Compliance - 6-Schritte-Methode der CNIL

Die französische Datenschutzbehörde (CNIL) hat am 15.3.2017 die "methodologie en 6 etapes" (6-Schritte-Methode, 6 steps methodology) veröffentlicht.


Die französische Datenschutzbehörde CNIL hat am 15.3.2017 eine 6-Schritte-Methode zur Vorbereitung auf die DSGVO veröffentlicht. Diese soll es Unternehmen ermöglichen, sich rechtzeitig auf die Verpflichtungen und Vorgaben der DSGVO vorzubereiten, und die Vorgaben korrekt umzusetzen.

Dieser „Fahrplan“ stellt eine (inoffizielle) Übersetzung und Zusammenfassung der Veröffentlichung der CNIL dar; die Übersetzung wurde mit Links zu www.dataprotect.at versehen.

Die „methodologie en 6 etapes“ („6-Schritte-Methode“) umfasst:

 

Datenschutzbeauftragen bestellen („Désigner un pilote“)        
Datenstruktur erheben („Cartographer“)          
Maßnahmen priorisieren („Prioriser“)
Risiko managen („Gerer le risques“)
      
Organisieren („Organiser“)       

Dokumentieren („Documenter“)

Schritt 1: Datenschutzbeauftragen bestellen („Désigner un pilote“)

 

Es wird empfohlen eine verantwortliche Person (als DSB) zu benennen, die Informations-, Beratungs- und Kontrollaufgaben wahrnimmt.

 

Die verantwortliche Person soll die Compliance mit der DSGVO sicherstellen.

 

Auch wenn das Unternehmen nicht verpflichtet sein sollte (nach Art. 37 DSGVO) einen DSB zu bestellen, sei es sinnvoll, jemanden zu benennen, der als verantwortliche Person tätig ist.

 

Die verantwortliche Person soll als „Pilot“ die Umsetzung der Verpflichtungen der DSGVO auf Basis einer Verpflichtungserklärung ermöglichen, und das Unternehmen hat ihm/ihr die notwendigen Ressourcen zur Verfügung zu stellen.

 

 

Anmerkung:

Auch wenn ein DSB nicht verpflichtend zu bestellen ist, sollte sich die Organisation damit auseinandersetzen und dokumentieren, aus welchen Überlegungen kein DSB (verpflichtend) Bestellt werden muss.

 

Der "Pilot" sollte mE nicht "Datenschutzbeauftragter" genannt werden.

Schritt 2: Datenstruktur erheben („Cartographer“)

 

In diesem Schritt soll die Organisation die Daten im Detail identifizieren, und zwar in der Form, dass ein Verzeichnis von Verarbeitungstätigkeiten iSd Art 30 DSGVO erstellt wird.

 

Es ist eine umfassende Dokumentation der Datenverarbeitungen notwendig, die in ein Verzeichnis von Verarbeitungstätigkeiten aufgenommen wird. Die CNIL hat eine Vorlage für ein Verzeichnis von Verarbeitungstätigkeiten entwickelt.

 

Zum nächsten Schritt können Organisationen übergehen, wenn

 

sie die Stellen und/oder Einheiten (in der Organisation) kontaktiert hat, die (personenbezogene) Daten innerhalb der Datenstruktur erheben und verarbeiten
sie ein Verzeichnis der Verarbeitungstätigkeiten mit den (Haupt-)Zwecken der Verarbeitungen und den Kategorien von personenbezogenen Daten erstellt haben
sie die Lieferanten/
Auftragsdatenverarbeiter, die in die Verarbeitungsaktivitäten involviert sind, identifiziert habenund wissen, dass ihre (personenbezogenen) Daten übermittelt werden und an wen, und wo und wie lange die Daten gespeichert werden.

 

Schritt 3: Maßnahmen priorisieren („Prioriser“)

Nach Erstellung des Verzeichnis von Verarbeitungstätigkeiten ist es notwendig, die Maßnahmen zu definieren, die erforderlich sind, um die Compliance mit der geltenden Rechtslage und der DSGVO herzustellen. Diese Maßnahmenfestlegung erfolgt unter Berücksichtigung der Risken in Bezug auf die Rechte und Freiheiten der betroffenen Personen.

 

Folgende Maßnahmen sind durchzuführen bzw. Prinzipien einzuhalten:

 

Datenminimierung, sohin Sicherstellung, dass nur die personenbezogenen Daten erhoben und in der Folge verarbeitet werden, die zur Erfüllung des Zweckes der Datenverarbeitung notwendig sind.Festlegung der Rechtsgrundlage der Verarbeitung der personenbezogenen DatenReview der bestehenden Datenschutzerklärungen, um sicherzustellen, dass diese den Anforderungen der DSGVO entsprechenPrüfung, ob alle Lieferanten / Auftragsdatenverarbeiter mit den neuen Aufgaben und Verpflichtungen der DSGVO vertraut sind und dass angemessene Datenschutzklauseln in den Vereinbarungen enthalten sindFestlegung von Prozessabläufen bei Ausübung der Rechte einer betroffenen PersonPrüfung, ob Datensicherheitsmaßnahmen implementiert sind


Schritt 4: Risiko managen („Gerer le risques“)

 

Wenn sich während der bisherigen Schritte herausgestellt hat, dass eine Verarbeitung ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zur Folge haben kann, dann ist eine Datenschutz-Folgenabschätzung

iSd Art. 35 DSGVO durchzuführen.

 

Mehr zur Datenschutz-Folgenabschätzung finden sie auf dataprotect.at.

 

Schritt 5: Organisieren („Organiser“)

 

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

 

Im Einzelnen erfordert dies:

  • Berücksichtigung von Datenschutzprinzipien bei der Einführung einer Verarbeitung oder Verarbeitungstätigkeit.

  • Erhöhung des Bewusstseins von Mitarbeitern und Sicherstellung, dass datenschutzrelevante Informationen zu den korrekten Ansprechpartnern kommen (Training, Kommunikations-leitlinien etc…)

  • Richtlinien zur Behandlung von Datenschutzanfragen

  • Antizipieren von Datenschutzverletzungen und Sicherstellung, dass Data Breach Notifications durchgeführt werden können, und auch die Zeitlimits (z.B. 72 Stunden) eingehalten werden können, wobei die CNIL angibt, dass es ein Online-Meldesystem geben wird

In diesem Schritt müssen die Organisationen Prozesse festlegen, die es gewährleisten, dass jederzeit während der Laufzeit einer Datenverarbeitung unter Berücksichtigung aller möglichen Ereignisse (z.B. Sicherheitsverletzungen, Anfragen von betroffenen Personen, Veränderungen der erhobenen Daten, Veränderungen bei Lieferanten etc…) der Schutz der personenbezogenen Daten gegeben ist.

Schritt 6: Dokumentieren („Documenter“)

 

Für den letzten Schritt ist es notwendig, dass die Organisationen die datenschutzrechtliche Dokumentation zusammenstellen und aufbereiten.

Die Compliance-Aktivitäten und die Dokumente, die in jedem Schritt erstellt werden, müssen in periodischen Abständen geprüft und angepasst werden, um den kontinuierlichen Datenschutz zu gewährleisten.

Im Einzelnen enthält diese Dokumentation:

  1. Verzeichnis von Verarbeitungstätigkeiten iSd Art. 30 DSGVO
  2. Datenschutz-Folgenabschätzungen für Verarbeitungen mit hohen Risken oder die Dokumentation, weshalb keine hohen Risken gegeben sind.
  3. Dokumentation zu den Mechanismen der Datenübermittlungen (z.B. Standardvertragsklauseln, Binding Corporate Rules, Zertifizierungen, sofern anwendbar)
  4. Datenschutzerklärungen
  5. Formulare für die Einwilligungserklärungen von betroffenen Personen, und auch Nachweise, dass die betroffenen Personen die Einwilligung gegeben haben, in den Fällen, in denen die Einwilligung die Rechtsgrundlage darstellt.
  6. Prozesse, die implementiert wurden, um sicherzustellen, dass betroffene Personen ihre Rechte ausüben können;
  7. Vereinbarungen mit Lieferanten und Auftragsdatenverarbeitern; und
  8. Interne Prozesse nach einer Datenschutzverletzung (inkl. Data Breach Notification)

unzulässige Videoüberwachung: € 1.000,-- Schadenersatz pro Person?

 

 In einer Entscheidung des Europäischen Gerichtshofes für Menschenrechte (EGMR) - rechts am Bild zu sehen - vom 28.11.2017 wurde zwei Universitätsprofessoren (als Angestellte der Universität) je EUR 1.000,-- an (immateriellem) Schadenersatz für eine unzulässige Videoaufnahme zugesprochen.

 

 

 Die Universität von Montenegro hat (bereits am Frühjahr 2011) u.a. in sieben Amphitheatern (Auditorien) und vor dem Rektorzimmer Videoüberwachungsanlagen installiert und auch die Lehrenden darüber informiert. Im März 2011 haben sich zwei Professoren bei der zuständigen Datenschutzbehörde (Agencija za zaštitu ličnih podataka) beschwert. Sie brachten vor, dass die Räume außerhalb der Vorlesungszeiten zugesperrt seien, und es keine Sicherheitsbedenken gäbe, sodass die Videoüberwachung nicht das gelindeste Mittel sei. Sie forderten die Entfernung der Kameras und die Löschung der Daten.

 

In den Verfahren im Montenegro (bei der Datenschutzbehörde und auch in zivilgerichtlichen Verfahren) hatten die beiden Professoren keinen Erfolg.

 

Sie wendeten sich an den Europäischen Gerichtshof für Menschenrechte wegen der Verletzung des Art. 8. der EMRK, wobei sie das Argument der Verletzung desselben auch bereits – ohne Erfolg - im Zivilverfahren in Montenegro geltend gemacht hatten.

 

Artikel 8 – Recht auf Achtung des Privat- und Familienlebens

 

(1) Jedermann hat Anspruch auf Achtung seines Privat- und Familienlebens, seiner Wohnung und seines Briefverkehrs.

(2) Der Eingriff einer öffentlichen Behörde in die Ausübung dieses Rechts ist nur statthaft, insoweit dieser Eingriff gesetzlich vorgesehen ist und eine Maßnahme darstellt, die in einer demokratischen Gesellschaft für die nationale Sicherheit, die öffentliche Ruhe und Ordnung, das wirtschaftliche Wohl des Landes, die Verteidigung der Ordnung und zur Verhinderung von strafbaren Handlungen, zum Schutz der Gesundheit und der Moral oder zum Schutz der Rechte und Freiheiten anderer notwendig ist.

 

Die beiden Professoren verlangten auch je EUR 1.000,-- an Schadenersatz (immaterieller Schaden), da Art 48 des montenegrinischen Datenschutzgesetzes den Ersatz des Schadens bei der Verletzung der datenschutzrechtlichen Bestimmungen nach den generellen Regelungen des Schadenersatzrechtes vorsieht.

 

In einer Gesamtschau (insbes. §§ 151, 206 und 207) sieht das Obligationenrecht in Montenegro u.a. vor, dass jedermann, der Angst, physische Schmerz oder seelische Schmerzen als Folge der Beeinträchtigung seines/ihres Ansehen oder der Verletzung ihrer Integrität, Freiheit oder von Persönlichkeitsrechten berechtigt ist, eine Unterlassung zu fordern, finanziellen Ersatz oder auch andere Formen von Wiedergutmachung von Schmerzensgeld zu fordern.

 

Der Gerichtshof sprach den beiden Professoren, die in ihren Persönlichkeits- bzw. Freiheitsrechten durch die unzulässige Videoüberwachung verletzt wurden, je EUR 1.000,-- an Schmerzensgeld bzw. Ersatz für die erlittene Beeinträchtigung zu.

 

Die Datenschutzgrundverordnung sieht in Art 82 Abs 1 DSGVO ausdrücklich den Ersatz des immateriellen Schadens vor:

 

Artikel 82

Haftung und Recht auf Schadenersatz

(1)   Jede Person, der wegen eines Verstoßes gegen diese Verordnung ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter.

 

ErwG 85 bezieht sich u.a. auch auf den Schaden, der durch eine Datenschutzverletzung eintreten kann:

 

Eine Verletzung des Schutzes personenbezogener Daten kann — wenn nicht rechtzeitig und angemessen reagiert wird — einen physischen, materiellen oder immateriellen Schaden für natürliche Personen nach sich ziehen, wie etwa Verlust der Kontrolle über ihre personenbezogenen Daten oder Einschränkung ihrer Rechte, Diskriminierung, Identitätsdiebstahl oder -betrug, finanzielle Verluste, unbefugte Aufhebung der Pseudonymisierung, Rufschädigung, Verlust der Vertraulichkeit von dem Berufsgeheimnis unterliegenden Daten oder andere erhebliche wirtschaftliche oder gesellschaftliche Nachteile für die betroffene natürliche Person. ()

 

 

Der ErwG 146 bezieht sich explizit auf die Bestimmung zu Haftung und Schadenersatz, und es ist auch ein Hinweis auf die Verschiebung der Beweislast darin enthalten. Der Verantwortliche oder Auftragsverarbeiter hat zu beweisen hat, dass ihn an der Verletzung der Datenschutzvorschriften kein Verschulden trifft:

 

Der Verantwortliche oder der Auftragsverarbeiter sollte Schäden, die einer Person aufgrund einer Verarbeitung entstehen, die mit dieser Verordnung nicht im Einklang steht, ersetzen. Der Verantwortliche oder der Auftragsverarbeiter sollte von seiner Haftung befreit werden, wenn er nachweist, dass er in keiner Weise für den Schaden verantwortlich ist. Der Begriff des Schadens sollte im Lichte der Rechtsprechung des Gerichtshofs weit auf eine Art und Weise ausgelegt werden, die den Zielen dieser Verordnung in vollem Umfang entspricht. () Die betroffenen Personen sollten einen vollständigen und wirksamen Schadenersatz für den erlittenen Schaden erhalten. ()

 

Das (neue) österreichische Datenschutzgesetz, welches am 25.05.2018 gleichzeitig mit der DSGVO in Kraft tritt, beinhaltet ebenfalls eine Bestimmung zum Schadenersatz unter explizitem Hinweis auf den Ersatz des immateriellen Schadens:

 

Haftung und Recht auf Schadenersatz

§ 29. (1) Jede Person, der wegen eines Verstoßes gegen die DSGVO oder gegen § 1 oder Artikel 2 1. Hauptstück ein materieller oder immaterieller Schaden entstanden ist, hat Anspruch auf Schadenersatz gegen den Verantwortlichen oder gegen den Auftragsverarbeiter nach Art. 82 DSGVO. Im Einzelnen gelten für diesen Schadenersatzanspruch die allgemeinen Bestimmungen des bürgerlichen Rechts.

(2) Für Klagen auf Schadenersatz ist in erster Instanz das mit der Ausübung der Gerichtsbarkeit in bürgerlichen Rechtssachen betraute Landesgericht zuständig, in dessen Sprengel der Kläger (Antragsteller) seinen gewöhnlichen Aufenthalt oder Sitz hat. Klagen (Anträge) können aber auch bei dem Landesgericht erhoben werden, in dessen Sprengel der Beklagte seinen gewöhnlichen Aufenthalt oder Sitz oder eine Niederlassung hat.

 

In beiden Normen ist ein ausdrücklicher Hinweis auf den immateriellen Schaden enthalten. Es ist daher das „Schmerzensgeld“ oder die Beeinträchtigung, die durch eine Verletzung des Datenschutzes für die betroffenen Personen (natürliche Personen im Geltungsbereich der DSGVO bzw. auch juristischer Personen, die im Geltungsbereich des DSG bleiben, wenn es nicht mehr vor Inkrafttreten geändert wird) entsteht, jedenfalls (ab 25.05.2018) zu ersetzen.

 

Der EGMR geht offensichtlich davon aus, dass schon bei der unzulässigen Videoüberwachung durch einen Arbeitgeber (in begrenztem Umfang, nämlich im Hörsaal, bei einer Aufbewahrung von einem Jahr – ohne Offenlegung an dritte Personen – eine Beeinträchtigung des Rechtes auf Geheimhaltung der personenbezogenen Daten (Verlust der Vertraulichkeit) gegeben ist, und dies einen Ersatzbetrag von EUR 1.000,-- rechtfertigt.

 

Dieser Betrag kann daher ein Ansatzpunkt sein, wenn über die Frage der Höhe des eingetretenen immateriellen Schadens diskutiert wird.

VfGH berät über "hohe" Verwaltungsstrafen. Auch nach DSG/DSGVO werden die hohen Geldbußen von der DSB verhängt

 

Das Bundesverwaltungsgericht (BVwG) hat im Jahr 2016 einen Antrag an den Verfassungsgerichtshof (VfGH) gerichtet, da es Bedenken hegt, dass "hohe" Verwaltungsstrafen nicht von einer Verwaltungsbehörde verhängt werden dürfen.

 

"Hohe" Strafen haben in Österreich Gerichte zu verhängen (siehe insbes. Art 91 B-VG). 

 

Der Verfassungsgerichtshof wird vermutlich im Dezember 2017 darüber entscheiden

 

 

mehr lesen

What's App & Datenschutz

Nutzen Sie What´s APP auf dem Firmensmartphone?

 

Dann stellt dies ein (erhebliches) Risiko aus datenschutzrechtliche Sicht dar.

 

Ihr Unternehmen verarbeitet personenbezogene Daten nicht in Übereinstimmung mit den Verpflichtungen aus dem Datenschutzgesetz bzw. der Datenschutzgrundverordnung.

mehr lesen

Datenschutzbeauftragter: notwendig oder sinnvoll?

Am 23.11.2017 fand ein Datenschutz-Frühstück statt. 

 

"Datenschutzbeauftragte/r: notwendig oder sinnvoll" war das Thema. 

 

ca. 20 Personen, davon einige Vertreter von Behörden und öffentlichen Institutionen, aber auch Vertreter von Unternehmen informierten sich über die Aufgaben und Stellung des Datenschutzbeauftragten (DSBA).

 

Breiten Raum nahm die Diskussion ein, unter welchen konkreten Voraussetzungen ein DSBA (verpflichteten) in privaten Organisationen zu benennen ist. 

 

Sowohl die Art der Datenverarbeitung (Verarbeitung von risikoreichen Daten; systematische und regelmäßiges Beobachten von Verhalten von betroffenen Personen) als auch die konkrete Kerntätigkeit der Organisation ist zu analysieren. Letztlich kommt es auch darauf an, ob die Verarbeitung "umfangreich" iSd Art 37 (1) DSGVO ist, wobei eine Definition von "umfangreich" in der DSGVO oder auch nur in den Erwägungsgründen fehlt. 

 

Informationen über das "Datenschutz-Frühstück" finden Sie auch auf Facebook unter @DSFLinz oder unter www.datenschutz-frühstück.at.

 

 

 

mehr lesen

PriSec 2017

Auch die calpana Business Consulting GmbHJ (www.crisam.net) war mit einem Stand und einem Vortrag (im Bild: Wolfgang Schmidhuber; Senior-Consultant) vertreten.

 

Im Vortrag von calpana wurde dargelegt und auch anschaulich demonstriert den Teilnehmern, welche Möglichkeiten CRISAM als Tool im Bereich Datenschutzmanagement hat

mehr lesen

ÖVI-Vortrag zur DSGVO in Salzburg

 

 

Am 25.10.2017 hielt Dr. Thomas Schweiger, LL.M. (Duke) – als Vertreter von dataprotect – einen Vortrag vor Vertretern der Salzburger Immobilienwirtschaft auf Einladung des ÖVI.

 

 

 

 

Im Vortrag wurden die Grundprinzipien des Datenschutzes (nach DSGVO & DSG) dargelegt:

  • Rechtmäßigkeit (Erlaubtheit der Datenverarbeitung)
  • Transparenz (mit den Informationspflichten)
  • Zweckbindung
  • Datenminimierung (sachlich)
  • Richtigkeit
  •  Speicherbegrenzung (zeitlich)
  •  Integrität & Vertraulichkeit

die grundlegenden Abweichungen des öDSG von der DSGVO und die Möglichkeiten der Umsetzung eines „Datenschutz-Projektes“ dargelegt. Es wurde ein Muster eines Verzeichnisses von Verarbeitungstätigkeiten erläutert und die Teilnehmer hatten die Möglichkeit Fragen zu stellen.

 

Einige Fragen beschäftigten sich insbes. mit der Grundlage für die Verarbeitung von personenbezogenen Daten, dh z.B. den Vertrag bei Kunden und Auftraggebern oder die Vertragsanbahnung bei Interessenten, das Gesetz (inbes. bei den möglichen Aufbewahrungspflichten/fristen) und auch die Einwilligung (insbes. im Bereich des Marketing), wobei es dazu einen Exkurs auch in die Spamming- und Cold-Calling-Regelung des Telekommunikationsgesetzes (§ 107 TKG) mit dem Hinweis auf die Privilegierung für Bestandskunden gab. Ein weiterer Punkt war insbes. die Art und Weise der Abdeckung der Informationsverpflichten gem. Art 13 und Art 14 DSGVO und der Inhalt dieser umfangreichen Informationspflichten.

 

Gemeinsam mit dem Österreichischen Verband der Immobilienwirtschaft (ÖVI) werden von dataprotect Datenschutz-Dokumentationen als Muster für Immobilienmakler und Hausverwaltungen entwickelt, und die aktuellen Formulare an die ab 25.05.2018 geltende Rechtslage angepasst.

 

Spiegel-Online berichtet über Mitarbeiterfotos aus der Homepage

mehr lesen

Facebook-Fanpages vor dem EuGH: Wer ist Verantwortlicher iSd Datenschutzes?

mehr lesen 0 Kommentare

Gelbußen - eine Stellungnahme der Art 29 DS-Gruppe

mehr lesen

Microsoft Windows 10 - datenschutzwidrig

Freitag, der 13. für Microsoft Windows

mehr lesen

Auskunft & Betriebs- und Geschäftsgeheimnis

Können Betriebs- und Geschäftsgeheimnisse des Verantwortlichen Grenzen für das Auskunftsrecht bringen?

mehr lesen 0 Kommentare

TOMs nach Art 32 DSGVO - ein Überblick

Technische und organisatorische Maßnahmen iSd Art 32 DSGVO (TOMs) & Datensicherheitsmaßnahmen des § 54 DSG

mehr lesen 0 Kommentare