Datenschutzkonzept nach DSGVO

Ziel des Datenschutzkonzeptes

Das Datenschutzkonzept hat zum Ziel, in einer zusammenfassenden Dokumentation die datenschutzrechtlichen Aspekte darzustellen. Es kann auch als Grundlage für datenschutzrechtliche Prüfungen z. B. durch Auftraggeber im Rahmen der Auftragsverarbeitung genutzt werden. Dadurch soll die Einhaltung der europäischen Datenschutz-Grundverordnung (DSGVO) nicht nur gewährleistet, sondern auch der Nachweis der Einhaltung geschaffen werden.

Präambel

Ihr Urlaub soll Ihre schönste Zeit des Jahres werden. Sie als unser Kunde stehen im Mittelpunkt - wir orientieren uns stets an Ihren Wünschen.

Falls wir eine Destination nicht finden, so liegt es nur daran, dass es diese noch nicht gibt.

Wir, das Team vom Reisebüro Moser in Gerasdorf, sorgen mit mehr als 20 Jahren Erfahrung für Ihren unvergesslichen Urlaub. Dafür nehmen wir uns gerne und immer Zeit.

Im Jänner 2010 sind wir mit unserem Büro von der Hauptstraße 16 in Gerasdorf, in dem wir seit 2001 tätig waren, in die neuen Räumlichkeiten in der Leopoldauer Straße 9, übersiedelt. Von den vier, neu geschaffenen, Arbeitsplätzen, und unserem Infopoint aus können wir mit neuester Buchungstechnologie auf alle Veranstalter live zugreifen. Sämtliche Computer und der Server wurden 2013 erneuert und mit den aktuellsten Front- und Backoffice-Programmen ausgestattet. Daher können wir auf ALLE Veranstalter und auch auf deren Angebote, die sie anhand von Flugblättern, Radio- und Fernsehwerbung promoten, zugreifen und diese buchen. Hier liegt Ihr großer Vorteil: Sie bekommen von uns immer die aktuellsten Angebote. Wie so oft im Leben, gilt aber auch für das Reisebüro: Die beste Technik nützt nichts, wenn sie nicht durch bestens ausgebildete Mitarbeiter ergänzt wird. Und so steht Ihnen das altbekannte und bewährte Reisebüro Moser Team mit fachlich kompetentem und engagiertem Fachwissen jederzeit gerne zur Verfügung.

 

 

Eigentümer/Rechtsform

A&R MOSER OG

Martina KLAMECKER Prokurist
Renate MOSER geschäftsführender Gesellschafter
Albert MOSER geschäftsführender Gesellschafter

Datenschutzpolitik und Verantwortlichkeiten im Unternehmen

  • Für ein Unternehmen sind die obersten Datenschutzziele ggf. neben bereits bestehenden Unternehmenszielen festzulegen und zu dokumentieren. Datenschutzziele orientieren sich an den Datenschutz-Grundsätzen und sind individuell auf ein Unternehmen anzupassen.
  • Festlegung der Rollen und Verantwortlichkeiten (z. B. Vertreter des Unternehmens, betriebliche Datenschutzbeauftragte, Koordinatoren oder Datenschutzteam und operativ Verantwortliche).
  • Verpflichtung zur kontinuierlichen Verbesserung eines Datenschutzmanagementsystems.
  • Schulung, Sensibilisierung und Verpflichtung der Mitarbeiter

Rechtliche Rahmenbedingungen im Unternehmen

  • Branchenspezifische gesetzliche Regelungen oder Verhaltensregeln für den Umgang mit personenbezogenen Daten.
  • Anforderungen interner und externer Parteien.
  • Anwendbare Gesetze mit ggf. lokalen Sonderregelungen.

 

Dokumentation

  • Schutzbedarf der Daten: Schutzbedarfsfeststellung bezüglich Vertraulichkeit, Integrität und Verfügbarkeit (hilfreich sind die Kategorien des BSI-Standard 100-2z.B. „normal“, „hoch“ und „sehr hoch“)
  • Durchgeführte interne und externe Überprüfungen

 

Bestehende technische und organisatorische Maßnahmen (TOM)

Geeignete technische und organisatorische Maßnahmen, die unter Berücksichtigung u. a. des Zwecks der Verarbeitung, des Stands der Technik und der Implementierungskosten zu treffen und nachzuweisen sind.

Die Beschreibung der umgesetzten Umsetzung TOM kann sich beispielsweise an dem Aufbau der ISO/IEC 27002 unter Berücksichtigung der ISO/IEC 29151 (Leitfaden für den Schutz personenbezogener Daten) orientieren. Die jeweiligen Kapitel sollten durch Hinweis auf bestehende Richtlinien nachgewiesen werden.

Beispiele für solche Richtlinien sind unter anderem:

  • Richtlinie für Betroffenenrechte
  • Zugangssteuerung
  • Informationsklassifizierung (und deren Handhabung)
  • physische und umgebungsbezogene Sicherheit
  • an den Endanwender gerichtete Themen wie:
  • zulässiger Gebrauch von Werten
  • Richtlinie für eine aufgrund der Arbeitsumgebung und Bildschirmsperren
  • Informationsübertragung
  • Mobilgeräte und Telearbeit
  • Einschränkung von Software Installation und -verwendung
  • Datensicherung
  • Informationsübertragung
  • Schutz vor Schadsoftware
  • Handhabung technischer Schwachstellen
  • kryptografische Maßnahmen
  • Kommunikationssicherheit
  • Privatsphäre und Schutz von personenbezogenen Informationen
  • Lieferanten Beziehungen Hinweis auf regelmäßige Überprüfung und Bewertung der Datenverarbeitung, insbesondere der Wirksamkeit der umgesetzten technischen und organisatorischen Maßnahmen.

 

GESETZLICHE GRUNDLAGE

Datenschutz-Grundverordnung oder „DSGVO“:

Die „Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG“, kundgemacht im Amtsblatt ABl. Nr. L 119 S. 1, ist ab dem 25.5.2018 anwendbar. Sie wird die Datenschutzrichtlinie 95/46/EG zur Gänze ersetzen.

Datenschutzgesetz oder „DSG“:

Die DSGVO ist unmittelbar anwendbar und bedarf keines weiteren innerstaatlichen Umsetzungsaktes, doch sie enthält zahlreiche „Öffnungsklauseln“, die die Mitgliedstaaten verpflichten und berechtigen, bestimmte Angelegenheiten gesetzlich zu konkretisieren. In Österreich gilt ab 25.5.2018 das „Datenschutzgesetz“ bzw. „DSG“ (Der Titel des Gesetzes lautet also nicht mehr „DSG 2000“).

Zukünftige Rechtslage:

Die Meldepflicht von Datenanwendungen im Datenverarbeitungsregister entfällt. Die „Standard- und Muster-Verordnung 2004“ tritt außer Kraft. Stattdessen sind zum Beispiel als Pflichten vorgesehen:

  • bei der Erhebung der Daten der betroffenen Person umfangreiche Informationen zu geben („Informationspflichten“ nach Art. 13 DSGVO)
  • die Einhaltung der Grundsätze der Datenverarbeitung nachzuweisen („Rechenschaftspflicht“ nach Art. 5 Abs. 2 DSGVO);
  • Verträge mit Auftragsverarbeitern mit einem umfassenden Inhalt abzuschließen (Art. 28 DSGVO);
  • eine Risikobewertung durchzuführen und umfassende organisatorische und technische Sicherungsmaßnahmen („TOMs“) zu treffen (siehe Art. 24f DSGVO);
  • uU eine Liste der Datenanwendungen in einem eigenen Verzeichnis zu führen („Verzeichnis von Verarbeitungstätigkeiten“ nach Art. 30 DSGVO);
  • uU eine „Datenschutz-Folgenabschätzung“ (Privacy Impact Assessment/PIA) vor der geplanten Datenverarbeitung zur Risikoanalyse durchzuführen (siehe Art. 35 DSGVO)
  • uU Pflicht zur Bestellung eines Datenschutzbeauftragten (siehe Art. 37-39 DSGVO)
  • Zusammenarbeit mit der Datenschutzbehörde („Konsultationsverfahren“ nach (Art. 35f DSGVO)
  • Meldepflicht an Datenschutzbehörde/betroffene Personen bei DS-Verletzungen (Art. 33f DSGVO)

Zielsetzungen der DSGVO sind insbesondere:

  • Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten. Natürliche Personen sollen die Kontrolle über ihre eigenen Daten besitzen.
  • einheitliche Regeln für die Datenverarbeitung
  • Gewährleistung eines einheitlichen Vollzuges
  • Gewährleistung des freien Verkehrs personenbezogener Daten zwischen EU-Mitgliedstaaten
  • Und auch ein Ziel: 2,3 Milliarden EUR beträgt der geschätzte wirtschaftliche Vorteil eines einheitlichen Rechts

 

Die DSGVO findet gleichermaßen Anwendung auf öffentliche und nichtöffentliche Stellen. Sie ist anwendbar auf die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung von personenbezogenen Daten, die in einem Dateisystem gespeichert sind oder gespeichert werden sollen. Unter letzteres fällt die manuelle Verarbeitung von personenbezogenen Daten, wie Akten, die nach bestimmten Kriterien geordnet sind.

 

Keine Anwendung der DSGVO z.B. in folgenden Fällen:

  • Datenverwendung im Rahmen ausschließlich persönlicher oder familiärer Tätigkeiten
  • Datenanwendung für die personenbezogenen Daten Verstorbener
  • Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen
  • Tätigkeiten im Rahmen der gemeinsamen Außen- und Sicherheitspolitik
  • Tätigkeiten der zuständigen Behörden zur Verhütung, Ermittlung, Aufdeckung oder

Verfolgung von Straftaten oder Strafvollstreckung, einschließlich des Schutzes vor und der Abwehr von Gefahren für die öffentliche Sicherheit (hierfür gibt es eine Richtlinie)

 

NIEDERLASSUNGSPRINZIP:

Die DSGVO findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten der Niederlassung des Verantwortlichen oder Auftragsverarbeiters in der Union erfolgt. Beachte: Sobald ein Verantwortlicher oder Auftragsverarbeiter mit Niederlassung in der EU beteiligt ist, ist die DSGVO räumlich anwendbar! Der tatsächliche Ort der Datenverarbeitung ist irrelevant: Die DSGVO gilt unabhängig davon, ob die Verarbeitung selbst in oder außerhalb der Union stattfindet. Die Rechtsform (Zweigstelle ohne Rechtspersönlichkeit, Tochtergesellschaft) der Niederlassung ist nicht entscheidend. Jede effektive und tatsächliche Tätigkeit durch eine feste Einrichtung ist eine Niederlassung.

Auftragsverarbeiter (bisher „Dienstleister“):

Der „Auftragsverarbeiter“ ist „eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet“. Eine Auftragsverarbeitung darf nur auf Grundlage eines Vertrages oder eines anderen verbindlichen Rechtsinstruments erfolgen. Der Vertrag/Rechtsakt hat nach Art. 28 DSGVO umfassende Regelungen zu enthalten. Auftragsverarbeiter sind Empfänger im Sinne von Art. 4 Nr. 9 DSGVO. Folglich sind zum Beispiel auf diesen anwendbar: Informationspflicht bei Erhebung (Art. 13 Abs. 1 lit. e DSGVO), Mitteilungspflicht bei Löschung (Art. 19 DSGVO), Auskunftsrecht (Art. 15 DSGVO), Aufnahme in das „Verzeichnis von Verarbeitungstätigkeiten“ (vgl. Art. 30 Abs. 1 lit. d DSGVO).

Beispiele für Auftragsverarbeiter:

Externer IT-Dienstleister, Cloud-Dienste (z.B. Google Drive, Dropbox, Office 365), externe Buchhalter oder Gehaltsabrechnungsbüros, Datenträgerentsorger, Marketingagenturen, Web- bzw. E-Mailhoster, Verarbeitung von Kundendaten durch ein Callcenter ohne wesentliche eigene Entscheidungsspielräume dort, Datenerfassung, Datenkonvertierung oder Einscannen von Dokumenten, Auslagerung der Backup-Sicherheitsspeicherung und anderer Archivierungen, Prüfung oder Wartung (Fernwartung, externer Support) automatisierter Verfahren oder von Datenverarbeitungsanlagen, wenn bei diesen Tätigkeiten ein Zugriff auf personenbezogene Daten nicht ausgeschlossen werden kann.

 

Verantwortlicher muss mit Auftragsverarbeiter einen Vertrag abschließen – Inhalt z.B.:

  • Dauer der Verarbeitung
  • Art und Zweck der Verarbeitung
  • Art der personenbezogenen Daten
  • Kreis betroffener Personen
  • Weisungsbefugnisse
  • Pflichten und Rechte des Verantwortlichen und des Auftragsverarbeiters
  • Löschung nach Beendigung des Auftrags
  • Will sich der Auftragsverarbeiter zur Erbringung der vereinbarten Dienstleistung Subunternehmen als weiterer Auftragsverarbeiter bedienen, so bedarf dies der vorherigen (schriftlichen oder elektronischen) Genehmigung durch den Verantwortlichen
  • Quelle: (C) Rechtsanwalt Dr. Clemens Lintschinger, MSc

Personenbezogene Daten

  • Name
  • Geburtsdatum
  • Geschlecht
  • Adresse
  • Bankdaten
  • SV-Nummer
  • Reisepassnummer
  • Bild
  • Sonstige biometrische Daten
  • KFZ-Kennzeichen
  • Essensgewohnheiten
  • Gesundheitsdaten
  • etc.

 

WAS SIND „BESONDERE KATEGORIEN“ PERSONENBEZOGENER DATEN?

Dies sind die ehemaligen „sensiblen“ Daten und genießen nach Artikel 9 DSGVO besonderen Schutz. Es sind dies Daten, aus denen hervorgeht:

  • rassische und ethnische Herkunft
  • politische Meinung
  • religiöse oder weltanschauliche Überzeugungen
  • Gewerkschaftszugehörigkeit
  • Sowie die Verarbeitung von genetische und biometrische Daten
  • Gesundheitsdaten
  • Daten zum Sexualleben oder sexuellen Orientierung Beispiele: Fingerabdruck, Irisscan, Krankenbefunde

 

 

GRUNDSÄTZE FÜR DIE VERARBEITUNG (ART 5 DSGVO)

 

Die Grundsätze der Datenverarbeitung sind weitgehend ident mit jenen der bestehenden DSRL:

  • Rechtmäßigkeit
  • Verarbeitung nach Treu und Glauben
  • Transparenz (= Daten müssen in einer für die betroffene Person nachvollziehbaren Weise verarbeitet werden)
  • Zweckbindung (= Daten müssen für festgelegte, eindeutige und legitime Zwecke erhoben werden, und dürfen nicht in einer mit diesen Zwecken nicht zu vereinbarenden Weise weiterverarbeitet werden)
  • Datenminimierung (= auf das notwendige Maß beschränkt)
  • Richtigkeit (= sachlich richtig und erforderlichenfalls auf dem neuesten Stand)
  • Speicherbegrenzung/Löschen
  • Sicherheit (durch geeignete technische und organisatorische Maßnahmen)

 

WANN IST DIE VERARBEITUNG RECHTMÄSSIG?

  • Einwilligung (bisher „Zustimmung“) der betroffenen Person für bestimmten Zweck.
  • Erforderlich für die Erfüllung eines Vertrages / vorvertraglicher Maßnahmen.
  • Rechtliche Verpflichtung des Verantwortlichen (z.B. zur Dokumentation, gesetzliche Aufbewahrungspflichten).
  • Zum Schutz lebenswichtiger Interessen
  • Zur Wahrnehmung von Aufgaben im öffentlichen Interesse oder in Ausübung öffentlicher Gewalt.
  • Zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten (Interessenabwägung mit Grundrecht der betroffenen Person).

 

 

VERZEICHNIS DER VERARBEITUNGSTÄTIGKEITEN

Der Verantwortliche hat nach Art. 30 Abs. 1 DSGVO schriftlich bzw. in einem elektronischen Format ein Verzeichnis aller Verarbeitungstätigkeiten zu führen und dieses der Datenschutzbehörde auf Anfrage zur Verfügung zu stellen. Diese Pflicht zur Führung eines Verarbeitungsverzeichnisses gilt nicht für Unternehmen oder Einrichtungen, die weniger als 250 Mitarbeiter beschäftigen, es sei denn die Datenverarbeitung birgt ein

  • Risiko (Achtung: kein hohes Risiko erforderlich) für die Rechte und Freiheiten der betroffenen Personen
  • die Verarbeitung erfolgt nicht nur gelegentlich
  • es erfolgt eine Verarbeitung von sensible Daten
  • oder von Daten über bestimmte Straftaten.

 

Das Verarbeitungsverzeichnis

  • Name und Kontaktdaten des Verantwortlichen/der gemeinsamen Verantwortlichen/des Vertreters
  • Name und Kontaktdaten des allfälligen Datenschutzbeauftragten
  • Zwecke der Datenverarbeitung
  • Kategorien der betroffenen Personen
  • Kategorien personenbezogener Daten
  • Kategorien der (zukünftigen) Empfänger (inkl. Empfänger in Drittländern und internationale Organisationen), gegenüber welchen personenbezogener Daten offengelegt werden
  • Übermittlungen von personenbezogenen Daten an ein Drittland oder an eine internationale Organisation: Name Drittland/internationale Organisation ggf. Garantien gem. Art 49 Abs 1 DSGVO
  • Vorgesehene Frist für die Löschung der verschiedenen Datenkategorien (wenn möglich)
  • Allgemeine Beschreibung der technischen und organisatorischen Maßnahmen zur Sicherheit der Datenverarbeitung gem. Art 32 Abs. 1 DSGVO (wenn möglich)

 

Datensicherheitsmaßnahmen

  • Pseudonymisierung von Daten
  • Verschlüsselung personenbezogener Daten
  • Maßnahmen, die die Fähigkeit, die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste im Zusammenhang mit der Verarbeitung auf Dauer sicherstellen
  • Maßnahmen, die die Fähigkeit, die Verfügbarkeit der personenbezogenen Daten und den Zugang zu ihnen bei einem physischen oder technischen Zwischenfall rasch wiederherzustellen, gewährleisten
  • Ein Verfahren zur regelmäßigen Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung

 

DATENSCHUTZ-FOLGENABSCHÄTZUNG

Die Artikel 29 Gruppe geht davon aus, dass je mehr Indikatoren auf eine konkrete Datenschutzverarbeitung zutreffen (Faustregel: ab 2), umso eher ist die Datenschutz-Folgenabschätzung erforderlich.

WELCHE INFORMATIONSPFLICHTEN GIBT ES BEI ERHEBUNG PERSONENBEZOGENER DATEN?

Werden personenbezogene Daten bei einer betroffenen Person erhoben, so hat der Verantwortliche nach Art. 13 DSGVO zum Zeitpunkt der Erhebung dieser Person Folgendes mitzuteilen:

  • Name + Kontaktdaten des Verantwortlichen und des/der Datenschutzbeauftragten
  • Zweck der Verarbeitung
  • Rechtsgrundlagen
  • Empfänger der Daten
  • die Absicht des Verantwortlichen, die Daten an ein Drittland zu übermitteln
  • Dauer der Speicherung der Daten
  • Hinweis auf die Rechte der betroffenen Person

 

WANN IST EIN DATENSCHUTZBEAUFTRAGTER ERFORDERLICH?

Folgende Verantwortliche/Auftragsverarbeiter haben zwingend einen Datenschutzbeauftragten zu bestellen:

  • Behörden und öffentliche Stellen (mit Ausnahme von Gerichten, soweit es nicht die Justizverwaltung betrifft)
  • wenn die Kerntätigkeit die regelmäßige und systematische Überwachung von Personen darstellt
  • wenn die Kerntätigkeit in der umfangreichen Verarbeitung von sensiblen Daten und Strafdaten besteht.

Die Kerntätigkeit bezieht sich auf die Haupttätigkeit und die wichtigsten Arbeitsabläufe. Kann die Datenverarbeitung entfallen, ohne dass die Zielerreichung des Unternehmens gefährdet ist, oder handelt es sich um Arbeitsabläufe, die jedes Unternehmen machen muss (zB Buchhaltung, Personalverrechnung), spricht man von einer Nebentätigkeit.

Zu den organisatorischen Maßnahmen, die sicherstellen, dass eine Datenverarbeitung gemäß der DSGVO erfolgt, kann auch die freiwillige Bestellung eines Datenschutzbeauftragten gehören. Dieser muss nicht Angestellter des Unternehmens sein, sondern kann auch ein unternehmensexterner Experte sein.

Datenschutzbeauftragte sind im Falle einer Nichteinhaltung der DSGVO und des nationalen Datenschutzes jedoch nicht persönlich verantwortlich.

Die Abwälzung der finanziellen Verantwortung für Geldbußen ist jedoch nicht möglich. Aus den Bestimmungen der DSGVO geht klar hervor, dass der Verantwortliche bzw. der Auftragsverarbeiter sicherzustellen und nachzuweisen hat, dass eine Datenverarbeitung gemäß den Regeln der DSGVO erfolgt.

ÜBERMITTLUNG VON DATEN AN DRITTSTAATEN

Innerhalb EU/EWR gilt der freie Datenverkehr. Für Drittstaaten und internationale Organisationen gilt folgende Unterscheidung:

  • Weder melde- noch genehmigungspflichtige Datenübermittlungen
  • Datenübermittlung auf Basis geeigneter Garantien, die von der Datenschutzbehörde vorab genehmigt wurden
  • Ausnahmsweise nicht melde- und genehmigungspflichtige Datenübermittlungen
  • Melde-, aber nicht genehmigungspflichtige Datenübermittlungen
  • Datenübermittlung zwischen Behörden und öffentlichen Stellen

RECHTE DER BETROFFENEN PERSON

Überblick:

  • Recht auf Information
  • Recht auf Auskunft
  • Recht auf Berichtigung
  • Recht auf Löschung ausgeweitet auf Recht auf „Vergessen werden“
  • Recht auf Widerspruch
  • Recht auf Einschränkung der Verarbeitung
  • Recht auf Datenübertragbarkeit

 

RECHT AUF AUSKUNFT

Betroffene haben umfassendes Auskunftsrecht, nämlich:

  • Ob Daten verarbeitet werden
  • Welche Daten verarbeitet werden
  • Herkunft der Daten
  • Wozu die Daten verwendet werden
  • An wen werden die Daten übermittelt
  • Speicherdauer

Auskunftsrecht ist ein höchstpersönliches Recht. Auskunftserteilung an Dritte nur bei Vorliegen einer ausreichenden Vertretungsbefugnis. Beantwortungsfrist datenschutzrechtlicher Auskunftsbegehren: 1 Monat, max. verlängerbar um weitere 2 Monate.

Quelle: (C) Rechtsanwalt Dr. Clemens Lintschinger, MSc

 
­

Copyright © 1997 - 2019 Reisebüro Moser. Alle Rechte vorbehalten. AT 2201 Gerasdorf, Leopoldauer Straße 9  Telefon: +43 2246 202 96