Datenschutzmanagement nach der DSGVO. Unternehmen

Ähnliche Dokumente
EU-Datenschutz-Grundverordnung Infobrief - Nr. 7 Fragebogen zur Umsetzung der DS-GVO

DACH-Compliance-Tagung Workshop. EU-DSGVO: Auswirkungen auf die Compliance- Organisation. Building Competence. Crossing Borders.

Die neue EU-Datenschutz- Grundverordnung Die wichtigsten Neuerungen im Überblick und wie diese in der Raiffeisen Informatik umgesetzt werden.

Datenschutzgrundverordnung und Privacy Shield Auswirkungen auf Cloud- Anwendungen

Aufgaben zur Umsetzung der DS-GVO : 1-15 Laufende Tätigkeiten gemäß DS-GVO: 16-20

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Datenschutz NEU Die DSGVO und das österr. Datenschutzgesetz ab Mai Ursula Illibauer Bundessparte Information & Consulting

Unabhängiges Landeszentrum für Datenschutz Schleswig-Holstein Anstalt des öffentlichen Rechts

2. CEMA Online IT.special: EU-Datenschutz-Grundverordnung

Datenschutz Grundverordnung (EU DSGVO) Nicht amtliche Gliederung

Datenschutz NEU EU-Datenschutz-Grundverordnung / Datenschutz-Anpassungsgesetz

Die Europäische Datenschutz- Grundverordnung. Schulung am

EU-Datenschutz-Grundverordnung Was kommt jetzt auf die Unternehmen zu?

Datenschutzreform 2018

Die EU-Datenschutz- Grundverordnung und ihre Auswirkungen auf das Institut der behördlichen/betrieblichen Datenschutzbeauftragten

Die wichtigsten Neuerungen durch die DS-GVO für die Online-Werbung

DATENSCHUTZGRUNDVERORDNUNG

Grundzüge der DSGVO Was bedeutet die DSGVO für Unternehmen? Eine Präsentation für den Fachverband der Gesundheitsbetriebe der WKO

Die erheblichen Einflüsse der Datenschutz-Grundverordnung auf die IT

EU-Datenschutz- Grundverordnung

Ausfüllhilfe Technische und organisatorische Maßnahmen. Hinweis:

DIE DATENSCHUTZ- GRUNDVERORDNUNG. Plan zur Umsetzung

EU Datenschutz-Grundverordnung Wie starten Fahrschulen richtig mit der Umsetzung? Ing. Mag. Dr. Vincenz Leichtfried

Newsletter EU-Datenschutz-Grundverordnung Nr. 13

Die EU Datenschutzgrundverordnung Was gilt es zu beachten?

Herausforderungen und Konsequenzen der EU-DSGVO für IT-Infrastrukturen

AUF EINEN BLICK. Die EU-Datenschutz- Grundverordnung (EU-DSGVO)

EU-DATENSCHUTZ- GRUNDVERORDNUNG (EU-DSGVO)

Datenschutz und IT-Sicherheit im Krankenhaus

Verfahrensbeschreibung

Fachverband Versicherungsmakler Datenschutzgrundverordnung DSGVO Technische Anforderungen an die Verwaltungsprogramme der Makler

Datenschutz Grundverordnung. Qualitätsmanagement ISO 9001

Datenschutz- Compliance nach der DS- GVO: Sicherstellung und Überwachung

EU-Datenschutz-Grundverordnung. KOMDAT Datenschutz und Datensicherheit 2016 Ronald Kopecky Dr. Franz Jandl 1

SEMINAR Datenschutz-Grundverordnung

Anlage zur Vereinbarung nach 11 BDSG Allgemeine technische und organisatorische Maßnahmen nach 9 BDSG und Anlage. Für Auftragsnehmer

DSFA Datenschutz-Folgenabschätzung. Diskussionsvorlage 6. DialogCamp, München

Leseprobe zu. Härting. Datenschutz Grundverordnung. Das neue Datenschutzrecht in der betrieblichen Praxis

Die neue Datenschutzgrundverordnung Folgen für den Einkauf

Datenschutzgrundverordnung (DSGVO) Mag. Viktoria Haidinger, LL.M. (KC Wirtschaftsrecht) Exekutivkomitee des Direktvertriebs, 30.1.

EU-Datenschutz-GVO - Was kommt da auf uns zu?

Grundprinzipien des Datenschutzes & Auswirkungen auf Finanzdienstleister

DIE NEUE DATENSCHUTZ- GRUNDVERORDNUNG

Die EU-Datenschutz-Grundverordnung (EU- DSGVO) und ihre Auswirkungen auf Unternehmen

Die EU-Datenschutz-Grundverordnung: Besondere Verarbeitungsformen

DATENSCHUTZ UND DATENSICHERHEIT IN ALTERSGERECHTEN ASSISTENZSYSTEMEN

Auftragsdatenverarbeitung

Fragebogen zur Anpassung der Praxisorganisation an die Datenschutz-Grundverordnung (DS-GVO)

Konkordanztabelle: Vorentwurf DSG / Reform des Europarats / Reform der Europäischen Union

- Welche Auswirkungen hat die neue Verordnung für den Mittelstand? -

Die neue Grundverordnung des europäischen Datenschutzes

Worüber wir sprechen. Digitalisierung was kann man darunter verstehen. Datenschutz eine fachliche Eingrenzung

Stellenwert und praktische Bedeutung der Zertifizierung von Datenschutz- Managementsystemen nach DSGVO und DSG

Lauter hohe Bußgelder?- Die Datenschutzaufsicht nach der Datenschutz-Grundverordnung

Freigabeantrag / Verfahrensbeschreibung nach Art. 26 Abs. 3 S.1 BayDSG

DATEN- UND INFORMATIONSSICHERHEITSRECHT (DIS)

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) Stand:

Werbung und Online-Marketing nach der DSGVO Was ist, was war, was sein wird

Betriebliche Organisation des Datenschutzes

Grundlagen des Datenschutzes

Verfahrensverzeichnis

Formular Meldung nach 4d BDSG

Vortrag zur Umsetzung des Datenschutz- Gesetz 2018 (DSGVO) in Unternehmen

Schreckgespenst neuer Datenschutz 49. Bildungswoche der österreichischen Holzbau und Zimmermeister in Alpbach

Dr. Thomas Schweiger, LLM (Duke) :05 Folie 1

Datenschutzrecht; To-Dos und

EU-Datenschutz-Grundverordnung Was ändert sich? Erklärt an einem Musterbeispiel.

Dr. Thomas Schweiger, LLM (Duke) :08 Folie 1

Grundlagen des Datenschutzes. Musterlösung zur 2. Übung im SoSe 2008: BDSG (2) & Kundendatenschutz (1)

EU DSGVO & ISO Integriertes Dokumentations-Toolkit integriertes-dokumentations-toolkit/

Datenschutz in der Selbstständigkeit. Was muss man beachten?

EU Datenschutz-Grundverordnung

CHECKLISTE DATENSCHUTZ

REFERENTIN. Die EU-DSGVO was steht drin?

Handlungsbedarf für Schweizer Firmen

Eine Methode zur Selbsterkenntnis?!

Das neue Datenschutzrecht DSGVO Die aus unternehmerischer Sicht entscheidenden Fragen und Themen zum neuen Datenschutzrecht 2018

Datenschutzbeauftragte isd DSGVO. (Data Protection Officer DPO)

Datenschutz - Quo vadis? Welche Anforderungen kommen durch die neue EU-Datenschutzgrundverordnung auf Immobilienverwaltungen zu?

Die verschärften Regelungen der EU-DSGVO zur Auftrags(daten)verarbeitung

Grundlagen des Datenschutzes und der IT-Sicherheit. Musterlösung zur 1. Übung vom : BDSG (1)

IT-Sicherheit im Lichte der Datenschutz-Grundverordnung

Ergebnisbericht zum Workshop DS-GVO an Hochschulen vom 6./ Teil II

Die EU-Datenschutz-Grundverordnung: Rechtsgrundlagen der Datenverarbeitung

Datenschutz-Konzept gemäß DSGVO und Datenschutz-Anpassungsgesetz 2018

MPE-Garry GmbH. Öffentliches Verfahrensverzeichnis, gemäß 4g Abs. 2 i.v.m. 4e Nr. 1-8 BDSG. 13 April 2015 Verfasst von: Kilian Bauer

Behörde / öffentliche Stelle

Auswirkungen der EU-DSGVO auf die IT in Unternehmen. RA Robert Niedermeier CIPP/E CIPT CIPM FIP

Datenschutz im Verein

Newsletter Datenschutz

Videoüberwachung nach der DSGVO. was nichtöffentliche Stellen beachten müssen

6. Fachtagung der LfM für den Datenschutz: Der Datenschutzbeauftragte nach der Datenschutz-Grundverordnung

Datenschutzgrundverordnung Umstellung der Unternehmensprozesse bis 2018

Datenschutz-Verfahrensverzeichnis Schuljahr 2007/08

Was ist neu, was ist wichtig und was ist zu tun für Betriebs- und Personalräte?

Videoüberwachung in der EU-DS-GVO. Dr. Stefan Brink LfDI Baden-Württemberg

Datenschutzreform 2018

Sicherheit der Verarbeitung nach der Europäischen Datenschutzgrundverordnung. Sicherheit der Verarbeitung nach DSGVO

Transkript:

Datenschutzmanagement nach der DSGVO Wie organisiere ich den Datenschutz im Unternehmen Prof. KommR Hans Jürgen Pollirer anlässlich der Veranstaltung Datenschutz im Fokus Das neue Datenschutzregime ab Mai 2018! Wien, 13. Oktober 2017 ÜBERSICHT 1. Einleitung 2. Die Datenschutzleitlinie ( Datenschutzpolitik ) 3. Datenschutzmanagement System (DSMS) 4. Die wesentlichen Datenvorschriften der DSGVO 5. Die Datenschutz Kernprozesse 5.1 Verarbeitung 5.2 Sicherstellung der Betroffenenrechte 5.3 Vorgangsweise bei Datenschutzverletzungen t t (Data Breach) 6. Weitere Informationen zur EU Datenschutzgrundverordnung Anhang 1: Beispiel: Datenverarbeitungsverzeichnis nach Art. 30 Abs. 1 EU Datenschutz Grundverordnung (DSGVO) (Verantwortlicher) Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 2

1. EINLEITUNG Art. 5 Abs. 2 DSGVO Der Verantwortliche ist für die Einhaltung des Absatzes 1 verantwortlich und muss dessen Einhaltung nachweisen können ( Rechenschaftspflicht ). FAZIT: Das Unternehmen muss den Nachweis erbringen können, dass es die Anforderungen der DSGVO umgesetzt hat. Lt. ErwGr 74 bezieht sich diese Nachweispflicht auch auf die Wirksamkeit der umgesetzten Maßnahmen Art. 24 Abs. 1 fordert die Berücksichtigung geeigneter technischer und organisatorischer Maßnahmen und den Nachweis, dass die Verarbeitung nach den Bestimmungen der DSGVO erfolgt ist sowie, dass diese Maßnahmen erforderlichenfalls überprüft und aktualisiert werden. Datenschutz ist somit kein Einmalereignis sondern eine kontinuierliche Verpflichtung zur Überwachung und Verbesserung der getroffenen Maßnahmen. In diesem Zusammenhang hat sich der Plan Do Check Act Zyklus (PDCA Zyklus) bewährt. Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 3 PDCA ZYKLUS Quelle: Karn G. Bulsuk (http://www.bulsuk.com) Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 4

2. DIE DATENSCHUTZLEITLINIE ( DATENSCHUTZPOLITIK ) Datenschutzleitlinie = Selbstverpflichtung des Unternehmens zur Umsetzung des Datenschutzes Dokumentation der Datenschutzziele, Rollen und Verantwortlichkeiten (Governance Struktur) Innen und Außenwirkung Inhalte: Einleitung Geltungsbereich Grundprinzipien des Datenschutzes Datenschutzziele des Unternehmens Verantwortlichkeiten Datenschutzbeauftragter Auditing Sanktionen bei Verstößen Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 5 3. DATENSCHUTZMANAGEMENT SYSTEM (DSMS) I. PLAN Aufbau eines Managementsystems In der Planungsphase werden zunächst die Ziele formuliert und die Anforderungen identifiziert. i t Es erfolgt darüber hinaus eine Bestandsaufnahme der im Unternehmen eingerichteten Prozesse und implementierten Datenanwendungen und Richtlinien. Erstellung eines Umsetzungsplanes und Realisierung der Anforderungen. II. DO Implementierung des Managementsystems In dieser Phase werden die Ziele und Maßnahmen aus der Planungsphase implementiert und die Verantwortlichkeiten festgelegt. Besonders wichtig ist in dieser Phase die Schulung und Sensibilisierung der Mitarbeiter. III. CHECK Überprüfung durch ständige Überwachung Die Wirksamkeit der Umsetzung muss überprüft werden (Audit). Das bedeutet, eine laufende Überwachung der umgesetzten Maßnahmen und Prozesse. IV. ACT Optimierung i und Mängelbeseitigung i Der in Phase III durchgeführte Auditprozess kann die Notwendigkeit von Änderungen von Zielen, Maßnahmen und Richtlinien ergeben. Die Verbesserung bzw. Beseitigung von Mängeln findet in dieser Phase statt. Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 6

4. DIE WESENTLICHEN DATENVORSCHRIFTEN DER DSGVO Grundsätze der Verarbeitung Art. 5 Abs. 1 Verantwortlicher muss rechtmäßigen Datenumgang nachweisen (Rechenschaftspflicht, Art. 5 Abs. 2) Rechte der betroffenen Person Art. 12 23 Transparente Information, Kommunikation und Modalitäten Art. 12 Verantwortung des Verantwortlichen Art. 24 DS Folgenab schätzung Art. 35, 36 DS by design Auftrags Sicherheit d. & by default verarbeiter Verarbeitung Art. 25 Art. 28 Art. 32 Verzeichnis i Verletzung Art. 30 Art. 33, 34 Datenschutzbeauftragter Art. 37 39 Internationaler Datenverkehr Art. 44 49 Erhebung Art. 13, 14 Information Auskunft Art. 15 Berichtigung, Löschung, Einschränkung Art. 16 19 Datenübertragbarkeit Art. 20 Kommunikation Widerspruch Art. 21 Automat. Entscheid. Art. 22 Verletzung Art. 34 Quelle: Kranig/Sachs/Gierschmann, Datenschutz Compliance nach der DS GVO, 2017, Bundesanzeiger Verlag Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 7 5. DIE DATENSCHUTZ KERNPROZESSE Verarbeitung Sicherstellung der Betroffenenrechte Vorgangsweise bei Datenschutzverletzungen (Data Breach) Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 8

5.1 VERARBEITUNG Plan Do Check Act Einhaltung der Datenschutzgrundsätze Rechtmäßigkeit der Verarbeitung Einwilligungserklärungen Informationspflichten Sicherheit Risikoanalysen Umsetzung in den Betrieb Festlegung der Zuständigkeiten und Verantwortlichkeiten Schulung und Sensibilisierung der Mitarbeiter Umsetzung der Löschfristen (Löschkonzept) Monitoring Internes Audit Externes Audit Maßnahmen zur Behebung der Schwachstellen Überprüfung der Wirksamkeit der Verbesserungsmaßnahmen Datenschutz Folgenabschätzung Auftragsverarbeitung Dokumentation (sog. Verfahrensverzeichnis) Datenschutzbeauftragter Übermittlung in Drittländer Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 9 5.2 SICHERSTELLUNG DER BETROFFENENRECHTE Plan Do Check Act Gestaltung der Verfahren und Prozesse zur Erfüllung der nachfolgenden Betroffenenrechte: Auskunft Richtigstellung Löschung Einschränkung Mitteilungspflicht Datenübertragbarkeit t b Festlegung der Zuständigkeiten und Verantwortlichkeiten Einrichtung eines Eskalationsprozesses Terminverfolgung Dokumentation ti Analyse der Wahrnehmung von Betroffenenrechten (Anzahl, erledigt/offen etc.) Identifikation von Verbesserungsmöglichkeiten Schwerpunkte der Anfragen Auditbericht i Festlegung von Maßnahmen zur Verbesserung der Prozesse Überprüfung der Wirksamkeit der Verbesserungsmaßnahmen Widerspruch Widerruf Automatisierte ii Einzelentscheidung Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 10

5.3 VORGANGSWEISE BEI DATENSCHUTZVERLETZUNGEN (DATA BREACH) Plan Do Check Act Festlegung der Vorgangsweise bei einer Datenschutzverletzung nach folgenden Gesichtspunkten Fristen Bewertung Inhalt der Meldungen an die DSB Festlegung der Verantwortlichkeiten und Zuständigkeiten (Notfallsteam) Training Verbesserung in Bezug auf die Vorgangsweise Verbesserung der technischen und organisatorischen Maßnahmen Festlegung von Maßnahmen zur Behebung von Schwachstellen Systematische Nachverfolgung der Umsetzungsmaßnahmen Inhalt der Benachrichtigung an die betroffene Person Maßnahmen Dokumentation ti Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 11 6. WEITERE INFORMATIONEN ZUR EU DATENSCHUTZGRUNDVERORDNUNG Unter dem Link https://www.wko.at/service/wirtschaftsrecht tsc a ts ec t gewerberecht/informationen zur EU Datenschutz Grundverordnung.html finden Sie zielführende Informationen, wie Sie sich auf den 25. Mai 2018 vorbereiten können. Die abgelegten Informationen werden laufend erweitert. Anhang I: Beispiel: Datenverarbeitungsverzeichnis nach Art. 30 Abs. 1 EU Datenschutz Grundverordnung (DSGVO) (Verantwortlicher) Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 12

Diskussion Ihd Ich danke für Ihre Aufmerksamkeit kit Besuchen e Sie uns auch im Internet! et Sie finden uns unter http://www.secur data.at Meine E Mail Adresse lautet t hj.pollirer@secur data.at t Prof. KommR Hans Jürgen Pollirer WKO: Datenschutzmanagement nach der DSGVO 10/2017 Folie 13

EU-DATENSCHUTZ-GRUNDVERORDNUNG (DSGVO) BEISPIEL Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU-Datenschutz- Grundverordnung (DSGVO) (Verantwortlicher) (HINWEIS: es wird darauf hingewiesen, dass es sich hier um ein fiktives Beispiel handelt. Bei der praktischen Umsetzung ist auf die konkreten Anwendungsfälle im Unternehmen abzustellen) Inhalt A. Stammdatenblatt: Allgemeine Angaben B. Datenverarbeitungen/Datenverarbeitungszwecke C. Detailangaben zu den einzelnen Datenverarbeitungszwecken D. Allgemeine Beschreibung organisatorisch-technischer Maßnahmen

A. Stammdatenblatt Name und Kontaktdaten des (der) für die Verarbeitung (gemeinsam) Verantwortlichen a. Name(n) und Anschrift(en): Max Mustermann GmbH Neuer Weg 1 ZZZZ Musterdorf b. E-Mail-Adresse(n) (und allenfalls weitere Kontaktdaten wie zb Tel.Nr.): max@mustermann.at c. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie zb Tel.Nr.) des Datenschutzbeauftragten 1 : Franz Fachmann e.u. Datenstraße 5 YYYY Datenstadt d. Name und Kontaktdaten (Anschrift, E-Mail und allenfalls weitere Kontaktdaten wie zb Tel.Nr.) des Vertreters des (der) Verantwortlichen: 2 KEINER 1 Sofern ein Datenschutzbeauftragter verpflichtend oder auf freiwilliger Basis bestellt wurde. HINWEIS: Wenn keine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht, der Verantwortliche aber freiwillig einen bestellen möchte, müssen trotzdem alle den Datenschutzbeauftragten betreffenden Bestimmungen der DSGVO eingehalten werden; möchte man das nicht, darf die bestellte Person nicht Datenschutzbeauftragter genannt werden, sondern sollte eine andere Bezeichnung gewählt werden (zb Datenschutzkoordinator ). Dieser kann, muss aber nicht ins Verfahrensverzeichnis aufgenommen werden. Siehe dazu das WKO-Merkblatt Datenschutzbeauftragter. 2 Darunter sind Vertreter von nicht in der EU niedergelassenen Verantwortlichen zu verstehen.

B. Datenverarbeitungen/Datenverarbeitungszwecke 1. Zwecke und Beschreibung der Datenverarbeitung 3 : 1. Rechnungswesen und Geschäftsabwicklung: Verarbeitung und Übermittlung von Daten im Rahmen von Geschäftsbeziehungen mit Kunden und Lieferanten, einschließlich automationsunterstützt erstellter und archivierter Textdokumente (wie zb Korrespondenzen oder Verträge) in diesen Angelegenheiten 2. Personalverwaltung:. 3. Marketing: 4. Geschäftspartnerdatenbank:. 5. usw. 2. Wurde eine Datenschutz-Folgenabschätzung durchgeführt? 4 Ja X Nein Wenn Ja, wann? zuletzt vor 6 Monaten Wenn Nein, aus welchem Grund nicht? 5 3 Zum Begriff Verarbeitung siehe das Merkblatt Wichtige Begriffsbestimmungen ; sollten Daten auch an Dritte oder an Auftragsverarbeiter übermittelt werden, sind auch die Zwecke dieser Datenübermittlungen im Verarbeitungsverzeichnis zu dokumentieren. 4 Zur Datenschutz-Folgenabschätzung siehe das Merkblatt Risiko-Folgenabschätzung. Im Verarbeitungsverzeichnis sind zwar Angaben zur Datenschutz-Folgenabschätzung nicht zwingend vorgesehen. Aus Gründen der Rechenschaftspflicht empfehlen sich aber grundsätzliche Angaben darüber auch ins Verarbeitungsverzeichnis aufzunehmen. 5 Eine Datenschutz-Folgenabschätzung ist nicht durchzuführen, wenn durch die Datenverarbeitung voraussichtlich kein hohes Risiko für die Rechte der Betroffenen besteht oder die Datenverarbeitungsart in der sogenannten white list der Datenschutzbehörde gelistet ist (derzeit besteht noch keine white list ); Näheres dazu siehe auch das Merkblatt Risiko-Folgenabschätzung.

C. Detailangaben zu (1) Rechnungswesen und Geschäftsabwicklung 1. Kategorien der betroffenen Personen Lfd.Nr. Beschreibung der Kategorien betroffener Personen (zb Kunden, Mitarbeiter, Lieferanten usw.) 1 Kunden und Lieferanten inkl. Kontaktpersonen beim Kunden und Lieferanten 2 Sachbearbeiter beim Verantwortlichen 3 An der Geschäftsabwicklung mitwirkende Dritte inkl. Kontaktpersonen bei den Dritten 2. Rechtsgrundlagen 6 Art 6 Abs 1 lit a (Einwilligung der Betroffenen), b (zur Vertragserfüllung erforderlich), c (gesetzliche Verpflichtungen nach der BAO und dem UGB), f (berechtigte Interessen des Verantwortlichen) DSGVO 132 BAO 190, 212 UGB 3. Verträge, Zustimmungserklärungen oder sonstige Unterlagen (zb Erledigung der Informationspflichten 7 ) sind abgelegt: 8 (freiwillig) Unterlagen zu aufrechten Geschäftsabwicklungen in der Verkaufsabteilung, Rechnungen (auch) in der Finanzabteilung, erledigte Geschäftsfälle im Archiv. Verträge mit Auftragsverarbeitern sind, je nach Thematik, in der Rechtsabteilung, Finanzabteilung, Vertriebsabteilung oder IT-Abteilung abgelegt. 4. Kategorien der verarbeiteten Daten und Löschungs- bzw. Aufbewahrungsfristen 9 a. Kategorien der verarbeiteten Daten und Ankreuzen, ob sie an Empfänger übermittelt werden 6 Die Rechtsgrundlagen (zb rechtliche Verpflichtung, Einwilligung, Vertragserfüllung, lebenswichtige Interessen des Betroffenen, kein überwiegendes berechtigtes Interesse des Betroffenen) sind nach der DSGVO zwar nicht verpflichtend ins Verfahrensverzeichnis aufzunehmen. Allerdings unterliegt der verantwortliche Verarbeiter einer sogenannten Rechenschaftspflicht. Diese besagt eine Nachweispflicht bzgl. der Einhaltung der Pflichten nach der DSGVO. Dazu gehört unter anderem auch der Nachweis, dass die Datenverarbeitung nach den in der DSGVO normierten Rechtmäßigkeitsgrundlagen erfolgt. Siehe das Merkblatt Grundsätze und Rechtmäßigkeit der Verarbeitung. 7 Siehe zu den Informationspflichten das Merkblatt Informationspflichten. 8 Die Angabe, wo die Unterlagen innerhalb der Organisation abgelegt wurden, ist nicht verpflichtend im Verarbeitungsverzeichnis zu dokumentieren, erleichtert aber vor allem in größeren, arbeitsteilig organisierten Organisationen das Auffinden der entscheidenden Unterlagen (dient also lediglich der innerbetrieblichen Arbeitserleichterung). 9 Nach der DSGVO sind die Löschfristen bzw. Aufbewahrungsfristen nach Möglichkeit ins Verfahrensverzeichnis aufzunehmen. Beispielsweise kann bei unbefristeten Verträgen keine konkrete Löschfrist angegeben werden, da der konkrete Vertragsablauf unbestimmt ist. Es empfiehlt sich hier allerdings eine abstrakte Frist anzugeben (zb nach Ablauf des Vertrages ).

Kategorien der betroffenen Personengruppe aus Punkt 1 des C-Blattes (Lfd.Nr.) Lfd. Nr. Datenkategorien Besondere Datenkategorien isd Art 9 DSGVO 10, strafrechtlic h relevant isd Art 10 DSGVO 11 Banken Rechtsvertreter im Geschäftsfall Wirtschaftstreuhänder Gerichte im Anlassfall Verwaltungsbehörden Im Anlassfall Inkassounternehmen Im Anlassfall Fremdfinanzierer (zb Leasing) Mitwirkende Vertrags- und Geschäftspartner Versicherungen im Anlassfall Provider (IT-Dienstleister) 1 1 Name, Firma oder sonstige Nein Geschäftsbezeichnung X X X X X X X X X X 2 Anschrift Nein X X X X X X X X X X 3 Kontaktdaten (Tel., Mail,Fax) Nein X X X X X X X X X X 4 Firmenbuchdaten Nein X X X X X X X X X X 5 Daten zur Bonität inkl. Mahn- Nein X X und Klagsdaten 6 Bankverbindungen Nein X X X X X X X X X 7 Kreditkartennummern und - Nein X X X X unternehmen 8 UID-Nummer Nein X X X X X X X X X 9 Namen der Kontaktpersonen Nein X X X X X X X X X X 10 Kontaktdaten der Nein X X X X X X X X X X Kontaktpersonen (Tel., Mail, Fax, Anschrift odgl.) 11 Vertragstexte und X X X X X X X X Geschäftskorrespondenzen 2 12 Name Nein X X X X X X X X X X 13 Funktion des betroffenen Nein X X X X X X X X X X Sachbearbeiters beim Verantwortlichen 14 Vom betroffenen Nein X X X X X X X X X X Sachbearbeiter bearbeitete Fälle 15 Umfang der Nein X X X X X X X X X X Vertretungsbefugnis 3 16 Name, Firma oder sonstige Nein X X X X X X X X X X Geschäftsbezeichnung 17 Anschrift Nein X X X X X X X X X X 18 Kontaktdaten (Tel., Mail, Fax Nein X X X X X X X X X X odgl.) 19 Firmenbuchdaten Nein X X X X X X X X X X 20 Namen der Kontaktpersonen Nein X X X X X X X X X X 21 Kontaktdaten der Nein X X X X X X X X X X Kontaktpersonen (Tel., Mail, Fax, Anschrift odgl.) 22 UID-Nummer Nein X X X X X X X X X X 23 Bankverbindungen Nein X X X X X X X X X 24 Kreditkartennummern und Nein X X X X unternehmen 25 Daten zur Bonität inkl. Mahnund Klagsdaten Nein X X X 10 Daten nach Art 9 DSGVO sind besondere Datenkategorien ( sensible Daten): rassische und ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftszugehörigkeit, genetische und biometrische Daten zur Identifizierung einer natürlichen Person, Gesundheitsdaten, Daten zum Sexualleben oder der sexuellen Orientierung. 11 Verarbeitung personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten oder damit zusammenhängende Sicherungsmaßregeln unter behördlicher Aufsicht.

b. Löschungs- und Aufbewahrungsfristen (wenn möglich) Daten aus 4.a. (Lfd. Nr.) Angabe bzw. Beschreibung der Löschungs- bzw. Aufbewahrungsfristen 1-4; 6-24; 26; Aufgrund der gesetzlichen Aufbewahrungsfristen auf jeden Fall 7 Jahre; darüber hinausgehend bis zur Beendigung eines allfälligen Rechtsstreits, fortlaufender Gewährleistungs- oder Garantiefristen 5; 25; Bis zur Beendigung der Geschäftsbeziehungen 5. Kategorien von Empfängern 12, an die personenbezogene Daten offengelegt werden (inkl. Auftragsverarbeitung), speziell bei Empfängern in Drittländern 14 a. Kategorien der Empfänger sowie Übermittlungsort (Drittstaat, Internationale Organisation wie zb UNO, OSZE) Empfängerkategorien (aus 4.a.) Banken Rechtsvertreter im Geschäftsfall Wirtschaftstreuhänder Gerichte Verwaltungsbehörden Inkassounternehmen Fremdfinanzierer (zb Leasing) mitwirkende Vertrags- und Geschäftspartner Versicherungen um Anlassfall Provider (IT-Dienstleister) Drittstaat (Angabe des Drittstaats, d.h. Staaten außerhalb der EU) Kanada Internationale Organisation (Angabe der intern. Organisation) b. Dokumentation der getroffenen geeigneten Garantien im Falle einer Übermittlung in Drittstaaten die nicht auf Art 45, 46, 47 oder 49 Abs 1 Unterabsatz 1 DSGVO erfolgt (vor allem wenn kein Angemessenheitsbeschluss der Europäischen Kommission vorliegt, keine Standardvertragsklauseln der Europäischen Kommission oder der nationalen Datenschutzbehörde verwendet werden oder genehmigte Zertifizierungsmechanismen in Anspruch genommen werden, keine Corporate binding rules zur Anwendung kommen (genehmigte verbindliche konzerninterne Datenschutzvorschriften), die Übermittlung nicht für Vertragserfüllungszwecke erforderlich ist oder keine ausdrückliche Einwilligung vorliegt): 13 Für Kanada gibt es einen Angemessenheitsbeschluss der Europäischen Kommission. 12 Es sind vor allem Übermittlungsempfänger ( Dritte ) als auch Auftragsverarbeiter hier zu dokumentieren. 13 Siehe dazu das Merkblatt Internationaler Datenverkehr.

C. Detailangaben zu (2) Personalverwaltung usw.

D. Allgemeine Beschreibung der technisch-organisatorischen Maßnahmen (HINWEIS: die hier angeführten Maßnahmen verstehen sich als beispielhafte Auflistung; es ist je nach Einzelfall und Risikobehaftung der Datenverarbeitung zu entscheiden, welche konkreten Maßnahmen zu treffen sind und welche im Einzelfall auch zumutbar sind) a. Vertraulichkeit: i. Zutrittskontrolle: Schutz vor unbefugtem Zutritt zu Datenverarbeitungsanlagen, zb: Schlüssel, Magnet- oder Chipkarten, elektrische Türöffner, Portier, Sicherheitspersonal, Alarmanlagen, Videoanlagen; ii. Zugangskontrolle: Schutz vor unbefugter Systembenutzung, zb: Kennwörter (einschließlich entsprechender Policy), automatische Sperrmechanismen, Zwei- Faktor-Authentifizierung, Verschlüsselung von Datenträgern; iii. Zugriffskontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen innerhalb des Systems, zb: Protokollierung von Zugriffen; oder: Zugriff nur für Unternehmensinhaber, Mitarbeiter der Abteilung Rechnungswesen und Mitarbeiter, die an der Geschäftsabwicklung beteiligt sind b. Integrität: i. Weitergabekontrolle: Kein unbefugtes Lesen, Kopieren, Verändern oder Entfernen bei elektronischer Übertragung oder Transport, zb: Verschlüsselung, Virtual Private Networks (VPN), elektronische Signatur; ii. Eingabekontrolle: Feststellung, ob und von wem personenbezogene Daten in Datenverarbeitungssysteme eingegeben, verändert oder entfernt worden sind, zb: Protokollierung, Dokumentenmanagement; c. Verfügbarkeit und Belastbarkeit: i. Verfügbarkeitskontrolle: Schutz gegen zufällige oder mutwillige Zerstörung bzw. Verlust, zb: Backup-Strategie, Virenschutz, Firewall; d. Pseudonymisierung und Verschlüsselung: i. Pseudonymisierung: Sofern für die jeweilige Datenverarbeitung möglich, werden die primären Identifikationsmerkmale der personenbezogenen Daten in der jeweiligen Datenanwendung entfernt, und gesondert aufbewahrt. ii. Verschlüsselung: sofern für die jeweilige Datenverarbeitung möglich, werden folgende Verschlüsselungstechnologien eingesetzt:. e. Evaluierungsmaßnahmen: i. Datenschutz-Management (zb Risikoanalyse, Datenschutz-Folgenabschätzung), einschließlich regelmäßiger Mitarbeiter-Schulungen; Stand: August 2017 Dieses Merkblatt ist ein Produkt der Zusammenarbeit aller Wirtschaftskammern. Bei Fragen wenden Sie sich bitte an die Wirtschaftskammer Ihres Bundeslandes: Burgenland, Tel. Nr.: 05 90907, Kärnten, Tel. Nr.: 05 90904, Niederösterreich Tel. Nr.: (02742) 851-0, Oberösterreich, Tel. Nr.: 05 90909, Salzburg, Tel. Nr.: (0662) 8888-0, Steiermark, Tel. Nr.: (0316) 601-0, Tirol, Tel. Nr.: 05 90905-1111, Vorarlberg, Tel. Nr.: (05522) 305-0, Wien, Tel. Nr.: (01) 51450-1615, Hinweis! Diese Information finden Sie auch im Internet unter http://wko.at/datenschutz. Alle Angaben erfolgen trotz sorgfältigster Bearbeitung ohne Gewähr. Eine Haftung der Wirtschaftskammern Österreichs ist ausgeschlossen. Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter!

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback