SPAR beschäftigt sich bereits seit über zwei Jahren intensiv mit der ab 25. Mai 2018 anwendbaren Datenschutzgrundverordnung (DSGVO).
Oft habe ich in den letzten Monaten gehört, dass Datenschutz Sache der Rechtsabteilung oder der IT sei. Eine Aussage, die fachlich richtig, aber insofern zu ergänzen ist, als Datenschutz – operativ betrachtet – Sache jedes einzelnen Mitarbeiters eines Unternehmens ist. Sind es doch die Kollegen in den Fachabteilungen, die täglich mit personenbezogenen Daten arbeiten. Es ist somit aus Unternehmenssicht unerlässlich, im gesamten Unternehmen ein Bewusstsein für das Thema Datenschutz zu schaffen und in den Fachabteilungen Basis-Know-how im Bereich Datenschutz aufzubauen. Nur durch eine entsprechende Sensibilität der Fachabteilungen kann sichergestellt werden, dass das Thema Datenschutz, etwa bei Projekten, berücksichtigt und allenfalls an die Rechtsabteilung oder einen Anwalt herangetragen wird. Aus diesem Grund fanden bei SPAR zahlreiche Schulungen statt, bei denen die Basics der DSGVO erklärt wurden. Als besondere Herausforderung erwies sich dabei, die wesentlichen Inhalte der DSGVO auch für Nicht-Juristen verständlich aufzubereiten, was erfahrungsgemäß nur durch eine Veranschaulichung der Materie anhand von praxisnahen Beispielen gelingt. Auch mit »Erklärvideos«, welche das Thema »DSGVO« mithilfe animierter Bilder darstellen, haben wir gute Erfahrungen gemacht.
Praxistipp:
Schaffen Sie im gesamten Unternehmen Bewusstsein für das Thema »Datenschutz«, nur so ist eine lückenlose und langfristige Datenschutz-Compliance sichergestellt.
Verzeichnis von Verarbeitungstätigkeiten (Art. 30 DSGVO)
Gemäß Art. 30 DSGVO hat jeder Verantwortliche ein Verzeichnis zu führen, in dem alle Verarbeitungstätigkeiten in dem in Art. 30 DSGVO genannten Umfang beschrieben werden. Dieses Verzeichnis ersetzt das derzeitige Datenverarbeitungsregister (»DVR«) bei der österreichischen Datenschutzbehörde.
Praxistipps:
Sofern auch Ihr Unternehmen die Verpflichtung zur Führung eines Verzeichnisses von Verarbeitungstätigkeiten trifft, beginnen Sie – sofern nicht bereits geschehen – ehestmöglich mit der Erfassung aller Verarbeitungstätigkeiten. Die DSGVO macht keine Vorgaben, in welchem Format das Verzeichnis zu führen ist. Vor allem bei größeren Unternehmen kann aber eine Erfassung mittels einer entsprechenden technischen Lösung sinnvoll sein. Mittlerweile bieten zahlreiche Softwareunternehmen Lösungen an, in denen die Verarbeitungstätigkeiten strukturiert elektronisch erfasst werden können. Bei SPAR hat man sich für eine weitestgehend konzernintern programmierte, maßgeschneiderte technische Lösung entschieden, nicht zuletzt deshalb, weil zum Zeitpunkt, als wir bei SPAR begannen, das Verzeichnis zu erstellen, erst wenige geeignete Softwarelösungen auf dem Markt waren.
Überlegen Sie sich, ob Sie bei der Erhebung der Verarbeitungstätigkeiten allenfalls auch Informationen erfassen, die über die Anforderungen des Art. 30 DSGVO hinausgehen, wie etwa die Rechtsgrundlage und woher die Daten stammen. Dies kann in weiterer Folge die Erfüllung von Betroffenenrechten und Informationspflichten erheblich vereinfachen.
Rechte der betroffenen Person
Die Rechte der betroffenen Person (kurz »Betroffenenrechte«) werden mit der DSGVO erheblich gestärkt. Dies geschieht einerseits durch eine inhaltliche Erweiterung bereits im DSG2000 bestehender Betroffenenrechte (z. B. Auskunft), andererseits werden aber auch neue Betroffenenrechte statuiert (z. B. Recht auf »Einschränkung der Verarbeitung« und »Datenübertragbarkeit«). Die Frist für die Erteilung der Informationen über die getroffenen Maßnahmen beträgt künftig anstelle von zwei Monaten nur noch einen Monat.
Im Sinne von mehr Transparenz für die betroffenen Personen sieht die DSGVO zusätzlich umfassende Informationspflichten bereits bei der Erhebung von personenbezogenen Daten vor. Zu den zu erteilenden Informationen gehören u. a. Name und Kontaktdaten des Verantwortlichen, Zwecke der Verarbeitung und Empfänger(-kategorien) der personenbezogenen Daten sowie jene in Art. 13 und 14 DSGVO genannten Informationen, die notwendig sind, »um eine faire transparente Verarbeitung zu gewährleisten« (z. B. Speicherdauer, Information über Betroffenenrechte).
Praxistipps:
Definieren Sie zur fristgerechten und vollständigen Erfüllung der Betroffenenrechte einen internen Prozess, der die einzelnen Schritte und Zuständigkeiten klar darlegt. Erstellen Sie Textbausteine, die Sie für die Beantwortung von Anfragen der betroffenen Personen und Erfüllung der Informationspflichten heranziehen. Musterformulierungen stellt etwa die Wirtschaftskammer Österreich auf ihrer Webseite zur Verfügung. Schaffen Sie auf technischer Seite die entsprechenden Voraussetzungen zur Erfüllung der Betroffenenrechte (z. B. Programmierung von Schnittstellen zur Erfüllung des Rechts auf Datenübertragbarkeit, Möglichkeit zur Datenlöschung unter Berücksichtigung von »Wechselwirkungen« in den IT-Systemen).
Auftragsverarbeiter
Ein Auftragsverarbeiter ist gemäß Art. 4 Z8 DSGVO »eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet«. Mit jedem Auftragsverarbeiter ist ein Vertrag gemäß Art. 28 DSGVO abzuschließen.
Praxistipps:
Verschaffen Sie sich einen Überblick über die für Ihr Unternehmen tätigen Auftragsverarbeiter und die vorhandenen Verträge. In aller Regel werden die allenfalls nach §§ 10f DSG2000 bestehenden »Dienstleisterverträge« den neuen inhaltlichen Anforderungen des Art. 28 DSGVO nicht genügen. In der Praxis erweist es sich oftmals als zweckmäßiger und effizienter, anstelle von Ergänzungsvereinbarungen neue Auftragsverarbeiter-Verträge bis zum 25. Mai 2018 abzuschließen.
Vergewissern Sie sich, dass alle für Sie tätigen Auftragsverarbeiter auch faktisch in der Lage sind, die Verarbeitung der Daten im Einklang mit der DSGVO vorzunehmen. Denn: Auch bei Heranziehung eines »Auftragsverarbeiters« bleiben Sie »Verantwortlicher«!
Offene Fragen
Die DSGVO sieht zahlreiche, über die oben genannten hinausgehende, Verpflichtungen vor, die es – nicht zuletzt angesichts der hohen Geldbußen – bis 25. Mai 2018 in die Praxis umzusetzen gilt. Nicht alle sich dabei ergebenden Fragen werden von der DSGVO (eindeutig) beantwortet, wie beispielsweise:
Wann sind Daten als »gelöscht« im Sinne der DSGVO zu betrachten?
Welche Kriterien sind heranzuziehen, um zu beurteilen, ob »die Verletzung des Schutzes personenbezogener Daten voraussichtlich nicht zu einem Risiko für die Rechte und Freiheiten natürlicher Personen führt«?
Wie gestaltet sich in der Praxis die Verpflichtung des Verantwortlichen, der betroffenen Person bei einem Auskunftsverlangen künftig auch eine Kopie der personenbezogenen Daten, die Gegenstand der Verarbeitung sind, zur Verfügung zu stellen? Wie ist der gemäß ErwGr 63 der betroffenen Person nach Möglichkeit bereitzustellende Fernzugriff auf die Daten mit den damit verbundenen Sicherheitsrisiken in Einklang zu bringen? Wie ist die mit den physischen Kopien der Daten einhergehende Papierflut zu bewältigen? Ist die Zurverfügungstellung von Kopien für die betroffene Person tatsächlich erforderlich, »um sich der Verarbeitung bewusst zu sein und deren Rechtmäßigkeit überprüfen zu können«? Oder wäre hierfür nicht die Wiedergabe des Dateninhalts (wie bisher gem. § 26 DSG2000) ausreichend?
Praxistipp:
Kontaktieren Sie eine auf Datenschutzrecht spezialisierte Anwaltskanzlei oder tauschen Sie sich – selbstverständlich im Rahmen der gesetzlichen Bestimmungen und soweit es die Vertraulichkeit zulässt – mit anderen Unternehmen, die durch die DSGVO vor dieselben Herausforderungen gestellt werden, aus.
