Schreckgespenst DSGVO - Alles neu macht der Mai? Mag. Florian Brutter März 2018 - WKO
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
Schreckgespenst DSGVO
Alles neu macht der Mai?
Mag. Florian Brutter
März 2018
Wirtschaft sind wir alle.
Schutz des Menschen
Jedermann hat, insbesondere auch im Hinblick auf die Achtung seines Privat-
und Familienlebens, Anspruch auf Geheimhaltung seiner personenbezogenen
Daten (Grundrecht auf Datenschutz)
Kunden und Mitarbeiter Unternehmen
Anspruch Verpflichtung
auf zur Geheimhaltung
Geheimhaltung (aktiv und passiv)
Wirtschaft sind wir alle.
Grundlagen
„Personenbezogene Daten“ (normale Daten)
Alle Informationen, die sich auf eine natürliche Person beziehen („betroffene
Person“) Identifizierbar ist eine Person z.B. über: Wohnadresse, Passnummer,
Telefonnummer,
E-Mail-Adresse, IP-Adresse, Foto, Kfz-Kennzeichen, Geburtsdatum, Größe, Gewicht,
Ausbildung, Einkommen- und Vermögensverhältnisse, Sozialversicherungsnummer,
Familienstand, Vertrauenspersonen, Vorlieben, Wünsche, Erwartungen,
Geschäftsbearbeitung durch Mitarbeiter
Das technische Format, mit dem personenbezogene Daten verarbeitet werden, ist
nicht von Belang (z.B. angekaufte oder selbst programmierte Software, Excel,
Access, Word, Outlook, Foto, Videoaufnahme, Audioaufnahme oder Papierordner
oder -listen)
Wirtschaft sind wir alle.
Grundlagen
„Sensible Daten“ (besonders geschützte Daten)
Rassische und ethnische Herkunft
politische Meinungen
religiöse oder weltanschauliche Überzeugungen
Gewerkschaftszugehörigkeit
genetische Daten
biometrische Daten
Daten zum Sexualleben oder zur sexuellen Orientierung
Gesundheitsdaten
– Weite Begriffsauslegung, d.h. nicht nur Behinderungen und Beeinträchtigungen
sondern z.B. auch Diagnosen, Allergien, Unverträglichkeiten, subjektive
Beschwerden, Alkohol- und Medikamentenmissbrauch
Wirtschaft sind wir alle.
Österreich
EU-DSGVO + Datenschutzgesetz
• 25. Mai 2018
Datenschutzgesetz 2000
• 1. Jänner 2000
Datenschutzgesetz
• 1. Jänner 1980
Wirtschaft sind wir alle.
7 Prinzipien des Datenschutzes
ZWECKBINDUNG
SPEICHERBEGRENZUNG DATENMINIMIERUNG Daten werden nur für RICHTIGKEIT
Daten werden nur besagt, dass nur so die Daten sollen in bestem
solange gespeichert, viele Daten verarbeitet übereingekommenen Wissen und Gewissen
wie für die Verarbeitung werden, wie Zwecke, und nicht richtig und aktuell
erforderlich. erforderlich. darüber hinaus, gehalten werden.
verarbeitet.
INTEGRITÄT & RECHTMÄSSIGKEIT,
VERTRAULICHKEIT RECHENSCHAFTSPFLICHT VERARBEITUNG NACH TREU
die Sicherheit und der der Verantwortliche muss UND GLAUBEN, TRANSPARENZ
Schutz von die Erfüllung des Daten sollen nur auf
verarbeiteten Daten Datenschutzes nachweisen rechtmäßige, nachvollziehbare
wird maximal können. und transparente Weise
gewährleistet. verarbeitet werden.
Wirtschaft sind wir alle.
Rechtsgrundlagen
Sensible Daten Nicht sensible Daten
Gesetzliche Regelungen Gesetzliche Regelungen
(z.B. Medizinproduktegesetz) (z.B. Aufenthaltsabgabegesetz)
Geltendmachung, Ausübung bzw. Erfüllung vertraglicher Pflichten
Verteidigung von Rechtsansprüchen (z.B. Kauf-, Werk-, oder
Beherbergungsvertrag)
Überwiegende berechtigte Interessen (insb.
Abwicklung Arbeits- und Sozialrecht Direktmarketing)
Einwilligung der betroffenen Person Einwilligung der betroffenen Person
Wirtschaft sind wir alle.
Verzeichnis der Verarbeitungstätigkeiten
Der Verantwortliche hat ein Verzeichnis über alle – in seiner Zuständigkeit
liegenden – Verarbeitungstätigkeiten zu führen, das folgende Angaben enthält:
a) Namen und Kontaktdaten des Unternehmens, des Vertreters des Verantwortlichen sowie
eines allfälligen Datenschutzbeauftragten
b) Die Zwecke der Verarbeitung
c) Eine Beschreibung der Kategorien betroffener Personen und der Kategorien
personenbezogener Daten
d) Die Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten
offengelegt worden sind oder noch offengelegt werden, einschließlich Empfänger in
Drittländern (z.B. Auftraggeber oder Kunden) oder internationalen Organisationen
e) Übermittlungen von personenbezogenen Daten an ein Drittland (gesonderte Auflistung
der Länder) oder an eine internationale Organisation im Drittland
f) Wenn möglich, die vorgesehenen Fristen für die Löschung der verschiedenen
Datenkategorien
g) Wenn möglich, eine allgemeine Beschreibung der getroffenen Sicherheitsmaßnahmen
Wirtschaft sind wir alle.
Verarbeitungsverzeichnis
Kategorien der Besondere
Empfäng
Empfäng
Empfäng
Empfäng
Empfäng
Empfäng
Empfäng
Empfäng
Empfäng
Empfäng
betroffenen Datenkategorien iSd Art
Personengruppe aus Lfd. Datenkategorien 9 DSGVO, strafrechtlich
er
er
er
er
er
er
er
er
er
er
Punkt 1 des C-Blattes Nr. relevant iSd Art 10
DSGVO
1
1 (oder Angabe der
Personenkategorie 2
aus Punkt 1 des C-
Blattes, zB 3
„Kunden“)
4
5
2
6
7
Wirtschaft sind wir alle.
Verzeichnis der Verarbeitungstätigkeiten
Muster der Wirtschaftskammer Österreich
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-
Datenschutz-Grundverordnung:-Dokumentationspflicht.html
Standard- und Muster- Verordnung 2004
Orientierung an registrierten Meldungen in DVR-Online
https://dvr.dsb.gv.at/at.gv.bka.dvr.public/DVRRecherche.aspx
www.derhandel.at
Wirtschaft sind wir alle.Neue Transparenz
Der Verantwortliche hat gemäß Artikel 12 DSGVO geeignete Maßnahmen zu treffen, um der betroffenen
Person alle Informationen (Artikel 13 und 14) und alle Mitteilungen (Artikel 15 bis 22 sowie 34) zu
übermitteln, und zwar in
o präziser, transparenter, verständlicher und leicht zugänglicher Form (z.B. in Form eines Links
„Datenschutzerklärung“ auf der Webseite) und
o einer klaren und einfachen Sprache
Relevante Mitteilungen sind insbesondere:
Bestehen des Rechts auf Auskunft (Artikel 15)
Bestehen des Rechts auf Berichtigung (Artikel 16)
Bestehen des Rechts auf Löschung (Artikel 17)
Recht auf Einschränkung der Verarbeitung (Artikel 18)
Recht auf Widerspruch (Artikel 21)
Merke: Die Informationen sind z.B. auf einer Webseite dann „leicht zugänglich“, wenn sie über den link
„Datenschutzerklärung“ am Ende jeder Seite abrufbar sind
Wirtschaft sind wir alle.Neue Transparenz
Merke: Die Informationen können auf mehreren Ebenen abgerufen werden:
o Kurzhinweis
o Zusammenfassung
o Vollständige Fassung der Datenschutzerklärung
Neue Verfahrensfristen:
o Sämtliche Mitteilungen/Maßnahmen im Rahmen der Umsetzung oder Erfüllung von
Rechten der Betroffenen haben künftig unverzüglich (d.h. ohne schuldhafte
Verzögerung), jedenfalls aber binnen 1 Monat zu erfolgen. Diese Frist ist (abhängig von
der Komplexität und Anzahl der Anträge) um 2 weitere Monate verlängerbar
Dies betrifft auch bereits bestehende Rechte (wie z.B. Recht auf Auskunft, Löschung
oder Widerspruch)
Vereinheitlichung aller Verfahren zur Wahrung der Betroffenenrechte
Wirtschaft sind wir alle.Neue Transparenz
Standardisierte Bildsymbole
o Informationen/Mitteilungen können in Kombination mit Bildsymbolen erfolgen („to be
presented by the icons“)
o Die Europäische Kommission ist ermächtigt, solche Bildsymbole verpflichtend
vorzusehen und das Verfahren dazu zu regeln. Bis dahin erfolgt die Darstellung mit
Bildsymbole freiwillig
Wirtschaft sind wir alle.Geeignete technische und organisatorische Maßnahmen (TOMs)
Merke: Im ersten Schritt ist zu prüfen, ob die Datenverarbeitung rechtmäßig ist (siehe zuvor die
Rechtsgrundlagen). Im zweiten Schritt ist die Rechtmäßigkeit durch entsprechende Maßnahmen
abzusichern
Merke: Bei der Auswahl der Maßnahmen ist zumindest eine qualitative Risikobewertung
vorzunehmen, die die Schwere des Risikos für die Rechte und Freiheiten der betroffenen
Personen berücksichtigt und zu einer der beiden Risikoklassen „normal“ oder „hoch“ führt
Bei der Verarbeitung von sensiblen Daten oder von Daten, deren Verarbeitung für
die Betroffenen bedeutende Auswirkungen haben können, ist generell die
Risikoklasse „hoch“ zu unterstellen, wenn eine Vielzahl von Personen betroffen ist
und auch mehrere Mitarbeiter des Unternehmens an der Datenverarbeitung
beteiligt sind
o z.B. Verarbeitung von Gesundheitsdaten, Kreditscoring und
Überprüfungen/Zertifizierungen)
Merke: TOMs sind regelmäßig zu evaluieren und gegebenenfalls anzupassen (Audit)
Wirtschaft sind wir alle.Bewerberdatenbank Wirtschaft sind wir alle.
Umgang mit Mitarbeiterdaten Wirtschaft sind wir alle.
Anpassungen im Personalbereich Wirtschaft sind wir alle.
Datensicherheitsmaßnahmen
Datenträger, Ordner,
und sensible Sensible Informationen Keine
Information abgesperrt vernichten Passwortweitergabe
verwahren
Sofortige Fehlausdrucke im
Clear Desk Policy
Bildschirmsperre Drucker abholen
Online-Ratgeber It-Safe it-safe.wkoratgeber.at
IT-Sicherheitshandbuch für Mitarbeiter http://wko.at/ic//IT_Handbuch_MA_2017.pdf
Österreichisches Informationssicherheitshandbuch www.sicherheitshandbuch.gv.at
Wirtschaft sind wir alle.Passwort
Hawaii 2017
Wirtschaft sind wir alle.Bundessparte Information und Consulting Wirtschaft sind wir alle.
Nützliche links
Informationsangebot der Wirtschaftskammern
www.wko.at/datenschutz
Online-Ratgeber DSGVO – ab 29.9.2017
dsgvo.wkoratgeber.at
Ratgeber zu den Informationspflichten DSGVO – ab 29.9.2017
dsgvo-informationsverpflichtungen.wkoratgeber.at
Online-Ratgeber It-Safe
it-safe.wkoratgeber.at
Österreichisches Informationssicherheitshandbuch
www.sicherheitshandbuch.gv.at
Wirtschaft sind wir alle.Sie können auch lesen
