dataprotect | knowldege pack - DSGVO-Konformität für KMUs / EPUs um EUR 800

 

Die Datenschutz-grundverordnung (DSGVO) und das neue Datenschutzgesetz (DSG) treten am 25.05.2018 in Kraft.

Beide werfen ihre langen Schatten voraus, und auch KMUs und EPUs müssen sich intensiv darauf vorbereiten.

 


Was kommt auf Sie zu?

 

·         Verzeichnis von Verarbeitungstätigkeiten

 

·         Informationspflichten gegenüber Mitarbeitern, Kunden, Newsletter-abonennten, Lieferanten

 

·         Umfangreiche Rechte der betroffenen Personen (Auskunft, Löschung, Datenübertragbarkeit)

 

·         Meldung von Datenschutzvorfällen bei der Datenschutzbehörde und den betroffenen Personen

 


Dokumentation?

 

 

Die DSGVO und das DSG verhindert nicht, dass Sie diese Daten für Unternehmenszwecke verwenden, sondern Sie müssen nur sicherstellen, dass sie die Grundprinzipien der Verarbeitung einhalten, und dass die Verarbeitung auf einer gültigen Rechtsgrundlage (zB Vertrag, Gesetz (zB arbeitsrechtliche Vorschriften, steuerrechtliche Vorschriften), Einwilligung …) beruhen, und Sie die Personen, die die Daten „zur Verfügung stellen“, über die Verarbeitung (umfassend) zB durch eine Datenschutzerklärung auf der Website oder individuell (zB bei Mitarbeitern) informieren. Wenn eine betroffene Person sich an Sie wendet, und um Auskunft oder Löschung anfragt, müssen Sie innerhalb eines Monats entsprechend fundiert antworten können. Sollten Sie Daten „verlieren“ oder gehackt werden, und die Gefahr bestehen, dass diese Daten durch Unbefugte verwendet werden, dann sind Sie verpflichtet, der Behörde und uU auch den betroffenen Personen eine Meldung zu machen.

 

 


Was können Sie mit dem dataprotect | Knowledge pack tun?

 

Sie erhalten die Möglichkeit, diese Unterlagen für den Gebrauch in Ihrer Organisation zu verwenden, und gegebenenfalls anzupassen, sofern dies notwendig sein sollte.  Wenn Sie über die angeführte Dokumentation verfügen, und die betroffenen Personen auf die richtige Art und Weise informieren, dann erfüllen Sie üblicherweise die Anforderungen der Datenschutzgrundverordnung und des DSG für die Verarbeitung von personenbezogenen Daten[1].

 



[1] Sofern Sie „sensible“ Daten (zB Sozialversicherungsnummer, Gesundheits- oder Krankendaten, Gewerkschaftszugehörigkeit) in umfangreicher Form, dh z.B. außerhalb der Personalverwaltung verarbeiten, dann ist das nicht vom Paket umfasst. Ebenso ausgenommen sind Verarbeitungen die Profiling darstellen (systematische Bewertung persönlicher Aspekte von Personen) oder wenn Sie eine Überwachungstätigkeit im öffentlichen Bereich durchführen. Weiters sind Organisationen ausgenommen, die verpflichtend einen Datenschutzbeauftragten (DSBA) zu bestellen haben.

 

 

 

 

 

 

 

 

 

Warum müssen Sie sich darum kümmern?

 

Datenschutz ist der Schutz von Rechten und Freiheiten von natürlichen Personen, deren (personenbezogene) Daten Sie verarbeiten. Sie tun das bei Mitarbeitern (Name, Adresse, Arbeitszeiten, Gehalt/Lohn, Arbeitszeit, Krankenstandsdaten, Urlaubsdaten etc..) und auch bei Kunden (Stammdaten, Adressdaten, Leistungsdaten, Zahlungsdaten, Zahlungsverhalten, Bonitätsdaten etc..) oder Newsletterabonenneten (Anmeldung, Erhalt, Reaktionen) oder auch nur über ihre Website (Kontaktformular, Website-Tracking und Website-Analyse, Cookies …) und auch bei Lieferanten (Stammdaten, Adressdaten, Leistungsdaten, Zahlungsdaten …).

 


dataprotect | knowledge pack

 

Sämtliche dieser Schritte sind Aufwand und es sind die einzelnen Vorgänge im Unternehmen zu dokumentieren und zu beschreiben. Im Anlassfall müssen Sie richtig und umfassend reagieren können.

 

In vielen Unternehmen laufen die Verarbeitungsvorgängen gleichförmig ab, zB in der Personalverwaltung oder der Kunden- und Lieferantenverwaltung (Rechnungswesen) oder auch bei Newslettern, sodass es möglich ist, das

 

dataprotect |

knowledge pack

für KMU / EPU

zur Verfügung zu stellen.

 

 


Was kostet das dataprotect | Knowledge pack?

 

Der Preis für das dataprotect | Knowledge pack beträgt einmalig                                                 EUR 800,-- (zzgl. Umsatzsteuer).

 

 

Wir bieten auch ein dataprotect | knowledge pack mit (jährlichem) „Abo-Service“ zum Preis von zusätzlich                        EUR    80,-- (zzgl. Umsatzsteuer) an.

 

Das Abo-Service umfasst die laufende Aktualisierung der Unterlagen anhand der neuesten Entwicklungen und Entscheidungen im Datenschutz sowie Ergänzungen und Adaptierungen. Das Abo wird zumindest einmal jährlich (zum 31.03.; erstmalig zum 31.03.2019) ausgeliefert. Eine Kündigung des Abos ist jederzeit unter Einhaltung einer Frist von einem Monat zum Monatsende möglich.

 

Download

Hier können SIe das Bestellformular downloaden.

Download
Bestellformular dataprotect | knowledge pack
Muster und Unterlagen für KMU zur Erfüllung der Anforderungen der DSGVO und des DSG
dataprotect knowledge pack v 1-0 Dez 201
Adobe Acrobat Dokument 687.2 KB

Haben Sie auch an folgende Daten gedacht?

Auch im Rahmen der Verwendung von Email und Internet im Unternehmen fallen (unbewusst) personenbezogene Daten von Ihren Mitarbeitern an (Log-Files, Protokollierung…) oder im Rahmen der technischen Objektsicherheit werden personenbezogene Daten gespeichert (Videoüberwachung, Zutrittssysteme).

 

 


Was ist umfasst?

 

Das dataprotect | knowlegde pack umfasst

 

·         ein Musterverzeichnis, das die üblichen Verarbeitungsvorgänge in einem KMU / EPU abdeckt

 

·         ein Transparenzpaket: dieses stellt sicher, dass Sie wissen, wie Sie den Informationspflichten gegenüber den betroffenen Personen (Kunden, Websitebesuchern, Lieferanten, Mitarbeitern, Bewerbern) nachkommen können, mit einer Muster-Datenschutzinformation für die Website und als Handout für Mitarbeiter und andere Personen, mit denen Sie in direktem Kontakt stehen

 

·         Muster zur Verpflichtung der Dienstnehmer auf das Datengeheimnis gem. § 6 DSG

 

·         Standardvertrag über die Auftragsverarbeitung, den Sie mit Auftragsverarbeitern, die in Ihrem Auftrag Daten verarbeiten (z.B. IT-Unternehmen, Steuerberater …) abschließen können, um den notwendigen Pflichten des Art 28 DSGVO nachkommen zu können.

 

·         Standarddokumentation zu TOMs (technische und organisatorische Maßnahmen), die Sie implementieren müssen, um der Datensicherheit nachkommen zu können

 

·         Leitfaden und Muster für Rechte der betroffenen Personen (Auskunft, Löschung …)

 

·         Handlungsanweisungen für Meldung eines Datenschutzvorfalles.

 

 


Wie kommen Sie zum dataprotect | knowledge pack?

 Sie können das dataprotect | Knowledge pack oder das dataprotect | knowledge pack mit Abo-Service - als Unternehmer - (das Service richtet sich nicht an Kosumenten iSd KSchG, da die "private" Verarbeitung von Daten nicht in den Anwendungsbereich der DSGVO und des DSG fällt - leicht erwerben. 

 

Dowloaden - Ausdrucken - Ausfüllen - Faxen oder per Email senden - Anzahlung bezahlen 

Sie erhalten das dataprotect | knowledge pack binnen 4 Wochen nach Eingang der Anzahlung von 50 % (nach Rechnungslegung zur Zahlung fällig)


Aktuelle Artikel im Blog auf dataprotect

Webinar für Transporteure zur DSGVO

Am 27.04.2018 fand ein Webinar zur Datenschutzgrundverordnung (DSGVO) und die Auswirkungen auf die Transportwirtschaft statt. 

Die Wirtschaftskammer Oberösterreich, Fachgruppe Güterbeförderungsgewerbe hat dataprotect | Dr. Thomas Schweiger, LL.M. (Duke), CIPP/E, zert. DSBA  gebeten in ca 1 h die Grundprinzipien des Datenschutzrechtes zu erläutern. 

 

Auf der Website der Fachgruppe Güterbeförderungsgewerbe der Wirtschaftskammer Oberösterreich finden Sie dazu den Nachbericht von KommRat Franz Danninger, MBA (Obmann) und Mag. Christian Strasser (Geschäftsführer der Fachgruppe).

 

Dort finden SIe auch einen Zugang zu den  Informationen, Mustern und Vorlagen, die von der WKO für das Güterbeförderungsgewerbe vorbereitet wurden:

 

 

Musterverfahrensverzeichnisse

 

 

mehr lesen

DSGVO und die Weiten des Weltraums:

 

Mit BGBl II 90/2018 wird u.a. die Weltraumverordnung an die DSGVO angepasst.

 

 

 

Mit diesem Bundesgesetzblatt werden folgende Verordnungen geändert und an die DSGVO angepasst:

 

 

 

 

 

Artikel

Gegenstand / Bezeichnung

Art. 1

Änderung der Führerschein-Alternative Bewährungssystemverordnung

Art. 2

Änderung der Gefahrgutbeförderungsverordnung

Art. 3

Änderung der Jachtführung-Prüfungsordnung

Art. 4

Änderung der Weltraumverordnung

 

mehr lesen

Industriellenvereinigung zu den aktuellen Änderungen im DSG

mehr lesen

Straffreiheit in Österreich bei Datenschutzverletzungen?

 

Nach Medienberichten werden in Österreich Unternehmen nicht gestraft, wenn Mitarbeiter in untergeordneten Positionen die Bestimmungen der DSGVO verletzen.

 

 

 

Das ist mE so nicht korrekt.

 

 

 

§ 30 (2) DSG bleibt auch nach dem Datenschutz-DeregulierungsG unverändert:

 

 

 

(2) Juristische Personen können wegen Verstößen gegen Bestimmungen der DSGVO und des § 1 oder Artikel 2 1. Hauptstück auch verantwortlich gemacht werden, wenn mangelnde Überwachung oder Kontrolle durch eine in Abs. 1 genannte Person die Begehung dieser Verstöße durch eine für die juristische Person tätige Person ermöglicht hat, sofern die Tat nicht den Tatbestand einer in die Zuständigkeit der Gerichte fallenden strafbaren Handlung bildet.

 

 

 

 

 

Die in § 30 (1) genannten Personen sind folgende Personen:

 

1. Personen mit der Befugnis zur Vertretung der juristischen Person,

 

2. Personen mit der Befugnis, Entscheidungen im Namen der juristischen Person zu treffen, oder

 

3. Personen mit einer Kontrollbefugnis innerhalb der juristischen Person

 

 

Die datenschutzrechtlichen Normen regeln viele organisatorische Maßnahmen (zB Verzeichnis der Verarbeitungstätigkeiten, Informationspflichten (Transparenz), Speicherbegrenzung (Löschung), Rechtmäßigkeit und Zweckfestlegung/-bindung als Grundlage jeder Verarbeitungstätigkeiten), und damit werden die Verantwortlichen und Auftragsverarbeiter verpflichtet, Maßnahmen in den Organisationen zu setzen.

 

 

 

Auch „technische und organisatorische Maßnahmen“ (Datensicherheitsmaßnahmen) sind zu setzen und zu dokumentieren, und Art 32 (1) lit d normiert auch, dass ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung einzurichten ist.

 

 

 

Wenn daher die Maßnahmen vernachlässigt werden, dann führt eine „mangelnde Überwachung und Kontrolle“ dazu, dass die Tat (Verletzung datenschutzrechtlicher Bestimmunen) ermöglicht wird, und der juristischen Person droht eine Geldbuße (nach Maßgabe des neuen § 11 DSG).

 

 

 

Zu beachten ist auch, dass für die Frage der Verletzung der datenschutzrechtlichen Bestimmungen und die Strafbarkeit, kein „Erfolg“ eintreten muss, sondern es sich um ein sog. Ungehorsamsdelikt iSd (anwendbaren) § 5 VStG handelt.

 

 

 

Hier einige Rechtssätze des VwGH zum Thema „Kontrollsystem“ und „Überwachung“ sowie Ungehorsamsdelikte

 

 

 

GRS wie 2002/03/0191

 

Ausführungen dazu, dass bei den im vorliegenden Erkenntnis näher dargestellten Übertretungen des GGBG als Ungehorsamsdelikten gemäß § 5 Abs. 1 VStG Fahrlässigkeit anzunehmen ist, es sei denn, der Beschuldigte macht glaubhaft, dass ihn an der Verletzung der Verwaltungsvorschrift kein Verschulden trifft. Dies ist nach einschlägiger Judikatur des Verwaltungsgerichtshofes dann der Fall, wenn der Beschuldigte im Betrieb ein wirksames Kontrollsystem eingerichtet hat, sodass er unter den vorhersehbaren Verhältnissen mit gutem Grund die Einhaltung der gesetzlichen Vorschriften erwarten konnte (siehe das hg. Erkenntnis vom 18. November 2003, Zl. 2001/03/0322). Nur ein solches, durch den Beschuldigten eingerichtetes Kontrollsystem hätte daher exkulpierende Wirkung. Ein solches liegt aber nur dann vor, wenn dadurch die Überwachung des Zustandes aller im Betrieb eingesetzter Fahrzeuge jederzeit sichergestellt werden kann (vgl. das hg. Erkenntnis vom 17. Jänner 1990, Zl. 89/03/0165).

 

 

 

Rechtssatz (Entscheidung 2013/10/0236)

 

Wenn der Geschäftsführer, der zur Vertretung der Gesellschaft nach außen berufen ist und damit für die Einhaltung der Verwaltungsvorschriften Sorge zu tragen hat, die Besorgung einzelner Angelegenheiten anderen Personen selbstverantwortlich überlässt, obliegt es ihm, ein wirksames Kontrollsystem einzurichten, wobei er der Behörde bei einem Verstoß gegen die entsprechenden Vorschriften dieses System im Einzelnen darzulegen hat. Die bloße Erteilung von Weisungen reicht nicht hin, entscheidend ist, ob auch eine wirksame Kontrolle der vom Verantwortlichen erteilten Weisungen erfolgte, die unter den vorhersehbaren Verhältnissen die Einhaltung der gesetzlichen Vorschrift mit gutem Grund erwarten ließ (vgl. E 16. Februar 2011, 2011/08/0004).

 

 

 

Stammrechtssatz (Ra 2016/02/0137)

 

Im Rahmen eines funktionierenden Kontrollsystems kann es kein Vertrauen darauf geben, dass die eingewiesenen, laufend geschulten und ordnungsgemäß ausgerüsteten Arbeitnehmer die Arbeitnehmerschutzvorschriften einhalten. Vielmehr ist es für die Darstellung eines wirksamen Kontrollsystems erforderlich, unter anderem aufzuzeigen, welche Maßnahmen im Einzelnen der unmittelbar Übergeordnete im Rahmen des Kontrollsystems zu ergreifen verpflichtet war, um durchzusetzen, dass jeder in dieses Kontrollsystem eingebundene Mitarbeiter die arbeitnehmerschutzrechtlichen Vorschriften auch tatsächlich befolgt und welche Maßnahmen schließlich der an der Spitze der Unternehmenshierarchie stehende Anordnungsbefugte vorgesehen hat, um das Funktionieren des Kontrollsystems insgesamt zu gewährleisten, das heißt sicherzustellen, dass die auf der jeweils übergeordneten Ebene erteilten Anordnungen (Weisungen) zur Einhaltung arbeitnehmerschutzrechtlicher Vorschriften auch an die jeweils untergeordnete, zuletzt also an die unterste Hierarchie-Ebene gelangen und dort auch tatsächlich befolgt werden (vgl. B 13. April 2016, Ra 2016/02/0051).

 

 

 

 

 

Fazit:

 

  • Ein Verstoß gegen die datenschutzrechtlichen Vorschriften durch Mitarbeiter indiziert, dass das Kontrollsystem, welches im Unternehmen eingerichtet ist, nicht ausreichend ist, um Verstöße zu verhindern.

 

 

 

  • Das Unternehmen muss die Maßnahmen, die getroffen wurden, konkret darlegen und auch nachweisen, und diese müssen angemessen iSd Art 32 DSGVO sein.

 

 

 

  • Das Unternehmen muss nachweisen, dass das Kontrollsystem ausreichend ist, und der Verstoß den „Einzelfall“ darstellt, der passiert ist, und nicht vorhersehbar und nicht kontrollierbar ist.

 

 

 

  • Gelingt dieser Nachweis nicht, dann war das eingerichtete Kontrollsystem (oder die Maßnahmen zur „Überwachung und Kontrolle“ iSd § 30 (2) DSG) nicht ausreichend, und diese haben die Tatbegehung durch Mitarbeiter ermöglicht. Das Unternehmen setzt sich den Sanktionsdrohungen des Art 58 (2) DSGVO und damit auch – nach Maßgabe des § 11 DSG – auch Geldbußen aus.

 

zuerst Verwarnung - dann Geldbuße

 

Die Nebel lichten sich ...

 

Das Datenschutz-DeregulierungsG 2018 ändert das DSG noch bevor es am 25.05.2018 in Kraft tritt in einigen Punkten ....

mehr lesen