Читать книгу: «Datenschutz für Unternehmen»
Unter Mitarbeit von
Sabine Brunner
Patrick Göschl
Jürgen Hutsteiner
Peter Kleebauer
Florian Mundigler
Rafael Linus Nagel
Sandra Neunteufel
Erik Rusek
Impressum
978-3-85402-379-1
Auch als Buch verfügbar
978-3-85402-378-4
1. Auflage 2020
Das Werk ist urheberrechtlich geschützt.
Alle Rechte vorbehalten.
Nachdruck oder Vervielfältigung, Aufnahme
auf oder in sonstige Medien oder Datenträger,
auch bei nur auszugsweiser Verwertung,
sind nur mit ausdrücklicher Zustimmung der
Austrian Standards plus GmbH gestattet.
Alle Angaben in diesem Fachbuch erfolgen
trotz sorgfältiger Bearbeitung ohne Gewähr
und eine Haftung des Autors oder des Verlages
ist ausgeschlossen.
Aus Gründen der besseren Lesbarkeit wird im vorliegenden Werk die Sprachform des generischen Maskulinums angewendet.
Es wird an dieser Stelle darauf hingewiesen, dass die ausschließliche Verwendung der männlichen Form geschlechtsunabhängig verstanden werden soll.
© Austrian Standards plus GmbH, Wien 2020
Die Austrian Standards plus GmbH ist ein
Unternehmen von Austrian Standards International.
Austrian Standards plus GmbH
1020 Wien, Heinestraße 38
T +43 1 213 00-300
F +43 1 213 00-355
E service@austrian-standards.at
www.austrian-standards.at/fachliteratur
ProjektManagement
Lisa Maria Heiderer
LEKTORAT
Johanna Zechmeister
Cover – Fotocredit
© iStockphoto.com/Pinkypills
gestaltung
Martin Aschauer
Druck
Primerate Kft., H-1044 Budapest
Inhalt
Abkürzungsverzeichnis
Vorwort
1 Begrifflichkeiten und Grundprinzipien der DSGVO
1.1 Der Weg zur Datenschutz-Grundverordnung (DSGVO)
1.2 Anwendungsbereich der DSGVO und des DSG
1.3 Wesentliche Begriffe der DSGVO
1.4 Grundprinzipien der DSGVO
1.5 Überblick über das Sanktionen- und Haftungsregime
1.6 Fazit
2 Art 82 DSGVO und Haftungsszenarien
2.1 Augsgangspunkt
2.2 Art 82 DSGVO – Haftung und Recht auf Schadenersatz
2.3 Art 82 DSGVO vs § 33 DSG 2000 – alles beim Alten?
2.4 Aktivlegitimation
2.5 Schaden
2.6 Verschulden und Haftungsbefreiung
2.7 Die Passivlegitimation
2.8 Gesamtschuldnerschaft
2.9 Fazit
3 Projektmanagement im Datenschutz
3.1 Herausforderungen
3.2 Projektformat
3.3 Projektmanagement
3.4 Fazit
4 Die Datenschutzorganisation
4.1 Die Notwendigkeit einer Datenschutzorganisation
4.2 Data-Protection-Management-System (DPMS)
4.3 Praktische Umsetzung eines DPMS
4.4 Das Projektsetup
4.5 Rollen des DPMS
4.6 Fazit
5 Vereinbarungen nach Art 28 DSGVO
5.1 Augsgangspunkt
5.2 Abgrenzung zum Verantwortlichen
5.3 Auswahl des Auftragsverarbeiters
5.4 Die Grundlage der Auftragsverarbeitung
5.5 Zwingende Mindestinhalte
5.6 Besondere Informationspflicht bei rechtswidriger Weisung
5.7 Subbeauftragung und Formerfordernis
5.8 Fazit
6 Datenschutz im Konzern
6.1 Konzerninterner Datenaustausch
6.2 Konzernbegriff in der DSGVO
6.3 Konzerninterne Datentransfers innerhalb der Europäischen Union
6.4 Konzerninterne Datentransfers in Drittstaaten
6.5 Abgrenzung – Gemeinsame Verantwortlichkeit und Auftragsverarbeitung
6.6 Konzerndatenschutzbeauftragter
6.7 Fazit
7 Datenübermittlungen an Drittländer oder internationale Organisationen
7.1 Einleitung
7.2 Begrifflichkeiten
7.3 Zulässigkeit der Datenübermittlung
7.4 Aktuelle Entwicklungen
7.5 Fazit
8 Der One-Stop-Shop und die Zusammenarbeit zwischen Aufsichtsbehörden
8.1 Einleitung
8.2 Allgemeine Zuständigkeit
8.3 Prinzip der „federführenden Aufsichtsbehörde“ („One-Stop-Shop“)
8.4 Zusammenarbeit und Kohärenz
8.5 Fazit
9 Verarbeitungsverzeichnis und DS-FA
9.1 Einleitung
9.2 Das Verarbeitungsverzeichnis
9.3 Die DS-FA
9.4 Fazit
10 Betroffenenrechte
10.1 Einleitung
10.2 Die Betroffenenrechte im Überblick
10.3 Informationspflicht
10.4 Recht auf Auskunft
10.5 Recht auf Berichtigung
10.6 Recht auf Löschung und Recht auf Vergessenwerden
10.7 Recht auf Einschränkung der Verarbeitung
10.8 Recht auf Datenübertragbarkeit
10.9 Widerspruchsrecht
10.10 Recht, keiner Entscheidung aufgrund automatisierter Verarbeitung unterworfen zu werden
10.11 Fazit
11 Datenschutzvorfall
11.1 Definition
11.2 Erkennung und Umgang
11.3 Meldepflichten
11.4 Fazit
12 Informationssicherheit
12.1 Begriffsklärung
12.2 Das Informationssicherheitsmanagementsystem (ISMS)
12.3 Fazit
13 Technische und organisatorische Maßnahmen
13.1 Einleitung
13.2 Was sind TOMs?
13.3 Privacy-by-design und privacy-by-default
13.4 Die DSGVO und TOMs – Weitere Vorgaben
13.5 Case Study: Technische und organisatorische Maßnahmen umsetzen
13.6 Fazit
14 Datenschutzaudit und Zertifizierungen
14.1 Einleitung
14.2 Vor- und Nachteile einer Zertifizierung
14.3 Grundsätze einer Zertifizierung
14.4 Vorbereitungen und Voraussetzungen für eine Zertifizierung
14.5 Der Zertifizierungsprozess
14.6 Fazit
15 Datenschutz im Dienstverhältnis
15.1 Einleitung
15.2 Von der Bewerbung bis zum Eintritt
15.3 Datenschutz im laufenden Dienstverhältnis
15.4 Beendigung des Dienstverhältnisses
15.5 Fazit
16 Interne Untersuchungen und Datenschutz
16.1 Einleitung
16.2 Ablauf einer internen Untersuchung mit dem Schwerpunkt e-Discovery
16.3 Zulässigkeit von e-Discovery-Maßnahmen
16.4 Umgang mit privaten Informationen
16.5 Policies
16.6 Forensic Readiness für den Ernstfall
16.7 Fazit
17 Ausblick
Anhang
Literaturverzeichnis
Die Autoren
Abbildungsverzeichnis
Abbildung 1 Projektmanagementphasen und Managementaufgaben nach DIN 69901
Abbildung 2 Beispielhafte Darstellung einer Projektorganisation
Abbildung 3 Meilenstein- und Phasenplan
Abbildung 4 Einbettung in kombiniertem Modell
Abbildung 5 Widerstands- und Einigungskosten
Abbildung 6 Struktur DPMS
Abbildung 7 CIA-Prinzip (engl. confidentiality, integrity, availability)
Abbildung 8 Vereinfachte Darstellung einer Vorfallbehandlung
Abbildung 9 Handlungsschritte zur Realisierung des Zertifizierungsprojekts
Abbildung 10 Organisation
Abbildung 11 Risikomanagement
Abbildung 12 Ablauf zur Umsetzung der technischen und organisatorischen Maßnahmen
Abbildung 13 Schematische Darstellung eines Geltungsbereichs
Abbildung 14 Schematische Darstellung des Zertifizierungsprozesses
Abbildung 15 Klassischer e-Discovery-Prozess auf Basis des EDRM-Modells
Abkürzungsverzeichnis
| Abs | Absatz |
| ADV | Auftragsdatenverarbeitung |
| aF | alte Fassung |
| Art | Artikel |
| BayLDA | Bayerisches Landesamt für Datenschutzaufsicht |
| BB | Fachzeitschrift Betriebsberater |
| BCR | Binding-Corporate-Rules |
| BfDI | Bundesbeauftragter für den Schutz und die Informationsfreiheit |
| BGBl. | Bundesgesetzblatt |
| BMDW | Bundesministerium für Digitalisierung und Wirtschaftsstandort |
| BYOD | Bring-Your-Own-Device |
| B2B | Business to Business |
| B2C | Business to Consumer |
| CIA-Prinzip | Confidentiality-Integrity-Availability-Prinzip |
| CRM | Customer-Relationship-Management |
| DAkkS | Deutsche Akkreditierungsstelle |
| Dako | Datenschutz konkret |
| DIN | Deutsches Institut für Normung |
| DPA | Data-Protection-Agent(s) |
| DPC | Data-Protection-Coordinator(s) |
| DPM | Data-Protection-Manager(s) |
| DPMS | Data-Protection-Management-System |
| DPO | Data-Protection-Officer(s) (Datenschutzbeauftragter) |
| DSB | österreichische Datenschutzbehörde |
| DS-FA | Datenschutz-Folgenabschätzung(en) |
| DSK | Datenschutzkonferenz |
| DSMS | Datenschutzmanagementsystem |
| DS-RL | Datenschutzrichtlinie |
| EDPB | European Data Protection Board |
| EDPS | European Data Protection Supervisor |
| EDRM | Electronic Discovery Reference Model |
| EK | Europäische Kommission |
| EN | Europäische Norm |
| ENISA | European Union Agency for Cybersecurity |
| ERP | Enterprise Resource Planning |
| ErwGr | Erwägungsgrund |
| EU | Europäische Union |
| EuGH | Europäischer Gerichtshof |
| EUR | Euro |
| EuroPriSe | European Privacy Seal |
| EUV | Vertrag über die Europäische Union |
| EWR | Europäischer Wirtschaftsraum |
| f | der/die/das folgende |
| FAQ | Frequently Asked Questions |
| ff | die folgenden/die fortfolgenden |
| GDD | Gesellschaft für Datenschutz und Datensicherheit |
| GKK | Gebietskrankenkasse |
| Hrsg. | Herausgeber |
| HS | Halbsatz |
| IBAN | International Bank Account Number |
| idR | in der Regel |
| idS | in diesem Sinne |
| iHv | in der Höhe von |
| IKS | Internes Kontrollsystem |
| IKT | Informations- und Kommunikationstechnologie |
| ID | Identity |
| iS(d) | im Sinne (der/des) |
| ISA | Information-Security-Agent |
| ISAE | International Standard on Assurance Engagements |
| ISM | Information-Security-Manager |
| ISMS | Informationssicherheitsmanagementsystem oder Information-Security-Management-System |
| ISO | International Organization for Standardization |
| ISR | Information-Security-Responsible |
| iSv | im Sinne von |
| IT | Informationstechnik |
| ITRB | Zeitschrift für IT-Rechtsberater |
| iVm | in Verbindung mit |
| iZm | im Zusammenhang mit |
| JF | Jour-Fixe |
| JusIT | Die Zeitschrift für IT-Recht, Rechtsinformation und Datenschutz |
| KFZ | Kraftfahrzeug |
| KMU | Klein- und Mittelunternehmen |
| KVP | kontinuierlicher Verbesserungsprozess |
| lit | litera |
| MDR | Managed Detection and Response |
| MS | Mitgliedsstaat |
| mwN | mit weiteren Nachweisen |
| OE | Organisationseinheit |
| OGH | Oberster Gerichtshof |
| OLG | Oberlandesgericht |
| ÖNORM | Österreichische Norm |
| PC | Personal Computer |
| Portable Document Format | |
| RL | Richtlinie |
| Rspr | Rechtsprechung |
| Rz | Randzahl |
| S | Satz |
| SIEM | Security-Incident-and-Even-Management |
| SIM | Subscriber Identity Module |
| SoA | Statement of Applicability |
| TISAX | Trusted Information Security Assessment Exchange |
| ToE | Target of Evaluation |
| TOMs | Technische und Organisatorische Maßnahmen |
| UAbs | Unterabsatz |
| UGB | Unternehmensgesetzbuch |
| USA | Vereinigte Staaten von Amerika |
| USB | Universal Serial Bus |
| VbR | Zeitschrift für Verbraucherrecht (Manz) |
| vs | versus |
| VO | Verordnung |
| VPN | Virtual Private Network |
| VT | Vertriebstätigkeit |
| WADA | World Anti-Doping Agency |
| WKO | Wirtschaftskammer Österreich |
| WLAN | Wireless LAN |
| WP | Working Paper der Artikel 29 Gruppe |
| XML | Extensible Markup Language |
| Z | Zahl, Ziffer |
| ZD | Zeitschrift für Datenschutz |
| ZIIR | Zeitschrift für Informationsrecht |
Vorwort
Seit 25. Mai 2018 ist EU-weit die Datenschutz-Grundverordnung (DSGVO) gültig. Das Thema Datenschutz ist spätestens seit diesem Zeitpunkt in aller Munde und stellt für viele Unternehmen eine große Herausforderung dar. Dabei ist Datenschutz nichts Neues, es hat sich mit der DSGVO nur einiges verändert. Während nach dem DSG 2000 die Strafen für Datenschutzverstöße meist sehr gering waren, sind die Sanktionen für Verstöße gegen die DSGVO erheblich. Die Höchststrafen würden für einige Unternehmen nicht nur einen herben Verlust bedeuten, sondern könnten sogar existenzbedrohend sein. Für Unternehmen soll aber nicht nur das Risiko einer hohen Strafe bei Nichteinhaltung der gesetzlichen Vorgaben im Fokus stehen. Ziel dieses Buch ist es, den für Datenschutz verantwortlichen Mitarbeitern dabei zu helfen, die DSGVO umzusetzen und aufzuzeigen, wie durch erfolgreich umgesetzte Datenschutzprojekte ein Wettbewerbsvorteil erzielt werden kann.
Datenschutz betrifft jedes Unternehmen. Ohne die Verarbeitung personenbezogener Daten, eingeschlossen Mitarbeiterdaten, ist die Erfüllung des Geschäftszwecks nicht möglich. Viele sehen in der DSGVO ein Datenverarbeitungsverbots-Gesetz und damit eine Einschränkung in ihrer Geschäftstätigkeit. Dabei verbietet die EU-Verordnung die Verarbeitung von personenbezogenen Daten nicht; sie fordert lediglich die Einhaltung bestimmter Grundsätze. Diese Grundsätze werden dem Leser in den ersten Kapiteln vorgestellt. Außerdem wird geklärt, was personenbezogene Daten eigentlich sind und welche Neuerungen sich in der DSGVO gegenüber dem DSG 2000 ergeben. Darüber hinaus werden Grundlagen des Projektmanagements, die essenziell für die Durchführung eines Datenschutzprojektes sind, beleuchtet. Diese Grundlagen werden dann praxisnah in der Einführung einer Datenschutzorganisation angewendet.
Die gesetzlichen Vorgaben der DSGVO sind zum Teil auslegungsbedürftig und ließen bisher zahlreiche Fragen, deren Beantwortung für die Praxis essenziell ist, offen. Das vorliegende Buch versucht, Klarheit zu schaffen, indem es diese Fragen beantwortet und die praktische Umsetzung der wichtigsten Vorgaben wie das Führen von Verarbeitungsverzeichnissen, das Erstellen von Datenschutz-Folgeabschätzungen, die Beachtung von Betroffenenrechten und die Vorgehensweise bei einem Datenschutzvorfall praxisnah beschreibt. Zudem werden die Vorgaben aufgezeigt, die speziell international tätige Unternehmen betreffen. Beispielsweise wird der richtige Umgang mit personenbezogenen Daten, die in Niederlassungen in verschiedenen Ländern verarbeitet werden oder die gesetzeskonforme Datenübermittlung an Unternehmen aus nicht EU-Ländern behandelt.
Datenschutz ist jedoch kein ausschließlich rechtliches Thema, sondern betrifft alle Unternehmensabläufe, in denen personenbezogene Daten verarbeitet werden, so auch die IT. Im Zuge der voranschreitenden Digitalisierung sind IT-Systeme dazu imstande, immer mehr Daten zu verhältnismäßig immer geringeren Kosten zu sammeln und zu verarbeiten. Somit bringt die DSGVO auch für IT-Systeme Vorgaben, welche durch technische und organisatorische Maßnahmen umgesetzt werden müssen, mit sich. Auch weniger verbreitete Konzepte wie Privacy-by-Design und Privacy-by-Default werden in diesem Buch beschrieben. Dabei handelt es sich um Grundsätze zur Etablierung einer datenschutzfreundlichen Softwareentwicklung und zur Umsetzung datenschutzkonformer Systemeinstellungen. Diese Konzepte sind insbesondere wichtig, da auch IT-Systeme auf dem aktuellen Stand der Technik in der Regel auf Datengewinnung und nicht auf das Entfernen von alten und nicht mehr benötigten Daten ausgerichtet sind. Das ist auch der Grund, warum Unternehmen kaum Daten löschen, solange sie nicht gesetzlich dazu verpflichtet sind. Vielmehr werden die gesammelten Daten als „Datenschatz“ wahrgenommen, da sie in vielen Fällen entsprechend verarbeitet für Marketingzwecke genutzt werden können. Dies steht im Widerspruch zur DSGVO und wird noch einige Unternehmen vor große Herausforderungen stellen, gerade bei der Umsetzung von Löschkonzepten. Datenschutz bedingt daher einen Paradigmenwechsel: weg von „wir sammeln alles für die Ewigkeit“ hin zu „wir nutzen aktuelle Daten nur, solange wir diese benötigen“.
Datenschutz ist kein Kurzzeitprojekt, sondern ein Prozess, der über längere Zeit in mehreren Schritten in einem Unternehmen eingeführt und nachhaltig gelebt werden muss. Das vorliegende Buch soll österreichischen Unternehmen helfen, diesen Prozess zu meistern und anhand von Beispielen Einblicke in die Praxis des gelebten Datenschutzes geben.
Besonders bedanken möchten wir uns bei Mag. Julia Schuster, LL.M. (NYU), Mag. Anna-Maria Minihold, LL.M., Mag. Lorenz Rattey und Lara Weissenberger, ohne deren Einsatz an ein Gelingen des Buches nicht zu denken gewesen wäre.
Über Ihre Kommentare, Ihr Feedback und Ihre Verbesserungsvorschläge freuen wir uns unter verlag@austrian-standards.at.
Wien, Oktober 2020, Die Herausgeber
1 Begrifflichkeiten und Grundprinzipien der DSGVO
Sabine Brunner, Rafael Linus Nagel
1 Begrifflichkeiten und Grundprinzipien der DSGVO
1.1 Der Weg zur Datenschutz-Grundverordnung (DSGVO)
Der Datenschutz gilt als eine vergleichsweise junge Rechtsmaterie.[1] Das erste Datenschutzgesetz wurde im Jahr 1970 in Hessen (Deutschland) erlassen. In Österreich betrat man im Jahr 1978 mit dem Datenschutzgesetz ebenfalls legistisches Neuland. Angesichts der rasanten technischen Fortschritte war es nur noch eine Frage der Zeit, bis sich auch die EU dem Thema Datenschutz annehmen würde.
1.1.1 Europäische Datenschutzrichtlinie als Vorgängerbestimmung
Im Jahr 1995 erließen das Europäische Parlament und der Rat der Europäischen Union die Richtlinie 95/46/EG des Europäischen Parlaments und des Rates vom 24. Oktober 1995 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und zum freien Datenverkehr (im Folgenden „DS-RL“). Der Hintergedanke war schon damals eine umfassende Harmonisierung der Rechtslage zur Herstellung eines gleichwertigen Schutzniveaus in allen Mitgliedsstaaten (im Folgenden „MS“) der EU.
Mit der DS-RL konnte dieses Ziel jedoch nur bedingt erreicht werden: Dies war vor allem der unterschiedlichen Umsetzung der Richtlinie in den einzelnen MS und der uneinheitlichen Rechtsprechung der jeweiligen Aufsichtsbehörden geschuldet.[2]
In der unternehmerischen Praxis wurde der Datenschutz bis vor Kurzem eher stiefmütterlich behandelt, während die Verarbeitung von personenbezogenen Daten im Zuge der weltweiten Vernetzung sowie aufgrund technologischer Entwicklungen rasant zunahm. Mit dem Jahr 2016 sollte sich dies jedoch schlagartig ändern.
1.1.2 Die Geburtsstunde der DSGVO
Am 24. Mai 2016 trat die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (DSGVO) in Kraft. Diese Verordnung hob die bisher in Geltung stehende DS-RL auf und sollte erst ab 25. Mai 2018 zur Anwendung gelangen. Den Normadressaten wurde sohin eine zweijährige „Schonfrist“ zur Umsetzung der datenschutzrechtlichen Bestimmungen gewährt.
Die Grundprinzipien der DS-RL finden sich im Wesentlichen auch in der DSGVO wieder, den entscheidenden Unterschied macht jedoch die Wahl des Rechtsinstruments aus.[3] Die DSGVO ist als Verordnung in den MS unmittelbar anwendbar, auch wenn aufgrund ihrer sogenannten „Öffnungsklauseln“ noch ein gewisser Umsetzungsspielraum für die nationalen Gesetzgeber verbleibt. Dies führt im Ergebnis zu einer leider nicht gänzlichen, aber doch weitgehenden Vereinheitlichung des Datenschutzrechts innerhalb der EU.
1.1.3 Datenschutz neu – Ein Blick nach Österreich
In Österreich wurden die Öffnungsklauseln der DSGVO mit dem Datenschutz-Anpassungsgesetz 2018 und zwei weiteren DSG-Novellen im Bundesgesetz zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten (DSG) umgesetzt. Der österreichische Gesetzgeber machte allerdings – im Gegensatz zB zu Deutschland – von seinem Umsetzungsspielraum nur sehr eingeschränkt Gebrauch.[4]
