei dem sinnvollerweise auch die Wichtigkeit des Datenschutzes dargelegt wird, ist dataprotect.at behilflich. Ebenso bei Fragen in Bezug auf die Erstellung des Verzeichnisses von Verarbeitungstätigkeiten (Art. 30 DSGVO). 

 


5. Organisieren

 In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Daten-verarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

 

 

Im Einzelnen erfordert dies:

 

  • Berücksichtigung von Datenschutzprinzipien bei der Einführung einer Verarbeitung oder Verarbeitungstätigkeit.
  • Erhöhung des Bewusstseins von Mitarbeitern und Sicherstellung, dass datenschutzrelevante Informationen zu den korrekten Ansprechpartnern kommen (Training, Kommunikations-leitlinien etc…)
  • Richtlinien zur Behandlung von Datenschutzanfragen
  • Antizipieren von Datenschutzverletzungen, Definieren von Prozessabläufen bei Datenschutzverletzungen und Sicherstellung, dass Data Breach Notifications durchgeführt werden können, und auch die Zeitlimits (z.B. 72 Stunden) eingehalten werden können.

 

dataprotect.at unterstützt bei der Analyse des Ist-Zustandes im Verhältnis zum Soll-Zustand iS einer GAP-Analyse und definiert Maßnahmen und Szenarien, mit denen die Lücken zur Compliance geschlossen werden können. 

 

 

 

1. Verantwortung übernehmen und Verantwortlichen bestellen

Vorab ist die Leitungsebene einzubinden, und von dieser die Zusage (comittment) im Sinne einer „Datenschutz-Compliance-Erklärung“ „abzuholen“, in welcher Art und Weise sich die Organisation des Themas „DSGVO – Datenschutz-Compliance“ annimmt. Nur wenn die Leitungsebene auch hinter dem Vorhaben steht, ist es möglich, das Projekt zügig und mit den notwendigen zeitlichen und monetären Ressourcen umzusetzen. Aus den Bestimmungen des GmbHG und AktG und anderen organisationsrechtlichen Vorschriften ergibt sich, dass Organisationen ein taugliches und angemessenes Internes Kontrollsystem in der Organisationsstruktur aufzubauen und zu betreiben. Ist dies nicht der Fall, dann kann auch die Leitungsebne persönlich (z.B. über § 25 GmbHG) zur Haftung herangezogen werden, und kommt es z.B. bei der GmbH sogar zur Beweislastumkehr, dh der Geschäftsführer muss nachweisen, dass er die Sorgfalt eines ordentlichen Kaufmannes eingehalten hat.

Nach der „Datenschutz-Compliance-Erklärung“, die auch von den Leitungspersonen unterfertigt werden sollte, ist es empfehlenswert eine verantwortliche Person (als Datenschutzbeauftragte/n oder Datenschutzmanager/in) zu benennen, die Informations-, Beratungs- und Kontrollaufgaben in der Organisation wahrnimmt.

 

Die verantwortliche Person soll „als Projektleiter“ („pilote“) die Compliance mit der DSGVO sicherstellen. Auch wenn die Organisation nicht verpflichtet sein sollte (nach Art. 37 DSGVO) einen DSB zu bestellen, sei es sinnvoll, jemanden zu benennen, der als verantwortliche Person tätig ist.

 

Die verantwortliche Person soll als „Pilot“ die Umsetzung der Verpflichtungen der DSGVO auf Basis einer Verpflichtungserklärung ermöglichen, und das Unternehmen hat ihm/ihr die notwendigen Ressourcen zur Verfügung zu stellen.

 

 

dataprotect.at unterstützt den/die Projektleiter/in bei der Erstellung der „Datenschutz-Compliance-Erklärung“ mit den Leitungspersonen sowie auch in der Umsetzung der Aufgaben. 


3. Maßnahmen priorisieren

Nach Erstellung des Verzeichnis von Verarbeitungstätigkeiten ist es notwendig, die Maßnahmen zu definieren, die erforderlich sind, um die Compliance mit der geltenden Rechtslage und der DSGVO herzustellen. Diese Maßnahmenfestlegung erfolgt unter Berücksichtigung der Risken in Bezug auf die Rechte und Freiheiten der betroffenen Personen. Ausgehend von den Risken werden unterschiedliche Maßnahmen notwendig sein. Eine Organisation, die gesundheitsrelevante Daten von natürlichen Personen verarbeitet, stellt für die Rechte und Freiheiten der natürlichen Personen ein anderes Risiko dar, wie ein Autohaus, welches Kundendaten automation-sunterstützt verarbeitet und z.B. per SMS oder Email auf Termine oder sonstiges hinweist.

 

Folgende Maßnahmen sind durchzu-führen bzw. Prinzipien einzuhalten:

  •  Datenminimierung, sohin Sicherstellung, dass nur die personenbezogenen Daten erhoben und in der Folge verarbeitet werden, die zur Erfüllung des Zweckes der Datenverarbeitung notwendig sind.
  • Festlegung der Rechtsgrundlage der Verarbeitung der personenbezogenen Daten
  • Review der bestehenden Datenschutzerklärungen, um sicherzustellen, dass diese den Anforderungen der DSGVO entsprechen
  • Prüfung, ob alle (Daten-) Lieferanten / Auftragsdaten-verarbeiter mit den neuen Aufgaben und Verpflichtungen der DSGVO vertraut sind und dass angemessene Datenschutz-klauseln in den Vereinbarungen enthalten sind
  • Festlegung von Prozessabläufen bei Ausübung der Rechte einer betroffenen Person
  • Prüfung, ob Datensicherheitsmaßnahmen implementiert sind

 

 

 

 

 

 

Schon die Definition des Risikos aus Sicht der Betroffenen und der Kategorisierung des Risikos unter Berücksichtigung des Bedrohungsszenarios und der Eintrittswahrscheinlichkeit ist eine Aufgabe, bei der dataprotect.at unterstützend tätig ist. Je nach Risikolage sind dann die vorzunehmenden Maßnahmen zu priorisieren und einzuleiten. 


6. Dokumentieren

 Für den letzten Schritt ist es notwendig, dass die Organisationen die datenschutzrechtliche Dokumentation zusammenstellen und aufbereiten.

 

 

Die Compliance-Aktivitäten und die Dokumente, die in jedem Schritt erstellt werden, müssen in periodischen Abständen geprüft und angepasst werden, um den kontinuierlichen Datenschutz zu gewährleisten.


 

 

Im Einzelnen enthält diese Dokumentation:

  • Datenschutz-Compliance-Erklärung / Data-Privacy-Policy
  • Verzeichnis von Verarbeitungs-tätigkeiten iSd Art. 30 DSGVO
  •  Datenschutz-Folgenab-schätzungen für Verarbeitungen mit hohen Risken oder die Dokumentation, weshalb keine hohen Risken gegeben sind.
  •  Bestellung eines Datenschutzbeauftragten (sofern notwendig) oder Dokumenation, aus welchen Überlegungen die Bestellung unterbleiben kann
  •  Dokumentation zu den Mechanismen der Datenübermittlungen (z.B. Standardvertragsklauseln, Binding Corporate Rules, Zertifizierungen, sofern anwendbar)
  • Datenschutzerklärungen
  • Formulare für die Einwilligungs-erklärungen von betroffenen Personen, und auch Nachweise, dass die betroffenen Personen die Einwilligung gegeben haben, in den Fällen, in denen die Einwilligung die Rechtsgrundlage darstellt
  •  Prozesse, die implementiert wurden, um sicherzustellen, dass betroffene Personen ihre Rechte ausüben können
  •  Vereinbarungen mit (Daten-)Lieferanten und Auftragsdatenverarbeitern
  • Leitfaden für interne Prozesse nach einer Datenschutzverletzung (inkl. Data Breach Notification)

 

 

 

 

 

 

 

 

 

dataprotect.at begleitet den Prozess der Dokumentation zur Erfüllung der Rechenschaftsverpflichtung und Nachweispflicht iSd DSGVO.