DSGVO: Das kleine 1×1 zum Nacharbeiten (NL 14a/21)

3-Jahre DSGVO: Das „kleine 1×1 des Datenschutz“ zum Nacharbeiten.

Seit 25.5.2018 gibt es keine Ausrede mehr: Mit existenzbedrohenden Strafen von bis zu 20 Mio. Euro oder 4 % des Konzern-Umsatzes versucht die EU auch die schwarzen Schafe an die Leine zu nehmen.

Mag. Stephan Novotny, Foto: Stephan Huger

Seither ist einiges passiert. Wir haben gemeinsam mit RA Mag. Stephan Novotny die DSGVO in einfache Häppchen zum Abarbeiten verpackt. 

Nach 3 Jahren ist Zeit, nachzusehen, ob alles korrekt erledigt wurde oder ob nach Nacharbeiten nötig sind. Dazu haben wir ein „kleines 1×1“ für Sie zusammengestellt, in dem wir an die wichtigsten Umsetzungs-Arbeiten zur DSGVO erinnern und Ihnen die dazu passenden Seiten auf www.ivva.at verweisen.

Hier folgt nun der Input von RA Mag. Stephan Novotny:

3-Jahre Datenschutz-Grundverordnung (DSGVO).
Neue Gefahr: Schadenersatz-Klagen. Die wichtigsten Aufgaben zum Erledigen, die wichtigsten Urteile.

Seit 25.5.2018 gibt es keine Ausrede mehr: Mit existenzbedrohenden Strafen von bis zu 20 Mio. Euro oder 4 % des Konzern-Umsatzes versucht die EU auch die schwarzen Schafe an die Leine zu nehmen. Datenschutz hat nun oberste Priorität. Wir müssen also die Sicherheit der Daten (egal ob Kunden, Partner, Mitarbeiter) garantieren. Umfangreiche Vorkehrungsmaßnahmen waren und regelmäßige Kontrollen sind nötig.

Rubrik „DSGVO leicht gemacht“ auf www.ivva.at
Der IVVA hat gemeinsam mit RA Mag. Stephan Novotny seit 2018 die DSGVO in einfache Häppchen zerlegt, damit man die Pflichten bei der täglichen Anwendung besser verstehen kann. Und immer wieder beantworteten wir praxisnah Ihre Fragen. Mehr als 20 Praxisbeiträge zur Umsetzung der DSGVO warten bereits auf Sie!
Dazu noch eine FAQ- (Fragen-Antworten-) Sammlung, in der wir Ihre Fragen beantwortet haben. Sowie wichtige Dokumente und Vorlagen, die Sie benötigen. Details unter der Rubrik „DSGVO leicht gemacht“, hier klicken…

 

3 Jahre nach Start: Haben Sie alles erledigt? Sind Adaptionen nötig?

Wir haben nun anlässlich des 3-Jahrestags der DSGVO gemeinsam mit Mag. Novotny ein „Kleines 1×1“ mit dem Allerdringlichsten erstellt, damit Sie auf einem Blick erkennen können, ob Sie bereits alles erledigt haben. Und falls nicht, finden Sie Links zu den entsprechenden Seiten auf der IVVA-Webseite.

Denn: Solche Jahrestage wie eben 3-Jahre-seit-Inkrafttreten sollten ein Anlass sein, um sich wieder von Grund auf mit der DSGVO zu beschäftigen und alles zu kontrollieren:
Etwa: Stimmen die Formulare noch (etwa das Verfahrensverzeichnis), die man damals ausgefüllt hat oder hat man z.B. neue Partner (z.B. eine neue Druckerei?), neue Datenanwendungen (etwa neue Software?).
Verwendet man eine Software, die damals dank Privacy Shield-Abkommens zwischen EU und USA legal war. Aber nun nach EuGH-Urteil nicht mehr legal ist? Was muss man nun eigentlich tun?
Hat man die korrekte Adresse der Datenschutzbehörde (hat sich geändert!), um im Notfall eine Datenpanne binnen 72 Stunden melden zu können? Usw. usf.

Wir nehmen den Jahrestag zum Anlass, um Sie auf die wichtigsten Punkte der DSGVO hinzuweisen und auf die wichtigsten Urteile und Strafen hinzuweisen.

Warum soll man das alles einhalten?

Gründe hierfür können die angedrohten Strafen, die Möglichkeit dass man von Konkurrenten bei der DS-Behörde angeschwärzt wird, Image- und Reputations-Verlust oder seit kurzem auch Schadenersatzforderungen und Schmerzensgeld sein.
Über diese neue Gefahr (Schadenersatzforderungen) und die ersten Urteile bzw. Entscheidungen des deutschen Bundesverfassungsgerichts haben wir im 1. Teil des Beitrags – und zwar hier… – berichtet!

Daher bitte die DSGVO nicht aus den Augen lassen. Aber was braucht man auf jeden Fall?

Das „Kleine 1×1 des Datenschutzes“

Auch 3-Jahre nach Wirksamwerden der DSGVO ist noch vieles unklar, noch nicht ausjudiziert. Was auch daran liegt, dass große Datenkraken gegen erste Strafen in Berufung gingen und noch kein Urteil dazu vorliegt.

Aber es gibt einige Punkte, die unbedingt erfüllt sein sollten. Der deutsche Datenschutz-Experte Sebastian Kraska sprach im Computer-Magazin com! professionell unlängst vom „Kleinen 1×1 des Datenschutzes“. Und weiter „Unternehmen können nicht auf das Verständnis der Aufsichtsbehörden hoffen, wenn sie nicht zumindest diese Basisthemen abdecken“, so Kraska. Zum Nachlesen hier klicken…

Wir haben uns von diesem „1×1“ inspirieren lassen, seine Auflistung der „wichtigsten Punkte“ für Österreich adaptiert und um eigene Punkte ergänzt. Aber eine Garantie, dass damit die DSGVO in jedem Fall korrekt erfüllt ist, wenn das abgehakt wurde, gibt es natürlich nicht. Aber ein guter Start wäre es allemal…

Folgende Punkte sollten Unternehmen laut Kraska und Mag. Novotny auf jeden Fall sofort umsetzen, wenn sie es nicht schon längst getan haben:

  1. Datenschutzerklärung erstellen und alles dokumentieren
    Dank DSGVO müssen Sie nachweisen können, dass Sie die notwendigen organisatorischen Maßnahmen gesetzt haben und sich an die Vorgaben halten.
    Mehr dazu hier:
    https://www.ivva.at/faqs-zur-dsgvo/#dsgvo-konform-arbeiten
    https://www.ivva.at/nuetzliche-vorlagen-zur-dsgvo-nl7-18/
  2. Verarbeitungsverzeichnis erstellen und aktuell halten
    Darin sind alle Tätigkeiten zu erfassen, bei denen eine Datenverarbeitung stattfindet. Denken Sie auch an Software, Webseite, usw. (da hier auch Daten erfasst werden). Mehr dazu hier:
    https://www.ivva.at/verfahrensverzeichnis-wichtigstes-formular-das-die-dsgvo-verlangt-nl-4-17/
  3. Auftragsverarbeiter-Verträge abschließen
    Lagern Sie Datenverarbeitung an Dritte aus, weil etwa ein Mailing an Ihre Kunden durch eine Druckerei erfolgt, dann müssen Sie mit diesem Auftragsverarbeiter eine Vereinbarung treffen, um ihn zur Einhaltung der DSGVO zu verpflichten. Mehr dazu hier:
    https://www.ivva.at/faqs-zur-dsgvo/#keine-auftragsverarbeitung-unterschrieben-retour
  4. Angemessenes Schutzniveau sicherstellen
    Die DSGVO gilt für jedes Unternehmen, egal ob Konzern oder EPU. Aber es gilt das Prinzip der Verhältnismäßigkeit, d.h. an den Kleinen werden weniger Anforderungen gestellt, als an den Konzern. Welche technisch organisatorische Maßnahmen Sie setzen, legen Sie in den TOMs fest. Mehr dazu hier:
    https://www.ivva.at/faqs-zur-dsgvo/#Toms
    https://www.ivva.at/wp-content/uploads/Vorlage-fuer-TOMs-technische-und-organisatorische-Maßnahmen_muster.pdf
    https://www.ivva.at/dsgvo-praxistipps-zu-den-toms-nl-24-19/
  5. Informations-Pflichten und Betroffenen-Rechte erfüllen
    Also etwa auf der Webseite die Datenschutzerklärung veröffentlichen. Die Cookie-Banner DSGVO-konform gestalten und korrekt darüber informieren. Bei der Erhebung personenbezogener Daten sind die Betroffenen unter anderem über Art, Umfang, Dauer und Zweck der Verarbeitung und deren Rechte zu informieren. Mehr dazu hier:
    https://www.ivva.at/faqs-zur-dsgvo/#Betroffenen-Rechte
    https://www.ivva.at/eugh-zu-rechtskonformen-cookie-hinweis-auf-ihrer-homepage-nl-5b-20/
  6. Datenschutzbeauftragter /-koordinator
    Brauchen Sie einen DS-Beauftragten oder reicht ein DS-Koordinator?
    Diese Entscheidung ist zu treffen und die Person ist namentlich im Verfahrensverzeichnis und mit Kontaktdaten auch öffentlich (z.B. via Webseite) bekannt zu geben. Mehr dazu hier:
    https://www.ivva.at/wer-braucht-datenschutzbeauftragten-aufgaben-nl-11b-18/
    https://www.ivva.at/faqs-zur-dsgvo/#datenschutz-beauftragter-nötig
    https://www.ivva.at/faqs-zur-dsgvo/#datenschutz-beauftragter-oder-koordinator
  7. Mitarbeiter schulen und zum Datenschutz verpflichten
    Eine falsche Auskunft am Telefon oder Fehlhandlung kann teuer werden und sollte daher durch regelmäßige Schulungen vermieden werden.
    Für die Verpflichtung der Mitarbeiter zum Datenschutz, also Geheimhaltung, finden Sie hier eine Vorlage: 
    https://www.ivva.at/wp-content/uploads/Vorlage_verpflichtungserklaerung-einhaltung-DSGVO_fuer_dienstnehmer.pdf
  8. Datenschutz-Folgenabschätzung
    Diese Folgenabschätzung beschreibt die Verarbeitungsvorgänge (siehe Punkt 2), deren Notwendigkeit, die Verhältnismäßigkeit, damit verbundene Risiken und geplante Abhilfemaßnahmen. Mehr dazu hier;
    https://www.ivva.at/datenschutz-folgenabschaetzung-fuer-die-datenschutz-grundverordnung-nl-24b17/
    https://www.ivva.at/wann-ist-datenschutz-folgenabschaetzung-noetig-nl10b-18/
  9. Betroffenenrechte einhalten
    Durch die DSGVO haben „Betroffene“ (gemeint sind Personen/Firmen, deren Daten Sie verarbeiten) Rechte etwa auf Auskunft, Löschung, Bereinigung oder Sperrung.
    Ignorieren dieser Rechte oder Fehler beim Tun können sehr teuer werden. Es gilt organisatorisch Prozesse zu definieren (was passiert bei Anfragen, wer darf antworten, etc.). Mehr dazu hier:
    https://www.ivva.at/faqs-zur-dsgvo/#Betroffenen-Rechte
    https://www.ivva.at/auskunfts-loeschkonzept-nach-dsgvo-nl-5-18/
    https://www.ivva.at/5-tipps-fuer-taeglichen-umgang-mit-der-dsgvo-nl-14-18/
    https://www.ivva.at/dsgvo-mega-strafe-gegen-11-wegen-telefonischer-auskunft-nl-9b-20/

  10. Datenverlust – Databreach – binnen 72 Stunden melden
    Gehen personenbezogene Daten verloren oder werden gestohlen, ist dies der DS-Behörde binnen 72 Stunden zu melden. Frist läuft, egal ebenfalls unverzüglich- zu informieren. Mehr dazu:
    https://www.ivva.at/vorgehen-bei-datenverlust/
    https://www.ivva.at/grosse-gefahr-datenschutzpanne-wegen-vieler-empfaenger-unter-an-oder-cc-anstelle-bcc-nl-33-20/

Corona, Home-Office, neue Herausforderungen und relevante Urteile

Die Corona-Krise hat durch die verstärkte Arbeit vom Home-Office neue Herausforderungen auch für den Datenschutz gebracht (weil zu Hause meist keine EDV-Abteilung unterstützend tätig wird und auch Hard- und Software oftmals nicht den hohen Unternehmens-Standards entsprach).

Mit dem Home-Office-Bereich beschäftigen wir uns im nächsten Teil dieses „Auffrischungs-Beitrags“ nächste Woche ebenso wie mit den interessantesten Urteilen der diversen Datenschutzbehörden, die auch für uns in Österreich relevant und zu befolgen sind, weil die DSGVO eine Europäische Verordnung ist, die europaweit gleich anzuwenden ist. Und auch die TOMs, die technisch organisatorischen Maßnahmen wollen wir nochmals in Erinnerung rufen.

Wir werden Sie an die wesentlichen Punkte erinnern und wieder auf die dazu gehörenden Beiträge auf der IVVA-Webseite verlinken.

Quellen: IVVA Webseite, computerwelt, Computer-Magazin com! professionell

Für Rückfragen:

RA Mag. Stephan Novotny, Foto: Stephan Huger


RA Mag. Stephan Novotny

1010 Wien, Weihburggasse 4/2/22

kanzlei@ra-novotny.at

https://www.ra-novotny.at