DSGVO für Werkstatt 
Ab 25.05.2018 gilt die DSGVO!
(ohne weitere Schonfrist)
In diesem Artikel möchten wir die wichtigsten Fragen zur EU-DSGVO (EU Datenschutz-Grundverordnung) bzw. EU-GDPR (EU General Data Protection Regulation) klären und haben die Informationen der Wirtschaftskammer Österreich zusammengetragen!
Timer seit Gültigkeit der DSGVO
Neuerungen durch die DSGVO
Eckdaten zur DSGVO?
- neue Rechtsgrundlage in der EU bzw. in Österreich durch die Datenschutzgrundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG) idF Datenschutzanpassungsgesetz 2018
- gültig ab 25. Mai 2018 – keine Übergangsfristen
- Ziel: einheitliches Datenschutzrecht in der EU (Beachten: Öffnungsklauseln für Mitgliedsstaaten)
Wer ist von der DSGVO betroffen?
Eigentlich ist sicherlich jede Werkstatt / jedes Autohaus bzw. jeder Betrieb betroffen, da jeder Betrieb in irgendeiner Art und Weie personenbezogene Daten verarbeitet und speichert!
- JEDER, der Daten nicht zu privaten Zwecken verarbeitet, d.h. Unternehmen, Vereine, öffentlicher Bereich (Behörden, öffentliche Stellen, Ministerien, etc.)
- Eigenverantwortung im Mittelpunkt (Beweislast)
- Rechtsgrundlage für jede Verarbeitung (z.B. Einwilligung, Gesetz, etc.)
- sehr hohe Strafen (bis Euro 20 Mio. bzw. 4 % des weltweiten Unternehmens-Umsatzes)
Was ist von der DSGVO betroffen?
Grundsätzlich die Verarbeitung und Speicherung personenbezogener Daten!
- Verarbeitungen von personenbezogenen Daten (z.B. Kundenverwaltung, Mitarbeiter, etc.)
- automatisierte oder nicht automatisierte Datenverarbeitung „Speicherung“ in Dateisystemen (z.B.: auch handgeschriebene Werkstattkarten können betroffen sein)
- Verarbeitung muss bestimmten datenschutzrechtlichen Grundsätzen entsprechen (wie Vertraulichkeit, Integrität, Datensicherheit, etc.)
- Sie benötigen einen Grund um personenbezogene Daten zu speichern!
Wo gilt die DSGVO?
In der Europäischen Union oder wenn personenbezogene Daten von Betroffenen mit Sitz in der EU verarbeitet werden!
Was sind Betroffenenrechte?
Die Betroffenen, von denen personenbezogene Daten gespeichert werden, haben besondere Rechte!
Wer trägt die Verantwortung?
Wer ist Verantwortlicher & wer Auftragsverarbeiter!
- Art 4 Z 7 DSGVO „Verantwortlicher“ = natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet.
- Art 4 Z 8 DSGVO „Auftragsverarbeiter“ = natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen bearbeitet
Der Ablaufplan für die Kfz/Nfz Werkstatt!
Aufgabe 1 - Informationen einholen
Am besten holen Sie sich möglichst viele Informationen und erweitern Ihren Wissensstand über die DSGVO.
Die Wirtschaftskammer Österreich bietet Workshops und andere Informationen/Leistungen zur DSGVO an.
Nutzen Sie diese Leistungen, immerhin bezahlen Sie auch Ihren jährlichen Mitgliedsbeitrag und dadurch sollten Sie auch von den nützlichen Leistungen Gebrauch machen!
Aufgabe 2 - Personen festlegen
Es sollte jemanden in Ihrem Unternehmen geben der sich mit dem Thema "DSGVO" vertraut macht und die internen Prozesse Ihrer Werkstatt gut kennt.
Bitte beachten Sie hierbei, die Verantwortung und Haftung trägt immer der Unternehmer selbst.
Prüfen Sie genau ob Sie einen Datenschutzbeauftragten benötigen oder nicht. Ein Datenschutzbeauftragter genießt den Kündigungsschutz und man bekommt diesen somit nur schwer aus dem Unternehmen, gleich wie bei einem Betriebsrat. Daher ist es sehr Ratsam dies gut durchdacht zu entscheiden und zu prüfen ob dieser wirklich notwendig ist und ob es nicht vielleicht einen passenden externen Dienstleister hierfür gibt.
Wenn Sie keinen Datenschutzbeauftragen benötigen, nennen Sie den vertrauten Mitarbeiter einfach Datenschutz-Manager oder der gleichen. Dieser sollte dann auch nicht als Datenschutzbeauftragter bezeichnet werden.
Die Haftung und Verantwortung trägt in jedem Fall der Geschäftsführer des Unternehmens!
Aufgabe 3 - Erhebung vom aktuellen Status
Ein Verarbeitungsregister (Verzeichnis/Liste) ist Teil der DSGVO und muss bis 25.05.2018 erstellt sein.
Um gut vorbereitet zu sein empfiehlt es sich, diesen Ablaufplan durchzuführen und ein Verarbeitungsregister zu erstellen. Hierzu müssen Sie alle Abläufe, Systeme und Stellen wo Sie personenbezogene Daten verarbeitet und/oder speichern aufgelistet werden.
Dieses Verarbeitungsregister kann z.B.: Name, Adresse, Geburtsdatum, Bankdaten, etc. und was mit diesen Daten passiert und in welchen Systemen (z.B.: WERBAS) dies geschieht und wieso (Zweck) dies geschieht.
Folgende Fragen müssen Sie sich stellen:
Einige der Informationen haben wir der Seite der Wirtschaftskammer entnommen und diese direkt mit den Zielseiten der Wirtschaftskammer verknüpft. Bei weiteren Fragen stehen wir Ihnen aber natürlich jederzeit gerne zur Verfügung.
- Welche personenbezogene Daten werden verarbeitet?
- Welche Datenanwendungen bestehen?
- Welche Standardanwendungen liegen derzeit vor?
- Welche Datenanwendungen sind derzeit im DVR registriert?
- Wird eine Bildverarbeitung (z.B. Videoüberwachung) durchgeführt?
- Erfolgt profiling?
- Müssen Ihre AGB, Datenschutzerklärungen, Impressum, laufende Verträge, Website-Einstellungen, etc. angepasst werden?
- Was sind die Zwecke meiner Datenverarbeitungen?
- Was ist die Rechtsgrundlage der Datenverarbeitung? z.B.: Rechnungsaufbewahrung durch anderes Gesetz wird die DSGVO ausgehoben.
- Welche sensiblen Daten werden verarbeitet? (z.B: sexuelle Vorlieben, usw.)
- Werden Kindern Dienste der Informationsgesellschaft angeboten?
- Werden Auftragsverarbeiter (derzeit „Dienstleister“) herangezogen?
- Wie werden die Informationspflichten (nach der DSGVO) erfüllt?
- Wie werden die Betroffenenrechte (nach der DSGVO) erfüllt?
- Welche Datensicherheitsmaßnahmen sind vorhanden?
- Wie ist privacy by design/privacy by default implementiert?
- Besteht für meine Datenverarbeitungen Dokumentationspflicht und wie wird diese erfüllt?
- Welche Vorkehrungen gegen Datenschutzverletzungen existieren schon in meinem Unternehmen?
- Ist für meine Datenverarbeitungen eine Datenschutz-Folgenabschätzung durchzuführen?
- Ist eine vorherige Konsultation bei der Aufsichtsbehörde notwendig?
- Brauche ich einen Datenschutzbeauftragten?
- Welcher Datenverkehr mit dem EU-Ausland besteht und auf welcher Rechtsgrundlage?
- Besonderheiten Arbeitnehmerdatenschutz
- Wie weise ich nach, dass meine Datenverarbeitungen DSGVO-konform (siehe dazu „Pflichten des Verantwortlichen“ und „Grundsätze und Rechtmäßigkeit der Verarbeitung“) erfolgen? (z.B. Dokumentation der Einwilligungserklärungen, Verarbeitungsverzeichnis, Dokumentation der ergriffenen Sicherheitsmaßnahmen, Dokumentation der Risikoabschätzung, Protokollierung oder Dokumentation der Weisungen an dem Verantwortlichen oder dem Auftragsverarbeiter unterstellte Personen, Dokumentation der Verpflichtung der Mitarbeiter des Auftragsverarbeiters zur Vertraulichkeit, etc)
- Rechtsdurchsetzung und Strafen: Rechtsbehelfe, Haftungen und Sanktionen
Aufgabe 4 - Umstellungsplan erstellen
Wenn Sie Ihr Verarbeitungsverzeichnis erstellt haben und alle Informationen zusammengetragen haben, sollten Sie einen Maßnahmenplan erstellen.
Dieser Maßnahmenplan sollte festhalten welche Risiken es gibt, wie und wann diese geschlossen werden können oder das Risiko minimiert werden kann.
Daher gilt folgendes:
Was ist bei einem Data-Breach (Datenleck) zu tun
Alle Data-Breaches müssen sofort 'spätestens nach 72 Stunden' der Aufsichtsbehörde gemeldet werden.
Hierzu sollten Sie im Ablaufplan auch einen Punkt dokumentieren, wie Sie bemerken das Datenverlust stattgefunden hat und welche Maßnahmen dann zu setzen sind.
DSGVO in WERBAS
WERBAS biete die Möglichkeit verschiedene Formulare einzubinden und auch die Datenweitergabe und Datenschutz direkt im System zu hinterlegen.
Durch das Protokoll ist in WERBAS gewährleistet, dass alle Änderungen eingesehen werden können. Somit können alle Änderungen nachverfolgt werden und auch die Löschung der Daten ist in WERBAS kein problem. WERBAS entspricht somit der DSGVO und bietet nützliche Tools zur Umsetzung.
Bitte beachten Sie das WERBAS nur einen kleinen Teil der DSGVO ausmacht. Grundsätzlich gilt, dass ca. 70% mit Dokumentation und ca. 30% mit IT-Systemen abgedeckt werden können.
Dokumentation, Protokollierung und Maßnahmenplan
IT Systeme (z.B.: Firewall, Antivirus, usw.)
Die RB-Power GmbH und WERBAS AG übernehmen keine Gewähr für die Richtigkeit der Angaben. Weiters weißen wir ausdrücklich daraufhin dass alle Kunden selber für die DSGVO verantwortlich und zuständig sind und wir die Kunden nur dabei unterstützen können.
Fragen & Informationen?
Sie haben Fragen zu einem unserer News-Beiträge oder benötigen Auskünfte darüber?