• An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
Start Aktuelles Information zum Datenschutzbeauftragten nach der DSGVO

  • blogger
  • Facebook
  • Google Bookmarks
  • linkedin
  • Twitter
  • wordpress
  • Yahoo
  • yahoobuzz

S·M·P Kurznews auch via


doch nur die natürliche Person im Schutzbereich des DSG in Österreich
Montag, 26 März 2018 17:34
Videoüberwachung nach dem 25.05.2018
Sonntag, 18 März 2018 11:40
DSGVO: Löschen in Backups
Dienstag, 27 Februar 2018 17:46
dataprotect | knwoledge pack für KMUs und EPUs
Mittwoch, 07 Februar 2018 20:59

Bitte lesen Sie vorab unsere Information zu Datenschutz bei Social Plugins und informieren Sie sich über den Datenschutz. Wenn Sie mit der Datenermittlung und Weitergabe nicht einverstanden sind, dann nutzen sie das Social Plugin nicht. Danke.

Information zum Datenschutzbeauftragten nach der DSGVO

Richtlinien der Art. 29 WP der EU (13.12.2016) – 1. Teil

Allgemeines

Die Art. 29 Working Party hat am 13.12.2016 „Richtlinien betreffend Datenschutzbeauftragte („DSB“)“ („Guidelines of Data Protection Officers („DPOs“)“ veröffentlicht

Diese Richtlinie beschäftigt sich auf 18 Seiten (in englischer Sprache) mit der Frage der Notwendigkeit der Bestellung eines DSB, der Rolle des DSB und den Aufgaben. Schon aus der Anzahl der Seiten, die es braucht, um dies darzustellen, ist ersichtlich, dass das Thema „Datenschutzbeauftragter“ im Rahmen der DSGVO komplex ist.

In Österreich ist das Anpassungsgesetz, mit dem das DSG 2000 an die DSGVO, die mit 25.5.2018 wirksam wird, für das 1. Quartal 2017[1] als Entwurf erwartet. Ob in diesem Entwurf von der Möglichkeit Gebrauch gemacht wird – wie z.B. in Deutschland – die Notwendigkeit der Bestellung eines DSB auszuweiten („Öffnungsklausel“) ist derzeit noch nicht absehbar.

Notwendigkeit der Bestellung

Öffentliche Stellen und Behörden
Diese sind nach der DSGVO verpflichtet, einen DSB zu bestellen.

Die Frage, ob eine „öffentliche Stelle“ vorliegt, richtet sich nach den nationalen gesetzlichen Bestimmungen.

Die Art 29 WP geht davon aus, dass auch „Unternehmen“, die öffentliche Aufgaben („public tasks“) erfüllen, als „öffentliche Stellen“ angesehen werden können, und daher einen DSB bestellen müssen. Explizit werden dabei z.B. öffentlicher Verkehr, Wasser- und Energieversorgung, öffentlicher Rundfunk, Straßeninfrastruktur     als öffentliche Aufgaben genannt. Anhaltspunkte zur Definition finden sich mE im Bereich des öffentlichen Vergaberechts.

Es werden daher auch öffentliche "Unternehmen" wie z.B. Energieversorger, Verkehrsbetriebe etc... einen Datenschutzbeauftragten zu bestellen haben.

Private Unternehmen

„Kerntätigkeit“:

(Private) Unternehmen
sind verpflichtet, einen DSB zu bestellen, wenn die „Kerntätigkeit“ eine bestimmte Tätigkeit umfasst.

Hier verweist die Art. 29 WP darauf, dass die “Kernaktivität” jedenfalls die vorwiegenden Tätigkeiten eines Unternehmens umfasst, und nicht diejenigen Tätigkeiten, die sich auf die Verarbeitung von personenbezogenen Daten als Hilfstätigkeiten beziehen.

Es darf aber nicht vergessen werden, dass es auch Tätigkeiten gibt, die unerlässlich sind, um die eigentliche Tätigkeit des Unternehmens, die nicht in der Verarbeitung personenbezogener Daten liegt, zu ermöglichen. Werden bei diesen Tätigkeiten personenbezogene Daten verarbeitet, kann auch eine Kerntätigkeit gegeben sein.

„umfangreiche“ Tätigkeit
Die (Kern)-Tätigkeit bei der die personenbezogenen Daten verarbeitet werden, die zur Verpflichtung der Bestellung des DSB führt, muss „umfangreich“ sein. Der „große Umfang“ wird im Text der DSGVO nicht definiert, nur ErwG 91 nimmt darauf Bezug.

Es ist nicht möglich, eine exakte Quantifizierung vorzunehmen; es sind mehrere Faktoren bei der Beurteilung nach Ansicht der WP 29 zu berücksichtigen:

Die Anzahl der „Datensubjekte“, und zwar entweder als absolute Zahl oder als Anteil der relevanten Betroffenen

Das Volumen der Daten oder die Anzahl unterschiedlicher Datenarten

Die Dauer oder die „Performance“ der Datenverarbeitung

Die geografische Ausdehnung der Datenverarbeitung

Die WP 29 gibt einige Beispiele:

Umfangreiche Datenverarbeitung:

Verarbeitung von Patientendaten durch eine Krankenanstalt

Verarbeitung von Verkehrsdaten (Reisedaten) von Personen, die den öffentlichen Verkehr einer Stadt benützen (z.B. durch das Tracking von Monats- oder Jahreskarten)

Verarbeitung von Echt-Zeit-Geolokations-Daten von Kunden einer internationalen Fast-Food-Kette für statistische Zwecke

Verarbeitung von Kundendaten durch eine Versicherung oder Bank

Verarbeitung von personenbezogenen Daten für die verhaltensbezogene Werbung durch eine Suchmaschine

Datenverarbeitung (inhaltliche Daten, Verkehrsdaten, Lokations-Daten) von Telefon- oder Internetanbietern

 

Datenverarbeitung, die nicht „umfangreich“ ist:

Verarbeitung von Patientendaten durch einen Einzelarzt

Verarbeitung von personenbezogenen Daten über strafrechtliche Verurteilungen oder Vergehen durch einen Einzelanwalt

Liegt die Voraussetzung der „umfangreichen“ Datenverarbeitung als „Kerntätigkeit“ eines Unternehmens vor, dann ist es noch notwendig, festzustellen, welche konkreten Datenarten verarbeitet werden, um entscheiden zu können, ob ein DSB zu bestellen ist.

 

Es wird zwischen den „Arten der Datenverarbeitung“ unterschieden, nämlich:

regelmäßige oder systematische Überwachung oder

Verarbeitung von besonderen Datenarten (Art. 9 Daten) oder Daten über strafrechtliche Verurteilungen oder Straftaten (Art. 10 Daten)


regelmäßige oder systematische Überwachung

Auch zu dieser Art der Datenverarbeitung findet sich keine Definition in der DSGVO; nur in ErwG 24 wird darauf Bezug genommen.

Jedenfalls inkludiert diese Art der Datenverarbeitung alle Arten von Profiling und Tracking im Internet einschließlich der Werbung durch Analyse des Nutzerverhaltens. Diese Art der Datenverarbeitung ist jedoch keinesfalls auf das Internet beschränkt.

Erfolgt diese Art der Datenverarbeitung in umfangreicher Form und als Kerntätigkeit des Unternehmens, dann ist ein DSB zu bestellen.

Die WP 29 führt folgende Beispiele an:

  • Betrieb eines Telekommunikationsnetzwerkes oder der Betreib von Telekommunikationsdienstleistungen
  • Email-Retargeting
  • Profiling oder Scoring im Rahmen der Risikobeurteilung (z.B. Bonitäts-Scoring, Beurteilung zur Höhe von Versicherungsprämien, zur Betrugsbekämpfung oder Entdeckung von Geldwäsche)
  • Geo-Lokations-Tracking, z.B. durch mobile Apps
  • Kundenbindungsprogramme
  • Nutzerbezogene Werbesysteme
  • Überwachung von Wellness-, Fitness- oder Gesundheitsdaten z.B. über tragbare Geräte
  • mit Systemen verbundene Geräte (Smart Meters, Intelligente Kraftfahrzeuge, Smart Homes …)


Die Verarbeitung “besonderer Datenarten” bzw. Daten über strafrechtliche Verurteilungen und Strafdaten

Werden derartige „Art. 9“ oder „Art. 10“ Daten (umfangreich und im Rahmen der Kerntätigkeit) verarbeitet, dann ist ein DSB zu bestellen.

 

Wer hat einen DSB zu bestellen; der „Verantwortliche“ oder der „Dienstleister“?

Art 37 DSGVO spricht davon, dass er Verantwortliche oder der Dienstleister dann einen DSB zu bestellen hat, wenn er die festgelegten Kriterien (Arten der Datenverarbeitung; umfangreich; Kerntätigkeit) erfüllt.

Es kann daher sein, dass zwar der Verantwortliche (z.B. wegen Unterschreitens des Merkmals „umfangreich“) keinen DSB zu bestellen hat, sich aber eines Dienstleisters im Rahmen der Verarbeitung der Daten bedient, und dann der Dienstleister, der mehrere gleichartige Kunden betreut, verpflichtet ist, einen DSB zu bestellen, da er eine umfangreiche Datenverarbeitung durchführt.

 

Kann ein Konzern für mehrere Konzernunternehmen einen DSB bestellen?

Ja es ist möglich; Art 37 (2) DSGVO legt fest, dass eine Unternehmensgruppe einen gemeinsamen DSB bestellen kann, sofern er von jeder Niederlassung leicht erreicht werden kann. Die englische Fassung der DSGVO spricht davon, dass er „easily accessible from each establishment“ sein muss.

Kann der DSB auch ein "Externer" sein?

Der DSB kann sowohl ein Mitarbeiter des Unternehmens sein, der dann "speziellen" Kündigungsschutz genießt, als jemand sein, der nicht beim Unternehmen beschäftigt ist, z.B. ein externer Berater oder auch ein (spezialisierter) Rechtsanwalt.

 

Sind die Daten des DSB zu veröffentlichen?

Der DSB hat "interne" und "externe" Aufgaben

Er muss als Kontaktperson für die Betroffenen und die Behörde zur Verfügung stehen, da er den Verantwortlichen oder den Dienstleister zu beraten hat.

Weiters muss der DSB auch für die Arbeitnehmer, die die Verarbeitung der personenbezogenen Daten im Unternehmen durchführen, als Berater zur Verfügung stehen.

Aus diesem Grund müssen die Kontaktdaten des DSB auch zur Verfügung stehen.

Die Daten des DSB sind zu veröffentlichen und der Behörde zur Kenntnis zu bringen, um der Behörde und betroffenen Personen die Möglichkeit zu geben, den DSB direkt, unmittelbar und ohne Kontakt zu anderen Personen beim Verantwortlichen und/oder Dienstleister zur kontaktieren.

Bemerkenswert ist, dass es nicht notwendig ist, den Namen des DSB bekannt zu geben. Bei einer Mitteilung an die Behörde aufgrund einer Datenschutzverletzung hat diese gem. Art. 33 (3) b DSGVO den Namen des DSB zu enthalten.

Die Art 29 WP empfiehlt, der Aufsichtsbehörde und den Mitarbeiter/innen des Unternehmens den Namen des DSB mitzuteilen (z.B. im Intranet oder anderen internen Mitteilungen des Unternehmens an die Belegschaft). Ansonsten reicht es offensichtlich aus, Kontaktdaten in folgender Art zur Verfügung zu stellen:

Sie erreichen den Datenschutzbeauftragten wie folgt:

e: dsb@(domain).com
t: ++43 / (0) … / …. - …
f: ++43 / (0) …/ …. - …

oder unter

Unternehmen
zH Datenschutzbeauftragter / Abteilung X
Adresse

 

Wie beraten Sie gerne bei Datenschutz-Audits, entwicklen mit Ihnen Datenschutz-Konzepte für das Unternehmen oder beraten auch Betroffene bei der Durchsetzung ihrer Rechte.

 


[1] Mitteilung eines Mitarbeiters des Bundeskanzleramtes vom 13.1.2017 an den Verfasser

 

 

  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow
  • An Image Slideshow