03/2018 KURZLEITFADEN ZUR EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO)

Transkript

1 03/2018 KURZLEITFADEN ZUR EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO)

2 Die neue Datenschutz-Grundverordnung ("DSGVO") wird ab dem 25. Mai 2018 wirksam. Das bedeutet, ab diesem Zeitpunkt müssen alle Verarbeitungen personenbezogener Daten an die neue Rechtslage angepasst werden. Der nachfolgende Kurzleitfaden soll Ihnen nicht nur dabei helfen, Ihr Unternehmen auf die DSGVO vorzubereiten, sondern auch unter der DSGVO die richtigen Akzente zu setzen. Mit unserem Ampelsystem unterstützen wir Sie durch unverbindliche Priorisierungsvorschläge bei der Einteilung Ihrer Ressourcen und bei Ihrer Entscheidung, in welcher Reihenfolge Sie Ihre Arbeitsprozesse festlegen. Unser Ampelsystem: Rot: Erste Schritte (grundlegend) Gelb: Anschließende Schritte (aufbauend) Grün: Weiterführende Schritte (detailierend) Unser Ampelsystem ist nicht als eine Einschätzung der Wichtigkeit der DSGVO-Vorgaben oder als eine Wertung der Risiken unter der DSGVO zu verstehen, sondern als ein Vorschlag zur zeitlichen Gliederung Ihrer Umsetzungsmaßnahmen. 2

3 Erfassen der Datenverarbeitungen im Unternehmen Prüfen Sie, welche personenbezogenen Daten (zb Name, Geburtsdatum, Anschrift, Bankverbindung) in Ihrem Unternehmen verarbeitet werden. Um diese Prüfung zu vereinfachen können die bisherigen Einträge im Datenverarbeitungsregister bei der österreichischen Datenschutzbehörde verwendet werden (sofern vorhanden) bzw können auch die in der Standard- und Musterverordnung 2004 definierten "Standardanwendungen" als Orientierungshilfe herangezogen werden (abrufbar unter: Zu prüfen ist: Welche Standardanwendungen bestehen in Ihrem Unternehmen? Welche Datenanwendungen Ihres Unternehmens sind im DVR registriert? Spezieller Fokus: Wird bei Ihnen im Unternehmen Videoüberwachung durchgeführt? Erfolgen in ihrem Unternehmen Entscheidungen unter ausschließlich automatisierter Verwendung von Daten (zb Profiling)? 3

4 Rechtmäßigkeitsprüfung Nachdem Sie festgestellt haben, welche Datenverarbeitungen in Ihrem Unternehmen durchgeführt werden, ist zu überlegen zu welchen Zwecken diese Datenverarbeitungen stattfinden. Gibt es keinen erschließbaren Zweck für eine Datenverarbeitung, wäre diese datenschutzrechtlich unzulässig. Anschließend ist zu erarbeiten, auf welche Rechtsgrundlage (zb Vertragserfüllung, rechtliche Verpflichtung, überwiegendes berechtigtes Interesse) die identifizierten Datenverarbeitungen durchgeführt werden. Überprüfen Sie, ob für einzelne Datenverarbeitungen Einwilligungen der betroffenen Personen eingeholt wurden. Wenn ja, ist zu prüfen, ob diese Einwilligungen erforderlich waren oder ob die Datenverarbeitung zb ohnedies zur Vertragserfüllung benötigt wird. Besteht eine Notwendigkeit für die Einwilligung (zb bei elektronischer Werbung), ist zu prüfen, ob diese Einwilligung den Anforderungen der DSGVO entspricht und auch, ob die bisherigen Einwilligungen ausreichend im Unternehmen dokumentiert sind. Dokumentationspflicht, Datensicherheitsmaßnahmen und Datenschutz-Folgenabschätzung Prüfen Sie, ob für ihre Datenverarbeitungen eine Dokumentationspflicht in Form eines Verarbeitungsverzeichnisses besteht. Ist dies zu bejahen, legen Sie ein Verarbeitungsverzeichniss an. Überprüfen Sie Ihre bestehenden Datensicherheitsmaßnahmen. Überlegen Sie, ob für Ihre Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen ist. o o Zu untersuchen ist, welche Risiken aus der Datenverarbeitung sich für die Rechte und Freiheiten der Betroffenen ergeben; und wie der Risikoeintritt verhindert oder zumindest minimiert werden kann. 4

5 Auftragsverarbeiter (Dienstleister) Prüfen Sie, ob in Ihrem Unternehmen Auftragsverarbeiter für Datenverarbeitungen herangezogen werden (zb IT-Dienstleister). Wenn ja, wurden mit diesen Auftragsverarbeitern schriftliche Vereinbarungen getroffen? Prüfen Sie die Inhalte dieser Vereinbarungen speziell unter den Anforderungen der Art 26, 28 DSGVO. Besondere Kategorien von Daten Prüfen Sie, ob sensiblen Daten (zb rassische und ethnische Herkunft, politische Meinung, religiöse oder weltanschauliche Überzeugungen, genetische Daten, Gesundheitsdaten, Daten zum Sexualleben) in Ihrem Unternehmen verarbeitet werden. Achtung: In vielen Fällen benötigen Sie für die Verarbeitung solcher Daten die Einwilligung des Betroffenen! Überprüfung bestehender Strukturen Überprüfen Sie Ihre AGB, Ihre bisher verwendeten Datenschutz- bzw Einwilligungserklärungen, Informationspapiere und Verträge und passen Sie diese bei Bedarf an die Vorgaben der DSGVO an. 5

6 Informationspflichten, Betroffenenrechte und Nachweise Erarbeiten Sie eine Strategie, wie Sie die Informationspflichten der DSGVO gem Art 13 und 14 erfüllen (zb Aktualisieren der Datenschutzerklärung auf Ihrer Website und übermitteln/übergeben der Datenschutzerklärung als Beilage mit Ihren Verträgen). Erarbeiten Sie eine Strategie, wie Sie die Betroffenenrechte unter den Vorgaben der DSGVO erfüllen können. Auch wenn Sie keine Pflicht zur Benennung eines Datenschutzbeauftragten trifft: Bennen Sie eine Person oder legen Sie eine Organisationseinheit in Ihrem Unternehmen fest, an die sich betroffene Personen für die Ausübung ihrer Betroffenenrechte wenden können. Stellen Sie sicher, dass Ihre zur DSGVO-Vorbereitung ergriffenen Maßnahmen umfangreich dokumentiert sind. Datenschutzbeauftragter Prüfen Sie, ob Sie für Ihr Unternehmen einen Datenschutzbeauftragten bestellen müssen. Dies kann etwa dann der Fall sein, wenn die Kerntätigkeit Ihres Unternehmens gem Art 37 DSGVO in der umfangreichen Verarbeitung von sensiblen oder strafrechtsbezogenen Daten liegt. Data Breach Notification Evaluieren Sie, welche Vorkehrungen gegen Datenschutzverletzungen in Ihrem Unternehmen bereits ergriffen worden sind. Beachten Sie, dass eine Datenschutzverletzung, die zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt, binnen 72 Stunden der Datenschutzbehörde zu melden ist. Diese Frist läuft an Werktagen ebenso wie an Sonn- oder Feiertagen. Sollte durch die Datenschutzverletzung ein hohes Risiko für die Rechte und Freiheiten der Betroffenen bestehen, so sind auch diese von der Datenschutzverletzung unverzüglich zu unterrichten. 6

7 Datenübermittlung ins EWR-Ausland Überprüfen Sie, ob zwischen Ihrem Unternehmen und einem Empfänger (auch Auftragsverarbeiter/Dienstleister) im EWR-Ausland ein Datenverkehr stattfindet. Falls ja, prüfen Sie auf welche Rechtsgrundlage (zb Standarddatenschutzklauseln, Angemessenheitsbeschluss der Europäischen Kommission, Privacy Shield) der Datenverkehr gestützt werden kann und ob solche Schutzstandards für den Datentransfer Ihres Unternehmens vorhanden sind. 7

8 Arbeitnehmerdatenschutz Beachten Sie, die Besonderheiten des Arbeitnehmerdatenschutzes: Dienstverträge, Betriebsvereinbarungen, Dienstordnungen, müssen unter Umständen an die DSGVO angepasst werden. Das Datenschutz-Anpassungsgesetz 2018 sieht vor, dass Mitarbeiter vertraglich zur Einhaltung des Datengeheimnisses zu verpflichten sind. Rechte von Kindern Überprüfen Sie, ob durch Ihr Unternehmen Kindern Dienste der Informationsgesellschaft angeboten werden (darunter können zb entgeltliche Online-Dienste fallen). Sollte dies zutreffen, müssen Sie beachten, dass für datenschutzrechtliche Einwilligung eines Kindes Altersvorgaben zu beachten sind. Datenschutzfreundliche Voreinstellungen Prüfen Sie, ob die durch die DSGVO verlangten technischen Prinzipien des privacy by design/privacy by default in Ihrem Unternehmen adäquat implementiert sind. 8

9 unser team und die kanzlei Günther Leissler Counsel T: E: g.leissler@schoenherr.eu Veronika Wolfbauer Anwältin T: E: v.woflbauer@schoenherr.eu János Böszörményi Rechtsanwaltsanwärter T: E: j.boeszoermenyi@schoenherr.eu Schönherr ist eine der führenden Rechtsanwaltskanzleien in Zentral- und Osteuropa. Viele Rechtsanwälte bei Schönherr sind anerkannte Experten in ihren juristischen Fachgebieten. Qualität, Flexibilität, Innovation und praxisorientierte Lösungen bei komplexen Aufträgen im Wirtschaftsbereich sind das Kernstück der Schönherr Philosophie. Dank unseres optimistischen und lösungsorientierten Ansatzes können wir in diesem Bereich auf eine lange Erfolgsgeschichte zurückblicken. Unsere Fachgruppen decken den gesamten Bereich des Wirtschaftsrechts ab und bewältigen selbst diffizilste Problemstellungen souverän. "They offer excellent service of very high quality [ ] and they have a good knowledge of the field " Chambers " Very experienced and knowledgeable counsel Günther Leissler is praised as having excellent knowledge of data protection law." Legal 500 Clients commend Günther Leissler by saying He really gets to the heart of the issue and always thinks a bit laterally, outside the box, thinks about the consequences." Chambers 9