Was Gemeinden tun müssen um DSGVO-fit zu werden.

Am 25. Mai 2018 tritt die Datenschutzgrundverordnung (DSGVO) in Kraft. Mit dieser EU-weit geltenden Verordnung wird der Datenschutz innerhalb der Union auf ein neues Level gehoben. Weiters tritt zum gleichen Zeitpunkt das österreichische Datenschutzgesetz (DSG) in Kraft. Was diese neuen Gesetze für Gemeinden bedeuten und was zu tun ist um auch nach dem 25. Mai 2018 noch gesetzeskonform zu arbeiten, lesen Sie im folgenden Artikel.

Die Datenschutzgrundverordnung (DSGVO)

Die DSGVO ist eine EU-Verordnung und somit unmittelbar in jedem Mitgliedsstaat gültig. Ab 25. Mai 2018 müssen alle Unternehmen, Vereine, Körperschaften und Behörden (mit wenigen Ausnahmen im Bereich der Justiz) die neuen Bestimmungen einhalten. Die DSGVO umfasst 173 Erwägungsgründe und 99 Artikel. Im folgenden Link finden Sie den Gesetzestext zur DSGVO.

Zielsetzungen der DSGVO sind
• einheitlicher Rechtsschutz für alle Betroffenen in der EU
• einheitliche Regeln für die Datenverarbeitung innerhalb der EU
• Gewährleistung eines starken und einheitlichen Vollzuges

Was müssen Sie beachten um DSGVO-konform zu arbeiten?

Personenbezogene Daten
Zu allererst müssen Sie sich einen Überblick über die gespeicherten und verarbeiteten personenbezogenen Daten machen die bereits am Gemeindeamt existieren. Oft werden diese Daten in einigen verschiedenen EDV-Programmen (z.B. Buchhaltung, E-Mail Programm, Datenbanken, Excel Tabellen,…) und auch noch auf Papier gespeichert. Die DSGVO gilt für die ganz oder teilweise automatisierte Verarbeitung personenbezogener Daten sowie für die nichtautomatisierte Verarbeitung personenbezogener Daten, die in einem Dateisystem gespeichert sind. Eine geordnete Ablage in Ordnern fällt also auch unter diese Verordnung.

Verzeichnis der Verarbeitungstätigkeit
Haben Sie sich einen Überblick verschafft, so müssen Sie ein Verzeichnis der Verarbeitungstätigkeit (kurz Verfahrensverzeichnis) erstellen. Dieses Verfahrensverzeichnis stellt das Herzstück der Dokumentation für die Datenschutzgrundverordnung dar. Darin werden zum Beispiel alle Datenverarbeitungen, die Kategorien der verarbeiteten Daten sowie alle Verarbeitungszwecke und die dazugehörigen technischen und organisatorischen Maßnahmen zum Schutz dieser Daten eingetragen. Ein Muster-Verarbeitungsverzeichnis finden Sie auf der Website der Wirtschaftskammer.

Gemeinden müssen schriftlich ein Verzeichnis aller Verarbeitungstätigkeiten (=Datenanwendungen), die ihrer Zuständigkeit unterliegen, führen. Dieses Verzeichnis hat jedenfalls zu enthalten: seinen Namen und seine Kontaktdaten, Daten eines mit ihm gemeinsamen Verantwortlichen (falls vorhanden), Daten seines Vertreters (falls vorhanden), Daten des Datenschutzbeauftragten falls vorhanden), die Zwecke der Verarbeitung, die Beschreibung der Kategorien betroffener Personen und der Kategorien personenbezogener Daten (= betroffene Personenkreise und Datenarten), Kategorien von Empfängern (einschließlich Empfänger in Drittländern oder internationalen Organisationen); wenn möglich: Löschungsfristen, Beschreibung technischer und organisatorischer Maßnahmen.

Um dieses Verzeichnis erstellen zu können müssen Sie sich allerdings noch mit ein paar Begriffen auseinander setzen:

Verarbeitungszwecke
Gespeicherte Daten dürfen nur zu einem bestimmten Zweck verarbeitet werden. Eine Verarbeitung gespeicherter Daten zu anderen Zwecken ist im Normalfall nicht zulässig.

Technische und organisatorische Maßnahmen (TOM)
Beschreiben Sie alle Maßnahmen die Sie unternehmen um die gespeicherten Daten zu schützen. Dabei geht es sowohl um technische Maßnahmen wie zum Beispiel Firewalls, Virenschutzsoftware oder ähnliches als auch um organisatorische Maßnahmen die einen sicheren Umgang mit den Daten gewährleisten. Folgende Punkte müssen bei den TOMs beachtet werden:

  1. Vertraulichkeit:
  2. Integrität:
  3. Verfügbarkeit und Belastbarkeit:
  4. Pseudonymisierung und Verschlüsselung:
  5. Evaluierungsmaßnahmen:

Rechtsgrundlage der Verarbeitung
Grundsätzlich gibt es ein generelles Verbot personenbezogene Daten zu Verarbeiten. Es ist nur unter bestimmten Voraussetzungen zulässig eine Verarbeitung vorzunehmen. Dazu sind die Rechtsgrundlagen in der DSGVO aufgeführt.

Artikel 6 – Rechtmäßigkeit der Verarbeitung
Die Verarbeitung ist nur rechtmäßig, wenn mindestens eine der nachstehenden Bedingungen erfüllt ist:

a)

Die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben;

b)

die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen;

c)

die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, der der Verantwortliche unterliegt;

d)

die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen;

e)

die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

 

Löschfristen – Löschkonzept
Laut Artikel 5 DSGVO dürfen Daten nur in einer Form gespeichert werden, die die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist. Es ist also ein Löschkonzept zu erstellen, dass die Löschfristen für verschiedene Kategorien von Daten enthält. Weiters sind in diesem Konzept gesetzliche Aufbewahrungsfristen zu berücksichtigen.

Im nächsten Teil der Serie geht es um den Datenschutzbeauftragten.