Transcription of Kompakte Checkliste zur Umsetzung der …
1 Impressum: Medieninhaber, Herausgeber und Hersteller: Verein sterreichischer betrieblicher und beh rdlicher Datenschutzbeauftragter , ZVR-Zahl 061847005, Wien, Kompakte Checkliste zur Umsetzung der Datenschutz-Grundverordnung (VO [EU] 2016/679) Version: Stand: September 2017 Kompakte Checkliste zur Umsetzung der DSGVO Seite 2 von 18 Verein sterreichischer betrieblicher und beh rdlicher Datenschutzbeauftragter Arbeitskreis Datensicherheit, Version , Stand: September 2017 Vorwort des Vereinsvorstands Liebe Leserin, lieber Leser, der Verein sterreichischer betrieblicher und beh rdlicher Datenschutzbeauftragter freut sich, diese Kompakte Checkliste in einer berarbeiteten Version zur Verf gung stellen zu k nnen.
2 Unser Ziel ist es, diese Umsetzungshilfe aktuell zu halten. In der vorliegenden Version wurde das sterreichische Datenschutz-Anpassungsgesetz 2018 entsprechend ber cksichtigt. Besonderer Dank f r die Ausarbeitung geb hrt dabei unserem Arbeitskreis Datensicherheit und allen beteiligten Vereinsmitgliedern. Frei nach dem Motto Von Mitgliedern f r Mitglieder (und dar ber hinaus) ist hier in kurzer Zeit eine bersichtliche Praxishilfe entstanden. Die vorliegende Checkliste ist in drei Phasen unterteilt und beschreibt die wichtigsten Inhalte der DSGVO. Mit dieser Checkliste erhalten Sie einen Leitfaden, um die Herstellung der Compliance Ihrer Organisation hinsichtlich DSGVO einzuleiten und die bersicht ber das Umsetzungsprojekt zu behalten.
3 Wir d rfen darauf hinweisen, dass diese Checkliste nur die wichtigsten Inhalte der DSGVO in kompakter und bersichtlicher Form zusammenfasst und keinen Anspruch auf vollst ndige Ber cksichtigung aller Bestimmungen der DSGVO bzw. der nationalen Datenschutzbestimmungen erhebt. Die in diesem Dokument verwendeten Begriffe entsprechen jenen Definitionen, wie sie in der DSGVO verwendet werden. Abk rzungen sind im Abschnitt Abk rzungen definiert. hofft, dass die vorliegende Checkliste viele Verantwortliche und Auftragsverarbeiter bei der Umsetzung der Anforderungen der DSGVO unterst tzen kann, wir haben diese daher unter eine CC BY-NC-SA gestellt.
4 Anregungen und konstruktive Kritik nehmen wir gerne unter entgegen, aktuelle Datenschutz-News finden Sie auf unserer Homepage: Der Vereinsvorstand Disclaimer: S mtliche Inhalte wurden mit gr tm glicher Sorgfalt zusammengestellt, erfolgen jedoch ohne Gew hr. Sie stellen keine Beratungsleistung welcher Art auch immer dar und k nnen eine entsprechende Beratung nicht ersetzen. Insbesondere deswegen wird keine Haftung hinsichtlich Richtigkeit, Vollst ndigkeit und Aktualit t der Informationen (einschlie lich des Verweises auf andere Quellen) bernommen. Der Verein sterreichischer betrieblicher und beh rdlicher Datenschutzbeauftragter und die Verfasser schlie en jegliche Haftung aus, sei es aus Vertrag, Delikt (inklusive Fahrl ssigkeit) und / oder jeder anderen Rechtsgrundlage, f r Verluste oder Sch den, einschlie lich entgangenen Gewinns oder sonstiger direkter oder indirekter Folgesch den, welche durch den Gebrauch oder das Vertrauen in die in dieser Unterlage zur Verf gung gestellten Informationen oder einer etwaigen Nichtber cksichtigung bestimmter Informationen entstehen.
5 Dieses Werk ist lizenziert unter einer Creative Commons Namensnennung - Nicht-kommerziell - Weitergabe unter gleichen Bedingungen International Lizenz: Kompakte Checkliste zur Umsetzung der DSGVO Seite 3 von 18 Verein sterreichischer betrieblicher und beh rdlicher Datenschutzbeauftragter Arbeitskreis Datensicherheit, Version , Stand: September 2017 Abk rzungen o BMI: sterreichisches Bundesministerium f r Inneres o BSI IT-Grundschutz: Der vom deutschen Bundesamt f r Sicherheit in der Informationstechnik entwickelte IT-Grundschutz erm glicht es, notwendige Sicherheitsma nahmen zu identifizieren und umzusetzen o CERT: Ein Computer Emergency Response Team (CERT; Deutsch Computersicherheits-Ereignis- und Reaktionsteam ) ist eine Gruppe von EDV-Sicherheitsfachleuten, die bei der L sung von IT-Sicherheitsvorf llen als Koordinator mitwirkt bzw.
6 Sich ganz allgemein mit Computersicherheit befasst. o CISO: Informationssicherheitsbeauftragter (Chief Information Security Officer) o DSB: Datenschutzbeauftragter o DSG: Bundesgesetz zum Schutz nat rlicher Personen bei der Verarbeitung personenbezogener Daten (Datenschutzgesetz DSG) idF BGBl I 120/2017 o DSGVO: Verordnung (EU) 2016/679 des Europ ischen Parlaments und des Rates vom 27. April 2016 zum Schutz nat rlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), ABl L 119 vom , 1 88 (LINK zum Volltext inklusive Berichtigung vom ) o DSMS: Datenschutz-Managementsystem o FMA: Finanzmarktaufsicht o ISMS nach ISO/IEC 27001: Ein Informationssicherheits-Managementsystem ist eine Aufstellung von Verfahren und Regeln, um die Informationssicherheit zu steuern, zu kontrollieren, aufrechtzuerhalten und fortlaufend zu verbessern.
7 Die international anerkannte Norm ISO/IEC 27001 spezifiziert die Anforderungen f r Einrichtung, Umsetzung und Aufrechterhaltung eines dokumentierten ISMS. o ISO/IEC 31000: Internationale Norm Risk Management - Principles and Guidelines welche Risikomanagement in alle Unternehmensaktivit ten integriert o ITIL: Die IT Infrastructure Library (ITIL) ist eine Sammlung vordefinierter Prozesse, Funktionen und Rollen, wie sie typischerweise in jeder IT-Infrastruktur mittlerer und gro er Unternehmen vorkommen o KVP: Kontinuierlicher Verbesserungsprozess o NIS-Richtlinie: Richtlinie (EU) 2016/1148 des Europ ischen Parlaments und des Rates vom 6. Juli 2016 ber Ma nahmen zur Gew hrleistung eines hohen gemeinsamen Sicherheitsniveaus von Netz- und Informations-systemen in der Union, ABl L 194 vom , 1 30 (LINK zum Volltext) o pb Daten: Personenbezogene Daten (siehe die Definition in Art 4 Z 1 DSGVO) o RTR: Die Rundfunk- und Telekom Regulierungs-GmbH unterst tzt die Kommunikationsbeh rde Austria und die Telekom-Control-Kommission bei der Erf llung ihrer Aufgaben als deren Gesch ftsstelle und nimmt verschiedene Aufgaben, insbesondere in den Bereichen Telekommunikation und Medien wahr o TOM: Technische und Organisatorische Ma nahme zur Erf llung der Sicherheits- und Schutzanforderungen o Verfahrensverzeichnis: Verzeichnis von Verarbeitungst tigkeiten gem.
8 Art. 30 DSGVO Kompakte Checkliste zur Umsetzung der DSGVO Seite 4 von 18 Verein sterreichischer betrieblicher und beh rdlicher Datenschutzbeauftragter Arbeitskreis Datensicherheit, Version , Stand: September 2017 Inhaltsverzeichnis Abk rzungen .. 3 Inhaltsverzeichnis .. 4 Phase 1: Vorbereitung .. 5 Management Awareness bilden .. 5 Projektauftrag f r Umsetzungsprojekt einholen (Management Commitment einholen) .. 5 Ben tigte Ressourcen bereitstellen .. 5 Schl sselpersonal initial schulen .. 6 Pr fen, ob Datenschutzbeauftragter (DSB) notwendig ist .. 6 Phase 2: Umsetzung .. 7 Verarbeitungst tigkeiten identifizieren .. 7 Verfahrensverzeichnis erstellen .. 7 Datenschutz-Folgenabsch tzung pr fen und ggf. durchf hren.
9 8 Einhaltung der Datenschutz-Grunds tze 9 Datensicherheitsma nahmen (TOMs) umsetzen .. 9 Rechte der betroffenen Personen wahren .. 11 Einwilligungsprozess einf hren .. 11 Informationspflichten einf hren .. 12 Auftragsverarbeiter-Rahmenbedingungen sicherstellen .. 13 Data Protection by Design / Data Protection by Default sicherstellen .. 13 Data Breach-Prozess einf hren .. 14 Die Aufgaben des Datenschutzbeauftragten (DSB) .. 15 Datenschutz-Policy erstellen .. 15 Mitarbeiter schulen .. 16 Daten bermittlung (EU / international) .. 16 Phase 3: Laufende T tigkeiten .. 17 Verfahrensverzeichnis aktualisieren .. 17 Audits durchf hren .. 17 Kontakt mit Beh rden und betroffenen Personen pflegen .. 18 KVP des Datenschutz-Managementsystems (DSMS) sicherstellen.
10 18 Kompakte Checkliste zur Umsetzung der DSGVO Seite 5 von 18 Verein sterreichischer betrieblicher und beh rdlicher Datenschutzbeauftragter Arbeitskreis Datensicherheit, Version , Stand: September 2017 Phase 1: Vorbereitung Management Awareness bilden in Arbeit erledigt Beschreibung Das Management soll auf das Thema Datenschutz aufmerksam gemacht werden, da Management-Support f r die erfolgreiche Umsetzung der DSGVO zwingend notwendig ist. Zielsetzung Bewusstsein im Management erzeugen, dass die Umsetzung der DSGVO-Inhalte vielseitigen Mehrwert wie positive Reputation, erh hte Marktchancen usw. bietet Haftungsrisiken im Falle von Verst en reduzieren T tigkeiten Awareness-Veranstaltung mit dem Management Skizzierung der f r Datenschutz notwendigen Inhalte und Ma nahmen gem dieser Checkliste Vorschlag f r die Implementierung eines DSMS Aufzeigen von Synergie-M glichkeiten (ISMS nach ISO/IEC 27001, DSMS, NIS-Richtlinie, ITIL usw.)
