UCBA - public

Wien, Montag, 11. Juni 2018

Richard Jarolim

Die Datenschutz-Grundverordnung

UCBA - Public

2

Datenschutz-Grundverordnung:

Kurzer Überblick über die Datenschutz-Grundverordnung

Die wichtigsten Definitionen

Der Datenschutzbeauftragte

Technische und organisatorische Maßnahmen

Ablaufplan zur Erfüllung der Datenschutz-Grundverordnung:

Erfüllung der Informationspflichten

Sicherstellung der Rechte der betroffenen Personen

Identifikation der Datenanwendungen

Erstellung des Verzeichnisses der Datenanwendungen

Erstellung von Verträgen zur Auftragsverarbeitung

Einführung von Datenschutzverletzungs-Prozessen

Durchführung einer Datenschutz Folgenabschätzung

Erstellung eines Datenschutz-Handbuch

Agenda

UCBA - Public

Die zwei wichtigsten Begleitgesetze: Datenschutz-Anpassungsgesetz und Datenschutz-Deregulierungsgesetz3

Die Datenschutz-Grundverordnung (DSGVO) - Überblick

Was ist die Datenschutz-Grundverordnung?

Seit 25.5.2018 ist die DSGVO in der gesamten EU unmittelbar gültig. Außerdem für Unternehmen mit Auslandssitz, die Daten von Betroffenen in der EU verwenden.

Das Ziel ist der Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten und die Gewährleistung des freien Datenverkehrs in Europa.

Deutlich höherer Stellenwert, nicht zuletzt durch empfindlich erhöhte Strafen (bis zu 20 Millionen oder 4% des Konzernjahresumsatzes).

Juristische Personen?

UCBA - Public

4

Was sind personenbezogene Daten?

Die Bestimmungen der Datenschutz-Grundverordnung gelten für die Verarbeitung von personenbezogenen Daten natürlicher Personen.

Personenbezogene Daten sind etwa Name, Alter, Adresse, Geschlecht oder Kontonummer. Grundsätzlich jede Information, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natürliche Person („Betroffener“) bezieht.

"Anonyme" Personen sind also nicht betroffen.

Was ist Datenverarbeitung?

Darunter versteht man das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung, von personenbezogenen Daten.

Die wichtigsten Definitionen

UCBA - Public

5

Was ist ein Verantwortlicher?

Verantwortlicher ist die natürliche oder juristische Person, Behörde etc., die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.

Banken, Soziale Netzwerke, Studienzentren, Rechtsanwälte, auch Kleinunternehmen/Händler, sobald sie Kundendaten speichern etc.

Was ist ein Auftragsverarbeiter?

Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde etc., die personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet.

Internetdienstanbieter (zB Hosting), Auslagerung von Postdienstleistungen, E-Mail Plattformen, Cloud Anbieter, Outsourcing von Marketingaktivitäten, Personalverrechner etc.

Die wichtigsten Definitionen (2)

UCBA - Public

6

Wann brauche ich einen Datenschutzbeauftragten?

Es war bisher schon möglich einen Datenschutzbeauftragten zu bestellen. Mit der DSGVO wird dies zur Verpflichtung, wenn:

die Kerntätigkeit eines Unternehmens in der Durchführung von Verarbeitungsvorgängen besteht, die eine regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen. Beispiel: Banken, Versicherungen

sensible Daten (z.B. Gesundheitsdaten) verarbeitet werden. Beispiel: Krankenhäuser

Was sind die Aufgaben des Datenschutzbeauftragten?

Beratungs- und Kontrollfunktion hinsichtlich der Einhaltung datenschutzrechtlicher Vorschriften

Schulung der Mitarbeiter

Kontakt zu Behörden

Verboten sind Tätigkeiten die einen Interessenskonflikt bewirken könnten. Die Datenschutzfolgenabschätzung ist als einzige Tätigkeit mit Interessenskonflikt explizit genannt, hier hat der DPO nur beratende Funktion.

Ein Interessenskonflikt kann auch durch die Position des Datenschutzbeauftragten ausgelöst werden. Er darf daher etwa nicht Leiter der Personalabteilung, Marketingabteilung der IT-Abteilung sein.

Der DatenschutzbeauftragteData Protection Officer (DPO)

UCBA - Public

1 Die Anonymisierung ist das Verändern personenbezogener Daten derart, dass diese Daten nicht mehr einer Person zugeordnet werden können. Bei der Pseudonymisierung wird der Name oder ein anderes Identifikationsmerkmal durch ein Pseudonym (zumeist eine mehrstellige Buchstaben- oder Zahlenkombination, auch Code genannt) ersetzt.

Was sind technische und organisatorische Maßnahmen?

Für den Umgang mit personenbezogenen Daten müssen geeignete technische und organisatorische Maßnahmen getroffen werden, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

Technische Maßnahmen Beispiele:

elektronisches Zutrittskontrollsystem, um Unbefugten den Zugang zu PC/Laptops zu verwehren

Verschlüsselungsmaßnahmen / Pseudonymisierung1

sichere technische Passwortvorgabe Kombination aus Ziffern, Groß- und Kleinbuchstaben

Organisatorische Maßnahmen Beispiele:

Klassifikation personenbezogener Daten0 - öffentlich, 1 - unternehmensintern, 2 - privat, 3 - sensibel

Interne Regelungen zu Telearbeit, Diensttelefone etc

Protokollierung der Art und Weise des Zugriffes auf die Daten

Technische und organisatorische Maßnahmen

7

UCBA - Public

8

Welche Informationspflichten bestehen für Datenverarbeiter?

Nach der DSGVO sind den Betroffenen bei der Erhebung ihrer Daten durch den Verantwortlichen gewisse Informationen über die Datenanwendungen (Art, Dauer, Zweck) und den Datenverarbeiter(Verantwortlicher) zur Verfügung zu stellen. Weiters müssen die Betroffenen über ihre Rechte aufgeklärt werden.

Dies geschieht zum Beispiel mit einer sogenannten Informationspflicht („information notice“). Diese muss vom Betroffenen zum Zeitpunkt der ersten Erhebung vorgelegt werden.

Wie viele E-Mails mit dem Thema "Neue Datenschutzrichtlinien" haben Sie in letzter Zeit bekommen?

Informationspflichten

dsb.at

UCBA - Public

9

Welche Rechte hat der Betroffene?

Recht auf Berichtigung, Recht auf Löschung ("Recht auf Vergessenwerden"), Recht auf Einschränkung der Verarbeitung, Recht auf Datenübertragbarkeit und ein Widerspruchsrecht

Welche Grundsätze sind zu beachten?

Klare, einfache und verständliche Sprache

schriftlich, mündlich oder elektronisch

Identitätsnachweis

1 Monat, ausnahmsweise zwei weitere Monate Betroffener muss jedenfalls innerhalb eines Monats verständigt werden

unentgeltlich

bei offenkundig unbegründeten oder exzessiven Anträgen, kann der Verantwortliche:

• angemessenes Entgelt verlangen

• sich weigern, tätig zu werden

Mitwirkungspflicht bei Zweifel an der Identität des Betroffenen

standardisierte Bildsymbole können verwendet werden (maschinenlesbar)

Die Rechte der Betroffenen – allgemeine Grundsätze

UCBA - Public

10

Recht auf Auskunft

dsb.at

Welche Informationen kann der Betroffene verlangen?

Der Betroffene hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob, und wenn ja welche personenbezogene Daten verarbeitet werden. Außerdem muss etwa der Zweck der Verarbeitung und die geplante Speicherdauer angegeben werden.

UCBA - Public

11

Recht auf Vergessenwerden/Löschung

dsb.at

Kann der Betroffene verlangen, dass seine Daten gelöscht werden?

Auf Anforderung ist der Verantwortliche verpflichtet alle personenbezogene Daten einer betroffenen Person zu löschen, sollte es keinen legitimen Grund (wie etwa einen Vertrag oder gesetzliche Aufbewahrungsfristen) mehr geben sie zu behalten. Ein solches Recht auf Löschung existiert bereits heute.

UCBA - Public

12

Recht auf Datenportabilität

dsb.at

Kann der Betroffene seine Daten "mitnehmen"?

Betroffene können sich alle überlassenen Daten von dem verantwortlichen Verarbeiter in einem strukturierten, gängigen und maschinenlesbaren Format übermitteln, als auch ihre Daten von einem Verantwortlichen auf einen anderen übertragen lassen. Hier denkt der Gesetzgeber zum Beispiel an den Wechsel der Bank oder des E-Mail Providers.

UCBA - Public

13

Verzeichnis von VerarbeitungstätigkeitenRechtslage: alt neu

Wie war die Rechtslage im Bezug auf das Verarbeitungsregister?

Nach den Bestimmungen des österreichischen Datenschutzgesetzes(DSG 2000) musste jeder Auftraggeber (heute Verantwortlicher) vor der Aufnahme

einer Datenanwendung eine Meldung an das Datenverarbeitungsregister erstatten, sofern nicht eine Ausnahme von der Meldepflicht besteht.

Wie ist die Rechtslage heute?

Die Pflicht zur Führung eines Datenverarbeitungsregisters verschiebt sich: Unternehmen sind jetzt selbst in der Pflicht, ein Verzeichnis ihrer Datenverarbeitung zu führen.

Standard- und Musteranwendungen müssen jetzt im Register erfasst werden.

Was passiert mit dem alten Datenverarbeitungsregister (DVR)?

Das bisherige DVR Meldeverfahren und das DVR selbst wird es nicht mehr geben.Zu Archivzwecken bleibt das DVR bis Ende 2019 bestehen, es können aber keine inhaltlichen Änderungen vorgenommen werden.

UCBA - Public

14

Ausnahmen von der Pflicht zur Führung des Verzeichnisses

Wer muss ein Verzeichnis führen?

Unternehmen mit weniger als 250 Mitarbeiter müssen ein Verzeichnis nur dann führen..

wenn die in Betracht kommende Verarbeitung ein Risiko für die Rechte und Freiheiten der betroffenen Personen birgt, zum Beispiel bei Videoüberwachung oder speziellen Kundenbindungsprogrammen

wenn die Verarbeitung nicht nur gelegentlich erfolgt

wenn sensible Daten (etwa Gesundheitsdaten) oder strafrechtlich relevante Daten verarbeitet werden

Achtung: Ausnahmen umfassen immer nur einzelne Verarbeitungen!

UCBA - Public

15

Wann handelt es sich um Auftragsverarbeitung?

Es werden personenbezogene Daten verarbeitet.

Dies geschieht im Auftrag des Verantwortlichen.

Was muss ich beachten?

Der Auftragsverarbeiter muss hinreichende Garantien bieten, dass technische und organisatorische Maßnahmen DSGVO-konform sind.

Es braucht eines schriftlichen Vertrages, der mindestens folgende Punkte beinhaltet:

• Gegenstand und Dauer der Verarbeitung

• Art und Zweck der Verarbeitung

• die Art der personenbezogenen Daten

• die Kategorien betroffener Personen

• Pflichten und Rechte des Verantwortlichen

• Regelung für Subauftragsverarbeiter

• Betroffene sind über die Auftragsverarbeitung aufzuklären.

Auftragsverarbeitungsverträge

UCBA - Public

16

Was ist, wenn sich mein Auftragsverarbeiter außerhalb der EU befindet?

Es sind zusätzlich die Grundsätze des internationalen Datenverkehrs einzuhalten. Voraussetzungen:

entweder ein Angemessenheitsbeschluss der Europäischen Kommission

Vorliegen geeigneter Garantien (zB Binding Corporate Rules = behördlich genehmigte bindende interne Regelungen, Standarddatenschutzklauseln = Entscheidungen der EU-Kommission, behördlich genehmigter Zertifizierungsmechanismus= ISO-Zertifikat)

oder ein von der Behörde genehmigter Vertrag

Praxisbeispiel Google als Auftragsverarbeiter:

Google Analytics hat einen Zusatz zum bisherigen Nutzungsvertrag geschaffen (Datenverarbeitungsbedingungen), der elektronisch akzeptiert werden muss.

• Nach derzeitigem Stand reicht dieses Verfahren aus.

Praxisfragen Auftragsverarbeitungsverträge

UCBA - Public

Abbildung: https://www.lawyer-monthly.com/2017/05/34-of-us-federal-government-agencies-experienced-data-breach-in-the-last-year/17

Was ist eine Datenschutzverletzung?

Als Datenschutzverletzung bezeichnet man jeglichen Verlust oder Diebstahl personenbezogener Daten, durch den Unberechtigte Zugriff auf eine Datensammlung erhalten können

Beispiele: verlorener/gestohlener Laptop, USB-Stick, Papierunterlagen oder Hacker-Angriff.

Wie gehe ich mit einer Datenschutzverletzung um?

Erstellen eines Protokolls: Verletzung, Auswirkungen und ergriffene Maßnahmen sind vom Verantwortlichen zu dokumentieren

Meldung an die Aufsichtsbehörde innerhalb von 72 Stunden, wenn ein Risiko für Rechte und Freiheiten der Betroffenen besteht

• Ausnahme: Meldung kann unterbleiben, wenn die Verletzung zu keinem Risiko für die Rechte und Freiheiten der Betroffenen führt

Einführung von Datenschutzverletzungs-Prozessen

UCBA - Public

18

Wie gehe ich mit einer Datenschutzverletzung um?

Zusätzlich: unverzügliche Benachrichtigung des Betroffenen, bei voraussichtlich hohem Risiko für die Rechte und Freiheiten der Betroffenen (hohes Risiko = beurteilt sich nach der Schwere des Eingriffs in die Rechte und Freiheiten und seiner Eintrittswahrscheinlichkeit)

Handlungsbedarf nach der Datenschutzverletzung:

Überprüfung der technischen/organisatorischen Maßnahmen, etc.

Überprüfung der (gemachten) Datenschutz-Folgenabschätzung

Einführung von Datenschutzverletzungs-Prozessen (2)

UCBA - Public

19

Was ist eine Datenschutz-Folgenabschätzung und wann ist sie notwendig?

Hat eine Form der Verarbeitung voraussichtlich ein hohes Risiko für,die Rechte und Freiheiten natürlicher Personen zur Folge, so führt der Verantwortliche vorab eine Abschätzung der Folgen der vorgesehenen Verarbeitungsvorgänge für den Schutz personen-bezogener Daten durch.

Zwingend erforderlich:

es findet eine systematische umfassende Bewertung persönlicher Aspekte natürlicher Personen statt, die sich auf automatisierte Verarbeitung (einschließlich Profiling)gründet und die ihrerseits als Grundlage für Entscheidungen dient, die Rechtswirkunggegenüber natürlichen Personen entfalten

umfangreiche Verarbeitung sensibler Daten (etwa Religionszugehörigkeit, ethnische Zugehörigkeit, Gesundheitsdaten) oder personenbezogener Daten über strafrechtliche Verurteilungen und Straftaten

systematische umfangreiche Überwachung öffentlich zugänglicher Bereiche

Durchführung einer Datenschutz-Folgenabschätzung (PIA)

UCBA - Public

20

Was sollte die Datenschutz-Folgenabschätzung enthalten?

eine systematische Beschreibung der geplanten Verarbeitungsvorgänge und der Zwecke der Verarbeitung

eine Bewertung der Notwendigkeit und Verhältnismäßigkeit der Verarbeitungsvorgänge in Bezug auf den Zweck

eine Bewertung der Risiken für die Rechte und Freiheiten der betroffenen Personen

geplanten Abhilfemaßnahmen

Durchführung einer Datenschutz-Folgenabschätzung (2)

UCBA - Public

21

Empfehlung: Eine Dokumentation aller Umsetzungsprozesse und Datenschutzbestimmungen

Sammlung aller wesentlichen Dokumentationen und Nachweise wie zB

Datenschutzgrundsätze

Datenschutzrichtlinien und Anweisungen im Unternehmen

Verfahrensverzeichnis der Verarbeitungstätigkeiten

Berichtswesen

Auftragsverarbeitungsverträge mit Auftragsverarbeitern

Technische und organisatorische Maßnahmen zur Datensicherung

Durchgeführte Risikofolgenabschätzungen

Schulungsunterlagen

Formblätter und Vorgehen iZm Krisenmanagement

usw.

Einleitende Beschreibung der Firma und der Kerntätigkeit ermöglicht rasche Bestimmung der Kategorien in denen das Unternehmen die personenbezogenen Daten verarbeitet.

Handbuch sollte auf alle Dokumente des operativen Geschäfts verweisen bzw diese enthalten.

Dokumentation des Umsetzungsprozesses (Datenschutz-Handbuch)

UCBA - Public

22

Außerdem sollte das Handbuch alle Nachweisdokumente und Informationen enthalten, welche

die Datenschutzbehörde im Zuge einer Kontrolle einfordern können

betroffene Personen grundlegend informiert (Informationsschreiben)

die Geschäftsleitung über den aktuellen Stand zum Datenschutz informiert

der Betriebsrat als Nachweis der Informationserteilung anfordert

als Richtlinie und Nachschlagewerk für die Mitarbeiter dienen können

Datenschutzhandbuch und einzelne enthaltene Dokumente sollten immer auf aktuellem Stand gehalten werden.

Vorteile:

Leitfaden im Zusammenhang mit Datenschutz und Datensicherheit

Informationsquelle und Nachschlagewerk für die Geschäftsleitung und die Beschäftigten

Dokumentation des Umsetzungsprozesses (2) (Datenschutz-Handbuch)

UCBA - Public

23

1. Sensible Verarbeitungen - Priorisieren!

Sofortige Sicherstellung vollständiger DSGVO-Compliance!

Identifizieren

Umfassende Analyse

Prüfung der erforderlichen Umsetzungsmaßnahmen für sensible Verarbeitung

• Etwaige Einwilligungserklärung?

• Zusätzliche Sicherheitsmaßnahmen?

• Datenschutz-Folgenabschätzung?

2. Alle anderen Verarbeitungen

Umsetzungsmaßnahmen priorisieren und nur die sinnvollsten Schwerpunkte setzen

Notfallplan reduziert das Haftungsrisiko faktisch

• in der Praxis kommt der Priorisierung daher eine große Bedeutung zu

• für den konkreten Einzelfall zu optimieren

3. Sicherstellung der Betroffenenrechte und der Grundsätze der Verarbeitung, da hier die Strafen bei Verletzung am Höchsten sind (20 Mio. bzw. 4% des ges. weltweiten Jahresumsatzes)

Notfallplan– Was tun wenn man nicht rechtzeitig fertig wurde?

UCBA - Public

24

Danke für Ihre Aufmerksamkeit, noch Fragen?

Praxisbeispiele

Geltungsbereich DSGVO

UCBA - Public

27

Geltungsbereich DSGVO

Unternehmen mit Sitz in der EU

Unternehmen ohne Sitz, aber mit Niederlassung in der EU

Unternehmen ohne Sitz & ohne Niederlassung in der EU, aber

-Verwendung von Profiling

- Anbieten von Waren / Dienstleitungen

Unternehmen ohne Sitz & ohne Niederlassung in der EU und

-KEINE Verwendung von Profiling

- Kein Anbieten von Waren / Dienstleistungen

Person die sich in der EU befindet

DSGVO DSGVO DSGVO DSGVO nicht anwendbar

EU Bürger aberbefindet sich nicht in der EU

DSGVO DSGVO DSGVO nicht anwendbar

DSGVO nicht anwendbar

Kein EU-Bürger undbefindet sich nicht in EU

DSGVO DSGVO DSGVO nicht anwendbar

DSGVO nicht anwendbar

Verzeichnis für Verarbeitungstätigkeiten

UCBA - Public

29

Identifikation:

Zunächst alle Verarbeitungstätigkeiten identifizieren und zentrale Fragestellungen (Verantwortlicher, Datenarten, Datenherkunft, Datenübermittlung usw.) beantworten.

Applikationen

IT-Systeme

Dokumentenablagen (z.B. Excel-Dateien usw.)

Physische Akte

Fragestellung je Verarbeitungstätigkeit (zB.):Brauche ich die Verarbeitung noch?

Zu welchem Zweck werden die Daten verarbeitet?

Was ist die Rechtsgrundlage (z.B. Vertragserfüllung, Einwilligungserklärung usw.)?

Von wo kommen die Daten (Herkunft)?

..etc.

Dokumentation:

Anschließend werden die Informationen zusammengeführt, Datenflussanalysen erstellt und die Ergebnisse ins Verfahrensverzeichnis überführt.

Erstellen des Verzeichnis für Verarbeitungstätigkeiten

UCBA - Public

30

Inhalt:

Name und Kontaktdaten des Verantwortlichen; des Datenschutzbeauftragten

Verarbeitungszweck

Datenarten

Kategorien betroffener Personen

Datenübermittlungsempfänger

Datenübermittlung in Drittstaaten

Soweit möglich die geplante Speicherdauer der Daten

Datensicherheitsmaßnahmen

Verzeichnis von Verarbeitungstätigkeiten

UCBA - Public

31

Ausgangspunkt für das Register ist nicht das System, sondern der Prozess! Dieser wird jeweils einem Zweck und einer Kategorie zugeordnet

14 Zwecke

5. Promotion and sale of products and services

1. Execution of banking activities / Management of

customer relationships

6. Selection of candidates

262 Prozesse

EP: Individual Complaint Management

EP: SEPA direct debit

EP: Recruiting, hiring and staffing

27 Kategorien

10. Processing carried out performed in performing activities of promotion and sale of products and services of the Bank, the

UniCredit Group or other companies; detection, through personal or telephone

interviews, questionnaires, etc., of the

5. Processing of special categories of personal data carried out to follow up with specific transactions / services requested

by clients

11. Processing carried in performing activities of staff selection

Hier stellt sich die Frage nach der Datenschutz-

Folgenabschätzung

UCBA - Public

32

Es erfolgt die Zuordnung von Systemen zu den Prozessen und davon werden die Datenfelder abgeleitet

Beispiel: Prozess "Recruiting, hiring and staffing"

System HR01

System HR02

System HR03

System HR01

Datenkategorie: Namensdaten

etc.VornameNachnameAnrede

Datenkategorie: Adressdaten

etc.

Datensicherheits-maßnahmen

UCBA - Public

33

Das RegisterBeispiel: Datenkategorie Namensdaten

Anrede

Nachname

Vorname

etc.

Löschfrist Datenklasse Empfänger 3. Land +Offenlegung

Empfänger Dienstleister + Offenlegung

Datenschutzfolgenabschätzung

UCBA - Public

35

• "PIA" wird in zwei Stufen durchgeführt:

• 1. Stufe: Beantwortung eines Questionnaires

E2E Prozesse werden auf DSGVO Relevanz geprüft

Ergebnis:

“Non critical”: Keine weiteren Schritte sind im Rahmen der PIA notwendig

“Critical”: Durchführung einer Full-Scope PIA ist erforderlich

• 2. Stufe: Durchführung einer Full Scope PIA

gliedert sich in 3 Teile:

Organizational Measures

Security Measures

ICT Measures

Datenschutzfolgenabschätzung / Privacy Impact Assessment (PIA): Vorgehen der UCBA

Recht auf Auskunft

UCBA - Public

37

• Der Betroffene hat das Recht, von dem Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden.

• Werden personenbezogene Daten verarbeitet, hat der Betroffene das Recht auf Auskunft über diese und auf folgende Informationen:

die Verarbeitungszwecke

die Kategorien personenbezogener Daten

die Empfänger oder Kategorien der Empfänger der personenbezogenen Daten

wenn möglich, die geplante Speicherdauer, oder die Kriterien für die Festlegung der Dauer

das Bestehen der anderen Betroffenenrechte (Berichtigung, Löschung, Widerspruch etc.)

das Bestehen des Beschwerderechts an die Aufsichtsbehörde

werden die Daten nicht bei der betroffenen Person erhoben, über die Herkunft der Daten

das Bestehen einer automatisierten Einzelentscheidung inkl. Profiling

• Es ist eine Kopie der personenbezogenen Daten zur Verfügung zu stellen. Für weitere Kopien kann ein angemessenes Entgelt verlang werden.

Recht auf Auskunft (Detailliert)

Betroffenenrechte

UCBA - Public

39

Betroffenenrechte – Anfrage in der UCBA

Einsatz von Subauftragsverarbeitern

UCBA - Public

41

Nur mit schriftlicher Genehmigung des Verantwortlichen

Nur mit Vertrag, der dem Subauftragsverarbeiter dieselben Datenschutzpflichten auferlegt, wie sie zwischen dem Verantwortlichen und dem Auftragsverarbeiter bestehen

Haftung des ersten Auftragsverarbeiter:

Kommt der Subauftragsverarbeiter seinen Datenschutzpflichten nicht nach, so haftet der erste Auftragsverarbeiter gegenüber dem Verantwortlichen für die Einhaltung der Pflichten jenes anderen Auftragsverarbeiters.

Einsatz von Subauftragsverarbeitern

UCBA - Public

42

• Allgemeine Informationen:

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/EU-Datenschutz-Grundverordnung.html

• Datenschutz-Folgenabschätzung-Ausnahmenverordnung (White-List):

https://www.dsb.gv.at/verordnungen-in-osterreich

• Standard- und Musteranwendungen nach dem DSG 2000:

https://www.ris.bka.gv.at/GeltendeFassung.wxe?Abfrage=Bundesnormen&Gesetzesnummer=20003495&FassungVom=2018-05-24

• Musterdokumente zur EU Datenschutzgrundverordnung (WKO):

https://www.wko.at/service/wirtschaftsrecht-gewerberecht/Musterdokumente-zur-EU-Datenschutzgrundverordnung.html

• Artikel 29 Datenschutz-Gruppe - Guidelines:

http://ec.europa.eu/newsroom/article29/news.cfm?item_type=1360

Wissenswertes und Quellen

UCBA - Public

43

Ihre Kontakte

Data Protection OfficeUniCredit Bank Austria AG

Mag. Franz Zoufal

DatenschutzbeauftragterTel. +43 (0)50505-50060franz.zoufal2@unicreditgroup.at

Richard Jarolim

Data Protection Office

Tel. +43 (0)50505-51923

richard.jarolim@unicreditgroup.at

Agnes Kosyna, LL.M. (WU)

Data Protection Office

Tel. +43 (0)50505-52278

agnes.kosyna@unicreditgroup.at

ImpressumUniCredit Bank Austria AGData Protection OfficeRothschildplatz 11020 Wien

UCBA - Public

44

Der Inhalt des vorliegenden Dokumentes – einschließlich Daten, Nachrichten, Charts usw. – ist Eigentum der UniCredit Bank Austria AG und ist urheberrechtlich geschützt. Der Inhalt des Dokumentes stützt sich auf interne und externe Quellen, die im Dokument auch als solche erwähnt werden. Die in diesem Dokument enthaltenen Informationen sind mit großer Sorgfalt zusammengestellt worden und es sind alle Anstrengungen unternommen worden, um sicherzustellen, dass sie bei Redaktionsschluss präzise, richtig und vollständig sind. Ungeachtet dessen, übernimmt die UniCredit Bank Austria AG keine Verantwortung für die Richtigkeit und Vollständigkeit der gebotenen Informationen und daher auch nicht für jeglichen Verlust, der direkt oder indirekt aus der Verwertung jeglicher in diesem Dokument enthaltenen Informationen entsteht.

Alle Einschätzungen oder Feststellungen stellen unseren Meinungsstand zu einem bestimmten Zeitpunkt dar und können ohne Verständigung abgeändert werden. Die UniCredit Bank Austria AG verpflichtet sich jedoch nicht, das vorliegende Dokument zu aktualisieren oder allfällige Überarbeitungen zu veröffentlichen, um Ereignisse, Umstände oder Änderungen zu berücksichtigen, die nach dem Redaktionsschluss des vorliegenden Dokumentes eintraten.

Das vorliegende Dokument wurde von der UniCredit Bank Austria AG, Abteilung Data Protection Office, Rothschildplatz 1, A-1020 Wien, hergestellt. Irrtum und Druckfehler vorbehalten.

Haftungsausschluss

Die Datenschutz-GrundverordnungAgendaDie Datenschutz-Grundverordnung (DSGVO) - ÜberblickDie wichtigsten DefinitionenDie wichtigsten Definitionen (2)Der Datenschutzbeauftragte�Data Protection Officer (DPO)Technische und organisatorische MaßnahmenInformationspflichtenDie Rechte der Betroffenen – allgemeine GrundsätzeRecht auf AuskunftRecht auf Vergessenwerden/LöschungRecht auf DatenportabilitätVerzeichnis von Verarbeitungstätigkeiten�Rechtslage: alt neuAusnahmen von der Pflicht zur Führung des VerzeichnissesAuftragsverarbeitungsverträgePraxisfragen AuftragsverarbeitungsverträgeEinführung von Datenschutzverletzungs-ProzessenEinführung von Datenschutzverletzungs-Prozessen (2)Durchführung einer Datenschutz-Folgenabschätzung (PIA)Durchführung einer Datenschutz-Folgenabschätzung (2)Dokumentation des Umsetzungsprozesses �(Datenschutz-Handbuch)Dokumentation des Umsetzungsprozesses (2) �(Datenschutz-Handbuch)Notfallplan�– Was tun wenn man nicht rechtzeitig fertig wurde?Danke für Ihre Aufmerksamkeit, noch Fragen?PraxisbeispieleGeltungsbereich DSGVOGeltungsbereich DSGVOVerzeichnis für VerarbeitungstätigkeitenErstellen des Verzeichnis für VerarbeitungstätigkeitenVerzeichnis von VerarbeitungstätigkeitenAusgangspunkt für das Register ist nicht das System, sondern der Prozess! Dieser wird jeweils einem Zweck und einer Kategorie zugeordnetEs erfolgt die Zuordnung von Systemen zu den Prozessen und davon werden die Datenfelder abgeleitetDas Register�Beispiel: Datenkategorie NamensdatenDatenschutzfolgenabschätzungDatenschutzfolgenabschätzung / Privacy Impact Assessment (PIA): Vorgehen der UCBARecht auf AuskunftRecht auf Auskunft (Detailliert)BetroffenenrechteBetroffenenrechte – Anfrage in der UCBAEinsatz von SubauftragsverarbeiternEinsatz von SubauftragsverarbeiternWissenswertes und QuellenIhre KontakteSlide Number 44