Vorgehen zur Erstellung des DatenSchutzManagementSystem
[Klicken oder Pfeiltasten zum weiterblättern]
W. Nagy
Mitaberiter im DIT des Niederösterreichischen Landesverbandes
Stand vom 18.5.2018
Inhalt
Empfehlung
Wenn du das erste Mal da bist, ist es eine gute Idee dieses Dokument in der vorgegebenen Reihenfolge durchzugehen.
Willst du es als Nachschlagewerk verweden, kannst du gleich
zum gewünschten Kapitel springen.
Zum Inhaltsverzeichnis kommst du, wenn du den am unteren Bildschirrand befindlichen Link anklickst. Mit den Pfeiltasten kannst du im Dokument navigieren.
Kapitel
Vorbemerkung
… es ist nicht so schlimm wie es aussieht!
Nachdem sich die Verwirrung gelegt hat, ist es nur mehr Arbeit. Eine möglicherweise lästige aber doch durchzuführende Tätigkeit.
In dieser Anleitung stellen wir eine Schritt für Schritt Anleitung zu Verfügung, welche - wie wir hoffen - die Angst vor der Durchführung nehmen soll.
Hinweis: Alle Angaben erfolgen trotz sorgfältigster Bearbeitung ohne Gewähr. Eine Haftung des Bundesverbandes ist ausgeschlossen. Bei allen personenbezogenen Bezeichnungen gilt die gewählte Form für beide Geschlechter!
Hintergrund
Beschreibung
Das Wirksam werden der Datenschutzgrundverordnung (DSGVO) am 25. Mai 2018 erfordert ein Umdenken im Umgang mit den uns zu Verfügung gestellten
Daten. Dem Bürger soll die Hoheit über seine Daten wieder gegeben werden.
Wir könnten den Standpunkt einnehmen "Wo kein Kläger da kein Richter". Dieses Verhalten wird über kurz oder lang zu Schwierigkeiten führen.
Neben den rein administrativen Notwendigkeiten (Formulare) ist das Führen eines Verzeichnis der Verarbeitungstätigkeiten (=VdV) der in der Organisation vorhandenen Datebeständen die wichtigste Aufgabe.
Dies Abhandlung beschreibt ein mögliches Vorgehen bei der Erfassung der Verarbeitungstätigkeiten.
Begriffe - Instution
Zuerst müssen wir ein paar Begriffe klären...
Institution
Eine Organisation, welche Daten besitzt/verarbeitet.z.B.:
- eine Pfadfindergruppe
- angeschlossene Gilde (gilt als eigener Verein)
- Freundeskreis der Pfadfindergruppe
Begriffe- Verantwortliche
Verantwortliche
Eine oder mehrere Personen, welche für die konkrekte Anwendung der DSGVO vorantwortlich sind.
Es kann zwischen verschiedenen Verantwortungsbereichen unterschieden werden.- Gesamtverantwortlich
- Datenschutzbeaurtragter1
- Inhaltliche Leitung
- Technische Leitung
- Dokumentationsbeauftragter
- Sonstige Verantwortliche
1Ist nur unter besonderen Umständen zu besetzten! Details sind in der DSGVO Abschnitt 4 Artikel 38 (Stellung) und 39 (Aufgaben) zu finden oder hier im Überblick der WKO.
Begriffe- Verarbeitung
Verarbeitung
... ist ein Verfahren, welches perönliche Daten verwendet. Dabei ist es egal, ob es sich um eine elektronsiche oder anloge Anwendung handelt.
Hinweis: Auch ein Excel oder eine in Word erfasst Liste mit Namen und Adresse ist ein Verfahren!Informationen über eine Verarbeitungstätigkeit:
- Namen und Kennung der Anwendung
- Betroffene Personenkreise und wenn, wie haben diese eingewilligt
- Wie, mit welchen Zweck und mit welchen rechtlichen Hintergrund wurden die Daten erhoben
- Wurden die Daten im Auftrag oder Eigenintresse erhoben
- Sind Auftragsverarbeiter und/oder Drittstaaten betroffen
- geplante Löschung
- Prüftermine
Begriffe - Datenkategorie
Datenkategorie
Zusammenfassung von einzelnen Datenfelder zu einfach handhabbaren Oberbegriffen.
Beispiel:- Vor- Nachname und Titel ☛ Name
- Straße, Hausnr., Postleitzahl, Ort ☛ Adresse
- E-Mail, Telefon, twitter ☛ Kommunikation
- Gebdat., Landesverband, Gruppe, Stufe, Abzeichen, Ehrenzeichen,… ☛ Stammdaten
Begriffe - Personenkategorien
Personenkategorien
Zusammenfassung von betroffenen Personen zu einfach handhabaren Oberbegriffen/Gruppen.
Beispiel:- Kinder, Jugendliche, Leiter, Elternrat ☛ Mitglieder
- Empfänger von Newsletter, Werbematerial ☛ Interessenten
- Eltern, Großeltern ☛ Notfalladressen
- Gruppenleiterin, Gruppenleiter ☛ Gruppenleitung
Vorgehen
1 Beschreibe die Institution
Überlege welche Institutionen du bearbeiten möchtest.
- erfasse Name und Anschrift
- definiere die Verantwortlichkeiten
- lege fest, wann und durch wen die nächste Gesamtprüfung erfolgen soll
Vorgehen
2 Verabeitungen
Überlege, welche personebezogene Daten werden verarbeitet.
Beispiel:- Mitgliederlisten
- Newsletter Empfänger
- Liste von Interessenten
- Zahlungseingänge (Buchhaltung)
- Gruppenratsmitglieder
- Stufenteams
- …uvam.
Hinweis: achte darauf, dass der Namen von einer außenstehenden Person (Behörde) erkannt werden muss. z.B. Stufenteam GUSP ☛ Jugendbetreuerteam für 11 - 13 jährige Kinder.
Vorgehen
3 Daten und Personenkategorien
Überlege, welche Personenkreise sind betroffen.
- Kinder, Jugendliche
- Eltern/Erziehungsberechtigte
- Bei Notfall zu Verständigen
- Bürgermeister, Gemeinderatsmitglieder
- Öffentlichkeit
… definiere welche Datenkategorien (siehe Seite 7) werden für jede Personengruppen (siehe Seite 8) gespeichert.
Vorgehen
4 Eintragen in das VdV
Egal welche Methode du zur Erstelltung des Verzeichnis der Verarbeitungstätigkeiten verwendest. Das Onlinetool, eine Excel-Tab, ein Worddokument.
- Trage die Informationen in das Verzeichnis ein
- Achte darauf, dass du das Verzeichnis griffbereit hast
- Halte das VdV immer aktuell
Zum Schluss
Fertig
Nur durch frische Tätigkeit sind die Widerwärtigkeiten zu überwinden.
Johann Wolfgang von Goethe
An einem periodisch wiederkehrenden Anlass, z.B.: Kassaprüfung, Generalversammlung, etc. führe gleich die Prüfung des Verzeichnis der Verarbeitungstätigkeiten durch. Auch im kleineren Rahmen gibt es für die praktische Anwendung des Gesetzes noch viele offene Fragen. Der Text lässt zahlreiche Interpretationsspielräum offen, zudem dürfte die Umsetzung im Alltag weitere Graubereiche zutage treten lassen. Die Unsicherheiten reichen dabei von Kategorisierungsfragen bis hin zu praktisch-technischen Aspekten. Ungeachtet dessen gelte es laut Herget und Janusch derzeit, sich vorzubereiten. Für Unternehmen sei derzeit der größte „Fallstrick, nichts zu tun“. [Quelle: http://orf.at/stories/2417552/2417551/]
Stand vom 18.5.2018