Liebe CareOrganise Community,
aus aktuellem Anlass widmet sich dieser Newsletter der Datenschutzgrundverordnung, im Speziellen dem auch für Agenturen der 24-Stunden-Betreuung verpflichtenden Verarbeitungsverzeichnis und wie CareOrganise Sie bei der Einhaltung der DSGVO unterstützen kann.

Die DSGVO regelt EU-weit die Rechte der Bürger in Bezug auf ihre personenbezogenen Daten, also das Recht auf Datenschutz von uns allen. Die Einhaltung der DSGVO in einem Unternehmen ist aber mitunter ein komplexer Prozess. Daher möchten wir gerne unsere Erkenntnisse und Erfahrungen an Sie weitergeben.

Bevor wir uns näher mit dem eigentlichen Thema dieser Ausgabe beschäftigen, vorab eine kurzer Leitfaden zur Herangehensweise, um als Unternehmen DSGVO fit zu werden:

Vorgehensweise
  1. Fact-Finding - Finden Sie Ihre zu schützenden personenbezogenen Daten. Starten kann man dabei gut mit folgenden Personengruppen: Mitarbeiter, Interessenten/Kunden, Lieferanten, Bewerber/Betreuer und sonstige Kontakte.
  2. Datenerhebung - Ermitteln Sie alle Datenanwendungen in Ihrem Unternehmen - hierzu eignet sich z.B. eine Mindmap, mit der auch diese Anwendungen mit den Datenkategorien in Verbindung gebracht werden können.
  3. Erstellung - Erstellen Sie ein Verarbeitungsverzeichnis Ihrer Datenanwendungen.
  4. Abschätzung - Führen Sie eine Abschätzung des Risikos der einzelnen Datenanwendungen durch. Hierbei sind die Erwägungsgründe der DSGVO hilfreich.
  5. RFAS - Gegebenenfalls erstellen Sie eine Risiko-Folgenabschätzung und definieren Sie die technischen wie organisatorischen Maßnahmen zur Minimierung von Risiken.
  6. Prozesse - Etablieren Sie Prozesse in Ihrem Unternehmen, beispielsweise wie der Umgang mit den Rechten der Betroffenen geregelt ist oder was im Falle einer Datenschutzverletzung zu tun ist.

Der Artikel 30 der DSGVO verpflichtet Unternehmen zum Führen eines Verzeichnisses von Verarbeitungstätigkeiten und hält so Einzug in das unternehmerische Geschehen. Das Verarbeitungsverzeichnis dient der Transparenz über die Verarbeitung personenbezogener Daten und der rechtlichen Absicherung des Unternehmens. Des Weiteren dient es dem betrieblichen Datenschutzbeauftragten sowie der Aufsichtsbehörde zur Erfüllung ihrer Aufgaben.

Zweck des Verarbeitungsverzeichnis ist es, gegenüber der Aufsichtsbehörde den Nachweis zu erbringen, dass die Vorschriften der DSGVO vom Verantwortlichen eingehalten werden. Dies entspringt der generellen Verpflichtung des Verantwortlichen, mit der Aufsichtsbehörde zusammenzuarbeiten. Die Aufsichtsbehörde in Österreich ist die Datenschutzbehörde.

Wer muss das Verarbeitungsverzeichnis erstellen?

Das Verarbeitungsverzeichnis wird vom Verantwortlichen erstellt und regelmäßig gepflegt. Ein interner oder externer Datenschutzbeauftragter kann bei der Erstellung eine beratende Rolle spielen. An dieser Stelle sei auf einen möglichen Interessenkonflikt des Datenschutzbeauftragten hingewiesen. Der Firmeninhaber oder der IT-Leiter kann nicht objektiv als Datenschutzbeauftragter fungieren. Der Datenschutzbeauftragte muss unabhängig sein.

Wer kann Einsicht in das Verarbeitungsverzeichnis nehmen?

Die DSGVO sieht weder die Möglichkeit zur Einsichtnahme für Jedermann noch eine Meldepflicht der Verfahren für Unternehmen vor. Allerdings ist der Aufsichtsbehörde das Verarbeitungsverzeichnis auf Anfrage zur Verfügung zu stellen.

Wie kann ein Verarbeitungsverzeichnis erstellt werden?

CareOrganise als integrierte Lösung bietet bereits jetzt im Administrationsbereich der Applikation einen entsprechenden Excel-Export, welcher als Vorlage herangezogen werden kann.

Die Form zur Erstellung eines Verarbeitungsverzeichnis ist schriftlich zu führen, dies kann elektronisch erfolgen (Art. 30 Abs. 3 DSGVO). Der Umfang, die Art und Weise der Erstellung wird sich stark von der jeweiligen Situation im Unternehmen sowie dem Risiko ableiten und ist wohl im Einzelfall zu beurteilen.

Was sollte ein Verarbeitungsverzeichnis beinhalten?

Ein Verarbeitungsverzeichnis soll darüber Aufschluss geben, welche personenbezogenen Daten wie, von wem verarbeitet werden. Folgende Angaben können als Mindeststandards angesehen werden (siehe dazu auch Art. 30 DSGVO):

  • Name und Anschrift des Verantwortlichen
  • Name und Anschrift des Datenschutzbeauftragten (falls vorhanden)
  • Bezeichnung der Datenanwendung
  • Zweck der Datenanwendung
  • Betroffenengruppe der Datenanwendung
  • eine Kategorisierung der Daten
  • wer ist der Empfänger der Daten (z.B. innerhalb des Unternehmens)
  • erfolgt eine Übermittlung an Drittstaaten
  • welche Löschfristen gibt es
  • welche technischen und organisatorischen Maßnahmen gelten für diese Datenanwendung

CareOrganise bietet ideale Voraussetzungen, um Ihr Geschäftsmodell einfach, professionell und sicher abzuwickeln und auch dem geforderten Datenschutz Rechnung zu tragen. Wir bei CareOrganise sehen unsere Kerntätigkeit darin, Ihnen dies zu ermöglichen. Dabei sind wir nicht nur technisch und inhaltlich auf dem neuesten Stand, sondern belegen diese Kenntnisse auch von externer Stelle. Demnach wurde Herr Roland Bole von der Zertifizierungsstelle Austrian Standards zum Datenschutzbeauftragten nach Art 39 DSGVO zertifiziert.

Referenzen

Nachstehend ein paar nützliche Links, um sich in die Thematik einzulesen:

  • Datenschutzbehörde (offizielle Stelle in Österreich)
  • WKO (allgemeine Muster und Informationen mit Österreichbezug
  • Bitkom (sehr gute Anleitung zum Verarbeitungsverzeichnis)