UCBA - public
Wien, Montag, 11. Juni 2018
Richard Jarolim
Die Datenschutz-Grundverordnung
UCBA - Public
2
Datenschutz-Grundverordnung:
Kurzer Überblick über die Datenschutz-Grundverordnung
Die wichtigsten Definitionen
Der Datenschutzbeauftragte
Technische und organisatorische Maßnahmen
Ablaufplan zur Erfüllung der Datenschutz-Grundverordnung:
Erfüllung der Informationspflichten
Sicherstellung der Rechte der betroffenen Personen
Identifikation der Datenanwendungen
Erstellung des Verzeichnisses der Datenanwendungen
Erstellung von Verträgen zur Auftragsverarbeitung
Einführung von Datenschutzverletzungs-Prozessen
Durchführung einer Datenschutz Folgenabschätzung
Erstellung eines Datenschutz-Handbuch
Agenda
UCBA - Public
Die zwei wichtigsten Begleitgesetze: Datenschutz-Anpassungsgesetz und Datenschutz-Deregulierungsgesetz3
Die Datenschutz-Grundverordnung (DSGVO) - Überblick
Was ist die Datenschutz-Grundverordnung?
Seit 25.5.2018 ist die DSGVO in der gesamten EU unmittelbar gültig. Außerdem für Unternehmen mit Auslandssitz, die Daten von Betroffenen in der EU verwenden.
Das Ziel ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und die Gewährleistung des freien Datenverkehrs in Europa.
Deutlich höherer Stellenwert, nicht zuletzt durch empfindlich erhöhte Strafen (bis zu 20 Millionen oder 4% des Konzernjahresumsatzes).
Juristische Personen?
UCBA - Public
4
Was sind personenbezogene Daten?
Die Bestimmungen der Datenschutz-Grundverordnung gelten für die Verarbeitung von personenbezogenen Daten natürlicher Personen.
Personenbezogene Daten sind etwa Name, Alter, Adresse, Geschlecht oder Kontonummer. Grundsätzlich jede Information, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person („Betroffener“) bezieht.
"Anonyme" Personen sind also nicht betroffen.
Was ist Datenverarbeitung?
Darunter versteht man das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, von personenbezogenen Daten.
Die wichtigsten Definitionen
UCBA - Public
5
Was ist ein Verantwortlicher?
Verantwortlicher ist die natürliche oder juristische Person, Behörde etc., die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
Banken, Soziale Netzwerke, Studienzentren, Rechtsanwälte, auch Kleinunternehmen/Händler, sobald sie Kundendaten speichern etc.
Was ist ein Auftragsverarbeiter?
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde etc., die personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet.
Internetdienstanbieter (zB Hosting), Auslagerung von Postdienstleistungen, E-Mail Plattformen, Cloud Anbieter, Outsourcing von Marketingaktivitäten, Personalverrechner etc.
Die wichtigsten Definitionen (2)
UCBA - Public
6
Wann brauche ich einen Datenschutzbeauftragten?
Es war bisher schon möglich einen Datenschutzbeauftragten zu bestellen. Mit der DSGVO wird dies zur Verpflichtung, wenn:
die Kerntätigkeit eines Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Beispiel: Banken, Versicherungen
sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden. Beispiel: Krankenhäuser
Was sind die Aufgaben des Datenschutzbeauftragten?
Beratungs- und Kontrollfunktion hinsichtlich der Einhaltung datenschutzrechtlicher Vorschriften
Schulung der Mitarbeiter
Kontakt zu Behörden
Verboten sind Tätigkeiten die einen Interessenskonflikt bewirken könnten. Die Datenschutzfolgenabschätzung ist als einzige Tätigkeit mit Interessenskonflikt explizit genannt, hier hat der DPO nur beratende Funktion.
Ein Interessenskonflikt kann auch durch die Position des Datenschutzbeauftragten ausgelöst werden. Er darf daher etwa nicht Leiter der Personalabteilung, Marketingabteilung der IT-Abteilung sein.
Der DatenschutzbeauftragteData Protection Officer (DPO)
UCBA - Public
1 Die Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können. Bei der Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Code genannt) ersetzt.
Was sind technische und organisatorische Maßnahmen?
Für den Umgang mit personenbezogenen Daten müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.
Technische Maßnahmen Beispiele:
elektronisches Zutrittskontrollsystem, um Unbefugten den Zugang zu PC/Laptops zu verwehren
Verschlüsselungsmaßnahmen / Pseudonymisierung1
sichere technische Passwortvorgabe Kombination aus Ziffern, Groß- und Kleinbuchstaben
Organisatorische Maßnahmen Beispiele:
Klassifikation personenbezogener Daten0 - öffentlich, 1 - unternehmensintern, 2 - privat, 3 - sensibel
Interne Regelungen zu Telearbeit, Diensttelefone etc
Protokollierung der Art und Weise des Zugriffes auf die Daten
Technische und organisatorische Maßnahmen
7
UCBA - Public
8
Welche Informationspflichten bestehen für Datenverarbeiter?
Nach der DSGVO sind den Betroffenen bei der Erhebung ihrer Daten durch den Verantwortlichen gewisse Informationen über die Datenanwendungen (Art, Dauer, Zweck) und den Datenverarbeiter(Verantwortlicher) zur Verfügung zu stellen. Weiters müssen die Betroffenen über ihre Rechte aufgeklärt werden.
Dies geschieht zum Beispiel mit einer sogenannten Informationspflicht („information notice“). Diese muss vom Betroffenen zum Zeitpunkt der ersten Erhebung vorgelegt werden.
Wie viele E-Mails mit dem Thema "Neue Datenschutzrichtlinien" haben Sie in letzter Zeit bekommen?
Informationspflichten
dsb.at
UCBA - Public
9
Welche Rechte hat der Betroffene?
Recht auf Berichtigung, Recht auf Löschung ("Recht auf Vergessenwerden"), Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit und ein Widerspruchsrecht
Welche Grundsätze sind zu beachten?
Klare, einfache und verständliche Sprache
schriftlich, mündlich oder elektronisch
Identitätsnachweis
1 Monat, ausnahmsweise zwei weitere Monate Betroffener muss jedenfalls innerhalb eines Monats verständigt werden
unentgeltlich
bei offenkundig unbegründeten oder exzessiven Anträgen, kann der Verantwortliche:
• angemessenes Entgelt verlangen
• sich weigern, tätig zu werden
Mitwirkungspflicht bei Zweifel an der Identität des Betroffenen
standardisierte Bildsymbole können verwendet werden (maschinenlesbar)
Die Rechte der Betroffenen – allgemeine Grundsätze
UCBA - Public
10
Recht auf Auskunft
dsb.at
Welche Informationen kann der Betroffene verlangen?
Der Betroffene hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob, und wenn ja welche personenbezogene Daten verarbeitet werden. Außerdem muss etwa der Zweck der Verarbeitung und die geplante Speicherdauer angegeben werden.
UCBA - Public
11
Recht auf Vergessenwerden/Löschung
dsb.at
Kann der Betroffene verlangen, dass seine Daten gelöscht werden?
Auf Anforderung ist der Verantwortliche verpflichtet alle personenbezogene Daten einer betroffenen Person zu löschen, sollte es keinen legitimen Grund (wie etwa einen Vertrag oder gesetzliche Aufbewahrungsfristen) mehr geben sie zu behalten. Ein solches Recht auf Löschung existiert bereits heute.
UCBA - Public
12
Recht auf Datenportabilität
dsb.at
Kann der Betroffene seine Daten "mitnehmen"?
Betroffene können sich alle überlassenen Daten von dem verantwortlichen Verarbeiter in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln, als auch ihre Daten von einem Verantwortlichen auf einen anderen übertragen lassen. Hier denkt der Gesetzgeber zum Beispiel an den Wechsel der Bank oder des E-Mail Providers.
UCBA - Public
13
Verzeichnis von VerarbeitungstätigkeitenRechtslage: alt neu
Wie war die Rechtslage im Bezug auf das Verarbeitungsregister?
Nach den Bestimmungen des österreichischen Datenschutzgesetzes(DSG 2000) musste jeder Auftraggeber (heute Verantwortlicher) vor der Aufnahme
einer Datenanwendung eine Meldung an das Datenverarbeitungsregister erstatten, sofern nicht eine Ausnahme von der Meldepflicht besteht.
Wie ist die Rechtslage heute?
Die Pflicht zur Führung eines Datenverarbeitungsregisters verschiebt sich: Unternehmen sind jetzt selbst in der Pflicht, ein Verzeichnis ihrer Datenverarbeitung zu führen.
Standard- und Musteranwendungen müssen jetzt im Register erfasst werden.
Was passiert mit dem alten Datenverarbeitungsregister (DVR)?
Das bisherige DVR Meldeverfahren und das DVR selbst wird es nicht mehr geben.Zu Archivzwecken bleibt das DVR bis Ende 2019 bestehen, es können aber keine inhaltlichen Änderungen vorgenommen werden.
UCBA - Public
14
Ausnahmen von der Pflicht zur Führung des Verzeichnisses
Wer muss ein Verzeichnis führen?
Unternehmen mit weniger als 250 Mitarbeiter müssen ein Verzeichnis nur dann führen..
wenn die in Betracht kommende Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, zum Beispiel bei Videoüberwachung oder speziellen Kundenbindungsprogrammen
wenn die Verarbeitung nicht nur gelegentlich erfolgt
wenn sensible Daten (etwa Gesundheitsdaten) oder strafrechtlich relevante Daten verarbeitet werden
Achtung: Ausnahmen umfassen immer nur einzelne Verarbeitungen!
UCBA - Public
15
Wann handelt es sich um Auftragsverarbeitung?
Es werden personenbezogene Daten verarbeitet.
Dies geschieht im Auftrag des Verantwortlichen.
Was muss ich beachten?
Der Auftragsverarbeiter muss hinreichende Garantien bieten, dass technische und organisatorische Maßnahmen DSGVO-konform sind.
Es braucht eines schriftlichen Vertrages, der mindestens folgende Punkte beinhaltet:
• Gegenstand und Dauer der Verarbeitung
• Art und Zweck der Verarbeitung
• die Art der personenbezogenen Daten
• die Kategorien betroffener Personen
• Pflichten und Rechte des Verantwortlichen
• Regelung für Subauftragsverarbeiter
• Betroffene sind über die Auftragsverarbeitung aufzuklären.
Auftragsverarbeitungsverträge
UCBA - Public
16
Was ist, wenn sich mein Auftragsverarbeiter außerhalb der EU befindet?
Es sind zusätzlich die Grundsätze des internationalen Datenverkehrs einzuhalten. Voraussetzungen:
entweder ein Angemessenheitsbeschluss der Europäischen Kommission
Vorliegen geeigneter Garantien (zB Binding Corporate Rules = behördlich genehmigte bindende interne Regelungen, Standarddatenschutzklauseln = Entscheidungen der EU-Kommission, behördlich genehmigter Zertifizierungsmechanismus= ISO-Zertifikat)
oder ein von der Behörde genehmigter Vertrag
Praxisbeispiel Google als Auftragsverarbeiter:
Google Analytics hat einen Zusatz zum bisherigen Nutzungsvertrag geschaffen (Datenverarbeitungsbedingungen), der elektronisch akzeptiert werden muss.
• Nach derzeitigem Stand reicht dieses Verfahren aus.
Praxisfragen Auftragsverarbeitungsverträge
UCBA - Public
Abbildung: https://www.lawyer-monthly.com/2017/05/34-of-us-federal-government-agencies-experienced-data-breach-in-the-last-year/17
Was ist eine Datenschutzverletzung?
Als Datenschutzverletzung bezeichnet man jeglichen Verlust oder Diebstahl personenbezogener Daten, durch den Unberechtigte Zugriff auf eine Datensammlung erhalten können
Beispiele: verlorener/gestohlener Laptop, USB-Stick, Papierunterlagen oder Hacker-Angriff.
Wie gehe ich mit einer Datenschutzverletzung um?
Erstellen eines Protokolls: Verletzung, Auswirkungen und ergriffene Maßnahmen sind vom Verantwortlichen zu dokumentieren
Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, wenn ein Risiko für Rechte und Freiheiten der Betroffenen besteht
• Ausnahme: Meldung kann unterbleiben, wenn die Verletzung zu keinem Risiko für die Rechte und Freiheiten der Betroffenen führt
Einführung von Datenschutzverletzungs-Prozessen
UCBA - Public
18
Wie gehe ich mit einer Datenschutzverletzung um?
Zusätzlich: unverzügliche Benachrichtigung des Betroffenen, bei voraussichtlich hohem Risiko für die Rechte und Freiheiten der Betroffenen (hohes Risiko = beurteilt sich nach der Schwere des Eingriffs in die Rechte und Freiheiten und seiner Eintrittswahrscheinlichkeit)
Handlungsbedarf nach der Datenschutzverletzung:
Überprüfung der technischen/organisatorischen Maßnahmen, etc.
Überprüfung der (gemachten) Datenschutz-Folgenabschätzung
Einführung von Datenschutzverletzungs-Prozessen (2)
UCBA - Public
19
Was ist eine Datenschutz-Folgenabschätzung und wann ist sie notwendig?
Hat eine Form der Verarbeitung voraussichtlich ein hohes Risiko für,die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personen-bezogener Daten durch.
Zwingend erforderlich:
es findet eine systematische umfassende Bewertung persönlicher Aspekte natürlicher Personen statt, die sich auf automatisierte Verarbeitung (einschließlich Profiling)gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkunggegenüber natürlichen Personen entfalten
umfangreiche Verarbeitung sensibler Daten (etwa Religionszugehörigkeit, ethnische Zugehörigkeit, Gesundheitsdaten) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten
systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche
Durchführung einer Datenschutz-Folgenabschätzung (PIA)
UCBA - Public
20
Was sollte die Datenschutz-Folgenabschätzung enthalten?
eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung
eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck
eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen
geplanten Abhilfemaßnahmen
Durchführung einer Datenschutz-Folgenabschätzung (2)
UCBA - Public
21
Empfehlung: Eine Dokumentation aller Umsetzungsprozesse und Datenschutzbestimmungen
Sammlung aller wesentlichen Dokumentationen und Nachweise wie zB
Datenschutzgrundsätze
Datenschutzrichtlinien und Anweisungen im Unternehmen
Verfahrensverzeichnis der Verarbeitungstätigkeiten
Berichtswesen
Auftragsverarbeitungsverträge mit Auftragsverarbeitern
Technische und organisatorische Maßnahmen zur Datensicherung
Durchgeführte Risikofolgenabschätzungen
Schulungsunterlagen
Formblätter und Vorgehen iZm Krisenmanagement
usw.
Einleitende Beschreibung der Firma und der Kerntätigkeit ermöglicht rasche Bestimmung der Kategorien in denen das Unternehmen die personenbezogenen Daten verarbeitet.
Handbuch sollte auf alle Dokumente des operativen Geschäfts verweisen bzw diese enthalten.
Dokumentation des Umsetzungsprozesses (Datenschutz-Handbuch)
UCBA - Public
22
Außerdem sollte das Handbuch alle Nachweisdokumente und Informationen enthalten, welche
die Datenschutzbehörde im Zuge einer Kontrolle einfordern können
betroffene Personen grundlegend informiert (Informationsschreiben)
die Geschäftsleitung über den aktuellen Stand zum Datenschutz informiert
der Betriebsrat als Nachweis der Informationserteilung anfordert
als Richtlinie und Nachschlagewerk für die Mitarbeiter dienen können
Datenschutzhandbuch und einzelne enthaltene Dokumente sollten immer auf aktuellem Stand gehalten werden.
Vorteile:
Leitfaden im Zusammenhang mit Datenschutz und Datensicherheit
Informationsquelle und Nachschlagewerk für die Geschäftsleitung und die Beschäftigten
Dokumentation des Umsetzungsprozesses (2) (Datenschutz-Handbuch)
UCBA - Public
23
1. Sensible Verarbeitungen - Priorisieren!
Sofortige Sicherstellung vollständiger DSGVO-Compliance!
Identifizieren
Umfassende Analyse
Prüfung der erforderlichen Umsetzungsmaßnahmen für sensible Verarbeitung
• Etwaige Einwilligungserklärung?
• Zusätzliche Sicherheitsmaßnahmen?
• Datenschutz-Folgenabschätzung?
2. Alle anderen Verarbeitungen
Umsetzungsmaßnahmen priorisieren und nur die sinnvollsten Schwerpunkte setzen
Notfallplan reduziert das Haftungsrisiko faktisch
• in der Praxis kommt der Priorisierung daher eine große Bedeutung zu
• für den konkreten Einzelfall zu optimieren
3. Sicherstellung der Betroffenenrechte und der Grundsätze der Verarbeitung, da hier die Strafen bei Verletzung am Höchsten sind (20 Mio. bzw. 4% des ges. weltweiten Jahresumsatzes)
Notfallplan– Was tun wenn man nicht rechtzeitig fertig wurde?
UCBA - Public
24
Danke für Ihre Aufmerksamkeit, noch Fragen?
Praxisbeispiele
Geltungsbereich DSGVO
UCBA - Public
27
Geltungsbereich DSGVO
Unternehmen mit Sitz in der EU
Unternehmen ohne Sitz, aber mit Niederlassung in der EU
Unternehmen ohne Sitz & ohne Niederlassung in der EU, aber
-Verwendung von Profiling
- Anbieten von Waren / Dienstleitungen
Unternehmen ohne Sitz & ohne Niederlassung in der EU und
-KEINE Verwendung von Profiling
- Kein Anbieten von Waren / Dienstleistungen
Person die sich in der EU befindet
DSGVO DSGVO DSGVO DSGVO nicht anwendbar
EU Bürger aberbefindet sich nicht in der EU
DSGVO DSGVO DSGVO nicht anwendbar
DSGVO nicht anwendbar
Kein EU-Bürger undbefindet sich nicht in EU
DSGVO DSGVO DSGVO nicht anwendbar
DSGVO nicht anwendbar
Verzeichnis für Verarbeitungstätigkeiten
UCBA - Public
29
Identifikation:
Zunächst alle Verarbeitungstätigkeiten identifizieren und zentrale Fragestellungen (Verantwortlicher, Datenarten, Datenherkunft, Datenübermittlung usw.) beantworten.
Applikationen
IT-Systeme
Dokumentenablagen (z.B. Excel-Dateien usw.)
Physische Akte
Fragestellung je Verarbeitungstätigkeit (zB.):Brauche ich die Verarbeitung noch?
Zu welchem Zweck werden die Daten verarbeitet?
Was ist die Rechtsgrundlage (z.B. Vertragserfüllung, Einwilligungserklärung usw.)?
Von wo kommen die Daten (Herkunft)?
..etc.
Dokumentation:
Anschließend werden die Informationen zusammengeführt, Datenflussanalysen erstellt und die Ergebnisse ins Verfahrensverzeichnis überführt.
Erstellen des Verzeichnis für Verarbeitungstätigkeiten
UCBA - Public
30
Inhalt:
Name und Kontaktdaten des Verantwortlichen; des Datenschutzbeauftragten
Verarbeitungszweck
Datenarten
Kategorien betroffener Personen
Datenübermittlungsempfänger
Datenübermittlung in Drittstaaten
Soweit möglich die geplante Speicherdauer der Daten
Datensicherheitsmaßnahmen
Verzeichnis von Verarbeitungstätigkeiten
UCBA - Public
31
Ausgangspunkt für das Register ist nicht das System, sondern der Prozess! Dieser wird jeweils einem Zweck und einer Kategorie zugeordnet
14 Zwecke
5. Promotion and sale of products and services
1. Execution of banking activities / Management of
customer relationships
6. Selection of candidates
262 Prozesse
EP: Individual Complaint Management
EP: SEPA direct debit
EP: Recruiting, hiring and staffing
27 Kategorien
10. Processing carried out performed in performing activities of promotion and sale of products and services of the Bank, the
UniCredit Group or other companies; detection, through personal or telephone
interviews, questionnaires, etc., of the
5. Processing of special categories of personal data carried out to follow up with specific transactions / services requested
by clients
11. Processing carried in performing activities of staff selection
Hier stellt sich die Frage nach der Datenschutz-
Folgenabschätzung
UCBA - Public
32
Es erfolgt die Zuordnung von Systemen zu den Prozessen und davon werden die Datenfelder abgeleitet
Beispiel: Prozess "Recruiting, hiring and staffing"
System HR01
System HR02
System HR03
System HR01
Datenkategorie: Namensdaten
etc.VornameNachnameAnrede
Datenkategorie: Adressdaten
etc.
Datensicherheits-maßnahmen
UCBA - Public
33
Das RegisterBeispiel: Datenkategorie Namensdaten
Anrede
Nachname
Vorname
etc.
Löschfrist Datenklasse Empfänger 3. Land +Offenlegung
Empfänger Dienstleister + Offenlegung
Datenschutzfolgenabschätzung
UCBA - Public
35
• "PIA" wird in zwei Stufen durchgeführt:
• 1. Stufe: Beantwortung eines Questionnaires
E2E Prozesse werden auf DSGVO Relevanz geprüft
Ergebnis:
“Non critical”: Keine weiteren Schritte sind im Rahmen der PIA notwendig
“Critical”: Durchführung einer Full-Scope PIA ist erforderlich
• 2. Stufe: Durchführung einer Full Scope PIA
gliedert sich in 3 Teile:
Organizational Measures
Security Measures
ICT Measures
Datenschutzfolgenabschätzung / Privacy Impact Assessment (PIA): Vorgehen der UCBA
Recht auf Auskunft
UCBA - Public
37
• Der Betroffene hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden.
• Werden personenbezogene Daten verarbeitet, hat der Betroffene das Recht auf Auskunft über diese und auf folgende Informationen:
die Verarbeitungszwecke
die Kategorien personenbezogener Daten
die Empfänger oder Kategorien der Empfänger der personenbezogenen Daten
wenn möglich, die geplante Speicherdauer, oder die Kriterien für die Festlegung der Dauer
das Bestehen der anderen Betroffenenrechte (Berichtigung, Löschung, Widerspruch etc.)
das Bestehen des Beschwerderechts an die Aufsichtsbehörde
werden die Daten nicht bei der betroffenen Person erhoben, über die Herkunft der Daten
das Bestehen einer automatisierten Einzelentscheidung inkl. Profiling
• Es ist eine Kopie der personenbezogenen Daten zur Verfügung zu stellen. Für weitere Kopien kann ein angemessenes Entgelt verlang werden.
Recht auf Auskunft (Detailliert)
Betroffenenrechte
UCBA - Public
39
Betroffenenrechte – Anfrage in der UCBA
Einsatz von Subauftragsverarbeitern
UCBA - Public
41
Nur mit schriftlicher Genehmigung des Verantwortlichen
Nur mit Vertrag, der dem Subauftragsverarbeiter dieselben Datenschutzpflichten auferlegt, wie sie zwischen dem Verantwortlichen und dem Auftragsverarbeiter bestehen
Haftung des ersten Auftragsverarbeiter:
Kommt der Subauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.
Einsatz von Subauftragsverarbeitern
UCBA - Public
42
• Allgemeine Informationen:
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung.html
• Datenschutz-Folgenabschätzung-Ausnahmenverordnung (White-List):
https://www.dsb.gv.at/verordnungen-in-osterreich
• Standard- und Musteranwendungen nach dem DSG 2000:
https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20003495&FassungVom=2018-05-24
• Musterdokumente zur EU Datenschutzgrundverordnung (WKO):
https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Musterdokumente-zur-EU-Datenschutzgrundverordnung.html
• Artikel 29 Datenschutz-Gruppe - Guidelines:
http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360
Wissenswertes und Quellen
UCBA - Public
43
Ihre Kontakte
Data Protection OfficeUniCredit Bank Austria AG
Mag. Franz Zoufal
DatenschutzbeauftragterTel. +43 (0)[email protected]
Richard Jarolim
Data Protection Office
Tel. +43 (0)50505-51923
Agnes Kosyna, LL.M. (WU)
Data Protection Office
Tel. +43 (0)50505-52278
ImpressumUniCredit Bank Austria AGData Protection OfficeRothschildplatz 11020 Wien
UCBA - Public
44
Der Inhalt des vorliegenden Dokumentes – einschließlich Daten, Nachrichten, Charts usw. – ist Eigentum der UniCredit Bank Austria AG und ist urheberrechtlich geschützt. Der Inhalt des Dokumentes stützt sich auf interne und externe Quellen, die im Dokument auch als solche erwähnt werden. Die in diesem Dokument enthaltenen Informationen sind mit großer Sorgfalt zusammengestellt worden und es sind alle Anstrengungen unternommen worden, um sicherzustellen, dass sie bei Redaktionsschluss präzise, richtig und vollständig sind. Ungeachtet dessen, übernimmt die UniCredit Bank Austria AG keine Verantwortung für die Richtigkeit und Vollständigkeit der gebotenen Informationen und daher auch nicht für jeglichen Verlust, der direkt oder indirekt aus der Verwertung jeglicher in diesem Dokument enthaltenen Informationen entsteht.
Alle Einschätzungen oder Feststellungen stellen unseren Meinungsstand zu einem bestimmten Zeitpunkt dar und können ohne Verständigung abgeändert werden. Die UniCredit Bank Austria AG verpflichtet sich jedoch nicht, das vorliegende Dokument zu aktualisieren oder allfällige Überarbeitungen zu veröffentlichen, um Ereignisse, Umstände oder Änderungen zu berücksichtigen, die nach dem Redaktionsschluss des vorliegenden Dokumentes eintraten.
Das vorliegende Dokument wurde von der UniCredit Bank Austria AG, Abteilung Data Protection Office, Rothschildplatz 1, A-1020 Wien, hergestellt. Irrtum und Druckfehler vorbehalten.
Haftungsausschluss
Die Datenschutz-GrundverordnungAgendaDie Datenschutz-Grundverordnung (DSGVO) - ÜberblickDie wichtigsten DefinitionenDie wichtigsten Definitionen (2)Der Datenschutzbeauftragte�Data Protection Officer (DPO)Technische und organisatorische MaßnahmenInformationspflichtenDie Rechte der Betroffenen – allgemeine GrundsätzeRecht auf AuskunftRecht auf Vergessenwerden/LöschungRecht auf DatenportabilitätVerzeichnis von Verarbeitungstätigkeiten�Rechtslage: alt neuAusnahmen von der Pflicht zur Führung des VerzeichnissesAuftragsverarbeitungsverträgePraxisfragen AuftragsverarbeitungsverträgeEinführung von Datenschutzverletzungs-ProzessenEinführung von Datenschutzverletzungs-Prozessen (2)Durchführung einer Datenschutz-Folgenabschätzung (PIA)Durchführung einer Datenschutz-Folgenabschätzung (2)Dokumentation des Umsetzungsprozesses �(Datenschutz-Handbuch)Dokumentation des Umsetzungsprozesses (2) �(Datenschutz-Handbuch)Notfallplan�– Was tun wenn man nicht rechtzeitig fertig wurde?Danke für Ihre Aufmerksamkeit, noch Fragen?PraxisbeispieleGeltungsbereich DSGVOGeltungsbereich DSGVOVerzeichnis für VerarbeitungstätigkeitenErstellen des Verzeichnis für VerarbeitungstätigkeitenVerzeichnis von VerarbeitungstätigkeitenAusgangspunkt für das Register ist nicht das System, sondern der Prozess! Dieser wird jeweils einem Zweck und einer Kategorie zugeordnetEs erfolgt die Zuordnung von Systemen zu den Prozessen und davon werden die Datenfelder abgeleitetDas Register�Beispiel: Datenkategorie NamensdatenDatenschutzfolgenabschätzungDatenschutzfolgenabschätzung / Privacy Impact Assessment (PIA): Vorgehen der UCBARecht auf AuskunftRecht auf Auskunft (Detailliert)BetroffenenrechteBetroffenenrechte – Anfrage in der UCBAEinsatz von SubauftragsverarbeiternEinsatz von SubauftragsverarbeiternWissenswertes und QuellenIhre KontakteSlide Number 44