DSGVO: Projekt abgeschlossen

Im Herbst letzten Jahres wurde die FH mit der Erarbeitung von Unterlagen beauftragt, die Gemeinden bei der Umsetzung der datenschutzrechtlichen Vorgaben Unterstützung bieten. Das Ergebnis liegt nun vor und steht allen Gemeinden kostenlos zum Download zur Verfügung.

Symbolbild

Wie bereits berichtet tritt am 25. Mai 2018 die EU-Datenschutz-Grundverordnung (DSGVO) in Geltung. Ab diesem Zeitpunkt sind die EU-rechtlichen Vorgaben zu erfüllen.

Wesentliche Neuerungen abseits der verpflichtenden Benennung eines Datenschutzbeauftragten (hierzu gibt es in den und innerhalb der einzelnen Bundesländer unterschiedliche Lösungen) sind die Führung eines Verzeichnisses der Verarbeitungstätigkeiten und die gestärkten Rechte der Betroffenen – damit jener, deren Daten verarbeitet werden. Zusätzlich sind technische und organisatorische Maßnahmen zu ergreifen, um die Informationssicherheit und die Geheimhaltung der zu verarbeitenden personenbezogenen Daten zu gewährleisten.

Infolge der Komplexität dieser Materie haben der Österreichische Gemeindebund und der Österreichische Städtebund mit Unterstützung des Bundeskanzleramtes im vergangenen Jahr die Fachhochschule Oberösterreich (FH OÖ Forschungs und Entwicklungs GmbH, Research Group Sichere Informationssysteme Hagenberg) beauftragt, Arbeitsbehelfe zu erarbeiten, die es den Gemeinden (Gemeindeverbänden) ermöglichen, in strukturierten und angeleiteten Schritten, die für die Umsetzung von Datenschutzmaßnahmen erforderlichen organisatorischen und technischen Maßnahmen mit möglichst geringem Aufwand umzusetzen und damit die Vorgaben des neuen Datenschutzrechts zu erfüllen.

Self-Assessment Fragebogen und Verarbeitungsverzeichnis

Kern des Projektes ist der Self-Assessment Fragebogen mitsamt bereits vorgefertigtem Verarbeitungsverzeichnis (Verzeichnis von Verarbeitungstätigkeiten). Der Fragebogen dient in erster Linie dazu, ermitteln zu können, ob die verfügbaren Musterdokumente zur Umsetzung der neuen Datenschutzbestimmungen inkl. Verarbeitungsverzeichnis angewendet werden können oder ob Ergänzungen erforderlich sind.

Infolge des umfangreichen Verarbeitungsverzeichnisses kann davon ausgegangen werden, dass eine Mehrheit der Gemeinden mit den darin enthaltenen und beschriebenen Verarbeitungen (Datenanwendungen) das Auslangen finden wird und nur im Ausnahmefall Erweiterungen erforderlich sind.

Technische und organisatorische Maßnahmen zu überprüfen

Im Verarbeitungsverzeichnis sind zu jeder Datenanwendungskategorie auch bereits die notwendigen technischen und organisatorischen Sicherheitsmaßnahmen beschrieben. Ob und inwieweit diese Maßnahmen tatsächlich vorliegen, ist von jeder Gemeinde einzeln zu prüfen und individuell anzupassen.

Zwecks Prüfung, ob und inwieweit die erforderlichen technischen sowie organisatorischen Maßnahmen vorliegen, sind in den Unterlagen auch eine Checkliste sowie ein Maßnahmenkatalog enthalten, der die empfohlenen organisatorischen und technischen Informationssicherheits- und IT-Security-Maßnahmen nach Stand der Technik abbildet (so etwa im Hinblick auf die elektronische Zugriffskontrolle, Passwörter, Einsatz von Software, Firewall, WLAN, Virenschutz etc.).

Leitfaden Betroffenenrechte und Schulungskonzept

Darüber hinaus hat die FH OÖ einen Leitfaden „Betroffenenrechte“ erstellt, der Anleitungen gibt um die Pflichten gegenüber den Betroffenen zu erfüllen (Prozessbeschreibung über Auskunft, Berichtigung, Löschung, etc.).

Abschließender Bestandteil der Arbeitsbehelfe ist ein DSGVO Schulungskonzept, das Empfehlungen für die Entwicklung von Schulungsprogrammen enthält. Letztlich ist es notwendig, dass alle Ebenen (Mitarbeiter, Amtsleiter, Bürgermeister) Grundkenntnisse im Datenschutz haben und je nach Aufgaben- und Verantwortungsbereich (zielgruppenspezifisch) mehr oder weniger mit dem Thema Datenschutz und Informationssicherheit vertraut sind. Schulungen können durch die Gemeinde selbst erfolgen oder aber von externen Diensteanbietern. Diesbezügliche Schulungen werden bereits in zahlreichen Bundesländern angeboten.

Nutzungsrechte

Hinsichtlich der im nachfolgenden Link abrufbaren Unterlagen kommt den Gemeinden und Gemeindeverbänden ein umfassendes, zeitlich unbefristetes Recht zur eigenen Nutzung und Bearbeitung zu. Sollten sich Gemeinden oder Gemeindeverbände zur Erfüllung einzelner Aufgaben Auftragsverarbeiter (etwa IT Dienstleister, die im Auftrag der Gemeinde Daten verarbeiten) bedienen, so kommt diesen ein einfaches Nutzungsrecht zur Erfüllung der übertragenen Aufgaben zu. Eine Veröffentlichung sowie eine Weitergabe der Unterlagen an Dritte, die nicht im Auftrag der Gemeinde arbeiten, ist jedoch untersagt.

Die derzeit zum Download zur Verfügung stehenden Unterlagen sind als Erstversion zu verstehen, von Seiten der FH Oberösterreich sind allfällige redaktionelle Anpassungen noch bis Ende März möglich.

Weitere Informationen

Letzte Aktualisierung: 16. März 2018

Für den Inhalt verantwortlich: FH OÖ Studienbetriebs GmbH, Fakultät für Informatik/Kommunikation/Medien