Lesemodus

DSGVO - Leitfaden für die Umsetzung

Michael Schützenhofer

DSGVO - Leitfaden für die Umsetzung

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung in Kraft. Bis dahin müssen alle Unternehmen, die regelmäßig personenbezogene Daten verarbeiten – dazu gehören auch Lohnverrechnung oder Kundendateien –, ein Verarbeitungsverzeichnis führen. Daneben gilt es noch einiges an Vorgaben zu beachten und weitere Auflagen zu erfüllen, die die Datenschutzgrundverordnung und das Datenschutz-Anpassungsgesetz 2018 mit sich bringen.

Somit gibt es kaum ein Unternehmen, das nicht von der DSGVO betroffen ist.

Neben den Pflichten bietet die DSGVO jedoch auch Chancen, sich vom Mitbewerb abzuheben. Diese Zusammenstellung an Links und kurze Erklärungen dazu sollen Sie bei der Umsetzung der DSGVO in Ihrem Unternehmen unterstützen, erheben jedoch keinen Anspruch auf Vollständigkeit oder Richtigkeit. 

Bis zum 15.5. besteht noch die Möglichkeit für WKO-Mitglieder aus Niederösterreich, einen kostenlosen 2,5 Stunden-Kurs zu besuchen, und einen Beratungsgutschein in der Höhe von 200,- bei einer Beratung in der Höhe von 400,- von einem zertifizierten Berater zu bekommen. Achtung: Die Plätze sind knapp! Danach wird dieser Kurs kostenpflichtig und es gibt keinen Gutschein mehr!

https://www.noe.wifi.at/kurs/23302x-datenschutz-grundverordnung-basisworkshop

Schritt1: Start so schnell wie möglich

Ihr Termin mit einem geprüften Datenschutzexperten ist erst in ein paar Wochen und Sie wollen optimal vorbereitet sein, weil die Zeit drängt. Oder Sie setzen die DSGVO in Ihrem Unternehmen selbstständig um. In jedem Fall sollten Sie keine Zeit mehr verlieren!

Info-Folder, um Verständnis für die Dringlichkeit des Themas zu schaffen

Diese vier Seiten erklären in verständlichen Worten, was die DSGVO ist, wer davon betroffen ist und auch welche Chancen sich neben den Pflichten daraus ergeben. Wenn Sie derzeit in irgendeiner Form für persönliche Daten verantwortlich sind (Personalverrechnung, Buchhaltung, Marketing, IT, ...) und der Geschäftsleitung die Dringlichkeit vor Augen führen wollen, drücken Sie der Firmenleitung diese vier Seiten in die Hand.

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/WKO-Folder-DSGVO.pdf

Die Einführung der DSGVO ist ein Projekt. Somit sollten nun firmenintern: 
+ ein Projektauftrag erfolgen
+ die Ziele definiert werden
+ ein Zeitplan mit Meilensteinen erstellt werden
+ die notwendigen Ressourcen bereitgestellt werden

Bei den wichtigsten Schritten bis zum 25.5.2018 hilft Ihnen dabei:

Vorlage für ein Verarbeitungsverzeichnis

Der aufwendigste Punkt bei der Umsetzung der DSGVO für Ihr Unternehmen ist die Erstellung eines Verarbeitungsverzeichnisses. Dieser Link zu einer Vorlage im MS-Word-Format hilft Ihnen bei der Befüllung, damit Sie nichts vergessen. Wenn Sie dieses Verzeichnis haben, dann macht ein Termin mit einem geprüften Datenschutzexperten auch noch eine Woche vor Inkrafttreten der DSGVO Sinn. Eine Umsetzung sollte dann noch fristgerecht möglich sein.

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Verantwortlicher.DOCX

Als Entscheidungshilfe, ob eine Datenschutz-Folgeabschätzung zu erfolgen hat, ist folgender Link hilfreich:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-datenschutz-grundverordnung-datenschutz-folgenabschaetzu.html

Beispiel für ein allgemeines Verarbeitungsverzeichnis

Zusätzlich gibt es zum Musterdokument ein Beispiel im PDF-Format, das sich an dem obigen Muster orientiert. Sollten Sie von Ihrer Innung/Kammer/... ein eigenes Beispiel erhalten haben, das auf Ihre Branche optimal abgestimmt ist, dann nutzen Sie bitte dieses. Fragen Sie in jedem Fall nochmals bei Ihrer Interessenvertretung nach.

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-bsp-verarbeitungsverzeichnis-verantwortlicher.pdf

Beispiel für ein minimales Verarbeitungsverzeichnis, wo hauptsächlich persönliche Daten für die Personalverwaltung anfallen

Wenn Sie wirklich nur minimale personenbezogene Daten verarbeiten, dann ist dieses Beispiel noch mehr am Punkt. Es hält sich allerdings nicht ganz an das Musterdokument.

https://www.wko.at/branchen/w/gewerbe-handwerk/personenberatung-betreuung/2018-Datenverarbeitungsverzeichnis-.pdf

Vorlage für die Erfassung EINER Verarbeitungstätigkeit

In größeren KMUs, wo die Verarbeitungstätigkeiten in der Verantwortung verschiedener Personen liegen, können Sie mit Hilfe dieser Vorlage im MS-Word-Format die Erfassung aller notwendigen Informationen je Verarbeitungstätigkeit delegieren. Wenn die Dokumente dann zu Ihnen zurücklaufen, können Sie diese danach einfach im Verarbeitungsverzeichnis verdichten. Zur Übersicht und zur laufenden Evaluierung empfiehlt es sich, längerfristig für sämtliche Verarbeitungstätigkeiten ein derartiges Formular zu führen.

https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/Formulare-Verarbeitungsverzeichnis/2017-05-05-Formular1-Erfassung-einer-Verarbeitungstaetigkeit.docx

Schritt2: vor dem 25.5.2018

Neben dem Verarbeitungsverzeichnis sind noch eine Reihe von Aufgaben vor dem Inkrafttreten der DSGVO umzusetzen. Hier finden Sie die wichtigsten.

Vorlage für die Pflicht zur Geheimhaltung für Mitarbeiter

Im Rahmen der Verarbeitung personenbezogener Daten sind Mitarbeiter zur Geheimhaltung verpflichtet. Auch wenn das bisher bei den meisten Betrieben bereits durch Zusätze in den Dienstverträgen geregelt ist, empfiehlt es sich, diese Zusätze aufgrund der DSGVO zu überarbeiten. Hier finden Sie eine Vorlage. Auf alle Fälle ist sicherzustellen, dass alle Mitarbeiter bis zum Stichtag eine DSGVO-konforme Geheimhaltungsvereinbarung unterschrieben haben. Dies könnte zum Beispiel auch im Rahmen einer firmenweiten Informationsveranstaltung erfolgen.

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-verpflichtung-datengeheimnis.docx

Vorlage für die Informationspflicht an die Mitarbeiter über die gespeicherten persönlichen Daten

Durch die DSGVO entstehen auch Informationspflichten an die Mitarbeiter Ihres Unternehmens, inwieweit Sie zum Beispiel personenbezogene Daten der Mitarbeiter (z.B. für die Lohnverrechnung, Website, ...) verarbeiten. Zum Teil handelt es sich um rechtliche Verpflichtungen und daher würde eine nachweisliche Information der Mitarbeiter ausreichen. Da aber oft auch über die rechtliche Verpflichtung hinausgehend persönliche Daten verarbeitet werden (zum Beispiel Fotos von Mitarbeitern auf Firmenevents für das Intranet oder die Website), empfiehlt es sich, die Zustimmung zur Nutzung der persönlichen Daten dafür gesondert einzuholen.

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-muster-datenschutzerklaerung-mitarbeiter.docx

Vorlage zu Informationspflichten für Websites (Datenschutzerklärung)

Auch für Websites, Webshops, ... sind weitere Informationspflichten aufgrund der DSGVO verpflichtend. Diese sollten nicht in den AGBs versteckt werden, sondern werden vermutlich in den meisten Fällen im Impressum Platz finden. Eine Vorlage dafür im MS-Word-Format finden Sie hinter folgendem Link. 

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/muster-informationspflicht-websites.DOCX

Achtung: Bei Einbindungen von Diensten wie google Analytics, Facebook, Instagram, Pinterest, ... ist die Datenschutzerklärung zu erweitern. Beispiele dazu finden Sie im Impressum von STRATEGIEdesign. Jeweils aktuelle Muster bieten meistens die Dienstlieferanten selbst.

https://www.strategiedesign.at/impressum

Vorlage zu Informationspflichten für Newsletter (Datenschutzerklärung)

Auch für Newsletter sind weitere Informationspflichten aufgrund der DSGVO verpflichtend. Diese sollten nicht in den AGBs versteckt werden, sondern werden vermutlich in den meisten Fällen im Impressum Platz finden. Eine Vorlage dafür im MS-Word-Format finden Sie hinter folgendem Link. Die Meinungen gehen auseinander, ob eine neuerliche Zustimmung (Double-Opt-In) für den Erhalt des Newsletters notwendig ist. Eine verbreitete Einschätzung (auch von Seiten der WKO) geht davon aus, dass die entsprechende Information, wofür welche Daten des Kunden im Newsletter verwendet werden mit dem Hinweis zur Abmeldemöglichkeit, ausreicht. Dies setzt natürlich voraus, dass es entweder in der Vergangenheit eine Zustimmung zum Erhalt des Newsletters gegeben hat, oder es sich um einen Kunden von Ihnen handelt. Ein Textvorschlag für einen Newsletter vor dem 25.05. finden Sie hier, dankenswerterweise von Textur Zeiler zur Verfügung gestellt:

DSGVO-Newsletter-Vorlage

Vorlage für Vertrag mit Auftragsverarbeitern bzw. als Auftragsverarbeiter

In der Regel werden Partner, die als Auftragsverarbeiter (Steuerberater, ext. Lohnverrechnung, Agentur, ...) fungieren, von sich aus mit einem Auftragsverarbeiter-Vertrag auf Sie zukommen. Falls Sie selbst Auftragsverarbeiter sind und daher personenbezogene Daten für andere Firmen weiterverarbeiten, müssen Sie mit Ihren Kunden ebenfalls einen Auftragsverarbeiter-Vertrag abschließen. In Zukunft kann es durchaus ein USP sein, wenn Sie mit Ihrem Offert auch gleich Ihren Auftragsverarbeiter-Vertrag mitsenden und somit Ihren professionellen Umgang mit persönlichen Daten bereits beim Offert aufzeigen.

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/eu-dsgvo-mustervertrag-vereinbarung-auftragsverarbeitung.docx

Vorlage für ein (reduziertes) Verarbeitungsverzeichnis für Auftragsverarbeiter

Als Auftragsverarbeiter sind Sie außerdem dazu verpflichtet, für die Bearbeitung personenbezogener Daten, die Sie im Rahmen eines Auftrages für Daten des Kunden durchführen, ein abgespecktes Verarbeitungsverzeichnis zu führen. Eine Vorlage  im MS-Word-Format finden Sie hier.

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-DSGVO-MUSTER-Verarbeitungsverzeichnis-Auftragsverarbeite.docx

Datenschutzbeauftrage/r

Wenn ein Datenschutzbeauftragter für das Unternehmen ernannt werden muss, dann ist dieser auf alle Fälle vor dem 25.5.2018 an die Datenschutzbehörde zu melden. In welcher Form dies erfolgt, ist noch unklar, da diese Behörde eigentlich erst mit 25.5.2018 geschaffen wird. Zur Zeit ist dies noch die alte Behörde. Möglicherweise wird es dazu Informationen auf deren Website https://www.dsb.gv.at geben. Informationen dazu, ob Ihr Unternehmen einen Datenschutzbeauftragten stellen muss, finden Sie in folgendem PDF.

https://www.dsb.gv.at/documents/22758/112500/Leitlinien_in_Bezug_auf_Datenschutzbeauftragte.pdf

Schritt3: erweiterte Informationen

Wie schon vorher erwähnt, ist die Umsetzung der DSGVO bis zum 25.5.2018 ein Projekt und wird anschließend zum Prozess, da die Einhaltung der DSGVO zukünftig ständig zu evaluieren ist. Darum hier eine Reihe von Links, die Ihnen helfen, die DSGVO noch besser zu verstehen, und Ihnen noch umfangreichere Checklisten und Infos  für die Umsetzung und die folgende Evaluierung bieten.

Checkliste mit weiterführenden Links

Auf dieser Checkliste der WKO gibt es eine umfangreiche Linksammlung, die ständig aktualisiert wird und die wirklich das Thema DSGVO sehr umfassend behandelt.

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung:-Checkliste.html

Noch mehr Links von der WKO (vor allem die Links zu branchenspezifischen Angeboten) finden Sie auf dieser Seite:

http://www.wko.at/datenschutzservice

Zwar aus Deutschland und daher möglicherweise aufgrund anderer Öffnungsklauseln nicht ganz passend, aber sehr übersichtlich und vor allem auch bezugnehmend auf Vereine:

https://www.lda.bayern.de/de/kleine-unternehmen.html

Checkliste für den gesamten Prozess

Der Verein österreichischer betrieblicher und behördlicher Datenschutzbeauftragter hat eine Checkliste entwickelt,  welche die drei Phasen Vorbereitung, Umsetzung und laufende Tätigkeiten sehr umfassend abhandelt. Sehr zu empfehlen!

https://www.privacyofficers.at/Privacyofficers_Checkliste_Umsetzung_DSGVO_v2.0.pdf

Umfangreiche Anleitung für das Verarbeitungsverzeichnis

Achtung: gültig für Deutschland – nicht berücksichtigt sind die Eröffnungsklauseln von Österreich. Allerdings trotzdem sehr gut.

https://www.bitkom.org/NP-Themen/NP-Vertrauen-Sicherheit/Datenschutz/FirstSpirit-1496129138918170529-LF-Verarbeitungsverzeichnis-online.pdf

Nachlese zu den Hintergründen der DSGVO und zur Umsetzung

Um die Rechte und Pflichten noch besser zu verstehen, empfiehlt sich diese Lektüre. Gestaltet wurde sie von der derzeitigen Datenschutzbehörde (die dann auch die neue werden wird). Auch wenn dieses Dokument „etwas schwer“ zu lesen ist, dient es doch auch gut als Nachschlagwerk.

https://www.dsb.gv.at/documents/22758/116802/DSGVO-Leitfaden-2018.pdf

Umfangreiche kostenpflichtige Broschüre

Diese gedruckte Broschüre erläutert sehr umfangreich die DSGVO und die österreichischen Besonderheiten (DSG). Für Datenschutzbeauftrage und Verantwortliche, die mehr mit der Verarbeitung persönlicher Daten zu tun haben, empfehle ich dringend den Ankauf dieser Broschüre von der WKO um Euro 16,-.

https://webshop.wko.at/datenschutzanpassungsgesetz-2018.html

 

Als geprüfter Datenschutzexperte unterstütze ich Sie gerne bei Ihrer Umsetzung der DSGVO. Meine Kontaktdaten finden Sie ein paar Zeilen weiter unten.

Disclaimer: Sämtliche Inhalte wurden mit größtmöglicher Sorgfalt zusammengestellt, erfolgen jedoch ohne Gewähr. Sie stellen keine Beratungsleistung welcher Art auch immer dar. Es wird keine Haftung hinsichtlich Richtigkeit, Vollständigkeit und Aktualität der Informationen (einschließlich des Verweises auf andere Quellen) übernommen. Der Verfasser schließt jegliche Haftung aus.