Unter Mitarbeit von
Sabine Brunner
Patrick Göschl
Jürgen Hutsteiner
Peter Kleebauer
Florian Mundigler
Rafael Linus Nagel
Sandra Neunteufel
Erik Rusek
Impressum
978-3-85402-379-1
Auch als Buch verfügbar
978-3-85402-378-4
1. Auflage 2020
Das Werk ist urheberrechtlich geschützt.
Alle Rechte vorbehalten.
Nachdruck oder Vervielfältigung, Aufnahme
auf oder in sonstige Medien oder Datenträger,
auch bei nur auszugsweiser Verwertung,
sind nur mit ausdrücklicher Zustimmung der
Austrian Standards plus GmbH gestattet.
Alle Angaben in diesem Fachbuch erfolgen
trotz sorgfältiger Bearbeitung ohne Gewähr
und eine Haftung des Autors oder des Verlages
ist ausgeschlossen.
Aus Gründen der besseren Lesbarkeit wird im vorliegenden Werk die Sprachform des generischen Maskulinums angewendet.
Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.
© Austrian Standards plus GmbH, Wien 2020
Die Austrian Standards plus GmbH ist ein
Unternehmen von Austrian Standards International.
Austrian Standards plus GmbH
1020 Wien, Heinestraße 38
T +43 1 213 00-300
F +43 1 213 00-355
E
service@austrian-standards.at
www.austrian-standards.at/fachliteratur
ProjektManagement
Lisa Maria Heiderer
LEKTORAT
Johanna Zechmeister
Cover – Fotocredit
© iStockphoto.com/Pinkypills
gestaltung
Martin Aschauer
Druck
Primerate Kft., H-1044 Budapest
Inhalt
Abkürzungsverzeichnis
Vorwort
1 Begrifflichkeiten und Grundprinzipien der DSGVO
1.1 Der Weg zur Datenschutz-Grundverordnung (DSGVO)
1.2 Anwendungsbereich der DSGVO und des DSG
1.3 Wesentliche Begriffe der DSGVO
1.4 Grundprinzipien der DSGVO
1.5 Überblick über das Sanktionen- und Haftungsregime
1.6 Fazit
2 Art 82 DSGVO und Haftungsszenarien
2.1 Augsgangspunkt
2.2 Art 82 DSGVO – Haftung und Recht auf Schadenersatz
2.3 Art 82 DSGVO vs § 33 DSG 2000 – alles beim Alten?
2.4 Aktivlegitimation
2.5 Schaden
2.6 Verschulden und Haftungsbefreiung
2.7 Die Passivlegitimation
2.8 Gesamtschuldnerschaft
2.9 Fazit
3 Projektmanagement im Datenschutz
3.1 Herausforderungen
3.2 Projektformat
3.3 Projektmanagement
3.4 Fazit
4 Die Datenschutzorganisation
4.1 Die Notwendigkeit einer Datenschutzorganisation
4.2 Data-Protection-Management-System (DPMS)
4.3 Praktische Umsetzung eines DPMS
4.4 Das Projektsetup
4.5 Rollen des DPMS
4.6 Fazit
5 Vereinbarungen nach Art 28 DSGVO
5.1 Augsgangspunkt
5.2 Abgrenzung zum Verantwortlichen
5.3 Auswahl des Auftragsverarbeiters
5.4 Die Grundlage der Auftragsverarbeitung
5.5 Zwingende Mindestinhalte
5.6 Besondere Informationspflicht bei rechtswidriger Weisung
5.7 Subbeauftragung und Formerfordernis
5.8 Fazit
6 Datenschutz im Konzern
6.1 Konzerninterner Datenaustausch
6.2 Konzernbegriff in der DSGVO
6.3 Konzerninterne Datentransfers innerhalb der Europäischen Union
6.4 Konzerninterne Datentransfers in Drittstaaten
6.5 Abgrenzung – Gemeinsame Verantwortlichkeit und Auftragsverarbeitung
6.6 Konzerndatenschutzbeauftragter
6.7 Fazit
7 Datenübermittlungen an Drittländer oder internationale Organisationen
7.1 Einleitung
7.2 Begrifflichkeiten
7.3 Zulässigkeit der Datenübermittlung
7.4 Aktuelle Entwicklungen
7.5 Fazit
8 Der One-Stop-Shop und die Zusammenarbeit zwischen Aufsichtsbehörden
8.1 Einleitung
8.2 Allgemeine Zuständigkeit
8.3 Prinzip der „federführenden Aufsichtsbehörde“ („One-Stop-Shop“)
8.4 Zusammenarbeit und Kohärenz
8.5 Fazit
9 Verarbeitungsverzeichnis und DS-FA
9.1 Einleitung
9.2 Das Verarbeitungsverzeichnis
9.3 Die DS-FA
9.4 Fazit
10 Betroffenenrechte
10.1 Einleitung
10.2 Die Betroffenenrechte im Überblick
10.3 Informationspflicht
10.4 Recht auf Auskunft
10.5 Recht auf Berichtigung
10.6 Recht auf Löschung und Recht auf Vergessenwerden
10.7 Recht auf Einschränkung der Verarbeitung
10.8 Recht auf Datenübertragbarkeit
10.9 Widerspruchsrecht
10.10 Recht, keiner Entscheidung aufgrund automatisierter Verarbeitung unterworfen zu werden
10.11 Fazit
11 Datenschutzvorfall
11.1 Definition
11.2 Erkennung und Umgang
11.3 Meldepflichten
11.4 Fazit
12 Informationssicherheit
12.1 Begriffsklärung
12.2 Das Informationssicherheitsmanagementsystem (ISMS)
12.3 Fazit
13 Technische und organisatorische Maßnahmen
13.1 Einleitung
13.2 Was sind TOMs?
13.3 Privacy-by-design und privacy-by-default
13.4 Die DSGVO und TOMs – Weitere Vorgaben
13.5 Case Study: Technische und organisatorische Maßnahmen umsetzen
13.6 Fazit
14 Datenschutzaudit und Zertifizierungen
14.1 Einleitung
14.2 Vor- und Nachteile einer Zertifizierung
14.3 Grundsätze einer Zertifizierung
14.4 Vorbereitungen und Voraussetzungen für eine Zertifizierung
14.5 Der Zertifizierungsprozess
14.6 Fazit
15 Datenschutz im Dienstverhältnis
15.1 Einleitung
15.2 Von der Bewerbung bis zum Eintritt
15.3 Datenschutz im laufenden Dienstverhältnis
15.4 Beendigung des Dienstverhältnisses
15.5 Fazit
16 Interne Untersuchungen und Datenschutz
16.1 Einleitung
16.2 Ablauf einer internen Untersuchung mit dem Schwerpunkt e-Discovery
16.3 Zulässigkeit von e-Discovery-Maßnahmen
16.4 Umgang mit privaten Informationen
16.5 Policies
16.6 Forensic Readiness für den Ernstfall
16.7 Fazit
17 Ausblick
Anhang
Literaturverzeichnis
Die Autoren
Abbildungsverzeichnis
Abbildung 1
Projektmanagementphasen und Managementaufgaben nach DIN 69901
Abbildung 2
Beispielhafte Darstellung einer Projektorganisation
Abbildung 3
Meilenstein- und Phasenplan
Abbildung 4
Einbettung in kombiniertem Modell
Abbildung 5
Widerstands- und Einigungskosten
Abbildung 6
Struktur DPMS
Abbildung 7
CIA-Prinzip (engl. confidentiality, integrity, availability)
Abbildung 8
Vereinfachte Darstellung einer Vorfallbehandlung
Abbildung 9
Handlungsschritte zur Realisierung des Zertifizierungsprojekts
Abbildung 10
Organisation
Abbildung 11
Risikomanagement
Abbildung 12
Ablauf zur Umsetzung der technischen und organisatorischen Maßnahmen
Abbildung 13
Schematische Darstellung eines Geltungsbereichs
Abbildung 14
Schematische Darstellung des Zertifizierungsprozesses
Abbildung 15
Klassischer e-Discovery-Prozess auf Basis des EDRM-Modells
Abkürzungsverzeichnis
Abs
Absatz
ADV
Auftragsdatenverarbeitung
aF
alte Fassung
Art
Artikel
BayLDA
Bayerisches Landesamt für Datenschutzaufsicht
BB
Fachzeitschrift Betriebsberater
BCR
Binding-Corporate-Rules
BfDI
Bundesbeauftragter für den Schutz und die Informationsfreiheit
BGBl.
Bundesgesetzblatt
BMDW
Bundesministerium für Digitalisierung und Wirtschaftsstandort
BYOD
Bring-Your-Own-Device
B2B
Business to Business
B2C
Business to Consumer
CIA-Prinzip
Confidentiality-Integrity-Availability-Prinzip
CRM
Customer-Relationship-Management
DAkkS
Deutsche Akkreditierungsstelle
Dako
Datenschutz konkret
DIN
Deutsches Institut für Normung
DPA
Data-Protection-Agent(s)
DPC
Data-Protection-Coordinator(s)
DPM
Data-Protection-Manager(s)
DPMS
Data-Protection-Management-System
DPO
Data-Protection-Officer(s) (Datenschutzbeauftragter)
DSB
österreichische Datenschutzbehörde
DS-FA
Datenschutz-Folgenabschätzung(en)
DSK
Datenschutzkonferenz
DSMS
Datenschutzmanagementsystem
DS-RL
Datenschutzrichtlinie
EDPB
European Data Protection Board
EDPS
European Data Protection Supervisor
EDRM
Electronic Discovery Reference Model
EK
Europäische Kommission
EN
Europäische Norm
ENISA
European Union Agency for Cybersecurity
ERP
Enterprise Resource Planning
ErwGr
Erwägungsgrund
EU
Europäische Union
EuGH
Europäischer Gerichtshof
EUR
Euro
EuroPriSe
European Privacy Seal
EUV
Vertrag über die Europäische Union
EWR
Europäischer Wirtschaftsraum
f
der/die/das folgende
FAQ
Frequently Asked Questions
ff
die folgenden/die fortfolgenden
GDD
Gesellschaft für Datenschutz und Datensicherheit
GKK
Gebietskrankenkasse
Hrsg.
Herausgeber
HS
Halbsatz
IBAN
International Bank Account Number
idR
in der Regel
idS
in diesem Sinne
iHv
in der Höhe von
IKS
Internes Kontrollsystem
IKT
Informations- und Kommunikationstechnologie
ID
Identity
iS(d)
im Sinne (der/des)
ISA
Information-Security-Agent
ISAE
International Standard on Assurance Engagements
ISM
Information-Security-Manager
ISMS
Informationssicherheitsmanagementsystem oder Information-Security-Management-System
ISO
International Organization for Standardization
ISR
Information-Security-Responsible
iSv
im Sinne von
IT
Informationstechnik
ITRB
Zeitschrift für IT-Rechtsberater
iVm
in Verbindung mit
iZm
im Zusammenhang mit
JF
Jour-Fixe
JusIT
Die Zeitschrift für IT-Recht, Rechtsinformation und Datenschutz
KFZ
Kraftfahrzeug
KMU
Klein- und Mittelunternehmen
KVP
kontinuierlicher Verbesserungsprozess
lit
litera
MDR
Managed Detection and Response
MS
Mitgliedsstaat
mwN
mit weiteren Nachweisen
OE
Organisationseinheit
OGH
Oberster Gerichtshof
OLG
Oberlandesgericht
ÖNORM
Österreichische Norm
PC
Personal Computer
Portable Document Format
RL
Richtlinie
Rspr
Rechtsprechung
Rz
Randzahl
S
Satz
SIEM
Security-Incident-and-Even-Management
SIM
Subscriber Identity Module
SoA
Statement of Applicability
TISAX
Trusted Information Security Assessment Exchange
ToE
Target of Evaluation
TOMs
Technische und Organisatorische Maßnahmen
UAbs
Unterabsatz
UGB
Unternehmensgesetzbuch
USA
Vereinigte Staaten von Amerika
USB
Universal Serial Bus
VbR
Zeitschrift für Verbraucherrecht (Manz)
vs
versus
VO
Verordnung
VPN
Virtual Private Network
VT
Vertriebstätigkeit
WADA
World Anti-Doping Agency
WKO
Wirtschaftskammer Österreich
WLAN
Wireless LAN
WP
Working Paper der Artikel 29 Gruppe
XML
Extensible Markup Language
Z
Zahl, Ziffer
ZD
Zeitschrift für Datenschutz
ZIIR
Zeitschrift für Informationsrecht
Vorwort
Seit 25. Mai 2018 ist EU-weit die Datenschutz-Grundverordnung (DSGVO) gültig. Das Thema Datenschutz ist spätestens seit diesem Zeitpunkt in aller Munde und stellt für viele Unternehmen eine große Herausforderung dar. Dabei ist Datenschutz nichts Neues, es hat sich mit der DSGVO nur einiges verändert. Während nach dem DSG 2000 die Strafen für Datenschutzverstöße meist sehr gering waren, sind die Sanktionen für Verstöße gegen die DSGVO erheblich. Die Höchststrafen würden für einige Unternehmen nicht nur einen herben Verlust bedeuten, sondern könnten sogar existenzbedrohend sein. Für Unternehmen soll aber nicht nur das Risiko einer hohen Strafe bei Nichteinhaltung der gesetzlichen Vorgaben im Fokus stehen. Ziel dieses Buch ist es, den für Datenschutz verantwortlichen Mitarbeitern dabei zu helfen, die DSGVO umzusetzen und aufzuzeigen, wie durch erfolgreich umgesetzte Datenschutzprojekte ein Wettbewerbsvorteil erzielt werden kann.
Datenschutz betrifft jedes Unternehmen. Ohne die Verarbeitung personenbezogener Daten, eingeschlossen Mitarbeiterdaten, ist die Erfüllung des Geschäftszwecks nicht möglich. Viele sehen in der DSGVO ein Datenverarbeitungsverbots-Gesetz und damit eine Einschränkung in ihrer Geschäftstätigkeit. Dabei verbietet die EU-Verordnung die Verarbeitung von personenbezogenen Daten nicht; sie fordert lediglich die Einhaltung bestimmter Grundsätze. Diese Grundsätze werden dem Leser in den ersten Kapiteln vorgestellt. Außerdem wird geklärt, was personenbezogene Daten eigentlich sind und welche Neuerungen sich in der DSGVO gegenüber dem DSG 2000 ergeben. Darüber hinaus werden Grundlagen des Projektmanagements, die essenziell für die Durchführung eines Datenschutzprojektes sind, beleuchtet. Diese Grundlagen werden dann praxisnah in der Einführung einer Datenschutzorganisation angewendet.
Die gesetzlichen Vorgaben der DSGVO sind zum Teil auslegungsbedürftig und ließen bisher zahlreiche Fragen, deren Beantwortung für die Praxis essenziell ist, offen. Das vorliegende Buch versucht, Klarheit zu schaffen, indem es diese Fragen beantwortet und die praktische Umsetzung der wichtigsten Vorgaben wie das Führen von Verarbeitungsverzeichnissen, das Erstellen von Datenschutz-Folgeabschätzungen, die Beachtung von Betroffenenrechten und die Vorgehensweise bei einem Datenschutzvorfall praxisnah beschreibt. Zudem werden die Vorgaben aufgezeigt, die speziell international tätige Unternehmen betreffen. Beispielsweise wird der richtige Umgang mit personenbezogenen Daten, die in Niederlassungen in verschiedenen Ländern verarbeitet werden oder die gesetzeskonforme Datenübermittlung an Unternehmen aus nicht EU-Ländern behandelt.
Datenschutz ist jedoch kein ausschließlich rechtliches Thema, sondern betrifft alle Unternehmensabläufe, in denen personenbezogene Daten verarbeitet werden, so auch die IT. Im Zuge der voranschreitenden Digitalisierung sind IT-Systeme dazu imstande, immer mehr Daten zu verhältnismäßig immer geringeren Kosten zu sammeln und zu verarbeiten. Somit bringt die DSGVO auch für IT-Systeme Vorgaben, welche durch technische und organisatorische Maßnahmen umgesetzt werden müssen, mit sich. Auch weniger verbreitete Konzepte wie Privacy-by-Design und Privacy-by-Default werden in diesem Buch beschrieben. Dabei handelt es sich um Grundsätze zur Etablierung einer datenschutzfreundlichen Softwareentwicklung und zur Umsetzung datenschutzkonformer Systemeinstellungen. Diese Konzepte sind insbesondere wichtig, da auch IT-Systeme auf dem aktuellen Stand der Technik in der Regel auf Datengewinnung und nicht auf das Entfernen von alten und nicht mehr benötigten Daten ausgerichtet sind. Das ist auch der Grund, warum Unternehmen kaum Daten löschen, solange sie nicht gesetzlich dazu verpflichtet sind. Vielmehr werden die gesammelten Daten als „Datenschatz“ wahrgenommen, da sie in vielen Fällen entsprechend verarbeitet für Marketingzwecke genutzt werden können. Dies steht im Widerspruch zur DSGVO und wird noch einige Unternehmen vor große Herausforderungen stellen, gerade bei der Umsetzung von Löschkonzepten. Datenschutz bedingt daher einen Paradigmenwechsel: weg von „wir sammeln alles für die Ewigkeit“ hin zu „wir nutzen aktuelle Daten nur, solange wir diese benötigen“.
Datenschutz ist kein Kurzzeitprojekt, sondern ein Prozess, der über längere Zeit in mehreren Schritten in einem Unternehmen eingeführt und nachhaltig gelebt werden muss. Das vorliegende Buch soll österreichischen Unternehmen helfen, diesen Prozess zu meistern und anhand von Beispielen Einblicke in die Praxis des gelebten Datenschutzes geben.
Besonders bedanken möchten wir uns bei Mag. Julia Schuster, LL.M. (NYU), Mag. Anna-Maria Minihold, LL.M., Mag. Lorenz Rattey und Lara Weissenberger, ohne deren Einsatz an ein Gelingen des Buches nicht zu denken gewesen wäre.
Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freuen wir uns unter verlag@austrian-standards.at.
Wien, Oktober 2020, Die Herausgeber
1 Begrifflichkeiten und Grundprinzipien der DSGVO
Sabine Brunner, Rafael Linus Nagel
1 Begrifflichkeiten und Grundprinzipien der DSGVO
1.1 Der Weg zur Datenschutz-Grundverordnung (DSGVO)
Der Datenschutz gilt als eine vergleichsweise junge Rechtsmaterie. Das erste Datenschutzgesetz wurde im Jahr 1970 in Hessen (Deutschland) erlassen. In Österreich betrat man im Jahr 1978 mit dem Datenschutzgesetz ebenfalls legistisches Neuland. Angesichts der rasanten technischen Fortschritte war es nur noch eine Frage der Zeit, bis sich auch die EU dem Thema Datenschutz annehmen würde.
1.1.1 Europäische Datenschutzrichtlinie als Vorgängerbestimmung
Im Jahr 1995 erließen das Europäische Parlament und der Rat der Europäischen Union die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden „DS-RL“). Der Hintergedanke war schon damals eine umfassende Harmonisierung der Rechtslage zur Herstellung eines gleichwertigen Schutzniveaus in allen Mitgliedsstaaten (im Folgenden „MS“) der EU.
Mit der DS-RL konnte dieses Ziel jedoch nur bedingt erreicht werden: Dies war vor allem der unterschiedlichen Umsetzung der Richtlinie in den einzelnen MS und der uneinheitlichen Rechtsprechung der jeweiligen Aufsichtsbehörden geschuldet.
In der unternehmerischen Praxis wurde der Datenschutz bis vor Kurzem eher stiefmütterlich behandelt, während die Verarbeitung von personenbezogenen Daten im Zuge der weltweiten Vernetzung sowie aufgrund technologischer Entwicklungen rasant zunahm. Mit dem Jahr 2016 sollte sich dies jedoch schlagartig ändern.
1.1.2 Die Geburtsstunde der DSGVO
Am 24. Mai 2016 trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) in Kraft. Diese Verordnung hob die bisher in Geltung stehende DS-RL auf und sollte erst ab 25. Mai 2018 zur Anwendung gelangen. Den Normadressaten wurde sohin eine zweijährige „Schonfrist“ zur Umsetzung der datenschutzrechtlichen Bestimmungen gewährt.
Die Grundprinzipien der DS-RL finden sich im Wesentlichen auch in der DSGVO wieder, den entsch