Newsletter. Juni. Datenschutz & Datenschutzkomformes Unternehmen



Ähnliche Dokumente
Vorwort... Hinweis Das neue neue EU-Datenschutzregime... Abkürzungsverzeichnis...

Grundzüge des Datenschutzrechts

DSGVO FACTSHEET STAND: MAI 2018

BigData RA Mag. Michael Lanzinger

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Vertragsanlage zur Auftragsdatenverarbeitung

TÜV NORD Akademie Personenzertifizierung. Zertifizierungsprogramm: Merkblatt Datenschutzbeauftragter (TÜV )

DATENSCHUTZ IN DER BETRIEBSRATSARBEIT INFORMATIONEN DES BETRIEBSRATES 91 ARBVG

Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Checkliste zur Datenschutzgrundverordnung

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Keine Angst vor der DSGVO!

Grundlagen des Datenschutzes im Arbeitsverhältnis

UNSER UMGANG MIT IHREN DATEN UND IHRE RECHTE INFORMATIONEN NACH ART. 13, 14 UND 21 DER EU- DATENSCHUTZ- GRUNDVERORDNUNG (DSGVO)

E-Personalakt: Aufbewahrung, Weitergabe im Konzern, gesetzeskonforme Löschung

A-s Informationspflicht gegenüber Kunden

Der konzerninterne Austausch personenbezogener Daten im Lichte der DSGVO

BESCHÄFTIGTENDATENSCHUTZ DER ZUKUNFT

ArbeitnehmerInnen Datenschutz und Kontrollmaßnahmen im Betrieb

Vorlesung Datenschutzrecht TU Dresden Sommersemester 2016 RA Dr. Ralph Wagner LL.M. Dresdner Institut für Datenschutz

Datenverarbeitung im Auftrag

Datenschutz neu MAG. STEFANIE DÖRNHÖFER, LL.M.

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

Datenschutz für Künstler- und

Informationen nach Artikeln 13, 14 und 21 der Datenschutz-Grundverordnung (DSGVO)

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

UNSER UMGANG MIT IHREN DATEN UND IHRE RECHTE INFORMATIONEN NACH ART. 13, 14 UND 21 DER EUDATENSCHUTZ-GRUNDVERORDNUNG (DSGVO)

Nachfolgend erhalten Sie die ausführlichen Informationen zum Thema Datenschutz bei Schwarzer:

Wesentliche Neuerungen im EU- Datenschutzrecht

Wie ist mit Mitarbeitern von Fremdfirmen umzugehen? Wie haben sich diese Personen im Unternehmen zu verhalten? Was ist erlaubt, was nicht?

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting

Einführung Datenschutz in der Pflege

DVR: Im Falle 5.3 Bezeichnung bzw. laufende Nummer(n) der registrierten Datenanwendung(en) sowie Grund der Streichung. Datum, Unterschrift, Stempel

DSA - Ausbildung zum Datenschutzassistent/in

Datenschutz. Dr. Gregor König, LLM., Datenschutzkommission. E-Control

UNSER UMGANG MIT IHREN DATEN UND IHRE RECHTE INFORMATIONEN NACH ART. 13, 14 UND 21 DER EU DATENSCHUTZ GRUNDVERORDNUNG (DSGVO)

HR-Workshop DSGVO Datenschutz in der Personalabteilung

Die EU-Datenschutz-Grundverordnung

Rechtsanwalt Christoph Bork Fachanwalt für Medizin- und Strafrecht WEIMER I BORK. Rechtsanwälte Fachanwälte

a CHECKLISTE Checkliste DSGVO EU-Datenschutz-Grundverordnung 2018 Überblick: Das müssen Sie seit dem 25. Mai 2018 sicherstellen.

Arbeitsrecht-Newsletter 01/07 Schwerpunkt Betrieblicher Datenschutzbeauftragter

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Angaben zum Auftraggeber (gemäß Anlage 1 DVRV 2002 BGBl II Nr. 24/2002) DVR:

KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG KDG K

CYBER-RISKS VERANTWORTUNG VON UNTERNEHMEN

Umgang mit Ihren Daten und Ihre Rechte Informationen nach Art.13, 14 und 21 der Datenschutz- Grundverordnung (DSGVO)

Hinweise zum Datenschutz nach Art. 13, 14 und 21 DSGVO

Wen interessiert der Datenschutz? Datenschutz in der Praxis für EPU und KMU

Videoüberwachung datenschutzrechtliche Aspekte. Dr. Eva Souhrada-Kirchmayer

Datenschutzgesetz (DSG) und EU Datenschutz Grundverordnung (EU- DSGVO)

Recht auf Datenschutz

Unser Umgang mit Ihren Daten und Ihre Rechte Informationen nach Art. 13, 14 und 21 der EU-Datenschutz- Grundverordnung (DSGVO)

ÜBERSICHT ÜBER DIE DSGVO

Hinweise zum Datenschutz nach Art. 13, 14 und 21 DSGVO

Datenschutzbeauftragten

Datenschutz und Schule

HR-Workshop DSGVO Datenschutz in der Personalabteilung

Inhaltsverzeichnis.

Einführung ins Datenschutzrecht

Datenschutzgesetz (DSG) und EU Datenschutz Grundverordnung (EU- DSGVO)

IDAG und VIDAG Was ist neu? Informationsrechte

Meldung einer Datenanwendung (gemäß Anlage 2 DVRV BGBl. II Nr. 520/1999)

Datenschutzbeauftragten

Datenschutz. Vortrag

Datenschutzhinweis gemäß EU-Datenschutz- Grundverordnung (DS-GVO)

Die neue EU-Datenschutz- Grundverordnung EU-DSGVO

Wissenschaftliche Dienste. Sachstand. Sanktionen bei Datenmissbrauch Deutscher Bundestag WD /18

Vorwort Abkürzungsverzeichnis I Einleitung und Problemstellung A Einleitung B Problemstellungen... 16

Datenschutz in den Gemeinden

Datenschutzinformationen für Kunden und Interessenten der ML Gruppe

DS-GVO Readiness Check. Fragebogen zur Umsetzung der DS-GVO zum

Datenschutzhinweise gemäß EU Datenschutz-Grundverordnung. 1. Wer ist für die Datenverarbeitung verantwortlich und an wen kann ich mich wenden?

Data Loss Prevention. Rechtliche Herausforderungen beim Kampf gegen Datenabfluss

Mustervorlage ohne Gewähr

Datenschutzrecht. Grundlagen. Dr. Gregor König, LLM., Datenschutzkommission. 15. November 2012

Datenschutzinformation für Kunden und Interessenten nach Art. 13, 14 und 21 der Datenschutz-Grundverordnung DSGVO

Kurzüberblick und Zeitplan

Datenschutzinformationsblatt gem. Art. 13 DSGVO

EIFELER METALL- UND ZINKWERKE AG

Datenschutz im Betrieb Gelebte Praxis oder heiße Luft? Forderungen für einen verstärkten Schutz von ArbeitnehmerInnendaten

Privacy Conference Datenschutzverordnung & Privacy Shield

Datenschutz in der ambulanten Pflege

Datenschutz in der Volksschule

DSGVO ante portas: Bin ich bereit für die neuen Regeln des Datenschutzes?

Fälle mit Lösungsskizzen

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

Datenschutzinformation nach Art. 13 DS-GVO

Der konzerninterne Austausch personenbezogener Daten

Vereinbarung zur Auftragsdatenverarbeitung nach Art. 28/29 Datenschutzgrundverordnung (DSGVO)

Datenschutzrecht in der Praxis Internationale Datenschutz-Compliance Cloud-basierte Personalverwaltung in einem globalen Unternehmen

Workshops. Inhalt: Rechtlicher Rahmen Datenschutzkommission Datenverarbeitungsregister Privacy by Design Technische Umsetzungsmöglichkeiten

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

Grundlagen des Datenschutzes Einführung in das Datenschutzrecht Grundschulung nach 46 Abs.6 BPersVG

Datenschutzgesetz. von Viktor Mayer-Schönberger, Ernst Brandl, Hans Kristoferitsch. 3., aktualisierte Auflage 2014

Datenschutz ist für Casa d'óbidos Turismo Rural, Lda, vor CASA D'ÓBIDOS wichtig.

Stellungnahme der ARGE DATEN zum Entwurf einer Verordnung

Information zum Datenschutz

Auftragsdatenverarbeitung

Transkript:

Newsletter Juni 2011 Datenschutz & Datenschutzkomformes Unternehmen

Informationspflicht bei Datenmissbrauch... 2 Erpressung mit USB Stick... 2 Was heißt geringfügig?... 2 Für den Ernstfall vorbereitet... 3 Datenschutzrechtskomformes Unternehmen... 3 Verarbeiten und Übermitteln von Kunden- und Mitarbeiterdaten im Unternehmen analysieren.... 3 Zustimmungserklärungen formulieren... 4 Der Betriebsrat... 4 Dienstleistervertrag bei Outsourcing... 4 Datensicherheitsmaßnahmen... 4 Genehmigung / Meldung bei Datenschutzkommision / Datenverarbeitungsregister... 5 Viel Spaß beim Lesen dieser ausgesuchten Themen. Seite 1 von 5

Informationspflicht bei Datenmissbrauch Von der Öffentlichkeit weitgehend unbeachtet ist neben den neuen Regeln zur Videoüberwachung am 1. Jänner 2010 mit der Novelle zum Datenschutzgesetz eine neue Informationspflicht bei Datenmissbrauch in Kraft getreten. Österreich übernimmt hier neben Deutschland wieder eine Vorreiterrolle bei der Weiterentwicklung des Datenschutzrechts. Mit einer Bestimmung, die bloß zwei Sätze in einem neuen Absatz 24 Abs 2a des Datenschutzgesetzes 2000 umfasst, wird privaten Unternehmen wie öffentlichen Stellen eine Informationspflicht bei systematischer und schwerwiegend unrechtmäßiger Verwendung von Daten, bei der den Betroffenen Schaden droht eine Pflicht zur Information der Betroffenen auferlegt. Dies bedeutet, dass Vorfälle in der IT-Sicherheit wie etwa Hacker-Attacken, bei denen Kundendaten gestohlen wurden, nicht mehr unbemerkt von der Öffentlichkeit unter den Tisch gekehrt werden dürfen. Erpressung mit USB Stick Vielmehr ist künftig auch schon dann, wenn etwa ein USB- Stick verloren geht, zu prüfen, ob ein Missbrauch der auf diesem befindlichen Daten im Sinn dieser Bestimmung stattgefunden hat (etwa weil der Dieb oder zufällige Finder das Unternehmen nun mit einer Datenveröffentlichung zu erpressen versucht). Es muss überlegt werden, ob die Betroffenen zu informieren sind, also diejenigen, auf die sich die gestohlenen Daten beziehen (z.b. Kunden, Lieferanten, Personal.), wenn ihnen im Hinblick auf diesbezügliche Schritte des Diebs ein nicht bloß geringfügiger Schaden droht. In den USA ist diese Informationspflicht seit einigen Jahren als sogenannte Data Breach Notification Duty bekannt, und es gibt in den meisten US-Bundesstaaten mittlerweile ausdrückliche gesetzliche Regelungen dazu. In Europa wird die Einführung derartiger Regelungen in die Datenschutzrichtlinie seit kurzem diskutiert. Österreich hat nun im Zuge der DSG-Novelle 2010 mit 1. Jänner als zweites Land innerhalb der Europäischen Union eine solche Informationspflicht eingeführt. Die österreichische Bestimmung ist allerdings nicht besonders geglückt, da sie voll von unklaren, nicht näher definierten Begriffen ist. So ist weder klar, was ein systematischer, noch was ein schwerwiegender Datenmissbrauch genau ist. Ebenso unklar ist, was eine geeignete Form der Verständigung der Betroffenen ist. In den USA und ebenso in der seit 1. September in Deutschland gültigen Regelung ist als Form zunächst die direkte persönliche Verständigung des Betroffenen (etwa per Brief; denkbar sind aber auch E-Mail, Anruf etc.) vorgesehen. Wenn dies nicht möglich ist oder einen unverhältnismäßigen Aufwand bedeuten würde, sind Inserate in der Zeitung (in Deutschland zwei mindestens halbseitige Inserate in zwei bundesweit erscheinenden Tageszeitungen), in den USA teilweise sogar das Schalten von Information Spots im Fernsehen vorgesehen. Was heißt geringfügig? Eine Ausnahme von der Informationspflicht sieht der zweite Satz des 24 Abs 2a DSG 2000 dann vor wenn diese angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. Es bedarf der Auslegung, was ein geringfügiger Schaden ist. Ebenso unklar ist, ab wann die Informationskosten unverhältnismäßig wären. Die sprachliche Wendung einerseits... oder... andererseits ist wohl nur als ein schlichtes oder zwischen den zwei Ausschließungsgründen zu lesen. Interessant ist, dass die österreichische Datenschutzkommission entgegen dem Trend etwa in den USA oder der Diskussion in anderen Ländern der EU weder über einen Missbrauchsfall zu informieren ist noch sonst in irgendeiner Form in die Abwicklung eines solchen Missbrauchsfalles involviert wird. Dies scheint für betroffene Unternehmen im ersten Moment zwar ein Vorteil zu sein, da es scheinbar die Möglichkeit offen lässt, Missbrauchsfälle eher unter den Tisch zu kehren. Bei näherer Betrachtung zeigt sich aber, dass Unternehmen letztlich bei der Beurteilung, ob und, wenn ja, in welcher Seite 2 von 5

geeigneten Form Betroffene über einen Missbrauchsfall zu informieren sind, vollständig allein gelassen sind. Auch im Hinblick auf mögliche zivilrechtliche Haftungen wird hier dem Unternehmen eine erhebliche Selbstverantwortung auferlegt: Zu denken wäre etwa an einen Verstoß gegen Schadensminderungspflichten oder an mögliche Haftungsfreizeichnungen von Risikoversicherungen der betroffenen Unternehmen bei Ignorieren der Informationspflicht (Schutzgesetzverletzung!). Für den Ernstfall vorbereitet Dementsprechend ist es für Unternehmen wie öffentliche Stellen ratsam, einen möglichen Ernstfall nicht unvorbereitet auf sich zukommen zu lassen, sondern pro aktiv Maßnahmen zu ergreifen, um vorbereitet zu sein. Vorbereitungsmaßnahmen sind nicht nur das Durchspielen unternehmenstypischer Risikoszenarien durch die Rechtsabteilung. Auch die gemeinsame Ausarbeitung von Notfallplänen mit verschiedenen anderen betroffenen Abteilungen, wie etwa der PR-Abteilung, der Unternehmens-IT, dem Krisenmanagement, der Geschäftsführung sowie möglicherweise betroffener Fachabteilungen gehören dazu. Datenschutzrechtskomformes Unternehmen Datenschutzrecht ist ein Thema, mit dem sich viele nicht gerne beschäftigen. Schon wenn Sie folgende Punkte beachten, können Sie die wesentlichen Fragen lokalisieren und Ihr Unternehmen datenschutzrechtlich auf Vordermann bringen. Verarbeiten und Übermitteln von Kunden- und Mitarbeiterdaten im Unternehmen analysieren. Die Verarbeitung von Kunden und Mitarbeiterdaten und deren Übermittlung an Dritte ist nur unter bestimmten Voraussetzungen zulässig, sonst ist in der Regel die Zustimmung der Betroffenen erforderlich. Analysieren Sie, welche Daten in Ihrem Unternehmen verarbeitet werden, zu welchen Zwecken dies geschieht und an wen diese übermittelt werden. Insbesondere internationale Unternehmen sollten beachten, dass es (auch) im Datenschutzrecht kein Konzernprivileg gibt. Die Datenweitergabe zwischen Konzerngesellschaften, vor allem von eigenen Personaldaten, bedarf einer besonderen betrieblichen Rechtfertigung oder einer Zustimmung durch die Betroffenen. Die Weitergabe von Personaldaten zwischen Konzerngesellschaften muss jedenfalls beim Datenverarbeitungsregister gemeldet werden, bei Kundendaten ist dies in der Regel erforderlich. Ohne Zustimmung erfordern Datenübermittlungen über die EU-Grenzen hinaus unter Umständen eine zusätzliche Genehmigung durch die Datenschutzkommission. Ein Konzern - Datenverbund, in dem mehrere Konzerngesellschaften in einer Datenbank arbeiten oder auch nur wechselseitig Einsicht nehmen können, kann ein Informationsverbundsystem sein, das von der Datenschutzkommission vorab zu genehmigen ist. Daneben sind arbeitsrechtliche Aspekte zu beachten. Seite 3 von 5

Zustimmungserklärungen formulieren In vielen Fällen ist datenschutzrechtlich eine Zustimmungserklärung von Kunden, Lieferanten oder Mitarbeitern notwendig. Beim Formulieren sind die strengen Anforderungen der Judikatur des Obersten Gerichtshofes zu beachten: Aus der Zustimmungserklärung müssen die verarbeiteten Datenarten, der Verwendungszweck und die Empfänger der Daten genau erkennbar sein. Beispielsweise wäre die Zustimmung zur Verarbeitung für Werbezwecke nach der Judikatur des OGH intransparent und würde daher schon dann nicht ausreichen, wenn Sie die Daten für Mailings an Kunden weiterverwenden wollen. Der Betriebsrat Das Arbeitsverfassungsgesetz sieht für gewisse Datenverarbeitungen, die Dienstnehmer betreffen, Informations- oder Mitbestimmungsrechte des Betriebsrats vor. Gegebenenfalls ist also auch der Betriebsrat miteinzubeziehen. Mitunter kann sogar der Abschluss einer Betriebsvereinbarung erforderlich sein. Dienstleistervertrag bei Outsourcing Sie lagern Ihre Buchhaltung, Personalverrechnung, Ihre Server oder die gesamten EDV an einen konzerninternen oder externen Dienstleister aus? In diesem Fall muss ein Dienstleistervertrag nach dem Datenschutzgesetz abgeschlossen werden. Für Outsourcing über die EU Grenzen hinaus kann zusätzlich eine Zustimmung der Betroffenen oder eine Genehmigung durch die Datenschutzkommission erforderlich sein, z.b. auch schon dann, wenn österreichische Daten bloß über einen zentralen Server in den USA laufen. Datensicherheitsmaßnahmen Datenschutzrechtlich gebotene technische Datensicherheitsmaßnahmen wie Zugangskontrollen oder Passwörter werden bei Ihnen vermutlich schon gesetzt. Darüber hinaus gibt es aber noch eine Reihe weiterer, vor allem organisatorischer Maßnahmen aus dem Datenschutzgesetz, die umgesetzt werden müssen. Beispielsweise seien hier die Anordnungspflicht, Protokollierungspflicht, Schulungspflicht, Dokumentationspflicht und die Pflicht, alle Mitarbeiter an das Datengeheimnis zu binden, genannt. Seite 4 von 5

Genehmigung / Meldung bei Datenschutzkommision / Datenverarbeitungsregister Nach einer eingehenden Analyse, welche vermeintlich alltäglichen unternehmerischen Tätigkeiten datenschutzrechtlich relevant sein könnten, ist abschließend zu prüfen, ob die allenfalls erforderlichen Genehmigungen bei der Datenschutzkommission eingeholt und die notwendigen Meldungen beim Datenverarbeitungsregister erfolgt sind. Von der Meldepflicht beim Datenverarbeitungsregister gibt es zwar mittlerweile viele Ausnahmen in Form von vordefinierten Standardanwendungen. Gerade Datenübermittlungen an Konzerngesellschaften sind jedoch auch heute noch meldepflichtig. Viele Unternehmen übersehen auch, dass die jeweiligen Meldungen auch von Zeit zu Zeit aktualisiert werden müssen. Zehn oder sogar zwanzig Jahre alte DVR-Meldungen können ein schlechtes Licht auf ein Unternehmen werfen, da das Datenverarbeitungsregister öffentlich einsehbar ist und eine zunehmend sensibilisierte Öffentlichkeit dies gerne für, bei näherer Betrachtung vielleicht unberechtigte, Angriffe auf das Unternehmen zu nützen versucht. Seite 5 von 5

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback