Compliance - 6-Schritte-Methode der CNIL

Die französische Datenschutzbehörde (CNIL) hat am 15.3.2017 die "methodologie en 6 etapes" (6-Schritte-Methode, 6 steps methodology) veröffentlicht.


Die französische Datenschutzbehörde CNIL hat am 15.3.2017 eine 6-Schritte-Methode zur Vorbereitung auf die DSGVO veröffentlicht. Diese soll es Unternehmen ermöglichen, sich rechtzeitig auf die Verpflichtungen und Vorgaben der DSGVO vorzubereiten, und die Vorgaben korrekt umzusetzen.

Dieser „Fahrplan“ stellt eine (inoffizielle) Übersetzung und Zusammenfassung der Veröffentlichung der CNIL dar; die Übersetzung wurde mit Links zu www.dataprotect.at versehen.

Die „methodologie en 6 etapes“ („6-Schritte-Methode“) umfasst:

 

Datenschutzbeauftragen bestellen („Désigner un pilote“)        
Datenstruktur erheben („Cartographer“)          
Maßnahmen priorisieren („Prioriser“)
Risiko managen („Gerer le risques“)
      
Organisieren („Organiser“)       

Dokumentieren („Documenter“)

Schritt 1: Datenschutzbeauftragen bestellen („Désigner un pilote“)

 

Es wird empfohlen eine verantwortliche Person (als DSB) zu benennen, die Informations-, Beratungs- und Kontrollaufgaben wahrnimmt.

 

Die verantwortliche Person soll die Compliance mit der DSGVO sicherstellen.

 

Auch wenn das Unternehmen nicht verpflichtet sein sollte (nach Art. 37 DSGVO) einen DSB zu bestellen, sei es sinnvoll, jemanden zu benennen, der als verantwortliche Person tätig ist.

 

Die verantwortliche Person soll als „Pilot“ die Umsetzung der Verpflichtungen der DSGVO auf Basis einer Verpflichtungserklärung ermöglichen, und das Unternehmen hat ihm/ihr die notwendigen Ressourcen zur Verfügung zu stellen.

 

 

Anmerkung:

Auch wenn ein DSB nicht verpflichtend zu bestellen ist, sollte sich die Organisation damit auseinandersetzen und dokumentieren, aus welchen Überlegungen kein DSB (verpflichtend) Bestellt werden muss.

 

Der "Pilot" sollte mE nicht "Datenschutzbeauftragter" genannt werden.

Schritt 2: Datenstruktur erheben („Cartographer“)

 

In diesem Schritt soll die Organisation die Daten im Detail identifizieren, und zwar in der Form, dass ein Verzeichnis von Verarbeitungstätigkeiten iSd Art 30 DSGVO erstellt wird.

 

Es ist eine umfassende Dokumentation der Datenverarbeitungen notwendig, die in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wird. Die CNIL hat eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten entwickelt.

 

Zum nächsten Schritt können Organisationen übergehen, wenn

 

sie die Stellen und/oder Einheiten (in der Organisation) kontaktiert hat, die (personenbezogene) Daten innerhalb der Datenstruktur erheben und verarbeiten
sie ein Verzeichnis der Verarbeitungstätigkeiten mit den (Haupt-)Zwecken der Verarbeitungen und den Kategorien von personenbezogenen Daten erstellt haben
sie die Lieferanten/
Auftragsdatenverarbeiter, die in die Verarbeitungsaktivitäten involviert sind, identifiziert habenund wissen, dass ihre (personenbezogenen) Daten übermittelt werden und an wen, und wo und wie lange die Daten gespeichert werden.

 

Schritt 3: Maßnahmen priorisieren („Prioriser“)

Nach Erstellung des Verzeichnis von Verarbeitungstätigkeiten ist es notwendig, die Maßnahmen zu definieren, die erforderlich sind, um die Compliance mit der geltenden Rechtslage und der DSGVO herzustellen. Diese Maßnahmenfestlegung erfolgt unter Berücksichtigung der Risken in Bezug auf die Rechte und Freiheiten der betroffenen Personen.

 

Folgende Maßnahmen sind durchzuführen bzw. Prinzipien einzuhalten:

 

Datenminimierung, sohin Sicherstellung, dass nur die personenbezogenen Daten erhoben und in der Folge verarbeitet werden, die zur Erfüllung des Zweckes der Datenverarbeitung notwendig sind.Festlegung der Rechtsgrundlage der Verarbeitung der personenbezogenen DatenReview der bestehenden Datenschutzerklärungen, um sicherzustellen, dass diese den Anforderungen der DSGVO entsprechenPrüfung, ob alle Lieferanten / Auftragsdatenverarbeiter mit den neuen Aufgaben und Verpflichtungen der DSGVO vertraut sind und dass angemessene Datenschutzklauseln in den Vereinbarungen enthalten sindFestlegung von Prozessabläufen bei Ausübung der Rechte einer betroffenen PersonPrüfung, ob Datensicherheitsmaßnahmen implementiert sind


Schritt 4: Risiko managen („Gerer le risques“)

 

Wenn sich während der bisherigen Schritte herausgestellt hat, dass eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann, dann ist eine Datenschutz-Folgenabschätzung

iSd Art. 35 DSGVO durchzuführen.

 

Mehr zur Datenschutz-Folgenabschätzung finden sie auf dataprotect.at.

 

Schritt 5: Organisieren („Organiser“)

 

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

 

Im Einzelnen erfordert dies:

  • Berücksichtigung von Datenschutzprinzipien bei der Einführung einer Verarbeitung oder Verarbeitungstätigkeit.

  • Erhöhung des Bewusstseins von Mitarbeitern und Sicherstellung, dass datenschutzrelevante Informationen zu den korrekten Ansprechpartnern kommen (Training, Kommunikations-leitlinien etc…)

  • Richtlinien zur Behandlung von Datenschutzanfragen

  • Antizipieren von Datenschutzverletzungen und Sicherstellung, dass Data Breach Notifications durchgeführt werden können, und auch die Zeitlimits (z.B. 72 Stunden) eingehalten werden können, wobei die CNIL angibt, dass es ein Online-Meldesystem geben wird

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

Schritt 6: Dokumentieren („Documenter“)

 

Für den letzten Schritt ist es notwendig, dass die Organisationen die datenschutzrechtliche Dokumentation zusammenstellen und aufbereiten.

Die Compliance-Aktivitäten und die Dokumente, die in jedem Schritt erstellt werden, müssen in periodischen Abständen geprüft und angepasst werden, um den kontinuierlichen Datenschutz zu gewährleisten.

Im Einzelnen enthält diese Dokumentation:

  1. Verzeichnis von Verarbeitungstätigkeiten iSd Art. 30 DSGVO
  2. Datenschutz-Folgenabschätzungen für Verarbeitungen mit hohen Risken oder die Dokumentation, weshalb keine hohen Risken gegeben sind.
  3. Dokumentation zu den Mechanismen der Datenübermittlungen (z.B. Standardvertragsklauseln, Binding Corporate Rules, Zertifizierungen, sofern anwendbar)
  4. Datenschutzerklärungen
  5. Formulare für die Einwilligungserklärungen von betroffenen Personen, und auch Nachweise, dass die betroffenen Personen die Einwilligung gegeben haben, in den Fällen, in denen die Einwilligung die Rechtsgrundlage darstellt.
  6. Prozesse, die implementiert wurden, um sicherzustellen, dass betroffene Personen ihre Rechte ausüben können;
  7. Vereinbarungen mit Lieferanten und Auftragsdatenverarbeitern; und
  8. Interne Prozesse nach einer Datenschutzverletzung (inkl. Data Breach Notification)

Entscheidung der DSB

 

 

Die Datenschutzbehörde hat in einem Verfahren, das vor dem 25.05.2018 begonnen wurde, ein Auskunftsrecht gem. Art 15 DSGVO bejaht, und das DSG (idF ab 25.05.2018) sowie die DSGVO angewendet.

 

 

 

 

 

Mit erstinstanzlichem Bescheid (soweit überblickbar nicht rechtskräftig) vom 21.6.2018 hat die DSB eine erste Entscheidung zum Auskunftsbegehren gefällt.

 

 

 

1. Anwendbarkeit der DSGVO

 

Die DSB hat trotz der Tatsache, dass sich der Sachverhalt vor dem Geltungsbeginn der DSGVO ereignet hat, und die Auskunftsanfrage des Beschwerdeführers bereits im Jahr 2017 an die Bank gestellt wurde, und auch das Verfahren vor der DSB vor dem 25.05.2018 begonnen hatte, die Entscheidung auf Basis der DSGVO, insbes. des Art 15 DSGVO gefällt.

 

Nach Ansicht der DSB ist – mangels Übergangsfrist in § 69 DSG – die Rechtslage zum Zeitpunkt der Entscheidung anzuwenden. Die DSB verweist darauf, dass sowohl nach der Rechtslage vor dem 25.05.2018 als auch nach der Rechtslage nach dem 25.05.2018 dem Beschwerdegegner die Möglichkeit gegeben gewesen wäre, die Auskunft bis zum Ende des Verfahrens „nachzuholen“, und es nicht darauf ankommt, was an einem bestimmten Stichtag oder in einem konkreten Zeitraum rechtens war.

 

„Die Berufungsbehörde hat zwar im Allgemeinen das im Zeitpunkt der Erlassung ihres Bescheides geltende Recht anzuwenden. Eine andere Betrachtungsweise wird aber insbesondere dann Platz zu greifen haben, wenn darüber abzusprechen ist, was an einem bestimmten Stichtag oder in einem konkreten Zeitraum rechtens war. Im vorliegenden Fall kommt es auf die Abgabe einer Prozesserklärung in einer bestimmten Lage des Baubewilligungsverfahrens an. Um die Wirkungen der Präklusion zu verhindern, hatten die Berufungswerber die für ihre Parteistellung im Baubewilligungsverfahren maßgeblichen materiell-rechtlichen und formalrechtlichen Bestimmungen zu beachten. Für die Beurteilung der Frage, ob den Berufungswerbern im vorliegenden Fall Parteistellung und damit die Legitimation zur Erhebung einer Berufung zukam, hatte die Berufungsbehörde demnach von der im Zeitpunkt der Bauverhandlung geltenden Rechtslage auszugehen (vgl. zum Ganzen VwGH 26.4.2000, 99/05/0239, mwN).“ (RS Fe 2016/06/0001)

 

 

 

Diese Meinung der DSB teile ich nicht. Die Rechtslage nach § 26 DSG und nach Art 15 DSGVO sind mE doch unterschiedlich.

 

Art 15 Abs 3 DSGVO normiert ein Recht auf Datenkopie, und nach der Rspr. der DSB ergibt sich aus § 26 Abs 1 DSG 2000 „kein Recht auf Einsicht in Daten, sondern immer nur ein Recht auf schriftliche Auskunft über eine Person betreffende Daten (VwGH, E 23.05.2005, 2003/06/0021 RS1).

 

Diese Unterscheidung kann mE auch für den vorliegenden Sachverhalt wesentlich sein, denn eine Information darüber, dass bestimmte Dateninhalte und auch Datenarten von einem Auftraggeber (iSd DSG 2000) verarbeitet werden/wurden, und ein Anspruch auf Erhalt einer Kopie der Daten (eingeschränkt um die Rechte und Freiheiten anderer Personen (Art 15 Abs 4 DSGVO) kann unterschiedlich zu beurteilen sein.

 

 

 

2. Subsidiarität des Auskunftsbegehrens

 

Die DSB legt dar, dass in Art 15 DSGVO keine dem § 26 Abs 6 DSG 2000 vergleichbare Bestimmung enthalten ist. Eine etwaige Einschränkung des Auskunftsrechtes ist daher ausschließlich im Rahmen des Art 23 DSGVO zulässig und in dessen Rahmen zu beurteilen. Die DSB geht (erfreulicherweise) davon aus, dass allgemeine Einschränkungen von Betroffenenrechten möglich sind, kommt aber zum Ergebnis, dass das ZaDiG 2018 das Auskunftsrecht nicht beschränkt, da im ZaDiG kein spezielles Auskunftsrecht normiert ist.

 

 

 

3. Umfang der datenschutzrechtlichen Auskunft

 

Die DSB kommt zu folgender differenzierten Schlussfolgerungen:

 

„Der Beschwerdeführer kann das Recht auf Auskunft geltend machen, um die ihn betreffende Datenverarbeitung zu überprüfen.

 

Da Zahlungsbelege üblicherweise weit mehr als personenbezogene Daten der betroffenen Person, in diesem Fall des Beschwerdeführers, beinhalten, kann das datenschutzrechtliche Auskunftsrecht auch nur so weit gehen, als, dass es dem Zweck der Überprüfung der Rechtmäßigkeit der Datenverarbeitung entspricht (vgl. das Urteil des EuGH vom 17. Juli 2014 in den verbundenen Rechtssachen C-141/12 und C-372/12).

 

Die Beschwerdegegnerin hat daher den Beschwerdeführer betreffende personenbezogene Daten dem Auskunftsbegehren folgend, unter Berücksichtigung der Einschränkung des Art. 15 Abs. 4 DSGVO, offenzulegen.“

 

Ein „absolutes“ Recht, eine Datenkopie zu erhalten, und im konkreten Fall Zahlungsbelege „zu beauskunften“ gibt es nicht.

 

Es geht ausschließlich um die Möglichkeit der Überprüfung der Rechtmäßigkeit der Verarbeitung und die Grenze sind die Rechte und Freiheiten anderer Personen iSd Art 15 Abs 4 DSGVO. Das Auskunftsrecht geht nur so weit, als es dem Zweck der Überprüfung der Rechtmäßigkeit der Datenverarbeitung entspricht (vgl. das Urteil des EuGH vom 17. Juli 2014 in den verbundenen Rechtssachen C-141/12 und C-372/12).

 

Es wird daher mE ausreichend sein, zu beschreiben, welche konkreten Daten in den Zahlungsbelegen verarbeitet werden, und zwar in Bezug auf die Daten der betroffenen Personen.

 

 

 

4. Schikaneverbot / Exzessivität

 

Die DSB beschäftigt sich mit der Exzessivität eines Auskunftsersuchens, und bezieht sich dabei ausschließlich auf eine „zeitliche“ Komponente und Art 12 Abs 5 lit a und b DSGVO und die Möglichkeit bei offensichtlich unbegründeten und exzessiven Auskunftsersuchen Kosten vorzuschreiben und/oder die Auskunft zu verweigern.

 

Nach Ansicht der DSB muss eine „gewisse Intensität“ vorliegen, die es unzumutbar machen würde, das Auskunftsrecht gegen sich gelten lassen zu müssen.

 

Beim erstmaligen Auskunftsersuchen und Verlangen um Auskunft bezüglich Daten, die für den Auskunftswerber im ELBA nicht mehr einsichtig sind, wurde die Exzessivität von der DSB verneint.

 

 

 

Diese Entscheidung der DSB ist in unterschiedlicher Hinsicht bedeutsam, und zwar insbes in Bezug auf die zeitliche Komponente (siehe oben 1.), wobei ich mit der Meinung der DSB über die Anwendung der DSGVO auf den vorliegenden Sachverhalt, der sich vor Geltungsbeginn der DSGVO ereignet hat, nicht konform gehe, insbes da es sich auch um Daten handelt, die vor dem Geltungsbeginn der DSGVO liegen (letzten fünf Jahre vor Auskunftsersuchen). Die Rechtslage ist nicht identisch, sodass die Aussage der DSB, die letztendlich darauf abzielt, dass es keinen Unterschied macht, ob ein Auskunftsersuchen nach dem DSG 2000 oder nach dem DSG bzw. der DSGVO zu beurteilen ist, mE nicht richtig ist.

 

Bedeutsam ist auch, dass mE klargestellt wurde, dass es keinen absoluten Auskunftsanspruch auf Zahlungsbelege gibt, sondern dieser jedenfalls durch Art 15 Abs 4 DSGVO sowie auch den Zweck des Auskunftsanspruches (Überprüfung der Rechtmäßigkeit der Datenverarbeitung) eingeschränkt wird.

 

Insbes ist mE auch die Judikatur der DSB zu berücksichtigen, die judiziert, die unter Bezugnahme auf den Verwaltungsgerichtshof:

 

Aus § 26 Abs. 1 DSG 2000 ergibt sich kein Recht auf Einsicht in Daten, sondern immer nur ein Recht auf schriftliche Auskunft über eine Person betreffende Daten (VwGH, E 23.05.2005, 2003/06/0021 RS1).

 

 

 

mehr lesen

Ärzte & Informationspflicht

 

 

Ärzte müssen Patienten nicht nach Art 13 und 14 DSGVO informieren.

 

 

§ 3b Abs 2 ÄrzteG idF des 2. Materien-Datenschutz-Anpassungsgesetz (BGBl I 37/2018 vom 14.06.2018) legt u.a. fest, dass Ärzte ihre Patienten nicht iSd  Art 13 und 14 DSGVO zu informieren haben.

 

mehr lesen

CRM-Systeme: nicht nur ein Thema des Jahres 2018

mehr lesen

Beschwerden bei den Datenschutzbehörden

 

Im ö1-Morgenjournal am 13.6.2018 sprach dazu auch die Leiterin der Österreichischen Datenschutzbehörde Fr. Dr. Andrea Jelinek

 

 

Verfahren mit internationalen Bezug: 19 internationale Verfahren (zur Zeit hochgeladen am gemeinsamen Sharepoint des Europäischen Datenschutzboard)

 

Weiters gibt es 62 österreichische nationale Verfahren seit 25.05.2018

 

In Irland wurden bereits 1.300 Beschwerden eingebracht

 

 

Facebook Custom Audiences nur mit Einwilligung

 

Entscheidung zu Facebook Custom Audiences in Bayern .... Deutschland stärkt die Rechte von Kunden, Lieferanten und anderen Personen, die Email-Adressen verwenden

Das VG Bayreuth hat am 08.05.2018 (sohin vor Geltungsbeginn der DSGVO) entschieden, dass Facebook Audiences nur mit Einwilligung der betroffenen Personen genützt werden darf.

 

mehr lesen

Facebook Fanpages ... dürfen diese noch verwendet werden?

Der Betreiber einer Facebook - Fanpage ist gemeinsam mit Facebook für die Verarbeitung der personenbezogenen Daten der Besucher seiner Seite verantwortlich
mehr lesen

private Videoüberwachung und Unterlassungsklage ... OGH entscheidet (sich) für den Nachbarn!

Die Verpixelung jener Bereiche eines Nachbargrundstücks, die Videokameras erfassen und aufzeichnen, reicht nicht aus, um einen Überwachungsdruck für den Nachbarn zu verneinen. (3 Ob  195/17y, 21.03.2018)

mehr lesen

Vermieter und DSGVO

 

 

Hauseigentümer oder Eigentümer von Eigentumswohnungen, die ihre Objekte an natürliche Personen vermieten, sind von der DSGVO betroffen, wie alle anderen Personen, die Verarbeitungstätigkeiten  als „natürliche Personen“ nicht nur zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten (Art 2 Abs 2 lit c DSGVO) vornehmen.

 

 

 

mehr lesen

Informationspflicht: In welcher Sprache sind die betroffenen Personen zu informieren?

mehr lesen

Schwarze Liste nach Art 35 Abs 4 DSGVO

mehr lesen

DSFA-AV - white list in Österreich

Ausnahmen von der Datenschutz-Folgenabschätzung

 

§ 1. (1) Die in der Anlage angeführten Datenverarbeitungen sind von der Datenschutz-Folgenabschätzung gemäß Art. 35 Abs. 1 und 5 der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl. Nr. L 119 vom 4.5.2016 S. 1, (im Folgenden: DSGVO) ausgenommen.

 

(2) Ebenso sind Datenanwendungen, die 
1.gemäß § 18 Abs. 2 und § 50c Abs. 1 des Datenschutzgesetzes 2000 (DSG 2000), BGBl. I Nr. 165/1999 in der Fassung des Bundesgesetzes BGBl. I Nr. 83/2013, der Vorabkontrolle unterlagen und vor Ablauf des 24. Mai 2018 im Datenverarbeitungsregister registriert wurden, oder
2.gemäß § 17 Abs. 2 Z 6 DSG 2000 nicht meldepflichtig waren, 

von der Datenschutz-Folgenabschätzung ausgenommen, sofern diese Datenanwendungen mit Ablauf des 24. Mai 2018 den Vorgaben der DSGVO entsprechen und ab dem Inkrafttreten dieser Verordnung keine wesentlichen Änderungen vorgenommen werden.

mehr lesen

Berichte zum 25.05.20187 - D-Day

Heute ist der große Tag. Die Datenschutzgrundverordnung tritt in Geltung.

Auch in den östereichischen Medien wird darüber bereits berichtet.

 

Der ORF: http://orf.at/stories/2439848/

 

Im Morgenjournal kamen Max Schrems (noyb.eu) und Hans Zeger zur Wort. (http://orf.at/stories/2439848/)

 

Max Schrems berichtete zu den vier eingebrachten Beschwerden gegen Facebook, Google, Instagram und What´ ´ s App. Die Beschwerden sind online auf der Website von NOYB einzusehen.

 

Hans Zeger empfahl nicht den Weg über eine Beschwerde bei der Datenschutzbehörde zu gehen, sondern den Schadenersatzanspruch gem Art 82 DSGVO (ideeler und materieller Schaden) gegen die Verletzer geltend zu machen, und verwies darauf, dass bereits ein Datenverlust zu einem Schaden führen kann. Er hat ausgeführt, dass der Schadenersatzanspruch wohl ca bei EUR 1.000,-- liegen würde (pro Verletzung).

 

Ich werde Sie insbesondere zum Schadenersatzanspruch von betroffenen Personen bei Datenschutzverletzungen auf dem Laufenden halten, da ich im DaKomm (Manz-Kommentar zum Datenschutz) u.a. den Art 82 DSGVO kommentiere.

 

 

mehr lesen

DSGVO - Die Kommissarin hilft per Email persönlich

Es geht Ihnen wie vielen Unternehmern oder Vertretern in Vereinen oder sonstigen Organisationen. 

 

Sie haben Fragen zur DSGVO?

Sie wissen nicht, an welchem Rädchen Sie drehen sollen, um die Compliance herzustellen?

Es ist ihnen das "Licht zu DSGVO" noch nicht aufgegangen?

Sie stehen vor den Herausforderungen der Umsetzung in Ihrem Unternehmen?

 

Die EU-Kommissarin Vera Jurova hat die Lösung für Sie:

 

(https://www.zeit.de/digital/datenschutz/2018-05/vera-jourova-eu-kommissarin-datenschutz-grundverordnung-dsgvo/seite-2)

Věra Jourová:"Selbst ich könnte die Regeln der DSGVO umsetzen"

mehr lesen

Visitenkarten & DSGVO

 

Jetzt werden sogar Visitenkarten zur Datenschutz-Falle

Die Welt (online:  https://www.welt.de/wirtschaft/article176468214/DSGVO-Visitenkarten-werden-durch-neue-EU-Regel-zum-Datenschutz-Problem.html)

 

Wie ist die Rechtslage nach dem 25.05.2018?

mehr lesen