DSGVO für spät Entschlossene
A. Die Aktuellen Rahmenbedingungen
Die DSGVO Datenschutz-Grundverordnung umfasst insgesamt 99 Artikel und 173 Erwägungsgründe, ist zum Teil auch für Fachleute schwer verständlich oder sogar widersprüchlich. Sie ist damit alles andere als praxisnah. Bei einem Bemühen der Umsetzung im Unternehmen läuft man sehr leicht in die Gefahr, den Überblick und die Orientierung zu verlieren.
Die Datenschutz-Grundverordnung wurde bereits im April 2016 im Europäischen Parlament beschlossen. Als EU-Verordnung gilt sie unmittelbar in allen EU-Mitgliedstaaten und genießt grundsätzlich Anwendungsvorrang gegenüber abweichendem nationalen Recht. Durch sogenannte "Öffnungsklauseln" werden den einzelnen Staaten gewisse Regelspielräume gewährt.
Im Rahmen des Datenschutz-Anpassungsgesetzes 2018 und des Datenschutz - Deregulierungsgesetzes 2018 wurde von dieser Möglichkeit in Österreich Gebrauch gemacht.
Die Umsetzung der Bestimmungen der DSGVO in einem Unternehmen bildet eine erhebliche organisatorische, technische und juristische Herausforderung.
Grundsätzlich ist jedes Unternehmen (KMU) als "Verantwortlicher" verpflichtet, eine schriftliche DSGVO-Dokumentation (Datenschutz-Managementsystem) zu erstellen, in der die Summe aller Strategien und Maßnahmen festgehalten sind, wie die Vorgaben der DSGVO erfüllt werden.
Ein zentraler Grundsatz sei allen Bemühungen zur Erfüllung der Vorgaben der DSGVO vorangestellt:
"Jede einzelne, im Betrieb gesetzte Maßnahme kann dazu beitragen, mögliche Risiken zu minimieren und wird bei der Bemessung von Verwarnungen oder Strafen Berücksichtigung finden."
Eine wesentliche Entschärfung brachte das im April 2018 vom Österreichischen Parlament beschlossene Datenschutz-Deregulierungs-Gesetz 2018.
Darin werden u.a. die extrem hohen Strafbestimmungen aufgeweicht und zum Teil auf die Ebene von Verwarnungen, bei erstmaligem Vergehen, begrenzt.
- Strafen werden erst bei wiederholten Verstößen schlagend
- Bei erstmalige Datenschutzverletzungen spricht die Datenschutzkommission zunächst Verwarnungen aus
- Für Verstöße von Mitarbeitern können Unternehmen nicht mehr belangt werden, außer es kann ein Versagen der internen Kontrolle nachgewiesen werden
Die nachstehenden Anregungen zur Erstellung einer DSGVO-Dokumentation haben keinen Anspruch auf Vollständigkeit und erfolgen ohne Gewähr!
B. DSGVO - Ein Fahrplan für die Praxis
1. Datenschutzbeauftragter/"Datenschutzmanager"
Nur in bestimmten Ausnahmefällen ist für KMU ein Datenschutzbeauftragter zu bestellen.
DSGVO ist jedenfalls Chefsache! Im Idealfall ist der Unternehmer als "Verantwortlicher" ("Datenschutzmanager") und ein Stellvertreter zu bestimmen.
2. Zentrale betriebliche Datensätze, die des besonderen Schutzes bedürfen
Im Rahmen der DSGVO erfolgt eine Dokumentation und Bearbeitung folgender Datensätze:
- Mitarbeiterdaten
- Kundendaten
- Lieferantendaten
3. Dokumentation der betrieblichen Maßnahmen bezüglich DSGVO
Die Dokumentation zur DSGVO und die in diesem Zusammenhang gesetzten Maßnahmen und Schritte ist wahlweise in einem handschriftlichen, elektronischen (Word/Excel), oder IT-Toolverzeichnis festzuhalten.
4. TOM´s (Technisch-organisatorische Maßnahmen)
Einen entscheidenden Rahmen für das betriebliche Sicherheitskonzept bilden die gesetzten technischen, organisatorischen und physischen Maßnahmen für die Sicherheit personenbezogener Daten.
Dabei ist man auf die fortlaufende fachliche Beratung von EDV-Systembetreuern angewiesen.
Nur ein intensiver, laufender Kontakt mit Dienstleistern, deren Hardware- und Softwarepakete im Betrieb zum Einsatz gelangen, kann zu einer zufriedenstellenden Absicherung beitragen.
5. Erstellung und Bearbeitung des Verzeichnisses der Verarbeitungstätigkeiten
Dieses Verzeichnis bildet die zentrale Grundlage und gleichzeitig auch die größte Herausforderung für sämtliche Maßnahmen im Bereich der DSGVO.
Neben allgemeinen, branchenneutralen Mustern für ein Verarbeitungsverzeichnis gibt es für viele Branchen spezielle Vorlagen. Diese Vorlagen bedürfen der Ergänzung um die speziellen betrieblichen Gegebenheiten.
Im Zweifel ist es ratsam, sich diesbezüglich mit der jeweiligen Fachgruppe der WKO abzusprechen.
6. Absicherung der Rechtmäßigkeit der Verarbeitungstätigkeiten
Nach der DSGVO ist für jede Datenverarbeitung eine Rechtsgrundlage erforderlich.
In Form ausdrücklicher Einwilligungen, Verträgen mit Betroffenen oder Auftragsverarbeitern, aber auch durch Datenschutzmitteilungen an Betroffene kann die Rechtsmäßigkeit der Verarbeitungstätigkeiten dokumentiert werden.
7. Fortlaufende unternehmensinterne Informations- und Schulungsmaßnahmen
Das betriebliche Datenschutz-Managementsystem bedarf der fortlaufen Weiterentwicklung und Ergänzung.
Die Achtsamkeit der Mitarbeiter bei der Bearbeitung personenbezogenen Daten kann damit aufrechterhalten werden.
8. Datenschutz im täglichen Betrieb aufrechterhalten
Der größte Fehler, den ein Unternehmen bei der Umsetzung der DSGVO begehen kann, wäre, die Umsetzung als einmaligen Prozess anzusehen!
- Auf Zwischenfälle reagieren
- Anfragen von Betroffenen beantworten
- Neue Verarbeitungstätigkeiten erfassen
- u.s.w.
9. Am 25.05.2018 ist es keinesfalls zu spät!
Jede einzelne Maßnahme, die sie bis zu diesem Termin setzen können, aber auch die Fülle der Maßnahmen, die sie nach diesem Stichtag setzen, stärkt die betriebliche Abwehrkraft vor Gefahren einer Verletzung des Datenschutzes und stärkt die Datensicherheit.
10. Liste der To Do´s
Aus der Fülle angebotener Musterformular und Vorlagen zur DSGVO haben wir eine kleine Auswahl zusammengestellt:
Die konkrete Einsatzmöglichkeit dieser Muster und die erforderlichen individuellen Anpassungen sind von jedem Datenschutzmanager gesondert zu prüfen.
zu Punkt 5.
Musterverzeichnis Verarbeitungstätigkeiten allgemein mit Anwendungsbeispiel
Musterverzeichnis Verarbeitungstätigkeiten für Beherbergungsbetriebe mit Ausfüllhilfe
Musterverzeichnis Verarbeitungstätigkeiten für den Einzelhandel/Übersicht
zu Punkt 6.
Mustereinwilligung
Muster Auftragsverarbeiter-Vereinbarung
Abschluss mit jedem Dienstleister, der Zugang zu personenbezogenen Daten hat
Abschluss mit jedem Dienstleister, der Daten ausschließlich und im Auftrag und auf Weisung des Unternehmens verarbeitet
Muster Datenschutzerklärung für Mitarbeiter
Muster Datenschutzerklärung für die Webseite
Eintrag auf Webseite, analog Impressum, um teure Abmahnungen auszuschließen!
zu Punkt 8.
Musterschreiben zur Auskunftserteilung
Mustermeldung an die Aufsichtsbehörde
Weitere Informationen zur DSGVO
WKO
BMD
Leitfaden der Datenschutzbehörde
Machen sie ihr Unternehmen IT-sicher
Datenschutz für Hotellerie/Gastronomie/Tourismus
Lukas Feiler/Bernhard Horn
Umsetzung der DSGVO in der Praxis
Fragen, Antworten, Muster
Verlag Österreich