Aufgabenbeschreibung
1.1. Initiale Tätigkeiten
Im Vorfeld der Tätigkeit muss in einem Datenschutzprojekt sichergestellt werden, dass im Unternehmen ein datenschutzfreundliches Klima hergestellt wird. Der Aufwand für diese Phase richtet sich nach Fertigstellungsgrad bei Projektbeginn.
Dafür wird der Schwerpunkt auf folgende Themen gelegt
1.1.1. VVT – Verzeichnis der Verarbeitungstätigkeiten –
Anpassungen der IT-Datenverarbeitungen auf gesetzeskonformen Zustand
- Verzeichnis der Verarbeitungstätigkeiten inkl. Rechtsgrundlagen und Details zu Daten und Betroffenen
1.1.2. TOMs – Technisch organisatorische Maßnahmen der IT – spezifische Anpassungen
- Detaillierung der Technisch organisatorischen Maßnahmen, Synergien mit bestehenden Richtlinien und Zertifizierungen
1.1.3. Prozesse: Betroffenenrechte / Data Breach
- Abbildung der DSGVO-Abläufe im Unternehmen
1.1.4. Schulung und Verpflichtung der Mitarbeiter
- Angemessene Schulung der Mitarbeiter
1.1.5. Auftragsdatenverarbeitung
- Vertragliche Absicherung des Datenschutzes mit allen Dienstleistern
1.1.6. Informationsblätter, Datenschutzrichtlinie, Art13
- Für die verschiedenen Benutzergruppen werden fix definierte Informationsblätter, E-Mails oder Datenschutzrichtlinien festgelegt
1.1.7. Bestellung des Datenschutzbeauftragten
- Offizielle Meldung bei der Datenschutzbehörde mit Kontaktdaten des Datenschutzbeauftragten, wenn erforderlich
2.1. Tourliche Tätigkeiten
Im Laufe eines Jahres gibt es einige Fixpunkte in der Tätigkeitsliste des Datenschutzbeauftragten.
2.1.1. Audit der Datenschutz-Situation
- Mindestens einmal im Jahr erfolgt auf Basis von Aufzeichnungen und Dokumentation ein Audit der Abläufe des Unternehmens mit Schwerpunkt auf Datenschutz und Sicherheit
2.1.2. Schwerpunkte für Schulung
- Auf Basis von Beschlüssen und Urteilen im Rahmen des Datenschutz-Regimes wird der Inhalt der Datenschutz-Schulung angepasst und präsentiert
- Aufbereitung der Unterlagen für Selbststudium
2.1.3. Beratung des Managements
- Beratung in Bezug auf datenschutzrechtliche Pflichten, Unterstützung bei der ordnungsgemäßen Behandlung von Betroffenen-Rechten, Auswahl von neuen Verarbeitungen
2.1.4. Adaptierung des Verzeichnis der Verarbeitungstätigkeiten (VVT)
- Halbjährliche Anpassung des VVT, der damit verbundenen TOMs und Bewertung der Risiken
2.1.5. Pflege des Datensicherheits-Management System (DSMS)
- Halbjährliche Anpassung des DSMS, um Angemessenheit sicherzustellen
2.1.6. Statusgespräch mit der Geschäftsführung
- Jährliches Status-Gespräch mit Bericht über Tätigkeiten im Datenschutz und Handlungsempfehlungen, Präsentation des Datenschutz-Audits
3.1. Anlassbezogene Tätigkeiten
3.1.1. DSGVO/DSG – Schulungen
- Bis zu 25 Teilnehmende
- Gesetzlich Vorgeschriebene Inhalte nach DSGVO und österreichischem Datenschutz-Gesetz
- Schulungs-Zertifikat für Teilnehmende
3.1.2. Datenschutzfolge-Abschätzung
- Bei der Einführung einer neuen Technologie oder der massiven Verarbeitung von sensiblen Daten
- Bei schwerwiegenden Änderungen am Ablauf von kritischen Verarbeitungen
- Bei Verarbeitungen, die ein hohes Risiko mit sich bringen und bei der systematischen, umfangreichen Verarbeitung von Daten der besonderen Kategorie
3.1.3. Data Breach
- Organisation und Überwachung des Ablaufes nach dem Data Breach
- Beratung bei der Entscheidung, ob ein meldepflichtiger Vorfall vorliegt
- Erstellung und Durchführung der Betroffenenmeldung nach Art 34
- Erstellung und Durchführung der Behördenmeldung nach Art 33
3.1.4. Auftragsdatenverarbeitung
- Kommunikation mit Kunden und Lieferanten
- Darstellung und Bewertung der Rollen
- Erstellung und Anpassung des Auftragsdatenverarbeitungsvertrages nach Art 28/29
- Prüfung von Fremdverträgen
3.1.5. Überprüfung der Angemessenheit nach Art 32
- Bei maßgeblichen technologischen Entwicklungen muss eine Anpassung der TOMs erfolgen.
- Neubewertung des Risikos bei Änderungen an Verarbeitungen
- Anpassungen am Sicherheitskonzept
- Anpassungen am Datensicherheits – Managementsystem
3.1.6. Schadenersatz-Darstellungen nach Art 82
- Präventive Maßnahmen
- Darstellung der haftungsbefreienden Fakten
