Moje książki
MojeКoszykListy
Wszystkie 345 kategorii

Datenschutz für Unternehmen

Tekst
Książka w języku niemieckim
Autorzy:, ,
0
Recenzje
Przeczytaj fragment
Oznacz jako przeczytane
Jak czytać książkę po zakupie
Smartfon,
tabletKomputer,
laptopE-czytnik
Czcionka:Mniejsze АаWiększe Aa

4.3.1.4Aufgaben der zentralen Datenschutzorganisation

Die zentrale Datenschutzorganisation ist für die folgenden Aufgaben zuständig:

+Betreuung des DPMS:

+laufende Verbesserung des DPMS (zB aufgrund regulatorischer Änderungen),

+Erstellung und ggf. regelmäßige Anpassungen von internen Datenschutzrichtlinien,

+Einführung von Schulungskonzepten zum Datenschutz,

+Förderung der internationalen Zusammenarbeit zum Datenschutz (aktive ­Vernetzung).

+Beratung und Koordination:

+Beratung von Management, Mitarbeitern und Betroffenen in sämtlichen datenschutzrechtlichen Fragen, Ausarbeitung sämtlicher datenschutzrechtlicher Verträge und Zusätze,

+Beratung und Koordination der dezentralen Koordinatoren,

+Beratung bei der Definition und Koordination operativer Aufgaben (zB Koordination von Prüfungen von Auftragsverarbeitern, technischen Systemsicherheitsmaßnahmen oder Verfolgung potenzieller Datenschutzverletzungen).

+Berichtswesen (Reporting):

+Erfassung und Meldung von Datenschutzverletzungen,

+laufendes Reporting an interne (zB oberste Leitungsorgane) und externe (zB Aufsichtsbehörden) Stakeholder.

4.3.1.5Aufgaben der Koordinatoren

Die einzelnen Koordinatoren sind zuständig für:

+Kernaufgaben in der eigenen OE:

+erste Anlaufstelle für sämtliche Anfragen mit Datenschutzbezug,

+Abstimmung der Aktivitäten, regelmäßiger Austausch mit der zentralen Datenschutzorganisation oder Mediator zwischen der zentralen Datenschutzorganisation und der eigenen OE,

+erste Eskalationsstufe für eigene Mitarbeiter.

+Operative Unterstützung der zentralen Datenschutzorganisation:

+Unterstützung bei der Einführung bzw. Adaptierung von IT-Systemen innerhalb der eigenen OE,

+Führung einer aktuellen Aufstellung aller verwendeten IT-Systeme innerhalb der eigenen OE,

+Einbeziehung der zentralen Datenschutzorganisation bei Änderungen von bestehenden Vereinbarungen mit Auftragsverarbeitern innerhalb der eigenen OE,

+Führung einer aktuellen Aufstellung sämtlicher interner und externer Auftragsverarbeiter, die in einem Vertragsverhältnis zur eigenen OE stehen,

+Überwachung der für die DSGVO relevanten Prozesse innerhalb der eigenen OE auf Einhaltung der Datenschutzgrundsätze,

+vollumfängliche Dokumentation („Verzeichnis der Verarbeitungstätigkeiten“) sämtlicher die DSGVO betreffende Prozesse innerhalb der OE.

4.3.2 Informationssicherheit und Datenschutz

Die Basis für den Datenschutz liefert die Informationssicherheit in einem Unternehmen (Details siehe Kapitel 12).

Bei der Informationssicherheit geht es nicht nur um den Schutz von personenbezogenen Daten, sondern um den Schutz sämtlicher Unternehmensinformationen. Unter Unternehmensinformationen sind sämtliche physische und nicht physische Werte zu verstehen, die im Besitz des Unternehmens stehen. Dies sind u. a. Software, Arbeits- und Prozessaufzeichnungen oder Mitarbeiter- und Kundendaten, aber auch Gebäude oder Einrichtungen. Da personenbezogene Daten auch in die Kategorie „Unternehmensinformationen“ fallen, kann Informationssicherheit als Basis für den Datenschutz gesehen werden. In Unternehmen sind die Abteilungen für Informationssicherheit und Datenschutz oft getrennt. Eine enge Zusammenarbeit dieser Abteilungen ist dennoch anzustreben, da es bei vielen Verantwortlichkeiten der beiden Bereiche Überschneidungen gibt.

So ist das Information-Security-Management-System (ISMS) dafür verantwortlich, dass das vom Unternehmen benötigte Maß an Vertraulichkeit, Verfügbarkeit und Integrität von Unternehmensinformationen sichergestellt wird. Das DPMS ist darüber hinaus dafür verantwortlich, dass das von der DSGVO vorgegebene Maß an Vertraulichkeit, Verfügbarkeit und Integrität im Speziellen von personenbezogenen Daten sichergestellt wird. Die Maßnahmen, die im Rahmen des ISMS für Unternehmensinformationen umsetzt werden, bilden die Grundlage für das DPMS.

Ein Beispiel, das die Zusammenarbeit zwischen ISMS und DPMS beschreibt, ist das Erstellen eines Notfallhandbuches für einen Informationssicherheitsvorfall. Ein Informationssicherheitsvorfall ist ein Ereignis, bei dem eventuell Unternehmensinformationen verloren gehen. Das ISMS ist dafür zuständig, ein Notfallhandbuch zu erstellen, welches Mitarbeiter unterstützt und anweist, wenn es zu einem Informationssicherheitsvorfall kommt. Um bei einem Informationssicherheitsvorfall zusätzliche Schäden zu vermeiden, wird im Rahmen des ISMS eine Checkliste zur Bearbeitung bereitgestellt. Als ersten Punkt auf der Checkliste müssen die Mitarbeiter den Vorfall einer Kategorie, wie zB Verlust eines mobilen Endgeräts, Ausfall eines Rechners oder Virusbefall eines IT-Systems, zuordnen. Dann müssen sie feststellen, wer den Vorfall gemeldet hat, wer betroffen ist und – sofern dies möglich ist – wer der Verursacher ist. Das ISMS hat dann abhängig von der gewählten Kategorie und den erhobenen Daten einen Maßnahmenkatalog zur Behebung zu erstellen. Die Maßnahmen bei Verlust eines Mobiltelefons wären beispielsweise, das Mobiltelefon zu deaktivieren und darauf befindliche Firmendaten mittels einer Mobile-Device-Management-Software zu löschen.

Solange bei einem Informationssicherheitsvorfall nicht die Gefahr besteht, dass personenbezogene Daten verloren gehen, ist das ISMS für die zu ergreifenden Maßnahmen verantwortlich. Erst wenn nicht auszuschließen ist, dass durch den Vorfall personenbezogene Daten betroffen sind, ist die Datenschutzorganisation für das Ausführen von Maßnahmen, wie zB das Informieren der Betroffenen und der Behörden, zuständig. Was jedoch bei der Erarbeitung eines Notfallhandbuches bzw. einer Checkliste beachtet werden soll, ist, dass nicht jede Abteilung ihr eigenes Handbuch erstellt. Das ISMS stellt das Grundgerüst. Die Datenschutzorganisation ergänzt dieses um Kategorien und Maßnahmen, welche personenbezogene Daten betreffen.

4.3.3 Rechtliche Grundlagen

Ein Unternehmen, das personenbezogene Daten verarbeitet, darf dies nicht einfach unbegründet tun, sondern muss immer belegen können, dass es dies auch darf. Das heißt, ein Unternehmen muss für alle personenbezogenen Daten, die es verarbeitet, belegen können, dass es dies rechtmäßig tut. Laut DSGVO ist eine Verarbeitung nur dann rechtmäßig, wenn einer der folgenden Punkte gemäß Art 6 Abs 1 DSGVO erfüllt wird:

+Es gibt eine Einwilligung der betroffenen Person, dass die auf sie bezogenen Daten verarbeitet werden dürfen.

+Die Verarbeitung der personenbezogenen Daten ist für die Erfüllung eines Vertrages notwendig. Die betroffene Person muss allerdings eine Vertragspartei sein.

+Der Verantwortliche ist aufgrund des Unionsrechts oder des Rechts eines MS (zB österreichisches Recht) dazu verpflichtet, die Verarbeitung durchzuführen.

+Die Verarbeitung ist notwendig, um lebenswichtige Interessen einer Person zu schützen.

+Der Verantwortliche führt die Verarbeitung im Zuge einer ihm zugeteilten Aufgabe aus. Diese Aufgabe muss im öffentlichen Interesse liegen oder in Ausübung öffentlicher Gewalt erfolgen.

+Es besteht das berechtigte Interesse des Verantwortlichen oder eines Dritten. Dieses berechtigte Interesse muss allerdings das Interesse und die Grundrechte und Grundfreiheiten der betroffenen Person überwiegen.

!

Praxisbeispiel:

Ein Unternehmen hat Interesse daran, Kundendaten zu verarbeiten. Dieses Interesse ist berechtigt, da Unternehmen zur Generierung von Unternehmenswerten in vielen Fällen personenbezogene Daten verarbeiten müssen.

In einem anderen Fall wird angenommen, dass ein Kunde eines Versicherungsunternehmen zu einem anderen Versicherungsunternehmen wechseln möchte. Daraufhin hat die alte Versicherungsunternehmen Interesse daran, dem neuen Versicherungsunternehmen die Unfalldaten dieses Kunden zu verkaufen. Es überwiegt allerdings das Interesse des Kunden, dass seine Daten geheim bleiben, damit die Prämien so gering wie möglich gehalten werden.

Entsprechend Art 5 Abs 2 DSGVO hat der Verantwortliche u. a. nachzuweisen, dass personenbezogene Daten rechtmäßig verarbeitet werden. Um die Rechtmäßigkeit der Verarbeitung beurteilen zu können, müssen sich Unternehmen in einem ersten Schritt insbesondere mit der Frage auseinandersetzen, was unter personenbezogenen Daten zu verstehen ist (Details siehe Kapitel 1). Art 4 Z 1 DSGVO definiert personenbezogene Daten wie folgt:

„Im Sinne dieser Verordnung bezeichnet der Ausdruck: „personenbezogene Daten“ alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person […] beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann;“

Bei einigen Daten ergibt sich der Personenbezug eindeutiger als bei anderen. So sind zB Name, Telefonnummer, E-Mail-Adresse, IBAN oder KFZ-Kennzeichen personenbezogene Daten, während Prozessbeschreibungen, die Anzahl der Mitarbeiter oder die Höhe des Eigenkapitals eines Unternehmens keine personenbezogenen Daten sind. Bei manchen Daten wie zB Haarfarbe, Augenfarbe oder die Position, die eine Person in einem Unternehmen innehat, ist dagegen nicht klar, ob diese personenbezogen sind oder nicht. Wenn die Möglichkeit besteht, eine Person anhand bestimmter Daten zu identifizieren, auch mittels Ausschlusskriterien, sind diese Daten personenbezogen. Ob eine Kategorie von Daten jedoch einen Personenbezug zulässt, ist im Einzelfall zu beurteilen und kann je nach Gegebenheiten unterschiedlich bewertet werden, wie das folgende Praxisbeispiel veranschaulicht.

 

!

Praxisbeispiel:

Die Buchhaltungsabteilung eines Unternehmens umfasst fünf Mitarbeiter, von denen drei weiblich sind. Von den beiden männlichen Mitarbeitern hat einer blonde, der andere braune Haare. Es ließe sich also über das Geschlecht und die Haarfarbe eine eindeutige Zuordnung zu einer bestimmten Person in der Abteilung herstellen. Somit sind Geschlecht und Haarfarbe in diesem Fall als personenbezogene Daten zu definieren. Wenn die Abteilung dreißig Personen mit acht männlichen Mitarbeitern umfasst und von diesen acht Männern drei blond sind, ist eine eindeutige Zuordnung nicht mehr möglich; Geschlecht und Haarfarbe sind in diesem Fall nicht personenbezogen.

Wie sich zeigt, können an sich nicht personenbezogene Daten durch die Kombination mit anderen Daten sehr wohl einen personenbezogenen Charakter annehmen. Deshalb ist auch zu beachten, wie wahrscheinlich es ist, dass Daten, einzeln oder in Kombination mit anderen Daten, mit rechtlich zulässigen Mitteln in Verbindung gebracht werden können. Einen ausschlaggebenden Einfluss hat dabei die Gruppengröße, also die Anzahl der Personen, die in Frage kommen.

4.3.4 Verarbeitungsverzeichnis/Internationaler Datenverkehr

Die Verarbeitung von personenbezogenen Daten umfasst alle Tätigkeiten wie zB:

+Lesen,

+Speichern,

+Erheben,

+Ausdrucken,

+Übermitteln,

+Anzeigen.

Im Verarbeitungsverzeichnis wird festgehalten, wo im Unternehmen welche personenbezogenen Daten verarbeitet werden. Es setzt sich aus der Gesamtheit aller Verarbeitungstätigkeiten (VT) zusammen. Eine VT innerhalb eines Verarbeitungsverzeichnisses ist eine detaillierte Beschreibung darüber, wie personenbezogene Daten verarbeitet (zB gespeichert, verändert, kopiert) werden. Als Basis zur Erstellung eines Verarbeitungsverzeichnisses dient eine Dokumentation der Speicherung von personenbezogenen Daten. Ist bereits eine Dokumentation vorhanden, in der geklärt wird, welche personenbezogenen Daten wo gespeichert werden und mit welcher Applikation bzw. in welchem Unternehmensprozess verarbeitet wird, kann das Verarbeitungsverzeichnis daraus abgeleitet werden. Andernfalls muss diese Dokumentation, aus der dann ein Verarbeitungsverzeichnis folgt, erst erarbeitet werden. Dabei ist es wichtig, alle möglichen Formen der Speicherung zu berücksichtigen. Daten können wie folgt gespeichert werden:

+physisch (in Papierform auf Verträgen, Visitenkarten, Strafregisterauszügen von Mitarbei­tern etc.),

+in elektronischen Ablagen (Firmennetzwerk, stationäre Rechner, Cloud etc.),

+in Applikationen (Excel-Files, SAP etc.).

Weitere Inhalte dieser Dokumentation, die später in einem Verarbeitungsverzeichnis resultiert, sind darüber hinaus alle Applikationen, die das Unternehmen für das Verarbeiten von personenbezogenen Daten nutzt. Daher ist in der Dokumentation anzugeben, ob in der Applikation Daten aus den folgenden Kategorien verarbeitet werden:

+besondere Kategorien von personenbezogenen Daten gemäß Art 9 Abs 1 DSGVO (im Folgenden „sensible Daten“):

+rassische oder ethnische Herkunft,

+politische Meinungen,

+religiöse oder weltanschauliche Überzeugungen,

+Gewerkschaftszugehörigkeit,

+genetische Daten,

+biometrische Daten,

+Gesundheit und Sexualleben.

+Kontaktdaten:

+Adresse,

+Telefonnummer,

+E-Mail-Adresse,

+etc.

+Daten zu Lieferungen und Leistungen:

+Kundennummern,

+Rechnungen,

+Verträge,

+etc.

+Finanz- und Versicherungsdaten:

+Forderungen gegenüber Kunden,

+Versicherungsverträge,

+etc.

+Compliance:

+Daten zu Gerichtsprozessen,

+etc.

+Berufs- und Ausbildungsweg:

+Karriere-Historie,

+Ausbildungsweg,

+etc.

+Personal- und Nutzungsdaten:

+Arbeitszeitaufzeichnungen,

+E-Mails von Mitarbeitern,

+etc.

Damit diese Dokumentation alle Verarbeitungen von personenbezogenen Daten enthält, muss vorab geklärt werden, in welchen Unternehmensbereichen personenbezogene Daten verarbeitet werden. Danach müssen für die detaillierte Erhebung dieser Verarbeitungen Verantwortliche festgelegt werden. Eine naheliegende Wahl hierfür sind die Data-Protection-­Agents (siehe Kapitel 4.5). Die Verantwortlichen müssen danach gemeinsam mit ihren Arbeitskollegen erheben, welche Prozesse und Arbeitsabläufe – also tägliche Arbeitsaufgaben und Routinen – sie in ihrer Abteilung durchführen, bei denen sie in Berührung mit personenbezogenen Daten kommen. Klassische Verarbeitungen sind Lieferantenmanagement, Mitarbeitereinstellung und Kundenmanagement. Jede gefundene Verarbeitung wird dann in die Dokumentation aufgenommen. In der Dokumentation muss ebenfalls ergänzt werden, zu welchem Zweck diese personenbezogenen Daten verarbeitet werden. Unter Zweck versteht man in diesem Kontext den Grund, warum diese personenbezogenen Daten verarbeitet werden. Ein Zweck könnten zB Kundenakquisition oder die Pflege von Geschäftsbeziehungen sein. Um die Verantwortlichen bei diesen Aufgaben zu unterstützen und eine möglichst einheitliche Dokumentation zu erhalten, ist es sinnvoll, die Verantwortlichen mittels Fragebögen und Ausfüllhilfen für die Erhebung zu unterstützen und vorab zu schulen. Danach werden aus dieser Dokumentation VT abgeleitet. Für jede VT ist ein Verantwortlicher zu benennen. Sinnvollerweise handelt es sich hierbei um dieselben Personen, die für die Erstellung und Dokumentation verantwortlich sind.

Die Qualität der VT ist essenziell, da sie die Grundlage für die juristische Beurteilung zur Speicherdauer bilden. Darüber hinaus bilden sie die Basis für mögliche Folgeprojekte. Es empfiehlt sich daher, einen Qualitätssicherungsschritt zwischen der Ersterfassung des Verarbeitungsverzeichnisses und der juristischen Begutachtung einzubauen. In der Praxis wird der Qualitätssicherungsschritt aus Zeitgründen oft vernachlässigt, was jedoch zu Mehrarbeit, Unklarheiten und sogar falschen Aufbewahrungsfristen führen kann.

Auch die Kategorien der Daten, die in den Prozessen verarbeitet werden, werden in der VT angeführt, da diese eine wichtige Rolle in der Festlegung der Speicherdauer spielen. Es können auch unterschiedliche Speicherdauern für verschiedene Kategorien aus derselben VT entstehen. In einem laufenden Vertragsverhältnis mit einem Kunden ist die Verarbeitung des Namens, der Anschrift und der Telefonnummer des Kunden wohl als rechtmäßig anzusehen, soweit diese Daten zB zur Vertragserfüllung erforderlich sind. Nach Ende des Vertragsverhältnisses können gesetzliche Aufbewahrungspflichten eine weitere Speicherung personenbezogener Daten erforderlich machen. Ein Beispiel hierfür ist die Aufbewahrungspflicht laut Art 132 Abs 1 BAO, die besagt, dass Rechnungen sieben Jahre für etwaige Prüfungen durch Behörden aufzubewahren sind. Diesbezüglich hat der Verantwortliche jedoch stets zu prüfen, welche personenbezogenen Daten für die Erfüllung der gesetzlichen Aufbewahrungspflicht tatsächlich weiterhin notwendig sind. Ist daher beispielsweise die Telefonnummer nicht erforderlich, um der Aufbewahrungspflicht von Rechnungen zu entsprechen, ist diese zu löschen.

Nach Fertigstellung des Verarbeitungsverzeichnisses und einer etwaigen Qualitätssicherung findet eine juristische Begutachtung statt, die für die angegebenen Verarbeitungen die entsprechenden Rechtsgrundlagen sowie die Speicherdauer ermittelt. Dazu werden die Zwecke und anderen Inhalte der VT in die sechs Rechtsgrundlagen gemäß Kapitel 4.3.3 übersetzt. Um eine hohe Qualität des Resultates sicherzustellen, ist speziell auf eine gute Kommunikation zwischen juristischen Begutachtern und den für die VT Verantwortlichen zu achten.

4.3.5 Betroffenenrechte

Schon im ersten Erwägungsgrund der DSGVO wird dem Schutz natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten ein hoher Stellenwert zugeschrieben. Nicht zuletzt aufgrund der technischen Entwicklung haben Erhebungen und Verarbeitungen von personenbezogenen Daten rasant zugenommen. Der Handel über weltweit agierende Plattformen und das wachsende Angebot von Social-Media-Plattformen stellen den Schutz der Privatsphäre in einer zunehmend globalisierten Welt laufend vor neue Herausforderungen.

Vor diesem Hintergrund wurden die Rechte der Betroffenen gegenüber Unternehmen, welche personenbezogene Daten verarbeiten, umfassend gestärkt bzw. erweitert. Dies hat zur Folge, dass Organisationen, welche personenbezogene Daten verarbeiten, die Datenschutzbemühungen deutlich verstärken müssen, um die – teilweise neuen und teilweise bestehenden – Rechte der betroffenen Personen erfüllen zu können. Diese Betroffenenrechte sind in den Art 15 bis 22 DSGVO geregelt (Details siehe Kapitel 10). Aus praktischer Sicht der Umsetzung wird in diesem Abschnitt auf nachfolgende zwei Artikel näher eingegangen, die sich mit der Beauskunftung befassen:

+Art 15 DSGVO: Auskunftsrecht der betroffenen Person,

+Art 20 DSGVO: Recht auf Datenübertragbarkeit.

4.3.5.1Art 15 – Recht auf Auskunft („Auskunftsrecht“)

Wenngleich der grundlegende Zweck des Art 15 DSGVO bereits von dessen Vorgängerbestimmung des § 26 DSG 2000 umfasst war, waren viele Organisationen vor Inkrafttreten der DSGVO unsicher, ob es zu einem starken, mitunter nicht innerhalb der gebotenen Frist bewältigbaren Ansteigen der Auskunftsbegehren kommen würde. Viele Unternehmen, insbesondere jene mit einer großen Kundenbasis natürlicher Personen (zB Banken, Versicherungen oder Betreiber von Kundenclubs, wie jene von Einrichtungshäusern) fürchteten, dass aufgrund der Masse an Auskunftsbegehren die eigene Datenschutzorganisation und eventuell zusätzlich noch die IT-Abteilungen vorübergehend lahmgelegt werden könnten und keine Ressourcen für das Tagesgeschäft verbleiben würden. Aus diesem Grund haben Unternehmen vielfach frühzeitig begonnen, ausgehend von ihrem Verzeichnis der Verarbeitungstätigkeiten eine Automatisierung des Prozesses voranzutreiben.