Umsetzung der Datenschutzgrundverordnung („DSGVO“)

Verordnung (EU) 2016/679

A N W E N D U N G S B E R E I C H:

Sachlicher Anwendungsbereich:

Gilt für alle automatisierten und nicht automatisierten personenbezogenen Datenverarbeitungen, die in einem Dateisystem gespeichert sind, oder gespeichert werden sollen.

– DSGVO ist auf juristische Personen nicht anwendbar1 [Name, Rechtsform, Kontaktdaten]; – DSGVO = technologieneutral (auch geordnete Aktensammlungen können unter die VO fallen);

Räumlicher Anwendungsbereich:

– Gilt für alle Datenverarbeitungen von in der Union tätigen Niederlassungen (Zweigstelle, auch Tochtergesellschaften udgl.) unabhängig davon, ob die Verarbeitung in der Union erfolgt. – Gilt auch für drittstaatsangehörige Datenverarbeiter, sofern diese Leistungen für im Unionsraum aufhältige Personen erbringen (Marktortprinzip).

G R U N D S Ä T Z E:

Art 5 DSGVO: Die Verarbeitung von personenbezogenen Daten

1) muss gem. Art 6 DSGVO rechtmäßig erfolgen [Einwilligung der Person zur Verarbeitung für bestimmte Zwecke, Erfüllung eines Vertrages, die Verarbeitung ist zur Erfüllung einer rechtlichen Pflicht (Aufbewahrungspflichten UGB, BAO, UStG etc.) der der Verantwortliche unterliegt, erforderlich] [Im zu verfassenden Verarbeitungsverzeichnis sind die gesetzlichen Grundlagen exakt anführen];

Sollte eine Verarbeitung nicht ausschließlich zum Zwecke der Vertragserfüllung erfolgen (z.B. Weitergabe von personenbezogenen Daten im Konzern zu Werbezwecken), so muss eine förmliche Zustimmung erfolgen.

[eine getrennte Urkunde bzw. eine Wahlmöglichkeit im MV müsste vorgesehen werden; Formal ist Art 7 DSGVO zu beachten; betrifft die Urkunde, in welcher auch die Zustimmung eingeholt werden sollte, auch andere Sachverhalte, so muss aus der Form der Urkunde hervorgehen, dass die Einholung der Zustimmung von den anderen Sachverhalten klar zu unterscheiden ist. ME sollte in die Verträge eine

1 National (Ausführungs-) Gesetze können jedoch anderslautendes vorsehen!

Zustimmungserklärung inkl. Belehrung aufgenommen werden, falls eine Weitergabe zu vertragsfremden Zwecken erfolgt.

Hinsichtlich der rechtmäßigen Verarbeitung sollte der Mieter zur Kenntnis nehmen, dass die personenbezogenen Daten zur Vertragserfüllung bzw. aufgrund gesetzlicher Pflichten (bspw. Aufbewahrungspflichten BAO, UGB, UstG etc.) für bestimmte Dauer verarbeitet werden.]

2) muss transparent sein: Informationen sollten für den Betroffenen leicht zugänglich und verständlich sein; Betroffene müssen auf Anfrage eine Bestätigung und Auskunft über die sie betreffenden Datenanwendungen erhalten können; Betroffene müssen über die Risiken, Garantien und Rechte aufgeklärt und darüber informiert werden, wie Sie Ihre Rechte geltend machen können (vorab Kontaktdaten des DS-Beauftragten, Kontakt Auskunftsstelle, Infos über Rechtsschutzmöglichkeit);

3) sollte zweckgebunden erfolgen: Erhebung ausschließlich für eindeutige im Vorhinein definierte Zwecke;

[…Zur Erstellung eines Verfahrensverzeichnisses ist es daher von wesentlicher Bedeutung, dass eine Abklärung im Konsultationsverfahren mit den einzelnen Abteilungen stattfindet, welche Datenkategorien zur Vertragserfüllung überhaupt notwendig sind].

4) sollte dem Datenminimierungs-Grundsatz standhalten (es sollten Fristen für regelmäßige Prüfungs- und Löschungsvorgänge vorgesehen werden – Die Überprüfung, ob eine Löschung auch tatsächlich stattfindet muss in regelmäßigen Abständen erfolgen);

[…Es muss ein Lösch- und Berechtigungskonzept gefunden werden, welches den Grundsätzen entspricht. Jene Konzepte sollten im Verfahrensverzeichnis der jeweiligen Tochter dargestellt werden..]

5) sollte dem Grundsatz der Richtigkeit entsprechen (Es sollte ein Verfahren angedacht werden, wonach unrichtige Daten geändert bzw. gelöscht werden können – Information über Anlaufstelle, DS-Beauftragter bzw. Koordinator);

6) sollte dem Grundsatz der Integrität und Vertraulichkeit standhalten (angemessene Sicherungskonzepte technischer und tatsächlicher Natur, Schutz vor unbefugter unrechtmäßiger Verarbeitung und vor Verlust, geeignete technische und organisatorische Maßnahmen durch Mitarbeiter, Mitarbeiter sollten in regelmäßigen Abständen geschult und informiert werden).

[…. Für alle Auftragsverarbeiter (Softwareanbieter, externe Personalverwalter udgl.) empfiehl es sich Vereinbarungen gem. Art. 28 DSGVO abzuschließen…]

Gem. Art 12 DSGVO hat der Verantwortliche geeignete Maßnahmen zu treffen, dass die Betroffenen
– alle Informationen und Mitteilungen gem. Art 13 und Art 14 DSGVO (allgemeine Auskunftsrechte) sowie solche gem. Art 15-22 und Art 34 DSGVO rechtzeitig erhalten [Informations- und Auskunftsrechte];

[…..Mitteilungen in präziser, transparenter, verständlicher und leicht zugänglicher Form, in klarer und einfacher Sprache abgefasst; Mitteilungen haben schriftlich, oder elektronisch (erfolgt eine Anfrage oder ein Antrag in elektronischer Form, so hat die Informationserteilung auch in elektronischer Form zu ergehen, sofern möglich) abgefasst zu sein; abzuraten ist von der Übermittlung per E-Mail – die Übergabe von Datensticks wäre denkbar…..]²

Der Verantwortliche hat gem. Art 12 DSGVO unverzüglich, spätestens jedoch binnen einer Frist von 1 Monat nach Einlangen eines Antrages, dem Antragssteller die gewünschten Informationen oder Auskünfte zu erteilen (Fristverlängerung um weitere 2 Monate möglich, wenn aufgrund Komplexität oder Häufung der Anträge eine rechtzeitige Erledigung nicht möglich ist).

Eine Weigerung kann nur dann erfolgen, wenn die Person nicht eindeutig identifizierbar ist. Fristenlauf beginnt erst ab eindeutiger Identifizierung [Kopie des Reisepasses übermitteln lassen!]

Wird ein Antrag nicht erledigt, so hat der Verantwortliche ohne Verzögerung, jedoch längstens binnen einer Frist von 1 Monat ab Einlangen die Gründe für die Weigerung mitzuteilen – inkl. Belehrung über die Möglichkeit bei der Aufsichtsbehörde Beschwerde einzulegen bzw. einen gerichtlichen Rechtsbehelf zu erheben. [Die Informationserteilung erfolgt unentgeltlich außer bei exzessiven Anfragen kann eine Verwaltungsabgabe verlangt werden, oder eine Weigerung erfolgen.]

R E C H T E D E R B E T R O F F E N E N:

Gem. Art 13 DSGVO hat der Verantwortliche im Falle der Ersterhebung von Daten nachfolgend angeführte Informationen³ zu erteilen:

– den Namen und die Kontaktdaten des Verantwortlichen sowie ggfs. des Vertreters mitzuteilen;
– die Kontaktdaten des DS-Beauftragten;
– den Zweck für die Datenerhebung inkl. die Rechtsgrundlage [fürs Verfahrensverzeichnis:
1. Erfüllung Bestandsvertrag,
2. regelmäßige Abrechnung iZm. Dauerschuldverhältnissen,
3. Erfüllung von vertraglichen Nebenpflichten (Erhaltung, Verwaltung udgl.), 4. Einbringlichmachung von Forderungen bspw];

² Transparenzgrundsatz 3 Werden von einem Verantwortlichen Daten verarbeitet, welche nicht von diesem erhoben wurden, dann muss der Betroffene über die Datenverarbeitung in Kenntnis gesetzt werden und bekanntgegeben werden, von wem die Daten stammen. Es empfiehlt sich daher, schon bei der Ersterhebung über den Umstand aufzuklären, dass die Daten im Konzern weitergegeben werden (z.B. von Verwaltung zur Immo im Streitfall oder im Falle eines Verkaufs) – Zustimmung einholen – verbindliche Konzern-Datenschutzvorschrift iSd Art 47 DSGVO wäre sinnvoll;

– die Empfänger oder Kategorie von Empfängern der Daten [im Falle von konzerninterner Weitergabe für vertragsfremde Zwecke (Werbung) jedenfalls Zustimmung vom Betroffenen einholen];
– ggfs. die Absicht, die Daten an ein Drittland oder internationale Organisation zu übermitteln [inkl. Bekanntgabe, ob ein Angemessenheitsbeschluss (Art. 46,47 u 49 DSGVO) vorliegt oder nicht – bzw. auf welche Garantien (intern verbindliche Datenschutzvorschrift wäre zu erstellen) eine Übermittlung erfolgt]
– Dauer der Speicherung bzw. falls nicht möglich die Kriterien der Berechnung der Dauer [Vorschlag: für die Dauer des Vertragsverhältnisses zzgl. der gesetzlichen Verjährungsfristen und gesetzlichen Aufbewahrungsverpflichtungen (BAO und UGB)]
– Information über das Auskunftsrecht, über das Recht auf Berichtigung oder Einschränkung der Verarbeitung, Information über Löschungsrecht sowie Information über Widerspruchsrecht gegen die Verarbeitung iSv Weitergabe als solche sowie Widerspruchsrecht hinsichtlich Datenübertragbarkeit;
– Information über das Recht die Einwilligung zu widerrufen4 inkl. Folgen des Widerrufs
– Information über den Umstand, ob die Bereitstellung der Daten gesetzlich vorgeschrieben ist, oder für einen Vertragsabschluss erforderlich ist (inkl. Info über die Folgen, welche eine Nichtbereitstellung hätte),
– Information, ob Profiling erfolgt, [werden die Information für andere Zwecke, als für jene für die sie erhoben wurden, verwendet, Information über jene Zweck – z. B. „Werbung im Konzern“]

AUSKUNFTSRECHT iSv Art 15 DSGVO:

Der Betroffene hat das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten verarbeitet werden. Bejahendenfalls hat dieser Recht auf Auskunft hinsichtlich

– Verarbeitungszwecke,
– Kategorie der personenbezogenen Daten,
– Die Empfänger oder Kategorien von Empfängern der Daten,
– Falls möglich geplante Dauer – bzw. Kategorien für die Festlegung der Dauer,
– Bestehen eines Rechts auf Löschung bzw. Einschränkung,
– Bestehens eines Rechts auf Berichtigung,
– Bestehen eines Widerrufsrechts,
– Bestehen einer Beschwerdemöglichkeit bei der Datenschutzbehörde,
– Herkunft der Daten, wenn nicht selbst erhoben,
– Bestehen einer automatisierten Entscheidungsfindung,
– Info über geeignete Garantien iSv Art 46 DSGVO im Falle von Weitergabe an ein Drittland,

Der Verantwortliche hat eine Kopie der personenbezogenen Daten zur Verfügung zu stellen; falls Anfrage elektronisch erfolgt in elektronischer Form (daraus sollte Zweck, Dauer usw. jeder Verarbeitung ersichtlich sein).

4 Daher empfiehlt es sich keine Einwilligung einzuholen, zumal zumeist die Verpflichtung zur Vertragserfüllung auch die die Verarbeitung rechtfertigt.

B E R I C H T I G U N G & V E R G E S S E N W E R D E N

Recht auf Berichtigung:

Der Betroffene hat gem. Art 16 DSGVO jederzeit das Recht, eine Berichtigung von falschen Datensätzen erwirken zu können.

Recht auf Vergessenwerden iSv Art 17 DSGVO:5

Personenbezogene Daten sind auf Verlangen des Betroffenen umgehend zu löschen, wenn – der Zweck weggefallen6 ist, für welchen die Daten erhoben wurden, – Die Einwilligung widerrufen wird und es sonst keinen anderweitigen Rechtsgrund gibt, – Widerspruch gegen die Verarbeitung iSd Art 21 DSGVO erfolgt und keine berechtigten Gründe für die Speicherung vorliegen, – Die Daten unrechtmäßig verarbeitet wurden, – Löschung unionsrechtlich vorgeschrieben wurde, – (wurden die Daten veröffentlicht, so gelten besondere Bestimmungen Abs. 2)

….Recht auf Vergessenwerdens besteht nicht, wenn Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung bzw. zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist!!!

Recht auf Einschränkung der Verarbeitung iSd Art 18 DSGVO – wird die Einschränkung der Verarbeitung aufgrund Unrichtigkeit der Daten, oder aufgrund des Umstandes, dass sie der Verantwortliche nicht mehr benötigt, verlangt, so dürfen die Daten auch zur Rechtsverfolgung nur mit Zustimmung des Betroffenen verwendet werden.

Der Verantwortliche hat im Falle einer Berichtigung bzw. Löschung sämtlichen Empfängern der Informationen diesen Umstand mitzuteilen und hat sämtliche Veranlassungen zu treffen. Der Betroffenen hat das Recht über alle Empfänger informiert zu werden.

Der Verantwortliche ist verpflichtet die Datensätze in einem interoperablen Zustand zu erhalten (Art 19 DSGVO).

V E R A N T W O R T L I C H E R & A U F T R A G S V E R A R B E I T E R

Gem. Art 24 und 25 DSGVO hat der Verantwortliche geeignete technische und organisatorische Maßnahmen7 sicherzustellen, dass die Vorgaben der VO eingehalten werden. Diese Maßnahmen

5 Besondere Vorschriften für den Fall, dass Einwilligung zur Datenverarbeitung im Kindesalter erfolgt ist.
6 Dies wird regelmäßig erst dann der Fall sein, wenn auch die vertraglichen oder mit dem Vertrag in Zusammenhang stehenden Verjährungsfristen abgelaufen sind. Zur Erstellung des Verfahrensverzeichnisses ist es daher unerlässlich im Vorfeld die anzuwendenden Verjährungsbestimmungen zu prüfen.
7 zB.: Pseudonymisierung, data protection by design (Datenschutz durch Technik), data protection by default (Datenschutz durch datenschutzfreundliche Voreinstellungen), sind erforderlichenfalls zu überprüfen und zu aktualisieren (Anwendung geeigneter Datenschutzvorkehrungen 8wie zB. Löschroutinen, Löschfristen, Berechtigungskonzept.)

Die Erfüllung der Verpflichtungen des Verantwortlichen aus der DSGVO kann durch Entsprechen von zuvor genehmigten Verhaltensregeln gem. Art 40 DSGVO (von Verbänden oder sonstigen Vereinigungen herauszugeben und zu genehmigen), oder im Rahmen eines Zertifizierungsverfahrens gem. Art 42 DSGVO erfolgen.

Es ist nicht davon auszugehen, dass im Immo-Konzern eine vorherige Konsultation mit der Behörde bzw. ein Zertifizierungsverfahren notwendig sein wird.

GEMEINSAM für die VERARBEITUNG VERANTWORTLICHE
Werden von mehreren Verantwortlichen gemeinsam die Zwecke und Mittel zur Verarbeitung festgelegt, so sind diese gemeinsam verantwortlich. Es ist eine transparente Vereinbarung iSd Art 26 DSGVO zu errichten, welche regelt, welcher Verantwortliche für welche Informationserteilungspflichten zuständig ist.

Es kann eine gemeinsame Anlaufstelle für Betroffene festgelegt werden. Betroffener kann jedoch seine Rechte immer auch beim jeweiligen Verantwortlichen geltend machen.

Werden Daten von EU-Ansässigen im EU-Ausland verarbeitet wird eine Anlaufstelle in der EU gefordert; dies jedoch nicht, wenn die Datenverarbeitung nicht regelmäßig erfolgt.

AUFTRAGSVERARBEITER
Verantwortliche können gem. Art 28 DSGVO einen Auftragsverarbeiter bestellen, sofern dieser hinreichend Garantien dafür bietet, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit der DSGVO erfolgt.

Die Verarbeitung erfolgt auf Grundlage eines Vertrages, welcher den Auftragsverarbeiter im Verhältnis zum Verantwortlichen bindet (Gegenstand und Dauer der Verarbeitung, Art und Zweck der Verarbeitung, die Art der personenbezogenen, Kategorisierung udgl).

Verarbeitung darf nur auf dokumentierte und vertraglich festgehaltene Weise erfolgen.

[Klauseln aus Art 28 DSGVO zu entnehmen – ME sollte SLA dergestalt geändert werden, oder neue Vereinbarung mit GRAWE (IT) getroffen werden, dass die Grawe von allen Produkten, welche auch von der Immo genutzt werden auch die Sicherung, Speicherung, Auskunftsrechte den Bestimmungen der DSGVO usw. übernimmt; Daten dürfen nur aufgrund Vertrag vom Auftragsverarbeiter verarbeitet werden; Müsste auch abgesprochen werden, wie mit Anfragen bzw. Anträgen diesbezüglich umgegangen wird].9

8 Diese Maßnahmen gelten auch für geordnete Handakten. Daher empfiehlt es sich, auch für jene ein Lösch- und Berechtigungskonzept zu erstellen. Solche Vorkehrungen sind im Falle einer Verpflichtung zur Erstellung eines Verfahrensverzeichnisses in diesem in Prosa zu beschreiben.
9 Bspw. Grazer Wechselseitige Versicherung AG (Personalverwaltung und IT), Softwarebereitsteller;

VERZEICHNIS von VERARBEITUNGSTÄTIGKEITEN iSd Art 30
Der Verantwortliche – sofern mehr als 250 Mitarbeiter beschäftigt sind, nicht nur gelegentlich Verarbeitungen erfolgen10 und teilweise auch besonders sensible Daten (Art 9 DSGVO) verarbeitet werden – haben ein Verarbeitungsverzeichnis zu erstellen. Das Verzeichnis dient der Behörde gegenüber als Nachweis, dass die Bestimmungen der DSGVO eingehalten werden. Es besteht diesbezüglich eine Verpflichtung zur Zusammenarbeit mit der Behörde.

Es sind sämtliche Kontaktdaten des Verantwortlichen, des gemeinsamen Verantwortlichen, ggfs des Auftragsverarbeiters sowie des DS-Beauftragten, die Zwecke der Verarbeitung, Beschreibung der Kategorie (bei Arbeitnehmern sensible Daten – Personalabteilung ?), Kategorie von Empfängern, Löschfristen anzuführen – Siehe Vorlage).

S I C H E R H E I T iSv Art 32 DSGVO

Verantwortliche und Auftragsverarbeiter haben unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art der Daten und des Zwecks der Verarbeitung geeignete technische und organisatorische Maßnahmen zu treffen um das Schutzniveau der VO zu gewährleisten.

– Pseudonymisierung,
– Verschlüsselung,
– Passwortsicherung,
– Vertraulichkeit, Fähigkeit und Integrität sind auf Dauer der Speicherung zu gewährleisten,
– Die Verfügbarkeit und den Zugang für Betroffene ist permanent sicherzustellen,
– Verfahren zur regelmäßigen Überprüfung, Bewertung der Wirksamkeit der technischen und organisatorischen Maßnahmen ist zu implementieren; (Bei Beurteilung des Schutzniveaus sind die Risiken die mit einer Vernichtung, Verlust oder Diebstahl einhergehen zu berücksichtigen – geeignete Maßnahmen sind zu ergreifen)
– Schulungen: Sicherstellung, dass natürliche Personen, die Zugang zu den Daten haben ausreichend geschult sind, diese Daten nur auf Anweisung des Verantwortlichen verarbeiten und dass jene zum Stillschweigen verpflichtet sind.

Im Falle von Verletzungen (Datendiebstahl, Sicherheitsleck udgl. „data breach“) hat umgehend eine Meldung an die Datenschutzbehörde zu ergehen mit den in Art 33 vorgeschriebenen Informationen (der Auftragsverarbeiter sollte diesbezüglich vertraglich zur umgehenden Meldung an die DSK, an die Verantwortlichen sowie den DS-Beauftragten angehalten werden; Außerdem sollte eine entsprechende Dokumentation der Verletzung erfolgen und es müssen Maßnahmen getroffen werden und diese an die DSK gemeldet werden).

Bei besonders schweren Verletzungen (sensible Daten: Religionszugehörigkeit, Bankdaten udgl.) – diese liegen insbesondere dann vor, wenn für die Persönlichkeits- Vermögens- bzw. sonstige Rechte des Betroffenen ein besonders hohes Risiko besteht – hat der Verantwortliche direkt auch den/die Betroffenen zu informieren.

10 Jedes Unternehmen, das eine Lohnverrechnung und/oder Kundendateien führt, benötigt ein Verarbeitungsverzeichnis, da die Verarbeitung nicht nur gelegentlich erfolgt.

D A T E N S C H U T Z – F O L G E N A B S C H Ä T Z U N G und K O N S U L T A T I O N

Lediglich vorzunehmen, sofern voraussichtlich ein hohes Risiko für die Rechte und Freiheiten natürlicher Personen zu erwarten ist. (ME im Immobilienbereich nicht notwendig. Für Töchter, die einen Versicherungsbetrieb führen, könnte dies relevant sein! – auch wenn Drittstaats-Töchter Leistungen an EU-Bürger erbringen)

– Systematische und umfassende Bewertung der Risiken,
– Umfangreiche Verarbeitung von sensiblen Daten und Daten von Kindern,
– Systematische und umfangreiche Überwachung öffentlich zugänglicher Bereiche, DSK hat Listen zu entwickeln, welche Verarbeitungsvorgänge einer Folgeabschätzung bedürfen (bis dato noch nicht erstellt);

D A T E N S C H U T Z B E A U F T R A G T E R:

Nur notwendig, wenn

– Verarbeitung von einer Behörde erfolgt,
– Kerntätigkeit in der Verarbeitung von Daten liegt, welche umfangreiche, regelmäßige und systematische Überwachung von Betroffenen erforderlich machen (Videoüberwachung),
– Bei Verarbeitung von sensiblen Daten und Daten von Kindern oder Daten über strafrechtliche Verurteilungen

Unternehmensgruppe darf gemeinsamen DS-Beauftragten benennen, sofern dieser von jeder Niederlassung leicht erreicht werden kann. Dieser ist in der Wahrnehmung weisungsfrei und berät und informiert die die höchste Führungsebene.

D A T E N Ü B E R M I T T L U N G an D R I T T S T A A T E N:

Kommission erklärt (Angemessenheitsbeschluss) Drittländer, welche über ausreichende Datenschutzmaßnahmen verfügen, zu „sicheren“ Staaten und kann diesfalls eine Übermittlung in solche Länder ohne weitere Hürden erfolgen.

Fehlt ein solcher Angemessenheitsbeschluss, dann ist eine Übertragung möglich, wenn der Verantwortliche geeignete Garantien vorgesehen hat, welche gewährleisten, dass Betroffene ihre Rechte aus der DSGVO durchsetzen können. Dies ist der Fall, wenn

– Interne und verbindliche Datenschutzvorschrift gem. Art 47 DSGVO: Die DSK kann verbindliche, interne Datenschutzvorschriften genehmigen, sofern diese für alle Konzernmitglieder (sowie Mitarbeiter) verbindlich sind und diese den Betroffenen der VO vergleichbare Durchsetzungsmöglichkeiten zur Verfügung stellen (formell vorgeschriebener Inhalt aus Art 47 Abs. 2 DSGVO zu entnehmen);
– Standardklauseln der Kommission verwendet wurden;
– Zertifizierung oder gem. Art 40 DSGVO genehmigte Verhaltensregeln (von Verbänden und Zusammenschlüssen aufgestellte und von der DSK genehmigte Regelungen – für die „Immogruppe“ nicht relevant);