DSGVO: Tipps und Tricks zur erfolgreichen Umsetzung

Teil 2: Tipps und Tricks zur erfolgreichen Umsetzung der DSGVO

Sind Sie fit für die DSGVO?

In Teil 1 „Alles was Sie rund um die EU-DSGVO wissen müssen!“ haben wir Ihnen alle Infos rund um die DSGVO zusammengefasst. Für die ordnungsgemäße Umsetzung der neuen gesetzlichen Vorschriften ist es allerdings oft notwendig, einige Anpassungen im Unternehmen vorzunehmen. Die nachstehende Checkliste bietet einen Überblick welche Prozesse und Dokumente zur Erfüllung der DSGVO angefertigt werden müssen.

  • Datenschutzerklärung
  • Technische und organisatorische Maßnahmen
  • Transparenzgebote nach Art. 13 bzw. 14
  • Verzeichnis von Verarbeitungstätigkeiten
  • Prozessdefinitionen
  • Datenschutzfolgeabschätzung
  • Auftragsverarbeitungsverträge

 

Konnten Sie alle Häkchen setzen?

Falls ja – herzliche Gratulation, Sie haben sich schon intensiv mit der Umsetzung der DSGVO-Richtlinien auseinander gesetzt!

Falls nein – keine Sorge, wir haben für Sie nachfolgend detaillierte Infos, Tipps und Tricks sowie Mustervorlagen für eine gesetzmäßige Umsetzung zusammengefasst!

 

Tipps zur korrekten DSGVO-Umsetzung

1. Nutzen Sie die Chance alle Daten in Ihrem Unternehmen auf Vordermann zu bringen

Die neuen EU-DSGVO Regelungen bieten die Möglichkeit, sich einen grundlegenden Überblick über die gesammelten und gespeicherten Daten zu verschaffen. Eine Datenbestandsaufnahme hilft dabei herauszufinden, welche Daten, wo, von wem, zu welchem Zweck, wie und warum verarbeitet werden.

 

2. Erstellung von Datenschutzerklärungen

Gemäß Artikel 13 DSGVO besteht bei der Erhebung von personenbezogenen Daten die Pflicht, betroffene Personen über die Verarbeitung der Daten zu informieren. Deshalb muss für jede Datenerhebung auch eine entsprechende Datenschutzerklärung formuliert werden. So beispielsweise auch für folgende Themen:

  • Kontaktformular auf der Website
  • Newsletter-Anmeldungen
  • Bewerbungen

Solch eine Datenschutzerklärung sollte folgende Informationen beinhalten:

  • Name und Kontaktdaten des Verantwortlichen und des gesetzlichen Vertreters
  • Gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten
  • die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung
  • gegebenenfalls die Empfänger der erhobenen Daten (z.B. Dienstleister)
  • gegebenenfalls die Absicht des Verantwortlichen, die personenbezogenen Daten an ein Drittland oder eine internationale Organisation zu übermitteln
  • die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer
  • Verweis auf das Bestehen eines Rechts auf Auskunft seitens des Verantwortlichen über die betreffenden personenbezogenen Daten sowie auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung oder eines Widerspruchsrechts gegen die Verarbeitung sowie des Rechts auf Datenübertragbarkeit
  • Hinweis auf das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde
  • Hinweis darauf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte

3. Transparenzgebote nach Art. 13 bzw. 14

Die Informationspflichten nach DSGVO sind umfangreich. Gemäß Art. 13 und 14 EU-DSGVO ist man als Unternehmer beispielsweise dazu verpflichtet jeden Betroffenen, also Kunden oder Patienten, zum Zeitpunkt der Datenerhebung (also bspw. bei Vertragsabschluss) über die Datenverarbeitung zu informieren und über seine Rechte aufzuklären.

Durch die Erstellung von Transparenzgeboten soll Kunden, Interessenten oder Besuchern die Möglichkeit gegeben werden, sich über die Datenverarbeitung zu informieren. Dabei ist bei der Erstellung des Transparenzgebotes zu unterscheiden, ob die Daten direkt beim Betroffenen erhoben wurden oder nicht.

Wurden die Daten direkt beim Betroffenen erhoben, so muss dieser direkt bei der Erhebung auf folgende Punkte aufmerksam gemacht werden:

  • Namen und Kontaktdaten des Verantwortlichen (eigenes Unternehmen)
  • Kontaktdaten des Datenschutzbeauftragten (falls vorhanden)
  • Die Zwecke, für die die personenbezogenen Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung;
  • Empfänger der Daten (bspw. opta data)
  • Geplante Übermittlung in Drittländer oder an internationale Organisation und dortige Maßnahmen zum Schutz der Daten
  • Dauer der Datenspeicherung
  • Aufklärung über die Betroffenenrechte (Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit und Widerspruch)
  • Möglichkeit des Widerrufs der Einwilligung
  • Bestehen eines Beschwerderechts bei der Aufsichtsbehörde
  • Hinweis darauf, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist

Um den Informationspflichten nach DSGVO ordnungsgemäß nachzukommen, können u.a. folgende Methoden gewählt werden:

  • Aushang des Transparenzgebotes im Laden
  • Als Vertragsanlage
  • Auslage auf dem Empfangstresen zum Mitnehmen
  • Als Link angelegt auf der Website

Werden die Daten nicht direkt beim Betroffenen erhoben, ist dieser trotzdem innerhalb einer angemessen Frist, spätestens jedoch innerhalb eines Monats, über die Datenverarbeitung zu informieren. Zusätzlich zu den oben gelisteten Informationen müssen in diesem speziellen Fall  auch die Quellen benannt werden, aus denen die Daten stammen.

4. Erfassung der technischen und organisatorischen Maßnahmen

Lt. Artikel 32 DSGVO müssen gewisse technische und organisatorische Maßnahmen umgesetzt werden. Das österreichische Datenschutz-Anpassungsgesetz (DSAG 2018) definiert dazu in §54 DSG eine Aufzählung von Handlungen, die gesetzt werden müssen. Diese beinhaltet die Nennung einer Sicherheitsmaßnahme und eine genaue Beschreibung dieser durch den Verantwortlichen. Wichtige Sicherheitsmaßnahmen und potentielle Maßnahmen hierbei sind beispielsweise:

  • Zugangskontrolle (z.B. versperrter Serverraum, passwortgeschützter Laptop/PC)
  • Datenträgerkontrolle (z.B. Verhinderung des unbefugten Lesens, Kopierens, Veränderns oder Entfernens von Datenträgern)
  • Benutzerkontrolle (z.B. Vergabe von Benutzerrechten nur an Befugte)
  • Zugriffskontrolle (z.B. Passwort Policy)
  • Übertragungskontrolle (z.B. Datenübertragung nur an berechtigte Empfänger)
  • Eingabekontrolle (z.B. Protokoll zu welcher Zeit, von wem, im System gearbeitet wurde)
  • Transportkontrolle (z.B. Keine Datenspeicherung auf  mobilen Datenträgern (USB))
  • Wiederherstellung (z.B. regelmäßige Sicherung der Daten)
  • Datenintegrität (z.B. Virenschutz, regelmäßige Updates)

5. Erstellung eines Verzeichnisses von Verarbeitungstätigkeiten

Aufgrund der neuen DSGVO ist zwar keine Meldung mehr an das Datenverarbeitungsregister (DVR) zu erstatten und auch die DVR-Nummer gehört der Vergangenheit an, jedoch sind stattdessen unter anderem Verzeichnisse über die Verarbeitung der Daten zu führen. Im genaueren bedeutet das, dass sowohl Verantwortliche als auch Auftragsverarbeiter alle Verarbeitungstätigkeiten genauestens dokumentieren müssen.

Was muss ein Verzeichnis von Verarbeitungstätigkeiten alles enthalten?

  • Name und Kontaktdaten des bzw. der Verantwortlichen (meist Geschäftsführung)
  • Name und Kontaktdaten des Vertreters des Verantwortlichen
  • Name und Kontaktdaten des Datenschutzbeauftragen (falls vorhanden)
  • Zweck der Datenverarbeitung (+evtl. die Angabe der Rechtsgrundlage für den Datenverarbeitungszweck)
  • Beschreibung der Kategorien der betroffenen Personen (z.B. Kunden, Lieferanten)
  • Beschreibung der Kategorien personenbezogener Daten (z.B. Adressdaten, Rechnungsdaten)
  • Auflistung der Empfänger, gegenüber denen die personenbezogenen Daten offengelegt werden (z.B. Sozialversicherung, Finanzamt, Abrechnungsdienstleister)
  • Angabe, ob Übermittlungen von personenbezogenen Daten an ein Drittland (z.B. USA) oder an eine internationale Organisation stattfinden
  • Angabe der vorgesehenen Fristen für die Löschung der verschiedenen Datenkategorien
  • Beschreibung der allgemeinen technischen und organisatorischen Datensicherheitsmaßnahmen

Hier dazu eine Mustervorlage der WKO.

6. Erstellung einer groben Prozessdefinition

Die neue DSGVO zielt vor allem auf mehr Transparenz für Privatpersonen ab. Deshalb wurden in der neuen Grundverordnung auch wesentliche Betroffenenrechte festgelegt. Die Informationspflicht bei Erhebung der Daten sowie das Auskunftsrecht, das Recht auf Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und das Widerspruchsrecht sind somit von jedem Unternehmen zu beachten. Eine zuverlässige und zeitnahe Auskunft kann aber oft nur dann gewährleistet werden, wenn ein strukturierter Prozess dafür etabliert und beschrieben wurde.

Neben konkreten Ablaufregelungen zur Umsetzung der Anfrage, soll der Prozess auch Zuständigkeiten im Unternehmen regeln. Bei der Erstellung des Prozesses ist es wichtig auch die technischen und organisatorischen Maßnahmen zu beachten.

Möchte eine Privatperson also beispielsweise Auskunft darüber, welche Daten von ihm/ihr in einem Unternehmen gespeichert sind, dann sollte ein vorab festgelegter Prozess zur Auskunftsbearbeitung befolgt werden. Dieser kann sich beispielsweise wie folgt gestalten:

1. Überprüfung ob es sich überhaupt um ein Auskunftsverlangen handelt

Da Auskunftsverlangen nicht immer eindeutig formuliert sind, ist immer eine genaue Prüfung von eingehenden Anfragen erforderlich.

2.Prüfung der Identität des Antragsstellers

Da die abgefragten Informationen zahlreiche personenbezogene Daten enthalten, muss sichergestellt sein, dass der Antragssteller auch wirklich der Betroffene ist, dem das Auskunftsrecht zusteht. Die Überprüfung der Identität des Antragsstellers ist daher vor Beantwortung der Anfrage  zu empfehlen. Falls begründete Zweifel an der Identität des Antragstellers bestehen, können Sie zusätzliche Informationen anfordern, die zur Bestätigung der Identität der betroffenen Person erforderlich sind (bspw. Ausweiskopie).

3.Erfassung der Anfrage im System

Die Bearbeitung, insbesondere die Einhaltung der Bearbeitungsdauer und -qualität werden dadurch überwacht.

4.Versendung einer Eingangsbestätigung an den Antragssteller

Die Eingangsbestätigung signalisiert dem Antragssteller direkt, dass seine Anfrage ernst genommen wird und ein entsprechender Prozess zur Bearbeitung vorhanden ist.

5.Prüfung, ob personenbezogene Daten der betroffenen Person verarbeitet wurden

Die Prüfung, ob und wenn ja welche personenbezogenen Daten von der betroffenen Person verarbeitet wurden kann mit erheblichem Aufwand für den Verantwortlichen verbunden sein. Es sollten im Prozess jegliche Systeme, in denen Daten gespeichert werden berücksichtigt und in weiterer Folge überprüft werden.

 6.Wenn keine Daten vorhanden sind: Negativmitteilung an den Betroffenen

Wenn der Verantwortliche keine personenbezogenen Daten des Betroffenen verarbeitet, muss er dies der betroffenen Person mitteilen. Er muss eine so genannte Negativauskunft erteilen, d.h. die Information geben, dass keine personenbezogenen Daten zu der betroffenen Person gespeichert sind.

7.Wenn Daten vorhanden sind: Zusammenstellung und unverzügliche Beantwortung

Die Informationen müssen dem Betroffenen unverzüglich (max. 4 Wochen) in einer präzisen, transparenten, verständlichen und leicht zugänglichen Form sowie in einer klaren und einfachen Sprache zur Verfügung gestellt werden. Der Verantwortliche stellt der betroffenen Person im Regelfall eine Kopie der personenbezogenen Daten zur Verfügung. Wird der Antrag elektronisch gestellt, sind die Informationen in einem gängigen elektronischen Format bereitzustellen.

7. Datenschutzfolgeabschätzung

Eine Datenschutzfolgeabschätzung muss grundsätzlich nur dann durchgeführt werden, wenn davon auszugehen ist, dass ein hohes Risiko mit der Verarbeitung der Daten für die betroffene Person einhergeht. Dies kann bei der Verarbeitung personenbezogener Daten aufgrund der Art, des Umfangs, der Umstände oder der Zwecke der Verarbeitung, der Fall sein.

Eine Datenschutz-Folgeabschätzung sollte zumindest nachfolgende Inhalte enthalten:

  • Beschreibung der Zwecke und Vorgänge der Verarbeitung
  • Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitung der Daten
  • Bewertung der anfallenden Risiken die durch die Verarbeitung für die Rechte und Freiheiten der Betroffenen entstehen
  • Geplante Maßnahmen zur Minimierung der Risiken z.B. Sicherheitsvorkehrungen, Garantien etc.

8. Auftragsverarbeitungsverträge

Auftragsverarbeiter (wie bspw. opta data) sind generell „verlängerte Arme der Verantwortlichen“. Das heißt sie verarbeiten weisungsgebunden und vertraglich gebunden Daten für jemand anderes. Entscheidet man sich von einem Auftragsverarbeiter Gebrauch zu machen und Daten zur Verarbeitung weiterzugeben, ist es gemäß Art. 28 EU-DSGVO notwendig, einen Auftragsverarbeitungsvertrag abzuschließen. Solch ein Vertrag bietet hinreichend Garantie dafür, dass der Auftragsverarbeiter geeignete technische und organisatorische Maßnahmen festgelegt hat, dass gemäß den Anforderungen des Gesetzes gearbeitet wird und dass der Schutz der Rechte der betroffenen Personen gewährleistet ist.

Der Auftragsverarbeitungsvertrag bindet den Auftragsverarbeiter an den Verantwortlichen und sollte zumindest folgende Punkte enthalten:

  • Gegenstand und Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kategorien betroffener Personen
  • Pflicht und Rechte des Verantwortlichen und des Auftragsverarbeiters

9. Nützliche Links

Hier finden Sie nützliche Links, die Sie bei der Umsetzung der neuen Regelungen durch die EU-DSGVO unterstützen:

Möchten Sie sich näher über die Umsetzung der EU-DSGVO in der opta data informieren?
Kontaktieren Sie uns jederzeit gerne dazu!

zurück zur Übersicht

opta data Newsletter – wir informieren Sie über spannende Themen rund um die Kassenabrechnung!

Newsletter abonnieren