Kurzleitfaden zur EU-Datenschutz-Grundverordnung (DSGVO)

Die neue Datenschutz-Grundverordnung ("DSGVO") wird ab dem 25. Mai 2018 wirksam. Das bedeutet, ab diesem Zeitpunkt müssen alle Verarbeitungen personenbezogener Daten an die neue Rechtslage angepasst werden.

Der nachfolgende Kurzleitfaden soll Ihnen nicht nur dabei helfen, Ihr Unternehmen auf die DSGVO vorzubereiten, sondern auch unter der DSGVO die richtigen Akzente zu setzen. Mit unserem Ampelsystem unterstützen wir Sie durch unverbindliche Priorisierungsvorschläge bei der Einteilung Ihrer Ressourcen und bei Ihrer Entscheidung, in welcher Reihenfolge Sie Ihre Arbeitsprozesse festlegen.

Rot: Erste Schritte (grundlegend)
Gelb: Anschließende Schritte (aufbauend)
Grün: Weiterführende Schritte (detaillierend)

Unser Ampelsystem ist nicht als eine Einschätzung der Wichtigkeit der DSGVO-Vorgaben oder als eine Wertung der Risiken unter der DSGVO zu verstehen, sondern als ein Vorschlag zur zeitlichen Gliederung Ihrer Umsetzungsmaßnahmen.

Rot: Erste Schritte (grundlegend)

Erfassen der Datenverarbeitungen im Unternehmen

Prüfen Sie, welche personenbezogenen Daten (zB Name, Geburtsdatum, Anschrift, Bankverbindung) in Ihrem Unternehmen verarbeitet werden.
Um diese Prüfung zu vereinfachen können die bisherigen Einträge im Datenverarbeitungsregister bei der österreichischen Datenschutzbehörde verwendet werden (sofern vorhanden) bzw können auch die in der Standard- und Musterverordnung 2004 definierten "Standardanwendungen" als Orientierungshilfe herangezogen werden
(abrufbar unter: https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20003495)

Zu prüfen ist
- Welche Standardanwendungen bestehen in Ihrem Unternehmen?
- Welche Datenanwendungen Ihres Unternehmens sind im DVR registriert?
- Spezieller Fokus: Wird bei Ihnen im Unternehmen Videoüberwachung durchgeführt?
- Erfolgen in ihrem Unternehmen Entscheidungen unter ausschließlich automatisierter Verwendung von Daten (zB Profiling)?

Rechtmäßigkeitsprüfung

Nachdem Sie festgestellt haben, welche Datenverarbeitungen in Ihrem Unternehmen durchgeführt werden, ist zu überlegen zu welchen Zwecken diese Datenverarbeitungen stattfinden. Gibt es keinen erschließbaren Zweck für eine Datenverarbeitung, wäre diese datenschutzrechtlich unzulässig.
Anschließend ist zu erarbeiten, auf welche Rechtsgrundlage (zB Vertragserfüllung, rechtliche Verpflichtung, überwiegendes berechtigtes Interesse) die identifizierten Datenverarbeitungen durchgeführt werden.
Überprüfen Sie, ob für einzelne Datenverarbeitungen Einwilligungen der betroffenen Personen eingeholt wurden. Wenn ja, ist zu prüfen, ob diese Einwilligungen erforderlich waren oder ob die Datenverarbeitung zB ohnedies zur Vertragserfüllung benötigt wird. Besteht eine Notwendigkeit für die Einwilligung (zB bei elektronischer Werbung), ist zu prüfen, ob diese Einwilligung den Anforderungen der DSGVO entspricht und auch, ob die bisherigen Einwilligungen ausreichend im Unternehmen dokumentiert sind.

Dokumentationspflicht, Datensicherheitsmaßnahmen und Datenschutz-Folgenabschätzung

Prüfen Sie, ob für ihre Datenverarbeitungen eine Dokumentationspflicht in Form eines Verarbeitungsverzeichnisses besteht.
- Ist dies zu bejahen, legen Sie ein Verarbeitungsverzeichniss an.
- Überprüfen Sie Ihre bestehenden Datensicherheitsmaßnahmen.
- Überlegen Sie, ob für Ihre Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen ist.
  - Zu untersuchen ist, welche Risiken aus der Datenverarbeitung sich für die Rechte und Freiheiten der Betroffenen ergeben; und
  - wie der Risikoeintritt verhindert oder zumindest minimiert werden kann.

Gelb: Anschließende Schritte (aufbauend)

Auftragsverarbeiter (Dienstleister)

Prüfen Sie, ob in Ihrem Unternehmen Auftragsverarbeiter für Datenverarbeitungen herangezogen werden (zB IT-Dienstleister).
- Wenn ja, wurden mit diesen Auftragsverarbeitern schriftliche Vereinbarungen getroffen?
- Prüfen Sie die Inhalte dieser Vereinbarungen speziell unter den Anforderungen der Art 26, 28 DSGVO.

Besondere Kategorien von Daten

Prüfen Sie, ob sensible Daten (zB rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, genetische Daten, Gesundheitsdaten, Daten zum Sexualleben) in Ihrem Unternehmen verarbeitet werden. Achtung: In vielen Fällen benötigen Sie für die Verarbeitung solcher Daten die Einwilligung des Betroffenen!

Überprüfung bestehender Strukturen

Überprüfen Sie Ihre AGB, Ihre bisher verwendeten Datenschutz- bzw Einwilligungserklärungen, Informationspapiere und Verträge und passen Sie diese bei Bedarf an die Vorgaben der DSGVO an.

Informationspflichten, Betroffenenrechte und Nachweise

Erarbeiten Sie eine Strategie, wie Sie die Informationspflichten der DSGVO gem Art 13 und 14 erfüllen (zB Aktualisieren der Datenschutzerklärung auf Ihrer Website und übermitteln/übergeben der Datenschutzerklärung als Beilage mit Ihren Verträgen).
Erarbeiten Sie eine Strategie, wie Sie die Betroffenenrechte unter den Vorgaben der DSGVO erfüllen können. Auch wenn Sie keine Pflicht zur Benennung eines Datenschutzbeauftragten trifft: Bennen Sie eine Person oder legen Sie eine Organisationseinheit in Ihrem Unternehmen fest, an die sich betroffene Personen für die Ausübung ihrer Betroffenenrechte wenden können.
Stellen Sie sicher, dass Ihre zur DSGVO-Vorbereitung ergriffenen Maßnahmen umfangreich dokumentiert sind.

Datenschutzbeauftragter

Prüfen Sie, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten bestellen müssen. Dies kann etwa dann der Fall sein, wenn die Kerntätigkeit Ihres Unternehmens gem Art 37 DSGVO in der umfangreichen Verarbeitung von sensiblen oder strafrechtsbezogenen Daten liegt.

Data Breach Notification

Evaluieren Sie, welche Vorkehrungen gegen Datenschutzverletzungen in Ihrem Unternehmen bereits ergriffen worden sind. Beachten Sie, dass eine Datenschutzverletzung, die zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt, binnen 72 Stunden der Datenschutzbehörde zu melden ist. Diese Frist läuft an Werktagen ebenso wie an Sonn- oder Feiertagen. Sollte durch die Datenschutzverletzung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bestehen, so sind auch diese von der Datenschutzverletzung unverzüglich zu unterrichten.

Datenübermittlung ins EWR-Ausland

Überprüfen Sie, ob zwischen Ihrem Unternehmen und einem Empfänger (auch Auftragsverarbeiter/Dienstleister) im EWR-Ausland ein Datenverkehr stattfindet. Falls ja, prüfen Sie auf welche Rechtsgrundlage (zB Standarddatenschutzklauseln, Angemessenheitsbeschluss der Europäischen Kommission, Privacy Shield) der Datenverkehr gestützt werden kann und ob solche Schutzstandards für den Datentransfer Ihres Unternehmens vorhanden sind.

Grün: Weiterführende Schritte (detaillierend)

Arbeitnehmerdatenschutz

Beachten Sie, die Besonderheiten des Arbeitnehmerdatenschutzes:
- Dienstverträge, Betriebsvereinbarungen, Dienstordnungen, müssen unter Umständen an die DSGVO angepasst werden.
- Das Datenschutz-Anpassungsgesetz 2018 sieht vor, dass Mitarbeiter vertraglich zur Einhaltung des Datengeheimnisses zu ver-pflichten sind.

Rechte von Kindern

Überprüfen Sie, ob durch Ihr Unternehmen Kindern Dienste der Informationsgesellschaft angeboten werden (darunter können zB entgeltliche Online-Dienste fallen). Sollte dies zutreffen, müssen Sie beachten, dass für datenschutzrechtliche Einwilligung eines Kindes Altersvorgaben zu beachten sind.

Datenschutzfreundliche Voreinstellungen

Prüfen Sie, ob die durch die DSGVO verlangten technischen Prinzipien des privacy by design/privacy by default in Ihrem Unternehmen adäquat implementiert sind.

Weiterführende Informationen finden Sie in den Präsentationen unserer erfolgreiche Eventreihe "Schoenherr Privacy Academy":