Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Informationsoffensive Workshop Datenschutz neu Version 3/2018

Transkript

1 Kurz und Kompakt: Das 1x1 der Datenschutz- Grundverordnung (DSGVO) Informationsoffensive Workshop Datenschutz neu Version 3/2018

2 Datenströme (personenbezogene Daten) Verantwortlicher (Datenverarbeiter) > Pflichten Daten Betroffener (Datenquelle) > Betroffenenrechte Vertrag [Muster wko.at] Daten Rechtsgrund: Einwilligung Vertragserfüllung Daten Auftragsverarbeiter Verantwortlicher > Pflichten > Pflichten Workshop Datenschutz neu Seite 2

3 Die wesentlichen Neuerungen im Überblick 25. Mai 2018: DSG 2000 wird zu DSGVO DS(-Anpassungs-)G 2018 für Öffnungsklauseln, zb: Einwilligung von Kinder (im www) ab 14 Jahren gültig (statt 16) Regelungen zur Bildverarbeitung/Videoüberwachung Geheimhaltungsvereinbarung mit Mitarbeitern Organisatorisches zur Datenschutzbehörde (DSB) NEU: Strafrahmen 10 Mio/ 20 Mio (bzw 2%/4% des weltweiten Umsatzes) DSG 2018: Strafbarkeit der juristischen Person Ermahnung / keine kumulierenden Strafen (EB) Muster [wko.at] Workshop Datenschutz neu Seite 3

4 Pflichten des Verantwortlichen Verantwortlicher (Datenverarbeiter) > Pflichten Daten Betroffener (Datenquelle) > Betroffenenrechte Vertrag [Muster wko.at] Daten Rechtsgrund: Einwilligung Vertragserfüllung Daten Auftragsverarbeiter Verantwortlicher > Pflichten > Pflichten Workshop Datenschutz neu Seite 4

5 Die wesentlichen Neuerungen im Überblick Pflichten des Verantwortlichen NEU: Verzeichnis von Verarbeitungstätigkeiten (Verfahrensverzeichnis) statt DVR-Meldung TIPP: Existierende DVR-Meldungen können via DVR-online exportiert werden NEU: Risikobasierter Ansatz für organisatorische Maßnahmen NEU: Datenschutz-Folgenabschätzung, wenn [+/- Liste d DSB] hohes Risiko oder in hohem Maß sensible Daten oder Profiling (vertiefte) Risikoanalyse: Bewertung der Risiken Bewertung der Notwendigkeit und Verhältnismäßigkeit Maßnahmenplan Workshop Datenschutz neu Seite 5

6 Die wesentlichen Neuerungen im Überblick Pflichten des Verantwortlichen NEU: Koppelungsverbot für Einwilligungserklärungen NEU: Datenschutzbeauftragter wenn die Kerntätigkeit in der umfangreichen und systematischen Überwachung Betroffener oder umfangreichen Verarbeitung sensibler Daten besteht NEU: Datenschutz durch Technik (privacy by design) durch Voreinstellungen (privacy by default) Datensicherungsmaßnahmen (technisch/organisatorisch) Datenmissbrauch: Info an Betroffene und DSB binnen 72h (außer keine Gefahr für Betroffene) Workshop Datenschutz neu Seite 6

7 Die wesentlichen Neuerungen im Überblick Pflichten des Verantwortlichen Betroffenenrechte NEU: Informationspflichten (Datenschutzerklärung) Betroffenenrechte: Auskunft (NEU: binnen 1 Monat) Berichtigung Einschränkung/Löschung Widerspruch/Widerruf NEU: Datenübertragbarkeit NEU: Beschwerdemöglichkeit Vertragliche Vereinbarung mit Auftragsverarbeitern Vertrag [Muster wko.at] Workshop Datenschutz neu Seite 7

8 Grundsätze Rechtsgrund Verantwortlicher (Datenverarbeiter) > Pflichten Daten Betroffener (Datenquelle) > Betroffenenrechte Vertrag [Muster wko.at] Daten Rechtsgrund: Einwilligung Vertragserfüllung Daten Auftragsverarbeiter Verantwortlicher > Pflichten > Pflichten Workshop Datenschutz neu Seite 8

9 Grundsätze für ALLE Datenanwendungen Rechtmäßigkeit (Rechtsgrund für die Verarbeitung) Für Vertragserfüllung notwendig Für Erfüllung einer rechtlichen Verpflichtung notwendig Lebenswichtiges Interesse des Betroffenen / öffentliches Interesse Berechtigtes Interesse des Verantwortlichen oder eines Dritten, sofern nicht Interessen des Berechtigten überwiegen Einwilligung (Koppelungsverbot; nicht vorangekreuzt) Transparenz, Treu und Glauben (Fairness) Betroffener muss informiert sein: wer, was, warum, wozu, wohin, wie lange Speicherbegrenzung (Datenminimierung und Speicherdauer) Datenrichtigkeit Workshop Datenschutz neu Seite 9

10 Pflichten des Verantwortlichen im Detail: Verfahrensverzeichnis und Datenschutzerklärung Verantwortlicher (Datenverarbeiter) > Pflichten Pflichten im Detail Daten Betroffener (Datenquelle) > Betroffenenrechte Vertrag [Muster wko.at] Daten Rechtsgrund: Einwilligung Vertragserfüllung Daten Auftragsverarbeiter Verantwortlicher > Pflichten > Pflichten Workshop Datenschutz neu Seite 10

11 Informationspflichten bei Datenerhebung (Datenschutzerklärung) Name/Kontaktdaten (inkl Datenschutzbeauftragtem) Erhobene Daten (nach Kategorien) WAS [nach DSGVO nur, wenn Daten nicht beim Betroffenen erhoben werden, aber immer sinnvoll wegen Transparenzgebot!] Rechtsgrund: Vertragserfüllung, rechtliche Verpflichtung, berechtigtes Interesse (konkret!), Einwilligung sinnvoll zu(r) Dokumentation/Beweiszwecken für Einwilligung/kein Erfordernis einer Einwilligung Zwecke der Datenverarbeitung Übermittlungsempfänger (nach Kategorien) Speicherdauer (Kriterien) Hinweis auf Betroffenenrechte Widerrufsrecht der Einwilligung (vorher) Gegebenenfalls: Information über Konsequenzen von Profiling Workshop Datenschutz neu Seite 11 WER WARUM WOZU WOHIN WIE LANGE

12 Verzeichnis der Verarbeitungstätigkeit (Verfahrensverzeichnis) gilt eingeschränkt auch für Auftragsverarbeiter Name/Kontaktdaten (inkl Datenschutzbeauftragtem) Erhobene Daten (nach Kategorien) nach DSGVO nur, wenn Daten nicht beim Betroffenen erhoben werden, aber Transparenz!) Rechtsgrund: Vertragserfüllung, rechtliche Verpflichtung, berechtigtes Interesse [nach DSGVO nicht notwendig; aber: sinnvoll zu(r) Dokumentation/Beweiszwecken für Einwilligung/kein Erfordernis einer Einwilligung] Zwecke der Datenverarbeitung Übermittlungsempfänger (nach Kategorien) Speicherdauer (Kriterien) Betroffene (nach Kategorien) WER WAS WARUM WOZU WOHIN WIE LANGE Nach Möglichkeit: Beschreibung der Datensicherungsmaßnahmen Workshop Datenschutz neu Seite 12

13 Datenschutz = Datensicherheit Vielen Dank für Ihre Aufmerksamkeit Workshop Datenschutz neu Seite 13

14 NACHLESE: Infos auf wko.at Webshop: Broschüre wko.at Themen > Wirtschafts-u Gewerberecht: Checkliste inkl Kurzüberblick Online-Ratgeber DSGVO Online-Ratgeber Infopflichten Webinar, FAQs Muster: Verfahrensverzeichnis Muster: Auftragsverarbeiter-Vertrag Muster: Geheimhaltungserklärung Info-Dokumente Begriffsbestimmungen Expertenpool Achtung! Suchpfad Themen > Wirtschafts- u Gewerberecht > Datenschutz enthält auch geltendes Recht (DSG) DSGVO immer gekennzeichnet als EU-Datenschutz-Grundverordnung (DSGVO) Workshop Datenschutz neu Seite 14

15 Nützliche Links wko.at: Grundverordnung.html Grundverordnung:-Auswirkungen-auf-Websites.html Datenschutzbehörde: Leitfaden DatenschutzanpassungsG (Datenexport) Rechtlicher Hinweis - Haftungsausschluss Diese Präsentation sowie die ergänzenden Unterlagen, Muster und Links wurden zu Schulungszwecken erstellt. Für die Richtigkeit, Vollständigkeit und Aktualität der bereitgestellten Informationen außerhalb des Schulungszweckes können wir keine Gewähr übernehmen. Trotz sorgfältiger Prüfung sind Fehler nicht auszuschließen und die Inhalte ohne Gewähr. Haftungsansprüche gegen Personen, die Inhalte bereit gestellt oder vermittelt haben, sind daher ausgeschlossen. Wir behalten uns ausdrücklich vor, auf wko.at Teile der Seiten oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen und übernehmen daher keine Gewähr und Haftung für die dauerhafte Verfügbarkeit der dargebotenen Informationen und Musterunterlagen. Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter. Die Unterlagen beziehen sich auf den Stand Jänner Workshop Datenschutz neu Seite 15

16 Home > Themen > Wirtschaftsrecht und Gewerberecht > Datenschutz > EU-Datenschutz-Grundverordnung (DSGVO): Muster- Verarbeitungsverzeichnis für Verantwortliche EU-Datenschutz-Grundverordnung (DSGVO): Muster-Verarbeitungsverzeichnis für Verantwortliche Datenverarbeitungsverzeichnis mit Word-Download und Anwendungsbeispiel Stand: Die Experten der Wirtschaftskammern Österreichs haben für ihre Mitgliedsbetriebe nachstehendes Muster eines Datenverarbeitungsverzeichnisses nach Art 30 Abs. 1 EU-Datenschutz- Grundverordnung (DSGVO) für Verantwortliche erstellt. Als Ausfüllhilfe ist ein bereits ausgefülltes fiktives Beispiel unter Anwendungsbeispiel für Verantwortliche (PDF-Version) im Download- Bereich verfügbar. Das hinterlegte Wasserzeichen Muster kann einfach aus dem Word- Dokument entfernt werden. Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU- Datenschutz-Grundverordnung (DSGVO) - (Verantwortlicher) Inhalt 1. Stammdatenblatt: Allgemeine Angaben 2. Datenverarbeitungen/Datenverarbeitungszwecke 3. Detailangaben zu den einzelnen Datenverarbeitungszwecken

17 4. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen Stammdatenblatt Name und Kontaktdaten des (der) für die Verarbeitung (gemeinsam) Verantwortlichen 1. Name(n) und Anschrift(en): 2. -Adresse(n) (und allenfalls weitere Kontaktdaten wie z.b. Tel.Nr.): 3. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie z.b. Tel.Nr.) des Datenschutzbeauftragten[1]: 4. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie z.b. Tel.Nr.) des Vertreters des (der) Verantwortlichen:[2] Datenverarbeitungen/Datenverarbeitungszwecke 1. Zwecke und Beschreibung der Datenverarbeitung[3]: a. b. c. d. e. f. g. h. i. usw. 2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt?[4] a. Ja / Nein i. Wenn Ja, wann? ii. Wenn Nein, aus welchem Grund nicht?[5] Detailangaben zu..

18 (Einfügung der konkreten Datenverarbeitung aus dem B-Blatt, zb des Datenverarbeitungszweckes Rechnungswesen ; das C-Blatt kann dann für jede der im B-Blatt angegebenen Datenverarbeitungszwecke verwendet werden, ohne dass die allgemeinen Angaben aus dem A- und B-Blatt wiederholt werden müssen) 1. Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen (z.b. Kunden, Mitarbeiter, Lieferanten usw.) a. z.b. Kunden b. z.b. Mitarbeiter c. z.b. Lieferanten d. usw. 2. Rechtsgrundlagen[6] 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen (zb Erledigung der Informationspflichten[7]) sind abgelegt:[8] (freiwillig) 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen[9] a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden

19 b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 5. Kategorien von Empfängern[13], an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern[14] a. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie z.b. UNO, OSZE) Empfänger-Kategorien bzw. Empfänger in Drittstaaten Drittstaat (Angabe des Internationale Organisation

20 oder Internationalen Organisationen (aus 4.a) Drittstaats, d.h. Staaten außerhalb der EU) (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt):[14] Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen 1. Vertraulichkeit:[15] 2. Integrität:[16] 3. Verfügbarkeit und Belastbarkeit: 4. Pseudonymisierung und Verschlüsselung: 5. Evaluierungsmaßnahmen: [1] Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. Hinweis: Wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, der Verantwortliche aber freiwillig einen bestellen möchte, müssen trotzdem alle den Datenschutzbeauftragten betreffenden Bestimmungen der DSGVO eingehalten werden; möchte man das nicht, darf die bestellte Person nicht Datenschutzbeauftragter genannt werden, sondern sollte eine andere Bezeichnung gewählt werden (z.b. Datenschutzkoordinator ).

21 Dieser kann, muss aber nicht ins Verarbeitungsverzeichnis aufgenommen werden. Siehe dazu das WKO- Merkblatt Datenschutzbeauftragter. [2] Darunter sind Vertreter von nicht in der EU niedergelassenen Verantwortlichen zu verstehen. [3] Zum Begriff Verarbeitung siehe das Merkblatt Wichtige Begriffsbestimmungen ; sollten Daten auch an Dritte oder an Auftragsverarbeiter übermittelt werden, sind auch die Zwecke dieser Datenübermittlungen im Verarbeitungsverzeichnis zu dokumentieren. [4] Zur Datenschutz-Folgenabschätzung siehe das Merkblatt Datenschutz- Folgenabschätzung. Im Verarbeitungsverzeichnis sind zwar Angaben zur Datenschutz-Folgenabschätzung nicht zwingend vorgesehen. Aus Gründen der Rechenschaftspflicht empfehlen sich aber grundsätzliche Angaben darüber auch ins Verarbeitungsverzeichnis aufzunehmen. [5] Eine Datenschutz-Folgenabschätzung ist nicht durchzuführen, wenn durch die Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte der Betroffenen besteht oder die Datenverarbeitungsart in der sogenannten white list der Datenschutzbehörde gelistet ist (derzeit besteht noch keine white list ); Näheres dazu siehe auch das Merkblatt Datenschutz- Folgenabschätzung. [6] Die Rechtsgrundlagen (z.b. rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verarbeitungsverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt. Siehe das Merkblatt Grundsätze und Rechtmäßigkeit der Verarbeitung. [7] Siehe zu den Informationspflichten das Merkblatt Informationspflichten. [8] Die Angabe, wo die Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung). [9] Nach der DSGVO sind die Löschfristen bzw. Aufbewahrungsfristen nach

22 Möglichkeit ins Verarbeitungsverzeichnis aufzunehmen. Beispielsweise kann bei unbefristeten Verträgen keine konkrete Löschfrist angegeben werden, da der konkrete Vertragsablauf unbestimmt ist. Es empfiehlt sich hier allerdings eine abstrakte Frist anzugeben (z.b. nach Ablauf des Vertrages ). [10] Daten nach Art 9 DSGVO sind besondere Datenkategorien ( sensible Daten): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. [11] Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht. [12]In der Rubrik Empfänger sind nur die Empfängerkategorien (z.b. Gerichte, Banken oder Sozialversicherungsträger ) einzutragen. [13] Es sind vor allem Übermittlungsempfänger ( Dritte ) als auch Auftragsverarbeiter hier zu dokumentieren. [14] Siehe dazu das Merkblatt Internationaler Datenverkehr. Bei Empfängern in Drittstaaten (speziell in den USA wegen dem Privacy Shield - System) empfiehlt sich eine namentliche Nennung des Empfängers. [15) Verhinderung von (unbeabsichtigter) Offenlegung oder unbefugten Zugang zu personenbezogenen Daten. [16] Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten. Wirtschaftskammer Kontakt Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus.

23 Österreichweite Inhalte Pflicht und Umfang von Verzeichnissen von Verarbeitungstätigkeiten Downloads Muster Verarbeitungsverzeichnis für Verantwortliche EU-Datenschutz-Grundverordnung (DSGVO): Dokumentationspflicht - Verzeichnis von Verarbeitungstätigkeiten (/service/wirtschaftsrechtgewerberecht/eu-datenschutz-grundverordnung:-dokumentationspflicht.html) (/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verarbeitungsverzeichnis- Verantwortlicher.DOCX) DOCX PDF Anwendungsbeispiel für Verantwortliche (/service/wirtschaftsrechtgewerberecht/eu-dsgvo-bsp-verarbeitungsverzeichnis-verantwortlicher.pdf) Quelle:

24 EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) BEISPIEL Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) (HINWEIS: es wird darauf hingewiesen, dass es sich hier um ein fiktives Beispiel handelt. Bei der praktischen Umsetzung ist auf die konkreten Anwendungsfälle im Unternehmen abzustellen) Inhalt A. Stammdatenblatt: Allgemeine Angaben B. Datenverarbeitungen/Datenverarbeitungszwecke C. Detailangaben zu den einzelnen Datenverarbeitungszwecken D. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

25 A. Stammdatenblatt Name und Kontaktdaten des (der) für die Verarbeitung (gemeinsam) Verantwortlichen a. Name(n) und Anschrift(en): Max Mustermann GmbH Neuer Weg 1 ZZZZ Musterdorf b. -Adresse(n) (und allenfalls weitere Kontaktdaten wie zb Tel.Nr.): max@mustermann.at c. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie zb Tel.Nr.) des Datenschutzbeauftragten 1 : Franz Fachmann e.u. Datenstraße 5 YYYY Datenstadt d. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie zb Tel.Nr.) des Vertreters des (der) Verantwortlichen: 2 KEINER 1 Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. HINWEIS: Wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, der Verantwortliche aber freiwillig einen bestellen möchte, müssen trotzdem alle den Datenschutzbeauftragten betreffenden Bestimmungen der DSGVO eingehalten werden; möchte man das nicht, darf die bestellte Person nicht Datenschutzbeauftragter genannt werden, sondern sollte eine andere Bezeichnung gewählt werden (zb Datenschutzkoordinator ). Dieser kann, muss aber nicht ins Verfahrensverzeichnis aufgenommen werden. Siehe dazu das WKO-Merkblatt Datenschutzbeauftragter. 2 Darunter sind Vertreter von nicht in der EU niedergelassenen Verantwortlichen zu verstehen.

26 B. Datenverarbeitungen/Datenverarbeitungszwecke 1. Zwecke und Beschreibung der Datenverarbeitung 3 : 1. Rechnungswesen und Geschäftsabwicklung: Verarbeitung und Übermittlung von Daten im Rahmen von Geschäftsbeziehungen mit Kunden und Lieferanten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zb Korrespondenzen oder Verträge) in diesen Angelegenheiten 2. Personalverwaltung:. 3. Marketing: 4. Geschäftspartnerdatenbank:. 5. usw. 2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt? 4 Ja X Nein Wenn Ja, wann? zuletzt vor 6 Monaten Wenn Nein, aus welchem Grund nicht? 5 3 Zum Begriff Verarbeitung siehe das Merkblatt Wichtige Begriffsbestimmungen ; sollten Daten auch an Dritte oder an Auftragsverarbeiter übermittelt werden, sind auch die Zwecke dieser Datenübermittlungen im Verarbeitungsverzeichnis zu dokumentieren. 4 Zur Datenschutz-Folgenabschätzung siehe das Merkblatt Risiko-Folgenabschätzung. Im Verarbeitungsverzeichnis sind zwar Angaben zur Datenschutz-Folgenabschätzung nicht zwingend vorgesehen. Aus Gründen der Rechenschaftspflicht empfehlen sich aber grundsätzliche Angaben darüber auch ins Verarbeitungsverzeichnis aufzunehmen. 5 Eine Datenschutz-Folgenabschätzung ist nicht durchzuführen, wenn durch die Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte der Betroffenen besteht oder die Datenverarbeitungsart in der sogenannten white list der Datenschutzbehörde gelistet ist (derzeit besteht noch keine white list ); Näheres dazu siehe auch das Merkblatt Risiko-Folgenabschätzung.

27 C. Detailangaben zu (1) Rechnungswesen und Geschäftsabwicklung 1. Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen (zb Kunden, Mitarbeiter, Lieferanten usw.) 1 Kunden und Lieferanten inkl. Kontaktpersonen beim Kunden und Lieferanten 2 Sachbearbeiter beim Verantwortlichen 3 An der Geschäftsabwicklung mitwirkende Dritte inkl. Kontaktpersonen bei den Dritten 2. Rechtsgrundlagen 6 Art 6 Abs 1 lit a (Einwilligung der Betroffenen), b (zur Vertragserfüllung erforderlich), c (gesetzliche Verpflichtungen nach der BAO und dem UGB), f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen (zb Erledigung der Informationspflichten 7 ) sind abgelegt: 8 (freiwillig) Unterlagen zu aufrechten Geschäftsabwicklungen in der Verkaufsabteilung, Rechnungen (auch) in der Finanzabteilung, erledigte Geschäftsfälle im Archiv. Verträge mit Auftragsverarbeitern sind, je nach Thematik, in der Rechtsabteilung, Finanzabteilung, Vertriebsabteilung oder IT-Abteilung abgelegt. 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen 9 a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden 6 Die Rechtsgrundlagen (zb rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verfahrensverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt. Siehe das Merkblatt Grundsätze und Rechtmäßigkeit der Verarbeitung. 7 Siehe zu den Informationspflichten das Merkblatt Informationspflichten. 8 Die Angabe, wo die Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung). 9 Nach der DSGVO sind die Löschfristen bzw. Aufbewahrungsfristen nach Möglichkeit ins Verfahrensverzeichnis aufzunehmen. Beispielsweise kann bei unbefristeten Verträgen keine konkrete Löschfrist angegeben werden, da der konkrete Vertragsablauf unbestimmt ist. Es empfiehlt sich hier allerdings eine abstrakte Frist anzugeben (zb nach Ablauf des Vertrages ).

28 Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes (Lfd.Nr.) Lfd. Nr. Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO 10, strafrechtlic h relevant isd Art 10 DSGVO 11 Banken Rechtsvertreter im Geschäftsfall Wirtschaftstreuhänder Gerichte im Anlassfall Verwaltungsbehörden Im Anlassfall Inkassounternehmen Im Anlassfall Fremdfinanzierer (zb Leasing) Mitwirkende Vertrags- und Geschäftspartner Versicherungen im Anlassfall Provider (IT-Dienstleister) 1 1 Name, Firma oder sonstige Nein Geschäftsbezeichnung X X X X X X X X X X 2 Anschrift Nein X X X X X X X X X X 3 Kontaktdaten (Tel., Mail,Fax) Nein X X X X X X X X X X 4 Firmenbuchdaten Nein X X X X X X X X X X 5 Daten zur Bonität inkl. Mahn- Nein X X und Klagsdaten 6 Bankverbindungen Nein X X X X X X X X X 7 Kreditkartennummern und - Nein X X X X unternehmen 8 UID-Nummer Nein X X X X X X X X X 9 Namen der Kontaktpersonen Nein X X X X X X X X X X 10 Kontaktdaten der Nein X X X X X X X X X X Kontaktpersonen (Tel., Mail, Fax, Anschrift odgl.) 11 Vertragstexte und X X X X X X X X Geschäftskorrespondenzen 2 12 Name Nein X X X X X X X X X X 13 Funktion des betroffenen Nein X X X X X X X X X X Sachbearbeiters beim Verantwortlichen 14 Vom betroffenen Nein X X X X X X X X X X Sachbearbeiter bearbeitete Fälle 15 Umfang der Nein X X X X X X X X X X Vertretungsbefugnis 3 16 Name, Firma oder sonstige Nein X X X X X X X X X X Geschäftsbezeichnung 17 Anschrift Nein X X X X X X X X X X 18 Kontaktdaten (Tel., Mail, Fax Nein X X X X X X X X X X odgl.) 19 Firmenbuchdaten Nein X X X X X X X X X X 20 Namen der Kontaktpersonen Nein X X X X X X X X X X 21 Kontaktdaten der Nein X X X X X X X X X X Kontaktpersonen (Tel., Mail, Fax, Anschrift odgl.) 22 UID-Nummer Nein X X X X X X X X X X 23 Bankverbindungen Nein X X X X X X X X X 24 Kreditkartennummern und Nein X X X X unternehmen 25 Daten zur Bonität inkl. Mahnund Klagsdaten Nein X X X 10 Daten nach Art 9 DSGVO sind besondere Datenkategorien ( sensible Daten): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. 11 Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht.

29 b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 1-4; 6-24; 26; Aufgrund der gesetzlichen Aufbewahrungsfristen auf jeden Fall 7 Jahre; darüber hinausgehend bis zur Beendigung eines allfälligen Rechtsstreits, fortlaufender Gewährleistungs- oder Garantiefristen 5; 25; Bis zur Beendigung der Geschäftsbeziehungen 5. Kategorien von Empfängern 12, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern 14 a. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien (aus 4.a.) Banken Rechtsvertreter im Geschäftsfall Wirtschaftstreuhänder Gerichte Verwaltungsbehörden Inkassounternehmen Fremdfinanzierer (zb Leasing) mitwirkende Vertrags- und Geschäftspartner Versicherungen um Anlassfall Provider (IT-Dienstleister) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Kanada Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt): 13 Für Kanada gibt es einen Angemessenheitsbeschluss der Europäischen Kommission. 12 Es sind vor allem Übermittlungsempfänger ( Dritte ) als auch Auftragsverarbeiter hier zu dokumentieren. 13 Siehe dazu das Merkblatt Internationaler Datenverkehr.

30 C. Detailangaben zu (2) Personalverwaltung usw.

31 D. Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen (HINWEIS: die hier angeführten Maßnahmen verstehen sich als beispielhafte Auflistung; es ist je nach Einzelfall und Risikobehaftung der Datenverarbeitung zu entscheiden, welche konkreten Maßnahmen zu treffen sind und welche im Einzelfall auch zumutbar sind) a. Vertraulichkeit: i. Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, zb: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen; ii. Zugangskontrolle: Schutz vor unbefugter Systembenutzung, zb: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei- Faktor-Authentifizierung, Verschlüsselung von Datenträgern; iii. Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, zb: Protokollierung von Zugriffen; oder: Zugriff nur für Unternehmensinhaber, Mitarbeiter der Abteilung Rechnungswesen und Mitarbeiter, die an der Geschäftsabwicklung beteiligt sind b. Integrität: i. Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, zb: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; ii. Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, zb: Protokollierung, Dokumentenmanagement; c. Verfügbarkeit und Belastbarkeit: i. Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, zb: Backup-Strategie, Virenschutz, Firewall; d. Pseudonymisierung und Verschlüsselung: i. Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt. ii. Verschlüsselung: sofern für die jeweilige Datenverarbeitung möglich, werden folgende Verschlüsselungstechnologien eingesetzt:. e. Evaluierungsmaßnahmen: i. Datenschutz-Management (zb Risikoanalyse, Datenschutz-Folgenabschätzung), einschließlich regelmäßiger Mitarbeiter-Schulungen; Stand: August 2017 Dieses Merkblatt ist ein Produkt der Zusammenarbeit aller Wirtschaftskammern. Bei Fragen wenden Sie sich bitte an die Wirtschaftskammer Ihres Bundeslandes: Burgenland, Tel. Nr.: , Kärnten, Tel. Nr.: , Niederösterreich Tel. Nr.: (02742) 851-0, Oberösterreich, Tel. Nr.: , Salzburg, Tel. Nr.: (0662) , Steiermark, Tel. Nr.: (0316) 601-0, Tirol, Tel. Nr.: , Vorarlberg, Tel. Nr.: (05522) 305-0, Wien, Tel. Nr.: (01) , Hinweis! Diese Information finden Sie auch im Internet unter Alle Angaben erfolgen trotz sorgfältigster Bearbeitung ohne Gewähr. Eine Haftung der Wirtschaftskammern Österreichs ist ausgeschlossen. Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter!

32 Home > Themen > Wirtschaftsrecht und Gewerberecht > Datenschutz > EU-Datenschutz-Grundverordnung (DSGVO): Ablaufplan Datenschutz- Folgenabschätzung EU-Datenschutz-Grundverordnung (DSGVO): Ablaufplan Datenschutz-Folgenabschätzung Checkliste - Prüfschritte Stand: Hinweis: Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz- Anpassungsgesetzes 2018 gelten ab Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu Zeitplan und Kurzüberblick ) 1. Prüfung, ob überhaupt die Voraussetzungen für die Durchführung einer verpflichtenden Datenschutz-Folgenabschätzung vorliegen: Wird eine systematische und umfassende Bewertung persönlicher Aspekte natürlicher Personen (Profiling) durchgeführt, die in weiterer Folge als Grundlage für Entscheidungen herangezogen werden soll, die für natürliche Personen Rechtswirkungen entfalten oder diese in ähnlich erheblicher Weise beeinträchtigen könnte (z.b. zur Frage der Kreditvergabe)? Werden in umfangreicher Art und Weise sensible Daten oder Daten über strafrechtliche Verurteilungen und Straftaten selbst verarbeitet? Erfolgt bei der Datenverarbeitung eine systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche (z.b. Videoüberwachungen)? Gibt es Listen der Datenschutzbehörde, die Fälle aufzählen, in denen eine

33 Datenschutz-Folgenabschätzung zwingend durchzuführen ist bzw. nicht (verpflichtend) durchzuführen ist? Wird bei der beabsichtigten Datenverarbeitung neue Technologie verwendet oder besteht aufgrund der Art, des Umfangs, der Umstände und der Zwecke der Datenverarbeitung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der betroffenen natürlichen Personen? Prüfkriterien der Art 29-Gruppe zur Beurteilung, ob eine Datenverarbeitung wahrscheinlich ein hohes Risiko mit sich bringt (ist speziell beim letzten Aufzählungspunkt von besonderer Bedeutung): Hinweis: Werden zwei der Kriterien erfüllt, ist davon auszugehen, dass ein hohes Risiko mit der Datenverarbeitung einhergeht und eine Datenschutz- Folgenabschätzung durchzuführen ist. Bewirkt der Verarbeitungsvorgang ein (potentielles) Bewerten oder Einstufen betroffener Personen (etwa das Erstellen von Profilen und Prognosen), insbesondere auf Grundlage von Aspekten, die die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben oder Interessen, die Zuverlässigkeit oder das Verhalten, den Aufenthaltsort oder Ortswechsel der Person betreffen? Beispiel: Nutzer- Verhaltensprofile oder Marketingprofile durch Website-Analyse-Tools. Beinhaltet der Verarbeitungsvorgang eine automatisierte Entscheidungsfindung mit Rechtswirkung oder ähnlich bedeutsamer Wirkung? Beinhaltet der Verarbeitungsvorgang möglicherweise eine systematische Überwachung, d.h. Vorgänge, die die Beobachtung, Überwachung oder Kontrolle betroffener Personen zum Ziel haben? Werden vertrauliche Daten oder höchst persönliche Daten verarbeitet? Beispiele: Sensible Daten, personenbezogene Daten über strafrechtliche Verurteilungen oder Straftaten; aber auch personenbezogene Daten, die mit häuslichen oder privaten Aktivitäten verknüpft sind (z.b. private elektronische Kommunikation), sich auf die Ausübung der Grundrechte auswirken (z.b. das Erfassen der Standortdaten, wodurch eine Verfolgung des Bewegungsverhaltens ermöglicht wird und den Schutz der Privatsphäre berühren kann) oder deren Nutzung möglicherweise ernsthafte Konsequenzen im Alltag der betroffenen Personen haben kann (z.b. Bankdaten, die für den Zahlungsbetrug missbraucht werden könnten)

34 Erfolgt eine Datenverarbeitung in großem Umfang? Zahl der betroffenen Personen (entweder konkrete Anzahl oder als Anteil der entsprechenden Bevölkerungsgruppe) verarbeitete Datenmenge bzw. Bandbreite der unterschiedlichen verarbeiteten Datenelemente Dauer oder Dauerhaftigkeit der Datenverarbeitung geografisches Ausmaß der Datenverarbeitung Beinhaltet die Datenverarbeitung ein (potentielles) Abgleichen oder Zusammenführen von Datensätzen? Beispiel: Zusammenführen von Datensätzen aus unterschiedlichen Anwendungszwecken und dieser Vorgang von den betroffenen Personen vernünftigerweise auch nicht erwartet werden konnte. Werden möglicherweise Daten schutzbedürftiger betroffener Personen verarbeitet? Beispiele: Kinder, Personen mit besonderem Schutzbedarf (Patienten, psychisch Kranke, Senioren, Asylbewerber), Arbeitnehmer. Beinhaltet der Verarbeitungsvorgang eine innovative Nutzung oder Anwendung neuer technologischer oder organisatorischer Lösungen? Beispiel: Kombination aus Fingerabdruck- und Gesichtserkennung zum Zweck einer verbesserten Zugangskontrolle. Kann die Datenverarbeitung die betroffenen Personen (potentiell) an der Ausübung eines Rechts oder der Nutzung einer Dienstleistung bzw. Durchführung eines Vertrags hindern? Beispiel: Durchsuchen von Bonitätsdatenbanken zum Zweck der Entscheidung, ob ein Kredit vergeben wird. 2. Erhebung der zu verarbeitenden personenbezogenen Datenarten (z.b. Namen, Adressen, Kontaktdaten, sensible Daten) und Feststellen der Rechtsgrundlage für die Datenverarbeitung: Welche Datenarten werden verarbeitet? Liegt eine Einwilligungserklärung des Betroffenen vor? Ist die Datenverarbeitung für eine Vertragserfüllung oder die Durchführung vorvertraglicher Maßnahmen erforderlich? Ist die Datenverarbeitung für die Erfüllung einer rechtlichen Verpflichtung, z.b. aus dem Arbeitsrecht, erforderlich? Ist die Datenverarbeitung erforderlich, um lebenswichtige Interessen des Betroffenen oder einer anderen natürlichen Person zu schützen? Ist die Datenverarbeitung für eine Aufgabenerfüllung erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die

35 dem Verantwortlichen übertragen wurde? Besteht auf Seiten des Verantwortlichen oder eines Dritten ein berechtigtes Interesse an der Datenverarbeitung, und überwiegen nicht die Interessen oder Grundfreiheiten der betroffenen Person? 3. Werden die folgenden datenschutzrechtlichen Prinzipien eingehalten? Transparenz: Werden die Informationspflichten erfüllt? Zweckbindungsgrundsatz: Erfolgt die Datenverarbeitung für festgelegte, eindeutige und legitime Zwecke? Minimierungs- und Verhältnismäßigkeitsprinzip: Ist die Datenverarbeitung im Verhältnis zur Zweckerreichung angemessen? Beschränkt sich die Datenverarbeitung auf das notwendige Maß und ist sie für die Zweckerreichung erheblich (z.b. in Bezug auf die Datenarten, personellen Zugriff oder die Speicherungsdauer)? Wie wird sichergestellt, dass die Daten sachlich richtig und auf dem möglichst neuesten Stand sind? Verfügbarkeit, Integrität und Vertraulichkeitsgrundsatz: Welche Maßnahmen zur Datensicherheit wurden getroffen (etwa welchen Beschränkungen unterliegt die Offenbarung der Daten an Personen innerhalb und außerhalb der beteiligten Stellen)? 4. Beschreibung der geplanten Verarbeitungsvorgänge und Verarbeitungszwecke einschließlich der verfolgten berechtigten Interessen (bei der Datenverarbeitung auf Basis der Rechtsgrundlage Interessenabwägung ) sowie der Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge 5. Welche möglichen Risiken bei der beabsichtigten Datenverarbeitung bestehen für folgende Schutzziele? Datenverfügbarkeit: Bestehen bei der beabsichtigten Datenverarbeitung Risiken in Bezug auf die Erfüllung der Betroffenenrechte (z.b. Auskunftsrecht, Widerrufsrecht, Widerspruchsrecht, Berichtigungsrecht, Löschungsrecht, Datenübertragbarkeitsrecht, Data breach notification oder bei der Einbindung von Auftragsverarbeitern die vertraglichen Verpflichtungen und die Zuverlässigkeit )? Integrität und Vertraulichkeit: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf den Schutz der Privatsphäre des Betroffenen und das Datengeheimnis etwa in Form

36 etwa unbefugter oder unrechtmäßiger Verarbeitung, (unbeabsichtigten) Verlust, (unbeabsichtigter) Zerstörung oder (unbeabsichtigter) Schädigung? Zweckbindung: Welche Risiken bestehen durch die beabsichtigte Datenverarbeitung in Bezug auf die Einhaltung des Zweckbindungsgrundsatzes? Besteht die Gefahr, dass im Zuge der Datenverarbeitung von der Einhaltung des einmal festgelegten eindeutigen Datenverarbeitungszweckes abgegangen wird? Sonstige Datenschutzprinzipien: Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den sonstigen datenschutzrechtlichen Grundsätzen (z.b. Datenminimierung, Richtigkeit, Speicherbegrenzung, Rechtmäßigkeit, Transparenz) nicht nachgekommen werden kann? Besteht bei der beabsichtigten Datenverarbeitung das Risiko, dass den vorgeschriebenen Informationspflichten nicht nachgekommen werden kann. 6. Auf Basis der Identifizierung möglicher Risiken wird sodann eine Risikoanalyse durchgeführt: Zunächst werden die möglichen Bedrohungen für die Schutzziele festgehalten (Welches Risiko kann von wem ausgehen? Was könnten die Besonderheit und die Schwere der Risiken sein? Was könnten die Motive und Ursachen für die Bedrohung sein? Was könnte das mögliche Bedrohungsziel sein?). In weiterer Folge wird unter Berücksichtigung der Art, des Umfangs, der Umstände, der Zwecke der Verarbeitung und der Ursachen des Risikos die Eintrittswahrscheinlichkeit und die Schwere des Risikos zu beurteilen sein und die daraus folgenden möglichen Folgen einer Risikoverwirklichung für die Betroffenenrechte. Diese möglichen Risikofolgen könnten beispielsweise sein: physischer, materieller und immaterieller Schaden beim Betroffenen Verlust der Kontrolle über die Daten Einschränkung bei der Erfüllung der Betroffenenrechte Diskriminierung Identitätsdiebstahl oder -betrug finanzielle Verluste unbefugte Aufhebung der Pseudonymisierung Rufschädigung Verlust der Vertraulichkeit (der Privatsphäre) erhebliche wirtschaftliche oder gesellschaftliche Nachteile 7. Festhalten der bisher getroffenen Abhilfemaßnahmen (statusquo-erhebung): z.b. Anonymisierung- oder Pseudonymisierungsmaßnahmen, Einsatz von Verschlüsselungstechnologien etc.

37 8. Soll-Ist-Vergleich anstellen und Aufstellung eines Maßnahmenplanes zur Gewährleistung der Schutzziele (Datenverfügbarkeit, Integrität und Vertraulichkeit, Zweckbindung und die sonstigen Datenschutzprinzipien): Auf Basis der bisherigen Prüfschritte können allfällige Lücken bei der Risikominimierung oder behebung festgestellt werden und sollte daraus ein entsprechender Maßnahmenplan abgeleitet werden. Dieser Maßnahmenplan könnte beispielsweise nachfolgende Bereiche umfassen: personelle Maßnahmen: z.b. PC-Benutzungsregelungen, Einschränkung von Verarbeitungs-, Nutzungs- und Übermittlungsrechten, Einschränkung von Schreib- und Änderungsrechten, dokumentierte Zuweisung von Berechtigungen und Rollen nach dem Erforderlichkeitsprinzip, Verpflichtungserklärungen der Mitarbeiter in Bezug auf die Einhaltung des Datengeheimnisses, Verfahren bei personellen Änderungen, Regelung bei Einsatz von Fremdpersonal, zur Wahrung des Datengeheimnisses, Schulungen, Abwehr von social engineering-angriffen etc. technisch-organisatorische Maßnahmen: z.b. Änderung des internen Prozessablaufes zur Wahrung der Betroffenenrechte und datenschutzrechtliche Grundsätze (z.b. zur Vermeidung von Zweck- Verkettungen oder Koppelungen bei Einwilligungserklärungen), etwa durch betriebsinterne Richtlinien, Vertretungsregelungen für abwesende Mitarbeiter, Implementierung automatischer Sperr- und Löschmaßnahmen, Pseudonymisierungen und Anonymisierungen, geregelte Zweckänderungsverfahren, Protokollierung von Zugriffen und Änderungen, Nachweis der Quellen von Daten, Dokumentation von Verträgen (mit Auftragsverarbeitern, Übermittlungsempfängern, Mitarbeitern) etc. Computersicherheit und Virenschutz: z.b. Regelungen betreffend die Auswahl von Passwörtern, Umgang mit Wechselmedien, Einsatz von mobilen IT-Geräten Netzwerksicherheit: z.b. Firewalls, Sicherheit von Web-Browsern Datensicherung und Notfallvorsorge: z.b. die Erstellung eines Datensicherungskonzeptes, Regelung betreffend back-up-datenträger, Reparatur- und Ausweichprozesse für Notfälle etc. bauliche und infrastrukturelle Maßnahmen: z.b. Zutrittskontrollen, Zugangsbeschränkungen etc. Weitere Maßnahmemöglichkeiten, vor allem zum Schutz der Grundprinzipien, können auch dem Standard-Datenschutzmodell

38 entnommen werden, das von der Art 29-Gruppe ausdrücklich empfohlen wird: Website datenschutzzentrum.de Bei der Entscheidung, welche konkreten Maßnahmen umgesetzt werden sollen/müssen, ist unter Berücksichtigung des Standes der Technik, der Implementierungskosten und der Art des Umfangs, der Umstände und der Datenverarbeitungszwecke sowie der unterschiedlichen Eintrittswahrscheinlichkeit und Schwere des Risikos für die Betroffenenrechte darauf zu achten, dass ein jeweils angemessenes Schutzniveau gewährleistet wird. Es empfiehlt sich daher eine entsprechende Risikoauflistung (z.b. Risikomatrix) zu erstellen und danach Prioritäten bei der Maßnahmenumsetzung zu setzen. Bleibt in einem Bereich ein hohes Risiko für die Betroffenenrechte bestehen, für das keine Minimierungsmaßnahmen gesetzt werden (können), ist die Datenschutzbehörde zu konsultieren. 9. Konsultation eines allenfalls bestellten betrieblichen Datenschutzbeauftragten 10. Muss der Standpunkt der Betroffenen oder ihrer Vertreter eingeholt werden? Gibt es Gründe, warum keine Einholung des Standpunkts der Betroffenen oder ihrer Vertreter erforderlich ist (etwa Unverhältnismäßigkeit, impraktikabel, Gefahr der Verletzung einer Geheimhaltungspflicht etwa bzgl. der Geschäftspläne des Unternehmens)? Wenn es Gründe für einen Verzicht gibt, ist eine Begründung zu dokumentieren. Bei Abweichen der endgültigen Entscheidung des Verantwortlichen vom Standpunkt der Betroffenen oder ihrer Vertreter muss eine Begründung dokumentiert werden. Wirtschaftskammer Kontakt Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus. Quelle: Grundverordnung:-Ablaufplan-Datenschutz-Fo.html

39 Technische und organisatorische Maßnahmen gem. Art. 32 Abs. 1 DSGVO für Verantwortliche (Art. 30 Abs. 1 lit. g) und Auftragsverarbeiter (Art. 30 Abs. 2 lit. d) 1. Pseudonymisierung 2. Verschlüsselung 3. Gewährleistung der Vertraulichkeit 4. Gewährleistung der Integrität 5. Gewährleistung der Verfügbarkeit 6. Gewährleistung der Belastbarkeit der Systeme 7. Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen Zwischenfall 8. Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen Es liegen schriftlich vor interne Verhaltensregeln Risikoanalyse allgemeine Datensicherheitsbeschreibung umfassendes Datensicherheitskonzept Wiederanlaufkonzept Zertifikat: Zertifizierungsstelle: Sonstiges: Datum Unterschrift: Seite 1 von 1

40 Offenlegung nach 25 Mediengesetz / Impressum Informationsverpflichtungen nach der DSGVO Ihre Angaben Datenbezug: Eigene Erhebung Rechtsgrundlage: Einwilligung Rechtsgrundlage: Erfüllung eines Vertrages mit den Betroffenen oder Durchführung vorvertraglicher Maßnahmen Rechtsgrundlage: Rechtliche Verpflichtung Datenweitergabe: Ja, an einen Auftragsverarbeiter (z.b. Steuerberater, Buchhalter, Provider) Profiling: Nein Gemeinsame Verantwortliche: Nein Ort der Verarbeitung: Ja Datenschutzbeauftragte/r: Nein Firmensitz: Niederösterreich Zusammenfassende Information Da Sie personenbezogene Daten in dieser Datenerarbeitung verarbeiten, sind Sie verpflichtet, die betroffene Person zu informieren. Hier finden Sie Textbausteine, die Sie für Ihre Datenschutzerklärung nach Art. 13 und 14 DSGVO verwenden können. Die Überschriften sollen dieses Merkblatt übersichtlicher gestalten und sind nicht Teil des Musters Name der Datenverarbeitung: Kundendaten Wir verarbeiten Ihre personenbezogenen Daten, die unter folgende Datenkategorien fallen: [bitte Datenkategorien aufzählen, z.b. Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Bonitätsdaten, Bestelldaten, Entgeltdaten, usw] Rechtsgrundlage Einwilligung 1/4

41 Sie haben uns Daten über sich freiwillig zur Verfügung gestellt und wir verarbeiten diese Daten auf Grundlage Ihrer Einwilligung zu folgenden Zwecken: [bitte Zwecke der Datenverarbeitung ergänzen, z.b. Information über unsere Produkte] Sie können diese Einwilligung jederzeit widerrufen. Ein Widerruf hat zur Folge, dass wir Ihre Daten ab diesem Zeitpunkt zu oben genannten Zwecken nicht mehr verarbeiten. Für einen Widerruf wenden Sie sich bitte an: [bitte hier die entsprechenden Kontaktdaten ergänzen] Rechtsgrundlage Vertragserfüllung Die von Ihnen bereit gestellten Daten sind zur Vertragserfüllung bzw. zur Durchführung vorvertraglicher Maßnahmen erforderlich. Ohne diese Daten können wir den Vertrag mit Ihnen nicht abschließen. [konkretisieren, z.b. Zweck der Datenverarbeitung ausführen oder Angabe, ob eine gesetzliche Verpflichtungen besteht] Rechtsgrundlage rechtliche Verpflichtung Wir müssen Daten, die wir von Ihnen erhalten haben, aufgrund einer gesetzlichen Verpflichtung verarbeiten, und zwar [bitte konkretisieren, einschließlich Zweck der Datenverarbeitung]. Ohne die Bereitstellung Ihrer Daten [je nach Rechtsgrundlage bitte Folgen der Nicht-Bereitstellung nennen]. Speicherdauer/Löschungsfrist Wir speichern Ihre Daten [bitte Frist bzw die Kriterien für die Löschung ergänzen, bei Vorhandensein können auch die gesetzlichen Bestimmungen zitiert werden, siehe dazu das Merkblatt Speicher- und Aufbewahrungsfristen"]. Auftragsverarbeiter Für diese Datenverarbeitung ziehen wir Auftragsverarbeiter heran. Kontakt Sie erreichen uns unter folgenden Kontaktdaten: [bitte Ihren Unternehmensnamen und Ihre Kontaktdaten ergänzen] Rechtsbehelfsbelehrung 2/4

42 Ihnen stehen grundsätzlich die Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch zu. Dafür wenden Sie sich an uns. Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren. In Österreich ist die Datenschutzbehörde zuständig KONTAKTADRESSEN Aufsichtsbehörde für die Einhaltung datenschutzrechtlicher Bestimmungen in Österreich: Österreichische Datenschutzbehörde Wickenburggasse Wien Telefon: Telefax: E: dsb@dsb.gv.at W: Kontaktadressen rund um das Thema Datenschutzrecht: WKNÖ-Bezirksstellen Wirtschaftskammer-Platz St. Pölten Telefon: wknoe@wknoe.at Detaillierte Kontaktseite Hinweise: Dieser Ratgeber ist auf Gewerbetreibende mit Sitz in Österreich zugeschnitten. Datenverarbeitungen im lebenswichtigen Interesse, in Wahrnehmung einer Aufgabe im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt (Art. 6. Abs. 1 lit. d und lit. f DSGVO) sind daher nicht abgedeckt. Die Weiterverarbeitung von Daten im Sinne des Art. 6 Abs 4 DSGVO ist nicht berücksichtigt. Die Inhalte dieses Online-Ratgebers wurden mit größter Sorgfalt erstellt und werden laufend aktualisiert. Für die Richtigkeit, Vollständigkeit, Aktualität oder Qualität der bereitgestellten Informationen und Musterunterlagen sowie auch für weiterführende Links können wir jedoch keine Gewähr übernehmen. Insbesondere erfolgte die Reihung der im Infoblatt auf Basis der Eingaben der Nutzer empfohlen 3/4

43 Verfahrensarten ausschließlich nach subjektiven Kriterien und hat keine darüber hinausgehende allgemeingültige Bedeutung. Haftungsansprüche gegen Personen, die Inhalte zu diesem Online-Ratgeber bereit gestellt haben, sind daher ausgeschlossen. Wir behalten uns ausdrücklich vor, Teile der Seiten oder das gesamte Angebot ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen und übernehmen daher keine Gewähr und Haftung für die dauerhafte Verfügbarkeit der dargebotenen Informationen und Musterunterlagen. Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter. Datum /4

44

45

46

47

48

49

50

51

52 Home > Themen > Wirtschaftsrecht und Gewerberecht > Datenschutz > EU-Datenschutz-Grundverordnung (DSGVO): Checkliste EU-Datenschutz-Grundverordnung (DSGVO): Checkliste Stand: Hinweis: Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz- Anpassungsgesetzes 2018 gelten ab Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu Zeitplan und Kurzüberblick ) Mit der am vom Europäischen Parlament beschlossenen Datenschutz-Grundverordnung werden die Regeln für die Verarbeitung personenbezogener Daten, die Rechte der Betroffenen und die Pflichten der Verantwortlichen EU-weit vereinheitlicht. Die Bestimmungen der DSGVO gelten ab Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Jedes Unternehmen, das in irgendeiner Weise personenbezogene Daten verarbeitet (z.b. eine Kundendatei führt, Rechnungen ausstellt, Lieferantendaten speichert), ist betroffen. Damit kommen wesentliche Neuerungen auf Unternehmen zu. Die nachstehende Checkliste soll dabei helfen, die erforderlichen Schritte von der Analyse des Ist-Zustandes bis zur Umsetzung eines Maßnahmenplanes rechtzeitig zu setzen: 1. Vorbereitung

53 Für die Anpassung an die DSGVO zuständige Personen (intern/extern) nominieren Zeit- und Budget-Planung 2. Status Quo-Erhebung (Analyse des Ist-Zustandes) und Anpassungsbedarf (Soll-Zustand) Welche personenbezogene Daten werden verarbeitet? Welche Datenanwendungen bestehen? Welche Standardanwendungen liegen derzeit vor? Welche Datenanwendungen sind derzeit im DVR registriert? Wird eine Bildverarbeitung (z.b. Videoüberwachung) durchgeführt? Erfolgt profiling? Überprüfen Sie Ihre AGB, Datenschutzerklärungen, Impressum, laufende Verträge, Website-Einstellungen, etc Was sind die Zwecke meiner Datenverarbeitungen? Was ist die Rechtsgrundlage der Datenverarbeitung? Liegt eine Einwilligung vor? Welche sensiblen Daten werden verarbeitet? Werden Kindern Dienste der Informationsgesellschaft angeboten? Werden Auftragsverarbeiter (derzeit Dienstleister ) herangezogen? Gibt es schriftliche Vereinbarungen für die Auftragsverarbeitung? Weist der Auftragsverarbeiter die erforderliche Zuverlässigkeit auf? Wie werden die Informationspflichten (nach der DSGVO) erfüllt? Wie werden die Betroffenenrechte (nach der DSGVO) erfüllt? An wen in meinem Unternehmen können sich betroffene Personen für die Ausübung ihrer Betroffenenrechte wenden? Welche Datensicherheitsmaßnahmen sind vorhanden? Wie ist privacy by design/privacy by default implementiert? Besteht für meine Datenverarbeitungen Dokumentationspflicht? Wie wird die Dokumentationspflicht erfüllt? Welche Vorkehrungen gegen Datenschutzverletzungen existieren schon

54 Welche Vorkehrungen gegen in meinem Unternehmen? existieren schon Ist für meine Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen? Welche Risiken aus der Datenverarbeitung ergeben sich für die Rechte und Freiheiten der Betroffenen? Wie kann ich den Risikoeintritt verhindern oder zumindest minimieren? Ist eine vorherige Konsultation bei der Aufsichtsbehörde notwendig? Brauche ich einen Datenschutzbeauftragten? Welcher Datenverkehr mit dem EU-Ausland besteht und auf welcher Rechtsgrundlage? Besonderheiten Arbeitnehmerdatenschutz Überprüfung von Dienstverträgen, Betriebsvereinbarungen, Dienstordnungen, etc Rechtzeitige Kommunikation mit dem Betriebsrat Wie weise ich nach, dass meine Datenverarbeitungen DSGVO-konform (siehe dazu Pflichten des Verantwortlichen und Grundsätze und Rechtmäßigkeit der Verarbeitung ) erfolgen? (z.b. Dokumentation der Einwilligungserklärungen, Verarbeitungsverzeichnis, Dokumentation der ergriffenen Sicherheitsmaßnahmen, Dokumentation der Risikoabschätzung, Protokollierung oder Dokumentation der Weisungen an dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, Dokumentation der Verpflichtung der Mitarbeiter des Auftragsverarbeiters zur Vertraulichkeit, etc) Rechtsdurchsetzung und Strafen: Rechtsbehelfe, Haftungen und Sanktionen 3. Maßnahmenplan (für gem Pkt 2. identifizierten Anpassungsbedarf) Zeitliche und budgetäre Planung (Priorisierung der Ziele) Maßnahmen festlegen Maßnahmen umsetzen Weitere Dokumente: Sachlicher und räumlicher Anwendungsbereich

55 Auskunftspflicht des Verantwortlichen Verantwortlicher und Auftragsverarbeiter (Überblick) Pflicht zur Berichtigung, Löschung ("Recht auf Vergessenwerden") und zur Einschränkung der Verarbeitung Datenschutzrechtliche Pflicht zur Datenübertragbarkeit Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches Auswirkungen auf Websites und Webshops Wirtschaftskammer Kontakt Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus. Broschüren zum Thema Datenschutz-Grundverordnung Quelle: Grundverordnung:-Checkliste.html

56 Home > Themen > Wirtschaftsrecht und Gewerberecht > Datenschutz > EU-Datenschutz-Grundverordnung (DSGVO): Mustervertrag für die Auftragsverarbeitung EU-Datenschutz-Grundverordnung (DSGVO): Mustervertrag für die Auftragsverarbeitung Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO Stand: Der Verantwortliche: [NN] [Anschrift] (im Folgenden Auftraggeber) Der Auftragsverarbeiter: [NN] [Anschrift] (im Folgenden Auftragnehmer) 1. Gegenstand der Vereinbarung (1) Gegenstand dieses Auftrages ist die Durchführung folgender Aufgaben: [möglichst detaillierte Beschreibung der Aufgaben des Auftragnehmers, einschließlich Art und Zweck der vorgesehenen Verarbeitung]. {Falls es einen weitergehenden Rahmenvertrag, Werkvertrag, Leistungsvereinbarung, udgl gibt} Diese Vereinbarung ist als Ergänzung zu [Vertrag, etc samt Datum ergänzen] zu verstehen. (2) Folgende Datenkategorien werden verarbeitet: [Datenkategorien aufzählen, zb Kontaktdaten, Vertragsdaten, Verrechnungsdaten, Bonitätsdaten, Bestelldaten, Entgeltdaten, usw]. (3) Folgende Kategorien betroffener Personen werden unterliegen der Verarbeitung: [Betroffenenkategorien ergänzen, zb Kunden, Interessenten,

57 Lieferanten, Ansprechpartner, Beschäftigte, usw. 2. Dauer der Vereinbarung {Einmalige Durchführung} Die Vereinbarung endet mit einmaliger Durchführung der Arbeiten. {Befristete Laufzeit} Die Vereinbarung ist befristet abgeschlossen und endet mit [Fristende eintragen] {Unbefristete Laufzeit} Die Vereinbarung ist auf unbestimmte Zeit geschlossen und kann von beiden Parteien mit einer Frist von [Kündigungsfrist eintragen, zb ein Monat] zum [Kündigungstermin eintragen, zb Kalenderviertaljahr] gekündigt werden. Die Möglichkeit zur außerordentlichen Kündigung aus wichtigem Grund bleibt unberührt. 3. Pflichten des Auftragnehmers (1) Der Auftragnehmer verpflichtet sich, Daten und Verarbeitungsergebnisse ausschließlich im Rahmen der schriftlichen Aufträge des Auftraggebers zu verarbeiten. Erhält der Auftragnehmer einen behördlichen Auftrag, Daten des Auftraggebers herauszugeben, so hat er - sofern gesetzlich zulässig - den Auftraggeber unverzüglich darüber zu informieren und die Behörde an diesen zu verweisen. Desgleichen bedarf eine Verarbeitung der Daten für eigene Zwecke des Auftragnehmers eines schriftlichen Auftrages. (2) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle mit der Datenverarbeitung beauftragten Personen vor Aufnahme der Tätigkeit zur Vertraulichkeit verpflichtet hat oder diese einer angemessenen gesetzlichen Verschwiegenheitsverpflichtung unterliegen. Insbesondere bleibt die Verschwiegenheitsverpflichtung der mit der Datenverarbeitung beauftragten Personen auch nach Beendigung ihrer Tätigkeit und Ausscheiden beim Auftragnehmer aufrecht. (3) Der Auftragnehmer erklärt rechtsverbindlich, dass er alle erforderlichen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung nach Art 32 DSGVO ergriffen hat (Einzelheiten sind der Anlage./1 zu entnehmen). (4) Der Auftragnehmer ergreift die technischen und organisatorischen Maßnahmen, damit der Auftraggeber die Rechte der betroffenen Person nach Kapitel III der DSGVO (Information, Auskunft, Berichtigung und Löschung, Datenübertragbarkeit, Widerspruch, sowie automatisierte Entscheidungsfindung im Einzelfall) innerhalb der gesetzlichen Fristen jederzeit erfüllen kann und überlässt dem Auftraggeber alle dafür notwendigen Informationen. Wird ein entsprechender Antrag an den

58 Auftragnehmer gerichtet und lässt dieser erkennen, dass der Antragsteller ihn irrtümlich für den Auftraggeber der von ihm betriebenen Datenanwendung hält, hat der Auftragnehmer den Antrag unverzüglich an den Auftraggeber weiterzuleiten und dies dem Antragsteller mitzuteilen. (5) Der Auftragnehmer unterstützt den Auftraggeber bei der Einhaltung der in den Art 32 bis 36 DSGVO genannten Pflichten (Datensicherheitsmaßnahmen, Meldungen von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde, Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person, Datenschutz- Folgeabschätzung, vorherige Konsultation). (6) Der Auftragnehmer wird darauf hingewiesen, dass er für die vorliegende Auftragsverarbeitung ein Verarbeitungsverzeichnis nach Art 30 DSGVO zu errichten hat. (7) Dem Auftraggeber wird hinsichtlich der Verarbeitung der von ihm überlassenen Daten das Recht jederzeitiger Einsichtnahme und Kontrolle, sei es auch durch ihn beauftragte Dritte, der Datenverarbeitungseinrichtungen eingeräumt. Der Auftragnehmer verpflichtet sich, dem Auftraggeber jene Informationen zur Verfügung zu stellen, die zur Kontrolle der Einhaltung der in dieser Vereinbarung genannten Verpflichtungen notwendig sind. (8) Der Auftragnehmer ist nach Beendigung dieser Vereinbarung verpflichtet, alle Verarbeitungsergebnisse und Unterlagen, die Daten enthalten, dem Auftraggeber zu übergeben / in dessen Auftrag zu vernichten[1]. Wenn der Auftragnehmer die Daten in einem speziellen technischen Format verarbeitet, ist er verpflichtet, die Daten nach Beendigung dieser Vereinbarung entweder in diesem Format oder nach Wunsch des Auftraggebers in dem Format, in dem er die Daten vom Auftraggeber erhalten hat oder in einem anderen, gängigen Format herauszugeben. (9) Der Auftragnehmer hat den Auftraggeber unverzüglich zu informieren, falls er der Ansicht ist, eine Weisung des Auftraggebers verstößt gegen Datenschutzbestimmungen der Union oder der Mitgliedstaaten. 4. Ort der Durchführung der Datenverarbeitung [2] {Ausschließliche Durchführung innerhalb der EU/des EWR} Alle Datenverarbeitungstätigkeiten werden ausschließlich innerhalb der EU bzw des EWR durchgeführt. {Bei Durchführung, wenn auch nur teilweise, außerhalb der EU/des EWR}

59 Datenverarbeitungstätigkeiten werden zumindest zum Teil auch außerhalb der EU bzw des EWR durchgeführt, und zwar in [Staaten aufzählen]. Das angemessene Datenschutzniveau ergibt sich aus[3] einem Angemessenheitsbeschluss der Europäischen Kommission nach Art 45 DSGVO. einer Ausnahme für den bestimmten Fall nach Art 49 Abs 1 DSGVO. verbindlichen internen Datenschutzvorschriften nach Art 47 ivm Art 46 Abs 2 lit b DSGVO. Standarddatenschutzklauseln nach Art 46 Abs 2 lit c und d DSGVO. genehmigten Verhaltensregeln nach Art 46 Abs 2 lit e ivm Art 40 DSGVO. einen genehmigten Zertifizierungsmechanismus nach Art 46 Abs 2 lit f ivm Art 42 DSGVO. von der Datenschutzbehörde bewilligte Vertragsklauseln nach Art 46 Abs 3 lit a DSGVO. einer Ausnahme für den Einzelfall nach Art 49 Abs 1 Unterabsatz 2 DSGVO. 5. Sub-Auftragsverarbeiter [4] {Verbot der Hinzuziehung eines Sub-Auftragsverarbeiters} Der Auftragnehmer ist nicht berechtigt, einen Sub-Auftragsverarbeiter heranzuziehen. {Zulässigkeit der Hinzuziehung eines bestimmten Sub- Auftragsverarbeiters} Der Auftragnehmer ist befugt folgendes Unternehmen als Sub-Auftragsverarbeiter hinzuziehen: [Firmenname und Sitz ergänzen, Art der Tätigkeiten]. Beabsichtigte Änderungen des Sub-Auftragsverarbeiters sind dem Auftraggeber so rechtzeitig schriftlich bekannt zu geben, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters. {Zulässigkeit der Hinzuziehung von Sub-Auftragsverarbeitern} Der Auftragnehmer kann Sub-Auftragsverarbeiter [Tätigkeiten] hinzuziehen. Er hat den Auftraggeber von der beabsichtigten Heranziehung eines

60 Sub-Auftragsverarbeiters so rechtzeitig zu verständigen, dass er dies allenfalls untersagen kann. Der Auftragnehmer schließt die erforderlichen Vereinbarungen im Sinne des Art 28 Abs 4 DSGVO mit dem Sub-Auftragsverarbeiter ab. Dabei ist sicherzustellen, dass der Sub-Auftragsverarbeiter dieselben Verpflichtungen eingeht, die dem Auftragnehmer auf Grund dieser Vereinbarung obliegen. Kommt der Sub-Auftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der Auftragnehmer gegenüber dem Auftraggeber für die Einhaltung der Pflichten des Sub-Auftragsverarbeiters. [Ort], am [Datum] Für den Auftraggeber:... [Name samt Funktion] [Ort], am [Datum] Für den Auftragnehmer:... [Name samt Funktion] Anlage./1 Technisch-organisatorische Maßnahmen [5] Vertraulichkeit Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, z.b.: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen; Zugangskontrolle: Schutz vor unbefugter Systembenutzung, z.b.: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei-Faktor-Authentifizierung, Verschlüsselung von Datenträgern; Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, z.b.: Standard-Berechtigungsprofile auf need to know-basis, Standardprozess für Berechtigungsvergabe, Protokollierung von Zugriffen, periodische Überprüfung der vergebenen Berechtigungen, insb von administrativen Benutzerkonten;

61 Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt. Klassifikationsschema für Daten: Aufgrund gesetzlicher Verpflichtungen oder Selbsteinschätzung (geheim/vertraulich/intern/öffentlich). Integrität[6] Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, z.b.: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, z.b.: Protokollierung, Dokumentenmanagement; Verfügbarkeit und Belastbarkeit Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, z.b.: Backup-Strategie (online/offline; onsite/off-site), unterbrechungsfreie Stromversorgung (USV, Dieselaggregat), Virenschutz, Firewall, Meldewege und Notfallpläne; Security Checks auf Infrastruktur- und Applikationsebene, Mehrstufiges Sicherungskonzept mit verschlüsselter Auslagerung der Sicherungen in ein Ausweichrechenzentrum, Standardprozesse bei Wechsel/Ausscheiden von Mitarbeitern; Rasche Wiederherstellbarkeit; Löschungsfristen: Sowohl für Daten selbst als auch Metadaten wie Logfiles, udgl. Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung Datenschutz-Management, einschließlich regelmäßiger Mitarbeiter- Schulungen; Incident-Response-Management; Datenschutzfreundliche Voreinstellungen; Auftragskontrolle: Keine Auftragsdatenverarbeitung im Sinne von Art 28 DS-GVO ohne entsprechende Weisung des Auftraggebers, z.b.: eindeutige Vertragsgestaltung, formalisiertes Auftragsmanagement, strenge Auswahl des Auftragsverarbeiters (ISO-Zertifizierung, ISMS), Vorabüberzeugungspflicht, Nachkontrollen. Hinweise Dieser Mustervertrag ist auf eine Auftragsverarbeitung in Österreich,

62 innerhalb des EWR oder in Staaten mit angemessenem Datenschutzniveau zugeschnitten. Für die Auftragsverarbeitung in Drittstaaten ist die Verwendung von Standardvertragsklauseln zu empfehlen (Bewilligungsfreiheit nach Art 46 Abs 2 lit c DSGVO). Dieser Mustervertrag wurde mit größter Sorgfalt erstellt und kann laufend aktualisiert werden. Für die Richtigkeit, Vollständigkeit, Aktualität oder Qualität des bereitgestellten Musters sowie auch für weiterführende Links können wir jedoch keine Gewähr übernehmen. Haftungsansprüche gegen Personen, welche dieses Muster bereitgestellt haben, sind daher ausgeschlossen. Wir behalten uns ausdrücklich vor, das Muster ohne gesonderte Ankündigung zu verändern, zu ergänzen, zu löschen oder die Veröffentlichung zeitweise oder endgültig einzustellen und übernehmen daher keine Gewähr und Haftung für die dauerhafte Verfügbarkeit der des Musters. [1] Nichtzutreffendes bitte streichen. [2] Nichtzutreffendes bitte streichen. [3] Nichtzutreffendes bitte streichen. Siehe im Allgemeinen Merkblatt Internationaler Datenverkehr nach der EU-DSGVO. [4] Nichtzutreffendes bitte streichen. [5] Entsprechend den Realitäten anpassen! [6] Verhinderung von (unbeabsichtigter) Zerstörung/Vernichtung, (unbeabsichtigter) Schädigung, (unbeabsichtigtem) Verlust, (unbeabsichtigter) Veränderung von personenbezogenen Daten. Wirtschaftskammer Kontakt Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus.

63 Downloads Mustervertrag im Word-Format zum Ausfüllen (/service/wirtschaftsrechtgewerberecht/eu-dsgvo-mustervertrag-vereinbarung-auftragsverarbeitung.docx) DOCX PDF PDF-Version Mustervertrag (/service/wirtschaftsrecht-gewerberecht/eu-dsgvomustervertrag-vereinbarung-auftragsverarbeitung.pdf) Quelle:

64 Home > Themen > Wirtschaftsrecht und Gewerberecht > Datenschutz > EU-Datenschutz-Grundverordnung (DSGVO): Der Datenschutzbeauftragte EU-Datenschutz-Grundverordnung (DSGVO): Datenschutzbeauftragter Wann wird ein Datenschutzbeauftragter benötigt und was sind seine Aufgaben? Stand: Hinweis: Die Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) in der Fassung des Datenschutz- Anpassungsgesetzes 2018 gelten ab Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Ab diesem Zeitpunkt drohen hohe Geldstrafen. (Siehe dazu Zeitplan und Kurzüberblick ) Besteht eine Verpflichtung zur Bestellung? Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist für Unternehmen nur in folgenden Fällen vorgesehen, wenn die Kerntätigkeit in der Durchführung von Verarbeitungsvorgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen (z.b. Banken, Versicherungen, Kreditauskunfteien und Berufsdetektive). die Kerntätigkeit des Unternehmens in der umfangreichen Verarbeitung sensibler Daten oder von Daten über strafrechtliche Verurteilungen oder Straftaten besteht (z.b. Krankenanstalten).

65 Zur Auslegung der Bestimmungen zum Datenschutzbeauftragten in der DSGVO sowie zu dessen Aufgaben können die Guidelines der Art 29-Gruppe zum Datenschutzbeauftragten herangezogen werden, die auf der Website der EU-Kommission abrufbar sind. Die Art 29-Gruppe definiert Kerntätigkeit als die wichtigsten Arbeitsabläufe, die zur Erreichung der Ziele des Verantwortlichen oder des Auftragsverarbeiters erforderlich sind. Der Begriff regelmäßig wird von der Art 29-Gruppe dahingehend interpretiert, dass mindestens eine der folgenden Eigenschaften vorliegt: fortlaufend oder in bestimmten Abständen während eines bestimmten Zeitraums vorkommend, immer wieder oder wiederholt zu bestimmten Zeitpunkten auftretend, ständig oder regelmäßig stattfindend. Die Art 29-Gruppe interpretiert den Begriff systematisch als gegeben, wenn mindestens eine der folgenden Eigenschaften vorliegt: systematisch vorkommend, vereinbart, organisiert oder methodisch, im Rahmen eines allgemeinen Datenerfassungsplans erfolgend, im Rahmen einer Strategie erfolgend. Diese Voraussetzungen gelten für Verantwortliche und Auftragsverarbeiter gleichermaßen. Sowohl Verantwortliche als auch Auftragsverarbeiter können daher der Verpflichtung zur Bestellung eines Datenschutzbeauftragten unterliegen; das Vorliegen der Voraussetzung ist unabhängig vom jeweils anderen zu prüfen. Die Kontaktdaten des Datenschutzbeauftragten sind zu veröffentlichen und der Datenschutzbehörde mitzuteilen. Eine freiwillige Bestellung eines Datenschutzbeauftragten ist jederzeit möglich. Achtung: Ein freiwillig bestellter Datenschutzbeauftragter hat dieselbe Stellung und dieselben Aufgaben wie ein verpflichtend zu bestellender Datenschutzbeauftragter. Aufgaben Der Datenschutzbeauftragte hat jedenfalls die folgenden Aufgaben zu erfüllen:

66 Die Unterrichtung und Beratung der Unternehmer und Mitarbeiter hinsichtlich ihrer Pflichten nach dem Datenschutzrecht. Die Überwachung und Überprüfung der Einhaltung der Datenschutzvorschriften und Strategien für den Schutz personenbezogener Daten, einschließlich der Zuweisung von Zuständigkeiten, Sensibilisierung und Schulung der Mitarbeiter. Beratungen auf Anfrage - im Zusammenhang mit der Datenschutz- Folgenabschätzung und der Überwachung ihrer Durchführung. Die Zusammenarbeit mit der Aufsichtsbehörde und Anlaufstelle für diese. Qualifikationen An Qualifikationen muss der Datenschutzbeauftragte jedenfalls ein Fachwissen auf dem Gebiet des Datenschutzrechtes und der Datenschutzpraxis besitzen und die Fähigkeit die oben genannten Aufgaben zu erfüllen. Stellung im Unternehmen Der Datenschutzbeauftragte kann ein Dienstnehmer oder ein Selbständiger sein. Er ist ordnungsgemäß und frühzeitig in alle mit dem Schutz personenbezogener Daten zusammenhängenden Fragen einzubinden. Der Unternehmer muss den Datenschutzbeauftragten bei der Erfüllung seiner Aufgaben unterstützen und ihm dafür die erforderlichen Ressourcen und den Zugang zu den personenbezogenen Daten und Verarbeitungsvorgängen zur Verfügung stellen. Zur Erhaltung seines Fachwissens hat der Unternehmer ebenfalls die erforderlichen Ressourcen zu gewähren. Der Datenschutzbeauftragte darf bei der Erfüllung seiner Aufgaben keine Anweisungen bezüglich der Ausübung dieser Aufgaben erhalten. Weiters darf er vom Unternehmer wegen der Erfüllung seiner Aufgaben nicht abberufen oder benachteiligt werden. Allerdings ist darin kein genereller Kündigungsschutz zu sehen. Er hat weiters unmittelbar an die höchste Managementebene zu berichten. Betroffene Personen können mit dem Datenschutzbeauftragten zu allen mit der Verarbeitung ihrer personenbezogenen Daten und mit der Wahrnehmung ihrer Rechte im Bereich der Datenschutz-Grundverordnung im Zusammenhang stehenden Fragen Kontakt aufnehmen. Der Datenschutzbeauftragte sollte nach Ansicht der Art 29-Gruppe der primäre Ansprechpartner für betroffene Personen sein. Der Datenschutzbeauftragte ist bei der Erfüllung seiner Aufgaben zur Geheimhaltung und Vertraulichkeit verpflichtet. Dies gilt insbesondere in

67 Bezug auf die Identität betroffener Personen, die sich an den Datenschutzbeauftragten gewandt haben, sowie über Umstände, die Rückschlüsse auf diese Personen zulassen, außer es ist eine ausdrückliche Entbindung von der Verschwiegenheitspflicht durch die betroffene Person erfolgt. Er kann auch andere Aufgaben und Pflichten übernehmen, doch darf dies nicht zu einem Interessenkonflikt führen. Aussageverweigerungsrecht Erhält ein Datenschutzbeauftragter bei seiner Tätigkeit Kenntnis von Daten, für die einer der Kontrolle des Datenschutzbeauftragten unterliegenden Stelle beschäftigten Person ein gesetzliches Aussageverweigerungsrecht zusteht, steht dieses Recht auch dem Datenschutzbeauftragten und den für ihn tätigen Personen insoweit zu, als die Person, der das gesetzliche Aussageverweigerungsrecht zusteht, davon Gebrauch gemacht hat. Bestellung Der Unternehmer teilt die Kontaktdaten des Datenschutzbeauftragten der Datenschutzbehörde mit und veröffentlicht sie. Näheres zur Bestellung ist nicht geregelt. Sie sollte aber jedenfalls aus Beweisgründen schriftlich erfolgen und die klare Zustimmung des Datenschutzbeauftragten zu seiner Position enthalten. Eine Unternehmensgruppe darf einen gemeinsamen Datenschutzbeauftragten ernennen, sofern der Datenschutzbeauftragte von jeder Niederlassung aus leicht erreicht werden kann. Haftung - verantwortlicher Beauftragter Eine Bestellung des Datenschutzbeauftragten als verantwortlicher Beauftragter nach dem Verwaltungsstrafgesetz ist nicht zulässig. Geldstrafen Die Missachtung der Verpflichtung zur Bestellung eines Datenschutzbeauftragten ist mit bis zu EUR 10 Mio oder 2 % des letztjährigen weltweiten Jahresumsatzes sanktioniert. Relevante Artikel der DSGVO: Art Relevante Erwägungsgründe: 97 Relevante Bestimmungen des DSG (i.d.f. des Datenschutz- Anpassungsgesetzes 2018): 5

68 Wirtschaftskammer Kontakt Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus. Quelle: Grundverordnung:-Der-Datenschutzbeauftragt.html

69 Home > Themen > Wirtschaftsrecht und Gewerberecht > Datenschutz > EU-Datenschutz-Grundverordnung (DSGVO): Data Breach Notification - Muster Meldung an die Aufsichtsbehörde EU-Datenschutz-Grundverordnung (DSGVO): Data Breach Notification - Muster Meldung an die Aufsichtsbehörde Meldung bei Verlust der Kontrolle über Daten Stand: Data Breach Notification [1] (Art 33 EU-Datenschutzgrund-Verordnung (DSGVO)) - Meldung an die Aufsichtsbehörde: Österreichische Datenschutzbehörde Wickenburggasse 8-10, 1080 Wien dsb@dsb.gv.at 1. Name und Kontaktdaten des Verantwortlichen [2] a. Name und Anschrift: b. -Adresse (und allenfalls weitere Kontaktdaten wie z.b. Tel.Nr.):

70 2. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie z.b. Tel.Nr.) des Datenschutzbeauftragten [3] a. Name und Anschrift: b. -Adresse (und allenfalls weitere Kontaktdaten wie z.b. Tel.Nr.): 3. Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten a. soweit möglich Kategorien und ungefähre Zahl der betroffenen Personen: b. soweit möglich betroffene Kategorien und ungefähre Zahl der personenbezogenen Datensätze: 4. Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes

71 personenbezogener Daten 5. Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung a. ggf Maßnahmen zur Abmilderung der Auswirkungen der Verletzung: 6. Datum und Uhrzeit [4] des Vorfalls a. Begründung, falls die Meldung länger als 72h nachdem der Vorfall dem Verantwortlichen bekannt wurde, erfolgte:

72 [1] Data Breach oder Datenpanne beschreibt den Verlust der Kontrolle über die Daten, siehe dazu auch das WKO-Merkblatt EU-Datenschutz- Grundverordnung (DSGVO): Meldung von Datenschutzverletzungen (Data Breach Notification). [2] Auch der Auftragsverarbeiter hat in seiner Sphäre auftretende data breaches unverzüglich dem Verantwortlichen zu melden. [3] Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. Siehe dazu das WKO-Merkblatt EU-Datenschutz- Grundverordnung (DSGVO): Datenschutzbeauftragter. [4] Die Meldung an die Aufsichtsbehörde sollte unverzüglich, spätestens innerhalb von 72h erfolgen, nachdem dem Verantwortlichen die Verletzung bekannt wurde. Ist das nicht möglich, muss eine Begründung übermittelt werden, weshalb nicht innerhalb von 72h gemeldet werden konnte. Wirtschaftskammer Kontakt Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus. Downloads Muster Word-Formular (/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-databreach-notification-behoerde.docx) DOCX PDF Anwendungsbeispiel (/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-data-breachnotification-behoerde.pdf) Quelle:

73 Home > Themen > Wirtschaftsrecht und Gewerberecht > Datenschutz > EU-Datenschutz-Grundverordnung (DSGVO): Data Breach Notification - Muster Benachrichtigung der betroffenen Person EU-Datenschutz-Grundverordnung (DSGVO): Data Breach Notification - Muster Benachrichtigung der betroffenen Person Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person Stand: Data Breach Notification [1] (Art 34 EU-Datenschutzgrund-Verordnung (DSGVO)) Benachrichtigung der von einer Verletzung des Schutzes personenbezogener Daten betroffenen Person 1. Name und Kontaktdaten des Verantwortlichen a. Name und Anschrift: b. -Adresse (und allenfalls weitere Kontaktdaten wie z.b. Tel.Nr.): 2. Name und Kontaktdaten (Anschrift, und allenfalls weitere Kontaktdaten wie z.b. Tel.Nr.) des Datenschutzbeauftragten [2]

74 a. Name und Anschrift: b. -Adresse (und allenfalls weitere Kontaktdaten wie z.b. Tel.Nr.): 3. Beschreibung der Art der Verletzung des Schutzes personenbezogener Daten 4. Beschreibung der wahrscheinlichen Folgen der Verletzung des Schutzes personenbezogener Daten 5. Beschreibung der ergriffenen oder vorgeschlagenen Maßnahmen zur Behebung der Verletzung a. ggf Maßnahmen zur Abmilderung der Auswirkungen der Verletzung:

75 [1] Data Breach oder Datenpanne beschreibt den Verlust der Kontrolle über die Daten, siehe dazu auch das WKO-Merkblatt EU-Datenschutz- Grundverordnung (DSGVO): Meldung von Datenschutzverletzungen (Data Breach Notification). [2] Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. Siehe dazu das WKO-Merkblatt EU-Datenschutz- Grundverordnung (DSGVO): Datenschutzbeauftragter. Wirtschaftskammer Kontakt Für den Ansprechpartner in Ihrer Wirtschaftskammer wählen Sie bitte oben Ihr Bundesland aus. Downloads Muster Word-Formular (/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-databreach-notification-betroffene.docx) DOCX PDF PDF-Version mit ausgefülltem Beispiel (/service/wirtschaftsrechtgewerberecht/eu-dsgvo-data-breach-notification-betroffene.pdf) Quelle:

76 Übersicht von Verarbeitungstätigkeiten Vorblatt Auftragsverarbeiter gem. Artikel 30 Abs. 2 DS-GVO Angaben zum Auftragsverarbeiter Name und Kontaktdaten natürliche Person/juristische Person/Behörde/Einrichtung etc. Firmengruppe ja nein Name Straße Postleitzahl Ort Telefon -Adresse Internet-Adresse Angaben zu ggf. einem weiteren gemeinsamen Auftragsverarbeiter Name Straße Postleitzahl Ort Telefon -Adresse Angaben zum Vertreter des Auftragsverarbeiter Name und Kontaktdaten natürliche Person/juristische Person/Behörde/Einrichtung etc. Name Straße Postleitzahl Ort Telefon -Adresse Angaben zur Person des Datenschutzbeauftragten * (extern mit Anschrift) * sofern gem. Artikel 37 DS-GVO benannt Anrede Titel Name, Vorname Straße Postleitzahl Ort Telefon -Adresse Seite 1 von 3

77 Angaben zum jeweiligen Auftraggeber Anlage Unternehmen (Auftraggeber) Name Straße Postleitzahl Ort Telefon Kategorien von Verarbeitungen (mit Erläuterung der jeweiligen Verarbeitung) Aktenvernichtung Archivierung Bürokommunikation Cloud-Services Finanzbuchhaltung Hosting -System Hosting Internetsystem Hosting von Verarbeitungen Lohn- und Gehaltsabrechnung Personalverwaltung Werbung / Letter Shop Zeiterfassung Reisekosten Sonstige Seite 2 von 3

78 Datenübermittlung Datenübermittlung findet nicht statt und ist auch nicht geplant Datenübermittlung findet wie folgt statt: Drittland, Name: internationale Organisation, Bezeichnung: Nennung der konkreten Datenempfänger Empfängerkategorie Sofern es sich um eine in Art. 49 Abs. 1 Unterabsatz 2 DS-GVO genannte Datenübermittlung handelt. Dokumentation geeigneter Garantien Subunternehmer, Name: Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO Bemerkungen: siehe TOM-Beschreibung... Auftragsverarbeiter Datum Unterschrift Seite 3 von 3

79 Verzeichnis von Verarbeitungstätigkeiten Vorblatt Verantwortlicher gem. Artikel 30 Abs. 1 DSGVO Angaben zum Verantwortlichen Name und Kontaktdaten natürliche Person/juristische Person/Behörde/Einrichtung etc. Hauptniederlassung: ja nein Name Straße Postleitzahl Ort Telefon -Adresse Internet-Adresse Angaben zum ggf. gemeinsam mit diesem Verantwortlichen Name Straße Postleitzahl Ort Telefon -Adresse Angaben zum Vertreter des Verantwortlichen Name und Kontaktdaten natürliche Person/juristische Person/Behörde/Einrichtung etc. Name Straße Postleitzahl Ort Telefon -Adresse Angaben zur Person des Datenschutzbeauftragten * (extern mit Anschrift) * sofern gem. Artikel 37 DS-GVO benannt Anrede Titel Name, Vorname Straße Postleitzahl Ort Telefon -Adresse Seite 1 von 3

80 Bezeichnung der Verarbeitungstätigkeit Anlage Datum der Anlegung: Datum der letzten Änderung: Verantwortliche Fachabteilung Ansprechpartner Telefon -Adresse Bezeichnung der Verarbeitungstätigkeit Zwecke der Verarbeitung Beschreibung der Kategorien betroffener Personen Beschäftigte Interessenten Lieferanten Kunden Patienten Sonstige: Beschreibung der Datenkategorien Sonstige: Besondere Arten personenbezogener Daten: Seite 2 von 3

81 Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offen gelegt worden sind oder noch werden intern Abteilung/ Funktion extern Empfängerkategorie Datenübermittlung Datenübermittlung findet nicht statt und ist auch nicht geplant Datenübermittlung findet wie folgt statt: Drittland, Name: internationale Organisation, Bezeichnung: Nennung der konkreten Datenempfänger Empfängerkategorie Sofern es sich um eine in Art. 49 Abs. 1 Unterabsatz 2 DS-GVO genannte Datenübermittlung handelt. Dokumentation geeigneter Garantien Fristen für die Löschung der verschiedenen Datenkategorien Technische und organisatorische Maßnahmen (TOM) gemäß Artikel 32 Abs.1 DSGVO Bemerkungen: siehe TOM-Beschreibung... Verantwortlicher Datum Unterschrift Seite 3 von 3

82 EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO): MUSTER Verpflichtungserklärung zum Datengeheimnis und zur Wahrung von Geschäfts- und Betriebsgeheimnissen Erläuterung: Dieses Muster kann entweder selbständig oder im Rahmen eines Dienstvertrages verwendet werden. Diese Verpflichtungserklärung betrifft: Familienname: Vornamen: In Ausübung Ihrer beruflichen Tätigkeit erhalten Sie voraussichtlich Kenntnis über personenbezogene Daten sowie Geschäfts- und Betriebsgeheimnisse. Alle diese Informationen sind absolut vertraulich zu behandeln und unterliegen den Bestimmungen des österreichischen und europäischen Datenschutzrechts sowie des Wettbewerbsrechts. Mit Ihrer Unterschrift verpflichten Sie sich, 1. das Datenschutzrecht zu wahren, insbesondere 6 DSG, einschließlich entsprechender betrieblicher Anordnungen; 2. Geschäfts- und Betriebsgeheimnisse zu wahren ( 11 UWG); 3. bei einem Verstoß gegen das Datengeheimnis oder eine Verletzung von Geschäftsund Betriebsgeheimnissen, Schadenersatz zu leisten, und zwar ohne Rücksicht auf den tatsächlich eingetretenen Schaden durch Vereinbarung einer Konventionalstrafe pauschaliert, und zwar im Ausmaß von [Anzahl eintragen] Bruttomonatsentgelten. Die zitierten Bestimmungen sind im Anhang zu dieser Erklärung abgedruckt.

83 Ihnen ist bekannt, dass die personenbezogenen Daten natürlicher wie juristischer Personen einem besonderen Schutz unterliegen und die Verwendung solcher Daten nur unter besonderen Voraussetzungen zulässig ist; personenbezogene Daten, die Ihnen auf Grund Ihrer beruflichen Beschäftigung anvertraut oder zugänglich gemacht wurden, nur auf Grund einer ausdrücklichen Anordnung des jeweiligen Vorgesetzten übermittelt werden dürfen; es untersagt ist, Daten an unbefugte Empfänger innerhalb und außerhalb des Unternehmens zu übermitteln oder sonst zugänglich zu machen; es untersagt ist, sich unbefugt Daten zu beschaffen oder zu verarbeiten; es untersagt ist, personenbezogene Daten zu einem anderen als dem zum rechtmäßigen Aufgabenvollzug gehörenden Zweck zu verwenden; anvertraute Benutzerkennwörter, Passwörter und sonstige Zugangsberechtigungen sorgfältig verwahrt und geheim zu halten sind; allfällige weiterreichende andere Bestimmungen über die Geheimhaltungspflichten ebenfalls zu beachten sind; diese Verpflichtung auch nach Beendigung Ihrer Tätigkeit fortbesteht; Verstöße gegen die hier genannten Verschwiegenheitsverpflichtungen nicht nur arbeitsrechtliche Folgen, sondern auch (verwaltungs-)strafrechtliche Folgen haben und schadenersatzpflichtig machen. Hiermit erkläre ich, am [Datum der Belehrung] von meinem Arbeitgeber über das Datengeheimnis nach 6 DSG und die Verschwiegenheitsverpflichtungen nach 11 UWG belehrt worden zu sein. Ort, Datum Unterschrift des Verpflichteten

84 Datengeheimnis nach 6 DSG (1) Der Verantwortliche, der Auftragsverarbeiter und ihre Mitarbeiter das sind Arbeitnehmer (Dienstnehmer) und Personen in einem arbeitnehmerähnlichen (dienstnehmerähnlichen) Verhältnis haben personenbezogene Daten aus Datenverarbeitungen, die ihnen ausschließlich auf Grund ihrer berufsmäßigen Beschäftigung anvertraut wurden oder zugänglich geworden sind, unbeschadet sonstiger gesetzlicher Verschwiegenheitspflichten, geheim zu halten, soweit kein rechtlich zulässiger Grund für eine Übermittlung der anvertrauten oder zugänglich gewordenen personenbezogenen Daten besteht (Datengeheimnis). (2) Mitarbeiter dürfen personenbezogene Daten nur auf Grund einer ausdrücklichen Anordnung ihres Arbeitgebers (Dienstgebers) übermitteln. Der Verantwortliche und der Auftragsverarbeiter haben, sofern eine solche Verpflichtung ihrer Mitarbeiter nicht schon kraft Gesetzes besteht, diese vertraglich zu verpflichten, personenbezogene Daten aus Datenverarbeitungen nur aufgrund von Anordnungen zu übermitteln und das Datengeheimnis auch nach Beendigung des Arbeitsverhältnisses (Dienstverhältnisses) zum Verantwortlichen oder Auftragsverarbeiter einzuhalten. (3) Der Verantwortliche und der Auftragsverarbeiter haben die von der Anordnung betroffenen Mitarbeiter über die für sie geltenden Übermittlungsanordnungen und über die Folgen einer Verletzung des Datengeheimnisses zu belehren. (4) Unbeschadet des verfassungsrechtlichen Weisungsrechts darf einem Mitarbeiter aus der Verweigerung der Befolgung einer Anordnung zur unzulässigen Datenübermittlung kein Nachteil erwachsen. (5) Ein zugunsten eines Verantwortlichen bestehendes gesetzliches Aussageverweigerungsrecht darf nicht durch die Inanspruchnahme eines für diesen tätigen Auftragsverarbeiters, insbesondere nicht durch die Sicherstellung oder Beschlagnahme von automationsunterstützt verarbeiteten Dokumenten, umgangen werden. Verletzung von Geschäfts- oder Betriebsgeheimnissen und Missbrauch anvertrauter Vorlagen nach 11 UWG (1) Wer als Bediensteter eines Unternehmens Geschäfts- oder Betriebsgeheimnisse, die ihm vermöge des Dienstverhältnisses anvertraut oder sonst zugänglich geworden sind, während der Geltungsdauer des Dienstverhältnisses unbefugt anderen zu Zwecken des Wettbewerbes mitteilt, ist vom Gericht mit Freiheitsstrafe bis zu drei Monaten oder mit Geldstrafe bis zu 180 Tagessätzen zu bestrafen. (BGBl. Nr. 120/1980, Art. I Z 6) (2) Die gleiche Strafe trifft den, der Geschäfts- oder Betriebsgeheimnisse, deren Kenntnis er durch eine der im Abs. 1 bezeichneten Mitteilungen oder durch eine gegen das Gesetz oder die guten Sitten verstoßende eigene Handlung erlangt hat, zu Zwecken des Wettbewerbes unbefugt verwertet oder an andere mitteilt. (3) Die Verfolgung findet nur auf Verlangen des Verletzten statt. Stand: Dezember 2017 Dieses Merkblatt ist ein Produkt der Zusammenarbeit aller Wirtschaftskammern. Bei Fragen wenden Sie sich bitte an die Wirtschaftskammer Ihres Bundeslandes: Burgenland, Tel. Nr.: , Kärnten, Tel. Nr.: , Niederösterreich Tel. Nr.: (02742) 851-0, Oberösterreich, Tel. Nr.: , Salzburg, Tel. Nr.: (0662) , Steiermark, Tel. Nr.: (0316) 601-0, Tirol, Tel. Nr.: , Vorarlberg, Tel. Nr.: (05522) 305-0, Wien, Tel. Nr.: (01) , Hinweis! Diese Information finden Sie auch im Internet unter Alle Angaben erfolgen trotz sorgfältigster Bearbeitung ohne Gewähr. Eine Haftung der Wirtschaftskammern Österreichs ist ausgeschlossen. Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter!

85 Verordnung (EU) 2016/679 Datenschutz-Grundverordnung Leitfaden Zusammengestellt von Dr. Matthias Schmidl Stand: Oktober