Datenschutz-Grundverordnung (DSGVO) und Auswirkungen … · 20 4. Kategorien von Empfängern, an die personenbezogene Daten weitergegeben werden, speziell bei Empfängern in Drittländern

© Dr. Thomas Schweiger, LLM (Duke) 02.05.2018 15:42 Folie 1

Dr. Thomas Schweiger, LL.M.

Webinar WKOÖ, 27.04.2018

4 Wochen bis 25.05.2018

Datenschutz-Grundverordnung (DSGVO) und Auswirkungen auf Transport & Logistik


Dr. Thomas Schweiger, LLM

RA in Linz seit 09.09.1999

zert DSBA (DATB, TÜV, CIPP/E)

vorwiegend beratend tätig

www.dataprotect.at

www.it-recht.at

t: @dataprotect_at

f: dataprotect

DSGVO –neue Herausforderungenund Grundprinzipien


DSGVO – in Geltung ab 25.05.2018(neue) Herausforderungen

ComplianceRechenschafts-verpflichtung

Nachweis-pflicht

umfassende Informations-

pflichten

Schulung & Training

Dokumen-tation

Revision & Review


Recht-mäßigkeit

Transparenz Zweck(e)Datenmini-

mierung

RichtigkeitSpeicher-

begrenzungIntegrität &

Vertraulichkeit

Grundprinzipien des Datenschutzes


Rechtmäßigkeit

„the processing shall belawful only …“ (lawfulness)

Grundsatz: die Verarbeitung ist verboten

Grundlage für die (erlaubte) Verarbeitung

02

.05

.20

18


Einwilligung

Vertrag

gesetzlicheVerpflichtung


Einwilligungen richtig gestalten

Wer / Was / Warum / Wohin?

Nachweispflicht soll erfüllbar sein (Einwilligung & Vorabinfo)

Freiwilligkeit & Kopplungsverbot

Widerrufsmöglichkeit

Anwendung: Newsletter/Marketing, Beschäftigte (?)


Mustereinwilligung………………………………………………. ………………………………………………. ……………………………………………….(Name) (Vorname) (Postadresse)………………………………………………. ………………………………………………. ……………………………………………….(Email-Adresse) (Festnetz) (Mobiltelefon)

erklärt die Einwilligung, dass die oben bekannt gegebenen Daten von XXXX zu Werbezwecken verwendet werden dürfen. Diese Einwilligung kann jederzeit widerrufen werden. Ein Widerruf kann z.B. per Email an [Email-Adresse] oder auch auf jede andere Art und Weise erfolgen. Der Widerruf gilt für die Zukunft und hat zur Folge, dass keine weiteren Zusendungen oder Kontaktaufnahmen erfolgen. Die Verarbeitung der Daten vor dem Widerruf ist nicht davon betroffen. Die Daten werden dann lediglich zum Nachweis der korrekten Abwicklung der bisherigen Tätigkeit (z.B. Dokumentation der Einwilligung, bisherige Zusendung der Werbemittel) verwendet. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf verarbeiteten Daten nicht berührt.

XXXX verarbeitet die Daten in Übereinstimmung mit den datenschutzrechtlichen Bestimmungen. Nähere Informationen finden Sie [am Messestand] oder finden diese auch im Internet unter [www.[...]/Datenschutz]

………………. …………………………………………….(Datum) (Unterschrift)


Vertrag & Vertragsanbahnung

alle personenbezogenen Daten, die erforderlich sind

Vertrag mit der betroffenen Person

Verträge mit Kunden, Lieferanten, Beschäftigten …

direkte Beziehung mit der betroffenen Person


rechtliche Verpflichtung

gesetzliche (normative) Verpflichtungen des MS/Union

Arbeitsrecht (Arbeitszeit, Krankenstandsaufzeichnungen)

TachografenVO, Lenkzeiten, Ruhezeiten

steuerliche Aufbewahrungspflichten (§ 132 BAO), Zoll (?)


Was bringt die DSGVO Neues für Organisationen


Was gibt es Neues ?VV (Verz. von Verarbeitungstätigkeiten) / ROPA – Art 30

DSFA (Datenschutz-Folgenabschätzung) / (D)PIA– Art 35 ff

DSBA (Datenschutzbeauftragter) / DPO - Art 37 ff

DBN (Data Breach Notification) – Art 33 ff

Geldbußen (gg Unternehmen) – Art. 83 / §§ 11, 30 DSG


Verarbeitungsverzeichnis

ersetzt die Meldung beim Datenverarbeitungsregister (DVR) und die Standard- und Musteranwendungen

dient der internen Dokumentation im Unternehmen

ist auf Anfrage der Datenschutzbehörde vorzulegen

Ausnahme: Organisationen, die Datenverarbeitungen nur gelegentlichdurchführen

13


Verzeichnis von Verarbeitungstätigkeiten (VV)

Inhalt:

Namen und Kontaktdaten des Verantwortlichen

Zweck(e) der Verarbeitung

Kategorien der betroffenen Personen & Daten

Kategorien der Empfänger

Löschfrist

technische u organisatorische Maßnahmen (TOMs)


VV-MusterUnternehmen im Transportwesen

Muster-Verarbeitungsvorgänge

• I-Shap

• Digi-Tacho – Anwendung TIS WEB

• Maut Go-Box

• Tankkarte

Transport-gewerbe

• Betriebsanweisungen (für diverse Unterweisungen)

• Kundenverwaltung

• Rechnungswesen

Allgemeine Verarbeitungen

• Lohnverrechnung

• MitarbeiterverwaltungPersonal

16

Muster-Verarbeitungsvorgänge17

1. Angaben zum Verantwortlichen

2. Zweckbestimmung und Rechtsgrundlagen

3. betroffene Personengruppen

4. Kategorien von Empfängern

mit Klassifizierung als intern/extern & Rechtsgrundlage für

die Übermittlung)

5. Übermittlung in Drittstaaten

6. Datenkategorien mit

Kategorisierung, Datenherkunft,

Zuweisung der Empfänger und Aufbewahrungsdauer

7. technisch-organisatorische Maßnahmen

18

1. Angaben zum Verantwortlichen Verantwortlicher im eigenen Unternehmen

Vertreter:

Kontakt

Kontakt

Tel.-Nr.

Tel.-Nr.

Mobil.-Nr.

Mobil.Nr.

Fax

Fax

E-Mail

E-Mail

Für die Verarbeitung zuständige Abteilung:

Datenschutzbeauftragter (DSBA):

Auftragsverarbeiter:

Kontakt

Kontakt

Tel.-Nr.

Anschrift

Mobil.-Nr.

Fax

Datenschutz-Folgeabschätzung x Nicht erforderlich für dieses Verfahren

Wurde durchgeführt

19

2. Zweckbestimmung und Rechtsgrundlagen Zweckbestimmung: Verwaltung der Kunden, einschließlich des Führens von Korrespondenzen, Abwicklung von Aufträgen, Nachweis

Transportauftrag, Rechnungslegung, usw. Rechtsgrundlage(n): Art. 6 Abs.1 lit.a, b, c DS-GVO

3. Betroffene Personengruppen

Nr. Personengruppe Anmerkung

1

Kunden und deren Mitarbeiter

2

Potentielle Kunden/Interessenten

4. Kategorien von Empfängern, an die personenbezogene Daten weitergegeben werden, speziell bei Empfängern in Drittländern sowie Art und Herkunft empfangener Daten (inklusive Auftragsverarbeitung)

Nr. Empfängerkategorie Empfänger Rechtsgrundlage für Datenübermittlung

1 Firmeneigene Mitarbeiter intern Art 6 Abs.1 lit a,b,c DS-GVO 2 Banken zur Zahlungsabwicklung extern Art 6 Abs.1 lit b DS-GVO 3 Rechtsanwälte, Gerichte zum Zweck der Rechtsdurchsetzung extern Art 6 Abs.1 lit b, f DS-GVO 4 Steuerberater extern Art 6 Abs.1 lit b,c DS-GVO 5 Behörden extern Art 6 Abs.1 lit c DS-GVO Ev weitere Empfänger je nach Unternehmen

20

4. Kategorien von Empfängern, an die personenbezogene Daten weitergegeben werden, speziell bei Empfängern in Drittländern sowie Art und Herkunft empfangener Daten (inklusive Auftragsverarbeitung)

Nr. Empfängerkategorie Empfänger Rechtsgrundlage für Datenübermittlung

1 Firmeneigene Mitarbeiter intern Art 6 Abs.1 lit a,b,c DS-GVO 2 Banken zur Zahlungsabwicklung extern Art 6 Abs.1 lit b DS-GVO 3 Rechtsanwälte, Gerichte zum Zweck der Rechtsdurchsetzung extern Art 6 Abs.1 lit b, f DS-GVO 4 Steuerberater extern Art 6 Abs.1 lit b,c DS-GVO 5 Behörden extern Art 6 Abs.1 lit c DS-GVO Ev weitere Empfänger je nach Unternehmen

6. Datenkategorien

Nr. Datenkategorie

Be

s. Kat

Straf. Re

l.

Datenherkunft Aufbewahrungsdauer Empfänger

Name ☐ ☐ Selbstangabe zB aus steuerrechtlichen Gründen: mindestens 7 Jahre – je nach Geschäftsfall kann auch eine längere Aufbewahrung notwendig sein

1-3

Anschrift ☐ ☐ Selbstangabe Siehe oben 1-3

Elektronische Kontaktdaten (TelNr, E-Mail Adresse) ☐ ☐ Selbstangabe Siehe oben 1-3

Bankverbindung (Bankleitzahl, kontoführende Bank, Kontonummer, IBAN-Code, SWIFT-Code)

☐ ☐ Selbstangabe Siehe oben 1-3

Korrespondenzen ☐ ☐ Selbstangabe Siehe oben 1-3

UID Nummer ☐ ☐ Selbstangabe Siehe oben 1-3

usw. siehe eigene Kundenverwaltung ☐ ☐ Siehe oben

21

7. Technisch–organisatorische Maßnahmen

7.1 Allgemeine sicherheitsrelevante Informationen Zertifizierungen: Betroffene Assets: Basisdienst Client-Betrieb/E-Mail/Web/Dateiservice Risikoanalyse durchgeführt: Ist durchzuführen Allgemeine Maßnahmen; zB. Schulungen der Mitarbeiter, Dienstanweisungen

7.2 Asset-spezifische Maßnahmen

Asset Maßnahmen/Information

zB Basisdienst Client Betrieb

zB Office Anwendungen – Absicherung über Zugriffsberechtigungen des Dateisystems, Zugriff nur für Berechtigte möglich

zB Basisdient Dateiservice Absicherung über Zugriffsberechtigungen des Dateisystems, Zugriff nur für Berechtigte möglich

Erfüllung der Informationspflichten

Betroffene Personen (die Personen, deren Daten verarbeitet werden)

sind über die Verarbeitungsvorgänge zu informieren.

Die Mitteilung hat in präziser, transparenter, verständlicher und leicht

zugänglicher Form in einer klaren und einfachen Sprache zu erfolgen.

Die Information kann schriftlich oder in anderer Form, z.B. elektronisch,

oder wenn die betroffene Person es verlangt, auch mündlich erfolgen.

„mehrstufige Datenschutz-Information“ / layered privacy notice

Einen Auftragsverarbeiter (der im Auftrag eines Verantwortlichen

personenbezogene Daten verarbeitet) trifft diese

Informationsverpflichtung nicht.

22

Beispiel für

Transparenz23

Die Transparenz ist in einer Art

und Weise herzustellen, die es

der betroffenen Person erlaubt,

sich über den Zweck und den

Verantwortlichen zu informieren

und weitere Informationen zu

erhalten.

Hinweis & weiter-

führende Information

19.03.2018 10:10 - Bildschirmausschnitt

Informationspflicht – wirkt diese zurück?

keine Rückwirkung: keine Verpflichtung, betroffene Personen,

deren Daten am 25.05.2018 schon verarbeitet werden, zu

informieren (!)

derzeitige Regelung: § 24 DSG 2000

anlässlich der Ermittlung der Daten über Zweck und Namen & Adresse des

Auftraggebers, sofern diese Informationen nicht bereits vorliegen

nach „Treu und Glauben“ weitere Informationen (zB Widerspruchsrecht

bei Aufnahme in eine Datenbank; IVS)

neue Regelung ab 25.05.2018

umfassender; Art 12 ff. DSGVO – allgemeine Regelung

bei direkter Erhebung der Daten (in Kontakt mit der betroffenen Person) –

Art 13 DSGVO

bei indirekter Erhebung (Daten werden von dritter Seite zur Verfügung

gestellt) – Art 14 DSGVO

26

27

Hinweis in Korrespondenz, Emailfooter, Briefpapier …… mit Verlinkung / Verweis auf

Homepage

Hinweis im Vertrag (zB mit Mitarbeiier/in) & Beilage der Information

Übermittlung/Aushändigung im Zuge anderer Informationspflichten

& Beilage der Information (zB Drittschuldnererklärung bei Gehaltsexekution)

Übermittlung/Aushändigung bei Vertragsabschluss (wenn schriftl/elektronisch)

Info bei Einladungen, Veranstaltungen etc… (zB auf Fotoaufnahmen bzw. andere

Verarbeitungsvorgänge

„Wir verarbeiten personenbezogene Daten nach den datenschutzrechtlichen Bestimmungen. Weitergehende Informationen finden Sie unter: www. ……….. oder kontaktieren Sie uns unter: …..“

Informationspflicht – wer und wie?

Identifizieren Sie betroffene Personen

Mitarbeiter/in: direkt – Hinweis in Vertrag u Infoblatt

Gläubiger bei Lohnexekution – Infoblatt

Videoüberwachung – Kennzeichnung und

Datenschutzinformation auf Website

Datenerhebung über Website (Kontaktformular, Tracking,

Webshop, Newsletter – Hinweis (direkt) & Link auf

Datenschutzinformation

Kunden / Lieferanten – Hinweis in der Korrespondenz und

Datenschutzinformation auf der Website


sonstige Infos für das Transportwesen

TOM`s (technische und

organisatorische Maßnahmen Technische und organisatorische Maßnahmen,

dienen dazu, die personenbezogenen Daten vor Verlust oder Zugriff durch unbefugte Personen zu schützen

Sie sind zu dokumentieren und auch zu beschreiben.

Die im Muster angeführten Kategorien (zB Zutritts, Zugangs-, Zugriffskontrolle, Weitergabekontrolle …) stellen eine Möglichkeit dar, dass sich jede Organisation einen Überblick über die Maßnahmen verschafft

in den einzelnen Punkten finden sich Vorschlägefür Maßnahmen, die ergänzt bzw. adaptiert werden sollten.

https://www.wko.at/branchen/transport-verkehr/gueterbefoerderungsgewerbe/beispiele-fuer-tom.pdf

Handbuch zur Umsetzung der DSGVO

Handlungsempfehlungen mit Zielen zur

Umsetzung (funktional, technisch-

organisatorisch, juristisch)

Erklärungen / Informationen

Projekteinschätzungsmethoden

(Umfang)

Informationen zur Analyse

Anleitungen für die Projektdurchführung

„DSGVO“ (Wie soll man vorgehen? Was

sind die Auswirkungen?)

Informationen zur IT-Security

Checklisten (zur Überprüfung)

Benötigt ein Transportunternehmer einen DSBA?

Art 37 DSGVO – in Ö: nicht erweitert!

zwei Tätigkeitsarten:

regelmäßige und systematische Überwachung (Beobachtung)

von Personen (umfangreich & Kerntätigkeit)

Verarbeitung von Art 9 / Art 10 Daten

umfangreiche „Kerntätigkeit“ ist maßgebend

Kerntätigkeiten: Spedition und Güterverbringung von A > B

„umfangreich“: keine „Definition“ in Art 37 DSGVO

Beispiele der Leitlinien DSBs der Art 29 DS-Gruppe

32

Kundenzufriedenheitsumfrage per Telefon / Email?

Direktwerbung per Telefon (cold calling; ohne vorherige Zustimmung) – verboten

Direktwerbung per Email – (ohne vorherigen Kundenkontakt, ohne vorherige Zustimmung) – verboten

Ausnahme für elektronische Post / SMS: § 107 (3) TKG (!)

Hinweis bei Datenerhebung auf Verwendung u Ablehnung

gleichartige Produkte oder Dienstleistungen

Ablehnungsmöglichkeit bei jeder Kontaktaufnahme

RTR-Liste checken

transaktionsgebundene Emails: zulässig / inkl. Werbung (!)

transaktionsgebundene Rückfragen: zulässig (nicht gesichert, keine Entscheidungen in Ö, LG Coburg „Feedbackanfrage per Email ist keine Werbung“)

33


Danke für die Aufmerksamkeit

@dataprotect_at

dataprotectNewsletter / Blog: www.dataprotect.at

Documents

Datenschutz-Grundverordnung (DSGVO) und Auswirkungen … · 20 4. Kategorien von Empfängern, an die personenbezogene Daten weitergegeben werden, speziell bei Empfängern in Drittländern