Kitabı oku: «Datenschutz für Unternehmen»

Yazı tipi:

Unter Mitarbeit von

Sabine Brunner

Patrick Göschl

Jürgen Hutsteiner

Peter Kleebauer

Florian Mundigler

Rafael Linus Nagel

Sandra Neunteufel

Erik Rusek

Impressum

978-3-85402-379-1

Auch als Buch verfügbar

978-3-85402-378-4

1. Auflage 2020

Das Werk ist urheberrechtlich geschützt.

Alle Rechte vorbehalten.

Nachdruck oder Vervielfältigung, Aufnahme

auf oder in sonstige Medien oder Datenträger,

auch bei nur auszugsweiser Verwertung,

sind nur mit ausdrücklicher Zustimmung der

Austrian Standards plus GmbH gestattet.

Alle Angaben in diesem Fachbuch erfolgen

trotz sorgfältiger Bearbeitung ohne Gewähr

und eine Haftung des Autors oder des Verlages

ist ausgeschlossen.

Aus Gründen der besseren Lesbarkeit wird im vorliegenden Werk die Sprachform des generischen Maskulinums angewendet.

Es wird an dieser Stelle darauf hingewiesen, dass die ausschließ­liche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.

© Austrian Standards plus GmbH, Wien 2020

Die Austrian Standards plus GmbH ist ein

Unternehmen von Austrian Standards International.

Austrian Standards plus GmbH

1020 Wien, Heinestraße 38

T +43 1 213 00-300

F +43 1 213 00-355

E service@austrian-standards.at

www.austrian-standards.at/fachliteratur

ProjektManagement

Lisa Maria Heiderer

LEKTORAT

Johanna Zechmeister

Cover – Fotocredit

© iStockphoto.com/Pinkypills

gestaltung

Martin Aschauer

Druck

Primerate Kft., H-1044 Budapest

Inhalt

Abkürzungsverzeichnis

Vorwort

1 Begrifflichkeiten und Grund­prinzipien der DSGVO

1.1 Der Weg zur Datenschutz-Grundverordnung (DSGVO)

1.2 Anwendungsbereich der DSGVO und des DSG

1.3 Wesentliche Begriffe der DSGVO

1.4 Grundprinzipien der DSGVO

1.5 Überblick über das Sanktionen- und Haftungsregime

1.6 Fazit

2 Art 82 DSGVO und Haftungsszenarien

2.1 Augsgangspunkt

2.2 Art 82 DSGVO – Haftung und Recht auf Schadenersatz

2.3 Art 82 DSGVO vs § 33 DSG 2000 – alles beim Alten?

2.4 Aktivlegitimation

2.5 Schaden

2.6 Verschulden und Haftungsbefreiung

2.7 Die Passivlegitimation

2.8 Gesamtschuldnerschaft

2.9 Fazit

3 Projektmanagement im Datenschutz

3.1 Herausforderungen

3.2 Projektformat

3.3 Projektmanagement

3.4 Fazit

4 Die Datenschutzorganisation

4.1 Die Notwendigkeit einer Datenschutzorganisation

4.2 Data-Protection-Management-System (DPMS)

4.3 Praktische Umsetzung eines DPMS

4.4 Das Projektsetup

4.5 Rollen des DPMS

4.6 Fazit

5 Vereinbarungen nach Art 28 DSGVO

5.1 Augsgangspunkt

5.2 Abgrenzung zum Verantwortlichen

5.3 Auswahl des Auftragsverarbeiters

5.4 Die Grundlage der Auftragsverarbeitung

5.5 Zwingende Mindestinhalte

5.6 Besondere Informationspflicht bei rechtswidriger ­Weisung

5.7 Subbeauftragung und Formerfordernis

5.8 Fazit

6 Datenschutz im Konzern

6.1 Konzerninterner Datenaustausch

6.2 Konzernbegriff in der DSGVO

6.3 Konzerninterne Datentransfers innerhalb der Europäischen Union

6.4 Konzerninterne Datentransfers in Drittstaaten

6.5 Abgrenzung – Gemeinsame Verantwortlichkeit und Auftragsverarbeitung

6.6 Konzerndatenschutzbeauftragter

6.7 Fazit

7 Datenübermittlungen an Drittländer oder interna­tionale Organisationen

7.1 Einleitung

7.2 Begrifflichkeiten

7.3 Zulässigkeit der Datenübermittlung

7.4 Aktuelle Entwicklungen

7.5 Fazit

8 Der One-Stop-Shop und die Zusammenarbeit zwischen Aufsichtsbehörden

8.1 Einleitung

8.2 Allgemeine Zuständigkeit

8.3 Prinzip der „federführenden Aufsichtsbehörde“ („One-Stop-Shop“)

8.4 Zusammenarbeit und Kohärenz

8.5 Fazit

9 Verarbeitungsverzeichnis und DS-FA

9.1 Einleitung

9.2 Das Verarbeitungsverzeichnis

9.3 Die DS-FA

9.4 Fazit

10 Betroffenenrechte

10.1 Einleitung

10.2 Die Betroffenenrechte im Überblick

10.3 Informationspflicht

10.4 Recht auf Auskunft

10.5 Recht auf Berichtigung

10.6 Recht auf Löschung und Recht auf Vergessenwerden

10.7 Recht auf Einschränkung der Verarbeitung

10.8 Recht auf Datenübertragbarkeit

10.9 Widerspruchsrecht

10.10 Recht, keiner Entscheidung aufgrund automatisierter Verarbeitung unterworfen zu werden

10.11 Fazit

11 Datenschutzvorfall

11.1 Definition

11.2 Erkennung und Umgang

11.3 Meldepflichten

11.4 Fazit

12 Informationssicherheit

12.1 Begriffsklärung

12.2 Das Informationssicherheitsmanagementsystem (ISMS)

12.3 Fazit

13 Technische und organisa­torische Maßnahmen

13.1 Einleitung

13.2 Was sind TOMs?

13.3 Privacy-by-design und privacy-by-default

13.4 Die DSGVO und TOMs – Weitere Vorgaben

13.5 Case Study: Technische und organisatorische Maßnahmen umsetzen

13.6 Fazit

14 Datenschutzaudit und Zertifizierungen

14.1 Einleitung

14.2 Vor- und Nachteile einer Zertifizierung

14.3 Grundsätze einer Zertifizierung

14.4 Vorbereitungen und Voraussetzungen für eine ­Zertifizierung

14.5 Der Zertifizierungsprozess

14.6 Fazit

15 Datenschutz im Dienstverhältnis

15.1 Einleitung

15.2 Von der Bewerbung bis zum Eintritt

15.3 Datenschutz im laufenden Dienstverhältnis

15.4 Beendigung des Dienstverhältnisses

15.5 Fazit

16 Interne Untersuchungen und Datenschutz

16.1 Einleitung

16.2 Ablauf einer internen Untersuchung mit dem Schwerpunkt e-Discovery

16.3 Zulässigkeit von e-Discovery-Maßnahmen

16.4 Umgang mit privaten Informationen

16.5 Policies

16.6 Forensic Readiness für den Ernstfall

16.7 Fazit

17 Ausblick

Anhang

Literaturverzeichnis

Die Autoren

Abbildungsverzeichnis

Abbildung 1 Projektmanagementphasen und Managementaufgaben nach DIN 69901

Abbildung 2 Beispielhafte Darstellung einer Projektorganisation

Abbildung 3 Meilenstein- und Phasenplan

Abbildung 4 Einbettung in kombiniertem Modell

Abbildung 5 Widerstands- und Einigungskosten

Abbildung 6 Struktur DPMS

Abbildung 7 CIA-Prinzip (engl. confidentiality, integrity, availability)

Abbildung 8 Vereinfachte Darstellung einer Vorfallbehandlung

Abbildung 9 Handlungsschritte zur Realisierung des Zertifizierungsprojekts

Abbildung 10 Organisation

Abbildung 11 Risikomanagement

Abbildung 12 Ablauf zur Umsetzung der technischen und organisatorischen Maßnahmen

Abbildung 13 Schematische Darstellung eines Geltungsbereichs

Abbildung 14 Schematische Darstellung des Zertifizierungsprozesses

Abbildung 15 Klassischer e-Discovery-Prozess auf Basis des EDRM-Modells

Abkürzungsverzeichnis


AbsAbsatz
ADVAuftragsdatenverarbeitung
aFalte Fassung
ArtArtikel
BayLDABayerisches Landesamt für Datenschutzaufsicht
BBFachzeitschrift Betriebsberater
BCRBinding-Corporate-Rules
BfDIBundesbeauftragter für den Schutz und die Informationsfreiheit
BGBl.Bundesgesetzblatt
BMDWBundesministerium für Digitalisierung und Wirtschaftsstandort
BYODBring-Your-Own-Device
B2BBusiness to Business
B2CBusiness to Consumer
CIA-PrinzipConfidentiality-Integrity-Availability-Prinzip
CRMCustomer-Relationship-Management
DAkkSDeutsche Akkreditierungsstelle
DakoDatenschutz konkret
DINDeutsches Institut für Normung
DPAData-Protection-Agent(s)
DPCData-Protection-Coordinator(s)
DPMData-Protection-Manager(s)
DPMSData-Protection-Management-System
DPOData-Protection-Officer(s) (Datenschutzbeauftragter)
DSBösterreichische Datenschutzbehörde
DS-FADatenschutz-Folgenabschätzung(en)
DSKDatenschutzkonferenz
DSMSDatenschutzmanagementsystem
DS-RLDatenschutzrichtlinie
EDPBEuropean Data Protection Board
EDPSEuropean Data Protection Supervisor
EDRMElectronic Discovery Reference Model
EKEuropäische Kommission
ENEuropäische Norm
ENISAEuropean Union Agency for Cybersecurity
ERPEnterprise Resource Planning
ErwGrErwägungsgrund
EUEuropäische Union
EuGHEuropäischer Gerichtshof
EUREuro
EuroPriSeEuropean Privacy Seal
EUVVertrag über die Europäische Union
EWREuropäischer Wirtschaftsraum
fder/die/das folgende
FAQFrequently Asked Questions
ffdie folgenden/die fortfolgenden
GDDGesellschaft für Datenschutz und Datensicherheit
GKKGebietskrankenkasse
Hrsg.Herausgeber
HSHalbsatz
IBANInternational Bank Account Number
idRin der Regel
idSin diesem Sinne
iHvin der Höhe von
IKSInternes Kontrollsystem
IKTInformations- und Kommunikationstechnologie
IDIdentity
iS(d)im Sinne (der/des)
ISAInformation-Security-Agent
ISAEInternational Standard on Assurance Engagements
ISMInformation-Security-Manager
ISMSInformationssicherheitsmanagementsystem oder Information-Security-Management-System
ISOInternational Organization for Standardization
ISRInformation-Security-Responsible
iSvim Sinne von
ITInformationstechnik
ITRBZeitschrift für IT-Rechtsberater
iVmin Verbindung mit
iZmim Zusammenhang mit
JFJour-Fixe
JusITDie Zeitschrift für IT-Recht, Rechtsinformation und Datenschutz
KFZKraftfahrzeug
KMUKlein- und Mittelunternehmen
KVPkontinuierlicher Verbesserungsprozess
litlitera
MDRManaged Detection and Response
MSMitgliedsstaat
mwNmit weiteren Nachweisen
OEOrganisationseinheit
OGHOberster Gerichtshof
OLGOberlandesgericht
ÖNORMÖsterreichische Norm
PCPersonal Computer
PDFPortable Document Format
RLRichtlinie
RsprRechtsprechung
RzRandzahl
SSatz
SIEMSecurity-Incident-and-Even-Management
SIMSubscriber Identity Module
SoAStatement of Applicability
TISAXTrusted Information Security Assessment Exchange
ToETarget of Evaluation
TOMsTechnische und Organisatorische Maßnahmen
UAbsUnterabsatz
UGBUnternehmensgesetzbuch
USAVereinigte Staaten von Amerika
USBUniversal Serial Bus
VbRZeitschrift für Verbraucherrecht (Manz)
vsversus
VOVerordnung
VPNVirtual Private Network
VTVertriebstätigkeit
WADAWorld Anti-Doping Agency
WKOWirtschaftskammer Österreich
WLANWireless LAN
WPWorking Paper der Artikel 29 Gruppe
XMLExtensible Markup Language
ZZahl, Ziffer
ZDZeitschrift für Datenschutz
ZIIRZeitschrift für Informationsrecht

Vorwort

Seit 25. Mai 2018 ist EU-weit die Datenschutz-Grundverordnung (DSGVO) gültig. Das Thema Datenschutz ist spätestens seit diesem Zeitpunkt in aller Munde und stellt für viele Unternehmen eine große Herausforderung dar. Dabei ist Datenschutz nichts Neues, es hat sich mit der DSGVO nur einiges verändert. Während nach dem DSG 2000 die Strafen für Datenschutzverstöße meist sehr gering waren, sind die Sanktionen für Verstöße gegen die DSGVO erheblich. Die Höchststrafen würden für einige Unternehmen nicht nur einen herben Verlust bedeuten, sondern könnten sogar existenzbedrohend sein. Für Unternehmen soll aber nicht nur das Risiko einer hohen Strafe bei Nichteinhaltung der gesetzlichen Vorgaben im Fokus stehen. Ziel dieses Buch ist es, den für Datenschutz verantwortlichen Mitarbeitern dabei zu helfen, die DSGVO umzusetzen und aufzuzeigen, wie durch erfolgreich umgesetzte Datenschutzprojekte ein Wettbewerbsvorteil erzielt werden kann.

Datenschutz betrifft jedes Unternehmen. Ohne die Verarbeitung personenbezogener Daten, eingeschlossen Mitarbeiterdaten, ist die Erfüllung des Geschäftszwecks nicht möglich. Viele sehen in der DSGVO ein Datenverarbeitungsverbots-Gesetz und damit eine Einschränkung in ihrer Geschäftstätigkeit. Dabei verbietet die EU-Verordnung die Verarbeitung von personenbezogenen Daten nicht; sie fordert lediglich die Einhaltung bestimmter Grundsätze. Diese Grundsätze werden dem Leser in den ersten Kapiteln vorgestellt. Außerdem wird geklärt, was personenbezogene Daten eigentlich sind und welche Neuerungen sich in der DSGVO gegenüber dem DSG 2000 ergeben. Darüber hinaus werden Grundlagen des Projektmana­gements, die essenziell für die Durchführung eines Datenschutzprojektes sind, beleuchtet. Diese Grundlagen werden dann praxisnah in der Einführung einer Datenschutzorganisation angewendet.

Die gesetzlichen Vorgaben der DSGVO sind zum Teil auslegungsbedürftig und ließen bisher zahlreiche Fragen, deren Beantwortung für die Praxis essenziell ist, offen. Das vorliegende Buch versucht, Klarheit zu schaffen, indem es diese Fragen beantwortet und die praktische Umsetzung der wichtigsten Vorgaben wie das Führen von Verarbeitungsverzeichnissen, das Erstellen von Datenschutz-Folgeabschätzungen, die Beachtung von Betroffenenrechten und die Vorgehensweise bei einem Datenschutzvorfall praxisnah beschreibt. Zudem werden die Vorgaben aufgezeigt, die speziell international tätige Unternehmen betreffen. Beispielsweise wird der richtige Umgang mit personenbezogenen Daten, die in Niederlassungen in verschiedenen Ländern verarbeitet werden oder die gesetzeskonforme Datenübermittlung an Unternehmen aus nicht EU-Ländern behandelt.

Datenschutz ist jedoch kein ausschließlich rechtliches Thema, sondern betrifft alle Unternehmensabläufe, in denen personenbezogene Daten verarbeitet werden, so auch die IT. Im Zuge der voranschreitenden Digitalisierung sind IT-Systeme dazu imstande, immer mehr Daten zu verhältnismäßig immer geringeren Kosten zu sammeln und zu verarbeiten. Somit bringt die DSGVO auch für IT-Systeme Vorgaben, welche durch technische und organisatorische Maßnahmen umgesetzt werden müssen, mit sich. Auch weniger verbreitete Konzepte wie Privacy-by-Design und Privacy-by-Default werden in diesem Buch beschrieben. Dabei handelt es sich um Grundsätze zur Etablierung einer datenschutzfreundlichen Softwareentwicklung und zur Umsetzung datenschutzkonformer Systemeinstellungen. Diese Konzepte sind insbesondere wichtig, da auch IT-Systeme auf dem aktuellen Stand der Technik in der Regel auf Datengewinnung und nicht auf das Entfernen von alten und nicht mehr benötigten Daten ausgerichtet sind. Das ist auch der Grund, warum Unternehmen kaum Daten löschen, solange sie nicht gesetzlich dazu verpflichtet sind. Vielmehr werden die gesammelten Daten als „Datenschatz“ wahrgenommen, da sie in vielen Fällen entsprechend verarbeitet für Marketingzwecke genutzt werden können. Dies steht im Widerspruch zur DSGVO und wird noch einige Unternehmen vor große Herausforderungen stellen, gerade bei der Umsetzung von Löschkonzepten. Datenschutz bedingt daher einen Paradigmenwechsel: weg von „wir sammeln alles für die Ewigkeit“ hin zu „wir nutzen aktuelle Daten nur, solange wir diese benötigen“.

Datenschutz ist kein Kurzzeitprojekt, sondern ein Prozess, der über längere Zeit in mehreren Schritten in einem Unternehmen eingeführt und nachhaltig gelebt werden muss. Das vorliegende Buch soll österreichischen Unternehmen helfen, diesen Prozess zu meistern und anhand von Beispielen Einblicke in die Praxis des gelebten Datenschutzes geben.

Besonders bedanken möchten wir uns bei Mag. Julia Schuster, LL.M. (NYU), Mag. Anna-Maria Minihold, LL.M., Mag. Lorenz Rattey und Lara Weissenberger, ohne deren Einsatz an ein Gelingen des Buches nicht zu denken gewesen wäre.

Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freuen wir uns unter verlag@austrian-standards.at.

Wien, Oktober 2020, Die Herausgeber

1 Begrifflichkeiten und Grund­prinzipien der DSGVO

Sabine Brunner, Rafael Linus Nagel

1 Begrifflichkeiten und Grundprinzipien der DSGVO
1.1 Der Weg zur Datenschutz-Grundverordnung (DSGVO)

Der Datenschutz gilt als eine vergleichsweise junge Rechtsmaterie.[1] Das erste Datenschutzgesetz wurde im Jahr 1970 in Hessen (Deutschland) erlassen. In Österreich betrat man im Jahr 1978 mit dem Datenschutzgesetz ebenfalls legistisches Neuland. Angesichts der rasanten technischen Fortschritte war es nur noch eine Frage der Zeit, bis sich auch die EU dem Thema Datenschutz annehmen würde.

1.1.1 Europäische Datenschutzrichtlinie als Vorgängerbestimmung

Im Jahr 1995 erließen das Europäische Parlament und der Rat der Europäischen Union die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden „DS-RL“). Der Hintergedanke war schon damals eine umfassende Harmonisierung der Rechtslage zur Herstellung eines gleichwertigen Schutzniveaus in allen Mitgliedsstaaten (im Folgenden „MS“) der EU.

Mit der DS-RL konnte dieses Ziel jedoch nur bedingt erreicht werden: Dies war vor allem der unterschiedlichen Umsetzung der Richtlinie in den einzelnen MS und der uneinheitlichen Rechtsprechung der jeweiligen Aufsichtsbehörden geschuldet.[2]

In der unternehmerischen Praxis wurde der Datenschutz bis vor Kurzem eher stiefmütterlich behandelt, während die Verarbeitung von personenbezogenen Daten im Zuge der weltweiten Vernetzung sowie aufgrund technologischer Entwicklungen rasant zunahm. Mit dem Jahr 2016 sollte sich dies jedoch schlagartig ändern.

1.1.2 Die Geburtsstunde der DSGVO

Am 24. Mai 2016 trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) in Kraft. Diese Verordnung hob die bisher in Geltung stehende DS-RL auf und sollte erst ab 25. Mai 2018 zur Anwendung gelangen. Den Normadressaten wurde sohin eine zweijährige „Schonfrist“ zur Umsetzung der datenschutzrechtlichen Bestimmungen gewährt.

Die Grundprinzipien der DS-RL finden sich im Wesentlichen auch in der DSGVO wieder, den entscheidenden Unterschied macht jedoch die Wahl des Rechtsinstruments aus.[3] Die DSGVO ist als Verordnung in den MS unmittelbar anwendbar, auch wenn aufgrund ihrer sogenannten „Öffnungsklauseln“ noch ein gewisser Umsetzungsspielraum für die nationalen Gesetzgeber verbleibt. Dies führt im Ergebnis zu einer leider nicht gänzlichen, aber doch weitgehenden Vereinheitlichung des Datenschutzrechts innerhalb der EU.

1.1.3 Datenschutz neu – Ein Blick nach Österreich

In Österreich wurden die Öffnungsklauseln der DSGVO mit dem Datenschutz-Anpassungsgesetz 2018 und zwei weiteren DSG-Novellen im Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DSG) umgesetzt. Der österreichische Gesetzgeber machte allerdings – im Gegensatz zB zu Deutschland – von seinem Umsetzungsspielraum nur sehr eingeschränkt Gebrauch.[4]