Teil 1: Datenschutz

Datenschutz ist der Schutz von personenbezogenen Daten vor Missbrauch. Er soll die Grundrechte auf Privatsphäre und informationelle Selbstbestimmung einer jeden natürlichen Person bewahren.

Datenschutz ist wichtig, weil er das Persönlichkeitsrecht und das Image von Menschen und Unternehmen schützt. Datenschutz ist gesetzlich geregelt und muss von allen eingehalten werden.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Dazu gehören beispielsweise Name, Adresse, E-Mail-Adresse, Geburtsdatum, Telefonnummer und IP-Adresse. Kurz gesagt, alles, was es ermöglicht, eine Person direkt oder indirekt zu identifizieren.

Besondere Kategorien:

• Ethnische Herkunft
• Politische Meinungen
• Religiöse oder weltanschauliche Überzeugungen
• Gewerkschaftszugehörigkeit
• Genetische Daten
• Biometrische Daten (zur Identifizierung einer Person)
• Gesundheitsdaten
• Daten zum Sexualleben oder zur sexuellen Orientierung

Diese Daten dürfen nur unter strengen Voraussetzungen verarbeitet werden, zum Beispiel mit ausdrücklicher Einwilligung der betroffenen Person oder wenn sie aus bestimmten rechtlichen Gründen notwendig sind.

Datenschutzgrundverordnung (DSGVO - 2018)

Die DSGVO ist eine EU-Verordnung, die den Schutz personenbezogener Daten innerhalb der Europäischen Union regelt. Sie legt fest, wie Unternehmen und Organisationen Daten verarbeiten dürfen, um die Privatsphäre der Bürger zu schützen.

Österr. Datenschutzgesetz (DSG)

Das DSG ist das nationale Datenschutzgesetz Österreichs. Es ergänzt die DSGVO und regelt spezifische nationale Aspekte des Datenschutzes, insbesondere den Schutz personenbezogener Daten durch Behörden und öffentliche Stellen in Österreich.

Datenschutzbehörde: www.dsb.gv.at

• Grundsätzliches Verbot! (Es sei denn, es liegt eine Erlaubnis vor)
• Datensparsamkeit
• Zweckbindung
• Speicherbegrenzung
• Technische und organisatorische Maßnahmen (TOM)

• Recht auf Information (Auskunftsrecht)
• Recht auf Berichtigung, Löschung, Einschränkung
• Recht auf Datenübertragbarkeit
• Widerspruchsrecht
• Ablehnung von automatisierter Entscheidungsfindung (Profiling)

• Gewährleistung bestmöglicher Datensicherheit 
• Meldung von Datenschutzvorfällen (Data Breaches)

- innerhalb von 72h an die Datenschutz-Behörde
- Meldung an Betroffene (bei hohem Risiko)

• Verarbeitungsverzeichnis und Dokumentation
• Technische und organisatorische Maßnahmen (IT Infrastruktur, Virenschutz)
• Sensibilisierung und Schulung
   

Es besteht Informations- und Dokumentationspflicht
Bei Verstößen können Strafen bis zu 20 Mio. Euro bzw. bei Konzernen bis zu 4% des weltweit erzielten Jahresumsatzes aus dem Vorjahr verhängt werden.

• Vertraulichkeit: Mitarbeiter sind verpflichtet, alle personenbezogenen Daten und vertrauliche Informationen, die im Rahmen ihrer Tätigkeit erhalten, geheim zu halten und nur für dienstliche Zwecke zu verwenden.

• Datensicherheit: Vertrauliche Daten müssen sicher aufbewahrt werden. Dazu gehören sichere Passwörter, der Schutz von Arbeitsgeräten und das Sperren von Bildschirmen bei Abwesenheit.

• Vermeidung von unbefugtem Zugriff: Mitarbeiter dürfen nur auf Daten zugreifen, die sie zur Erfüllung ihrer Aufgaben benötigen, und sind dafür verantwortlich, dass keine unbefugten Personen Zugang zu diesen Informationen haben.

• Datenminimierung: Es sollten nur so viele personenbezogene Daten wie nötig erhoben und verarbeitet werden. Unnötige Datenerhebung und -speicherung ist zu vermeiden.

• Meldung von Datenschutzvorfällen: Jeder Vorfall, bei dem personenbezogene Daten versehentlich oder unbefugt offengelegt werden könnten (z. B. ein verlorenes Gerät oder eine Phishing-Mail), ist sofort an die zuständige Datenschutzstelle im Unternehmen zu melden.

• Schulung und Bewusstsein: Mitarbeiter sollten regelmäßig an Datenschutzschulungen teilnehmen und sich über aktuelle Risiken und Vorschriften informieren.

• Nutzung von IT-Systemen: Mitarbeiter sind verpflichtet, IT-Systeme gemäß den Unternehmensrichtlinien zu verwenden und keine privaten Geräte oder Cloud-Dienste für dienstliche Daten zu verwenden, wenn dies nicht ausdrücklich erlaubt ist.

• Sorgfältiger Umgang mit E-Mails und Dokumenten: Dokumente mit personenbezogenen Daten oder vertraulichen Informationen sollten nicht unbeaufsichtigt auf Druckern liegen bleiben, und E-Mails mit sensiblen Daten sind verschlüsselt zu versenden.

• Datenverarbeitung nur nach Anweisung: Mitarbeiter dürfen personenbezogene Daten nur nach Weisung und im Rahmen der Vorschriften verarbeiten und dürfen keine Daten zu anderen Zwecken verwenden.

• Löschung und Entsorgung: Nicht mehr benötigte Daten und Dokumente sind entsprechend den Löschrichtlinien des Unternehmens sicher zu entsorgen (z. B. Schreddern von Papierdokumenten, sichere Löschung von Dateien).

• Vermeidung von Social Engineering: Mitarbeiter sollten vorsichtig mit verdächtigen Anrufen, E-Mails oder Nachrichten sein und keine vertraulichen Informationen preisgeben, ohne sicherzustellen, dass die Anfrage legitim ist.

• Diskretion in öffentlichen Bereichen: Über vertrauliche Informationen sollte nicht in öffentlichen oder leicht zugänglichen Bereichen gesprochen werden, um Abhörgefahren zu vermeiden.

Eigentum und Handhabung von Daten

Alle Daten – dazu zählen jedenfalls Daten natürlicher und juristischer Personen, Dokumente, Tabellen, Bilder, Videos, Präsentationen, Pläne, Verträge, Verfahren, Programmcodes - die Sie im Zuge ihrer beruflichen Tätigkeit für das Unternehmen aufnehmen, bearbeiten, generieren oder auf die sie Zugriff erhalten sind Eigentum des Unternehmens. Diese Daten dürfen nur im Rahmen der zugeordneten beruflichen Tätigkeit und der geltenden Anweisungen bearbeitet, gespeichert oder an Andere übertragen werden. Jede Übertragung von Daten in ein Land außerhalb der Europäischen Union bedarf der schriftlichen Genehmigung der Geschäftsleitung. Diese konsultiert zusätzlich den Datenschutzbeauftragten.

Ablage und Zugriff auf Daten im Unternehmen

Alle Dokumente sind auf den Firmenservern zu speichern. Ein Speichern von Dokumenten auf lokalen Computern ist nur für ausdrücklich Berechtigte zulässig. Die Dokumente sind so speichern, dass die Geschäftsleitung jederzeit und ohne weitere Hilfe darauf zugreifen kann. Sollten Dokumente auf den Firmenservern verschlüsselt oder durch sonstigen Kennwortschutz gespeichert werden, ist der Schlüssel und der Speicherort der Geschäftsleitung schriftlich bekannt zu geben.

Daten auf Ordnern in lokalen Computern, dazu gehören Ordner wie „Eigenen Dateien“, „Eigene Bilder“, der Desktop aber auch sonstige lokale Ordnerstrukturen werden nicht gesichert.

Daten in gedruckter Form müssen, sofern sie als sensibel oder geheim eingestuft, sind in versperrbaren Aktenschränken aufbewahrt werden.

In diesen Bereichen gibt es u.A. berührungspunkte mit Datenschutz im beruflichen Alltag:

• Verpflichtung von Mitarbeitern zum Datenschutz sowie zur Geheimhaltung
• E-Mail und Internetnutzung
• Verarbeitung personenbezogener Daten
• Auskunftsbegehren
• Datenübertragung (analog oder digital)
• Homeoffice
• Umfragen
• Bewerbungen
• Arbeitsplatz
• Entsorgung von Unterlagen

• Vertrauensverlust, Reputationsverlust (Rufschädigung)
• Arbeitsrechtliche und strafrechtliche Folgen
• Geheimnisbruch
• Wirtschaftlicher Schaden
• Lebensgefährdung (z.B. Patientendaten)
• Diskriminierung
• Existenzgefährdung
• hohe Geldstrafen/Bußgelder
• Bei Verstößen können Strafen bis zu 20 Mio. Euro bzw. bei Konzernen bis zu 4% des weltweit erzielten Jahresumsatzes aus dem Vorjahr verhängt werden.

Welche Gefahren bestehen?

• Verletzung der Vertraulichkeit
• Veränderung oder Manipulation von Daten
• Beeinträchtigung der Verfügbarkeit

Aufgabe:
Sicherstellung von Vertraulichkeit, Integrität und Verfügbarkeit von Daten.

Ein Data Breach (Datenpanne) liegt vor, wenn personenbezogene Daten unbeabsichtigt offengelegt, verloren, gestohlen oder verändert werden. Dies kann durch Hackerangriffe, menschliche Fehler, technische Probleme oder unzureichende Sicherheitsmaßnahmen geschehen.

Ein Data Breach kann schwere Folgen haben, wie den Missbrauch der Daten oder den Verlust von Vertrauen. Unternehmen sind laut DSGVO verpflichtet, Datenschutzverletzungen den Aufsichtsbehörden und in bestimmten Fällen auch den betroffenen Personen zu melden.

Eine Datenpanne muss IMMER gemeldet werden!

Verdachtsfälle auf Datenmissbrauch oder Unregelmäßigkeiten im EDV-System sind unverzüglich der Geschäftsleitung oder dem Datenschutzbeauftragten
zu melden. Ein schnell gemeldeter Verdachtsfall kann Schaden verhindern oder minimieren und kann einer eventuellen Ausbreitung von Viren im Unternehmensnetzwerk entgegen wirken.

Ansprechpersonen:

Die Verantwortung zur Verarbeitung der personenbezogenen Daten, zur Auskunftserteilung, zur Korrektur oder Löschung liegt bei nachfolgenden Personen:

Geschäftsführerin       Fr. Mag. Barbara Trettler
Tel.: 02742 / 9005 - 13388  E-Mail: barbara.trettler@noel.gv.at

Datenschutzkoordinator    Hr. Reinhard Emsenhuber
Tel.: 02742 / 9005 - 13431  E-Mail: reinhard.emsenhuber@noel.gv.at

Datenschutzbeauftragter    Hr. Andreas Stolze
Tel.: 02742 / 9005 - 13436  E-Mail: andreas.stolze@noel.gv.at