GDPR

ANLAGE Nr. 2

DSGVO-SICHERHEITSRICHTLINIE Art. 1/SK

VERBINDLICHE SCHUTZREGELN FÜR PERSONENBEZOGENE DATEN - BERECHTIGTE PERSONEN

Gemäß der Verordnung des Europäischen Parlaments und des Rates (EU) 2016/679 vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) und des Gesetzes Nr. 18/2018 Slg. zum Schutz personenbezogener Daten und über Änderung und Ergänzung mancher Gesetze in der Fassung von späteren Vorschriften.

1. GDPR-Sicherheitsrichtlinie betrifft alle Mitarbeiter der Gesellschaft und andere Personen, die im Namen der Gesellschaft die mit dem Informationssystem verbundenen Tätigkeiten ausüben, wozu sie durch einen schriftlichen Akt verpflichtet sind.

2. Nichteinhaltung dieser Regeln seitens der oben genannten Personen wird für grobe Verletzung der Arbeitspflichten mit Folgen gemäß Gesetz Nr. 311/2001 Slg. Arbeitsgesetzbuch in der Fassung von späteren Vorschriften (nachstehend nur als das „Arbeitsgesetzbuch“ oder „AGB“ bezeichnet) gehalten.

3. Die berechtigten Personen sind verpflichtet folgende Regeln zu beachten:

  • personenbezogene Daten ausschließlich zum abgegrenzten oder bestimmten Zweck zu erheben; personenbezogene Daten unter dem Vorwand eines anderen Zwecks oder einer anderen Tätigkeit zu erheben, ist unzulässig,
  • nur solche personenbezogenen Daten zu verarbeiten, deren Umfang und Inhalt dem Zweck ihrer Verarbeitung entsprechen und die notwendig sind, um diesen Zweck zu erreichen,
  • personenbezogene Daten zu unterschiedlichen Zwecken besonders zu erheben, und sicherzustellen, dass personenbezogene Daten nur auf solcher Art und Weise verarbeitet und verwendet werden, die dem Zweck deren Erhebung entspricht; es ist unzulässig personenbezogene Daten anzusammeln, die zu verschiedenen Zwecken erhoben wurden,
  • die berechtigten Personen sind für Speicherung, Schutz und Umgang mit personenbezogenen Daten zuständig, solange diese Daten eine Satzform haben,
  • sind für eine nachweisbare Einwilligung zur Verarbeitung personenbezogener Daten seitens der betroffenen Personen zuständig,
  • sie sind für die Ordnung auf dem Arbeitsplatz und Speicherung aller Schriftstücke, die die personenbezogenen Daten enthalten, und sonstiger Unterlagen, die zur Aufdeckung personenbezogener Daten führen könnten, in den dafür bestimmten abschließbaren Schränken zuständig,
  • personenbezogene Daten vor Missbrauch seitens eines Dritten zu schützen. Solange sie mit personenbezogenen Daten nicht direkt arbeiten, diese in einem Tresorschrank, bzw. im gesicherten Schrank oder im anders gesicherten Raum zu halten,
  • sind für Einhaltung der Grundsätze von Arbeit in LAN, WAN nach einer Belehrung über Regeln der Nutzung von einem Computernetz zuständig,
  • sind verpflichtet eine zuständige Person rechtzeitig über alle Tatsachen, die zum Missbrauch dieser Daten führen könnten, zu informieren, und wenn keine Person damit beauftragt ist, dann ein Mitglied der organschaftlichen Vertretung,
  • nur korrekte, vollständige und je nach Bedarf aktualisierte personenbezogene Daten im Verhältnis zum Zweck der Verarbeitung zu verarbeiten; falsche und unvollständige personenbezogene Daten zu sperren und unverzüglich zu korrigieren und zu ergänzen, diejenigen, die nicht korrigiert oder anders ergänzt werden können, damit sie richtig und vollständig werden, zu markieren und sofort zu beseitigen, wenn die Umstände das erlauben,
  • die berechtigten Personen sind verpflichtet ihre Identität demjenigen zu beweisen, von dem sie personenbezogene Daten der betroffenen Person erfordern und diesem ohne Aufforderung im Voraus Folgendes mitzuteilen:
    • Name und Sitz oder Wohnsitz des Verantwortlichen; wenn ein Auftragsverarbeiter im Namen des Verantwortlichen handelt, auch den Namen und Sitz oder Wohnsitz des Auftragsverarbeiters,
    • den durch den Verantwortlichen bestimmten oder durch ein besonderes Gesetz festgesetzten Zweck der Verarbeitung von personenbezogenen Daten; es ist ausgeschlossen personenbezogene Daten unter dem Vorwand eines anderen Zwecks oder einer anderen Tätigkeit zu erheben,
    • Freiwilligkeit oder Pflicht die erforderten personenbezogenen Daten zur Verfügung zu stellen,
    • den Kreis der Benutzer, denen personenbezogenen Daten zur Verfügung gestellt werden, solange der betroffenen Person die Pflicht personenbezogene Daten zu gewähren, sich aus dem Gesetz ergibt, Verantwortlicher teilt der betroffenen Person das Gesetz mit, das ihr diese Pflicht auferlegt und benachrichtigt sie über Folgen der Ablehnung personenbezogene Daten zu gewähren,
    • juristische Personen, natürliche Personen, bzw. Subjekte im Ausland, denen personenbezogene Daten zur Verfügung gestellt werden,
    • den Kreis der Empfänger, wenn es vermutet wird oder offensichtlich ist, dass ihnen personenbezogene Daten zur Verfügung gestellt werden sollen.
  • es ist verboten außer der Arbeitszeit sich am Arbeitsort aufzuhalten,
  • die Mitarbeiter dürfen sich außer der Arbeitszeit am Arbeitsort nur mit der Einwilligung des Verantwortlichen oder des Vertreters vom Verantwortlichen aufhalten,
  • die Personen außer dem Kreis von berechtigten Personen, die zur technischen Aushilfe bei der Verarbeitung von Daten (Druck, Kopieren, Verpackung in Umschläge) eingeladen wurden, werden nachweisbar von einer für personenbezogene Daten zuständigen Person belehrt über das Verbot sich mit dem Inhalt von Informationen bekannt zu machen, und im Falle der unbewussten Bekanntmachung, über die Verschwiegenheitspflicht,
  • Passwörter und Verwaltungszugriffe müssen dokumentiert und in einem versiegelten Umschlag in einem Tresorschrank (in einem abschließbaren Schrank) gespeichert werden, wobei nur die berechtigte Person deren Öffnung anweisen darf – die Öffnung muss dokumentiert werden,
  • LAN-Architektur muss dokumentiert und in einem Tresorschrank (in einem abschließbaren Schrank) im versiegelten Umschlag gespeichert werden.

Die Abgrenzung der verbotenen Vorgänge und Vorgehensweisen mit personenbezogenen Daten

1. Die berechtigten Personen sind zur Geheimhaltung bezüglich der verarbeiteten personenbezogenen Daten, mit denen sie in Kontakt kommen, verpflichtet, sie dürfen diese weder zu eigenen Bedürfnissen verwenden, noch ohne Einwilligung des Verantwortlichen veröffentlichen und anderen gewähren oder zugänglich machen.

2. Die berechtigten Personen dürfen das Informationssystem des Verantwortlichen unbegründet nicht eintreten. Die berechtigten Personen dürfen vom Informationssystem keine personenbezogenen Daten der betroffenen Personen zum anderen als vereinbarten Zweck der Verarbeitung der personenbezogenen Daten verarbeiten.

3. Die berechtigten Personen sind verpflichtet, die Schlüssel vom Raum, in dem sich das Informationssystem in Papierform befindet und vom Raum, in dem sich die Computer befinden, die einen Zugang zum Informationssystem in elektronischer Form ermöglichen, zu schützen, und zwar vor Entfremdung, Verlust, Beschädigung oder sonstiger Verhinderung der Funktionalität, wobei diese an keinen Dritten weitergeleitet werden dürfen.

4. Die berechtigten Personen sind verpflichtet die Zugangsdaten zum Computer, der einen Zugang zum Informationssystem ermöglicht und die Daten direkt zum Informationssystem (Benutzername und Passwort) vor Entfremdung, Verlust oder sonstiger Verhinderung der Funktionalität zu schützen und dürfen diese an keinen Dritten weiterleiten.

5. Die berechtigten Personen sind verpflichtet dem Verantwortlichen die Entfremdung, Verlust, Beschädigung oder sonstige Verhinderung der Funktionalität von den oben genannten Schlüsseln und Zugangsdaten unverzüglich anzumelden.

6. Die berechtigte Person darf keineswegs personenbezogene Daten aus dem Raum herausnehmen, in dem sich der Computer befindet, der den Zugang zum Informationssystem ermöglicht, noch personenbezogene Daten in einem anderen Raum oder mittels eines anderen als dazu bestimmten Computers verarbeiten.

7. Die berechtigten Personen dürfen ohne Einwilligung seitens des Verantwortlichen die Verteilung der Computer, die den Zugang zum Informationssystem im geschützten Raum ermöglichen, nicht ändern.


4. Abgrenzung der Verantwortung für Verletzung des Gesetzes zum Schutz personenbezogener Daten:

  • Eine Strafverfolgung kann gegen eine berechtigte Person bezüglich rechtswidrigen Umgangs mit personenbezogenen Daten angefangen werden für Straftaten gemäß der Bestimmung § 374 (Unberechtigter Umgang mit personenbezogenen Daten) des Gesetzes Nr. 300/2005 Slg. Strafgesetz in der Fassung von späteren Vorschriften.

5. Bei der Verarbeitung der personenbezogenen Daten durch völlig oder teilweise automatisierte Verarbeitungsmittel übt die berechtigte Person vor allem folgende Aktivitäten aus:

  • nutzt die Internet-Dienstleistungen (nur öffentliche Dienstleistungen WWW – world wide web und FTP – file transfer protocol sind zulässig) zum Zweck der Ausübung von Arbeitspflichten, wobei sie die vom Verantwortlichen getroffenen Sicherheitsmaßnahmen zum Zweck des Schutzes von personenbezogenen Daten einhält,
  • stellt die Informationstechnik nur in abschließbare Räume; ein Raum, in dem sich die Informationstechnik befindet, muss bei jedem Abgang der berechtigten Person abgeschlossen sein und nach der Beendigung der Arbeitszeit ist die berechtigte Person verpflichtet die Arbeit des Informationssystems zu beenden und den Computer auszuschalten,
  • beachtet den Virenschutz von Arbeitsstationen durch Beobachtung davon, ob das primär bestimmte Softwaresystem, das automatisch regelmäßig aktualisiert wird, gut funktioniert.
  • berücksichtigt das Verbot die Konfiguration des Virenschutzes zu deinstallieren, sperren oder zu ändern,
  • hält die Schutzregeln für Zugangsrechte gründlich ein.

6. Bekanntmachung der berechtigten Personen mit der Richtlinie:

  • Verantwortlicher stellt die Schulungen von berechtigten Personen bei Entstehung ihrer Funktion oder ihres Arbeitsrechtsverhältnisses oder ähnlichen Arbeitsverhältnisses, sowie bei jeder Änderung der Richtlinie oder anderer interner Vorschriften des Verantwortlichen sicher.

7. Bildung von berechtigten Personen (zB. Rechtsbereich, IT-Bereich):

  • Verantwortlicher stellt die Schulungen von berechtigten Personen bei Entstehung ihrer Funktion oder ihres Arbeitsrechtsverhältnisses oder ähnlichen Arbeitsverhältnisses, sowie bei jeder Änderung der Richtlinie, anderer Vorschriften oder zusammenhängender allgemein verbindlicher Rechtsvorschriften des Verantwortlichen sicher.

8. Der Vorgang bei Beendigung des Arbeitsverhältnisses oder eines ähnlichen Verhältnisses der berechtigten Person (zB. Übergabe der zugeteilten Vermögenswerte, Auflösung der Zugangsrechte, Belehrung über Folgen der Verletzung von einer gesetzlichen oder vertraglichen Verschwiegenheitspflicht):

  • Nach Beendigung des Arbeitsverhältnisses oder eines ähnlichen Verhältnisses der berechtigten Person oder beim Funktionsausfall der berechtigten Person, gibt diese Person dem Verantwortlichen alle Zugangsdaten zum Informationssystem, Schlüssel oder sonstige Zugriffskennungen für den Zugang ins Gebäude und Raum ab, in dem sich der Computer befindet, der den Zugang zum Informationssystem ermöglicht.
  • Diese Person wird zugleich über ihre langfristige Verschwiegenheitspflicht und sonstige mit dem Schutz personenbezogener Daten verbundene Pflichten belehrt, was sie mit ihrer Unterschrift auf schriftlicher Erfassung der Belehrung bestätigt.

9. Sicherheitsvorfälle:

  • 9.1. Der Vorgang bei Meldungen von Sicherheitsvorfällen und festgestellten verwundbaren Stellen des Informationssystems um Vorbeugungs- und Korrekturmaßnahmen rechtzeitig zu treffen:
    die berechtigten Personen sind verpflichtet einer organschaftlichen Vertretung des Verantwortlichen das Folgende unverzüglich mitzuteilen:
    • a. den unberechtigten Zugang in den geschützten Raum im Gebäude, in dem sich der Computer befindet, der einen Zugang zum Informationssystem ermöglicht, oder in den Serverraum, wobei diese Pflicht auch beim Verdacht auf solchen Zugang gilt,
    • b. jeweilige festgestellte Störungen, Beschädigungen, partielle oder vollständige Fehlfunktion des Computers, der den Zugang zum Informationssystem ermöglicht, oder des Informationssystems selbst, wobei diese Pflicht auch beim Verdacht auf solche Tatsachen gilt.
  • 9.2. Erfassung von Sicherheitsvorfällen und angewendeten Lösungen:
    Verantwortlicher erfasst schriftlich alle Sicherheitsvorfälle und deren Lösungen, und zwar mindestens mit Datum und Zeit eines Vorfalls (oder eines Verdachts auf Vorfall), Umständen, unter denen ein Vorfall (ein Verdacht auf Vorfall) ermittelt wurde, ausgeübten Handlungen der berechtigten Personen und des Verantwortlichen sowie mit der Lösung eines Vorfalls (eines Verdachts auf Vorfall).
  • 9.3. Der Vorgang bei Erledigung von einzelnen Typen der Sicherheitsvorfälle, Identifizierung, Erfassung und Beseitigung von Folgen der Sicherheitsvorfälle, die Vorgänge bei Schadensfällen, Störungen und sonstigen besonderen Umständen (zB. Mitteilung der Sicherheitsvorfälle), der Vorgang bei Störungen, Wartung oder Reparatur automatisierter Verarbeitungsmittel (zB. Schutz von personenbezogenen Daten auf einer Festplatte des reparierten Computers):
    Bei der Feststellung eines Sicherheitsvorfalls teilt die berechtigte Person unverzüglich diese Tatsache der organschaftlichen Vertretung des Verantwortlichen mit.

10. Kontrolltätigkeit:

  • 10.1. Die Kontrolltätigkeit des Verantwortlichen, die sich auf Einhaltung der getroffenen Sicherheitsmaßnahmen orientiert, wobei die Art und Weise, Form und Frequenz deren Ausübung (zB. regelmäßige Prüfungen der Zugänge zum Informationssystem) festgesetzt werden:
    • Verantwortlicher übt regelmäßig, mindestens einmal pro Monat eine Prüfung der Einhaltung dieser Richtlinie und des Gesetzes zum Schutz personenbezogener Daten, vor allem die Prüfung der ausgeübten Zugänge ins Informationssystem, der Handlungen im Informationssystem aus, und verfasst ein schriftliches Protokoll über diese Prüfung. Ein organschaftlicher Vertreter des Verantwortlichen und alle berechtigte Personen nehmen an dieser Prüfung teil.
    • Verantwortlicher kann den Zutritt in den Computer, der den Zugang ins Informationssystem ermöglicht und direkt ins Informationssystem des Verantwortlichen rückgängig prüfen, um festzustellen, welche berechtigte Person den Computer und selbst das Informationssystem eingetreten hat und was für Handlungen sie im Computer und im Informationssystem ausgeübte.
  • 10.2. Auskunftserteilung der berechtigten Personen über Prüfungsmechanismus, wenn Verantwortlicher ihn eingeführt hat (Umfang der Prüfung und Art und Weise deren Ausübung):

11. Verantwortungsbereich der berechtigten Personen:

  • 11.1. Die berechtigten Personen sind verpflichtet die vom Verantwortlichen getroffenen Maßnahmen gemäß der Richtlinie und deren Anlagen einzuhalten.
  • 11.2. Soll die berechtigte Person feststellen, dass eine Verletzung von den aus dieser Richtlinie sich ergebenden Pflichten oder eine Verletzung von durch ein Gesetz zum Schutz personenbezogener Daten oder durch eine Verordnung festgelegten Pflichten droht, ist diese verpflichtet den Verantwortlichen (den organschaftlichen Vertreter) darauf schriftlich aufmerksam zu machen, damit Verantwortlicher Maßnahmen zur Risikoprävention solcher Verletzung treffen kann.
  • 11.3. Die berechtigte Person ist verpflichtet die Einhaltung dieser Richtlinie sicherzustellen und jeweilige, auch mögliche, Verletzung von Pflichten, die sich aus dieser Richtlinie ergeben, schriftlich anzumelden und Verantwortlicher ist verpflichtet, geeignete Maßnahmen zur Verhinderung möglicher Mängel bei Erfüllung von Pflichten dieser Richtlinie oder allgemein verbindlichen Rechtsvorschriften unverzüglich zu treffen.
  • 11.4. Die berechtigten Personen tragen gegenüber dem Verantwortlichen die Verantwortung im Sinne der gültigen und wirksamen arbeitsrechtlichen und anderen allgemein verbindlichen Rechtsvorschriften für ordentliche Ausübung der Tätigkeiten, die sie ausüben dürfen und die sie bei der Verarbeitung personenbezogener Daten nach dieser Richtlinie zu leisten verpflichtet sind. Die berechtigten Personen haben in ihren Arbeitsverträgen und in Vereinbarungen über außer des Arbeitsverhältnisses geleistete Arbeit sowie in einer Beauftragung oder in einem anderen mit dem Verantwortlichen abgeschlossenen schriftlichen Vertrag genau bestimmte Berechtigungen und abgegrenzte Arbeitsbeschreibung.
  • 11.5. Die berechtigte Person kann im Zusammenhang mit rechtswidrigem Umgang mit personenbezogenen Daten für Taten gemäß § 374 (Unberechtigter Umgang mit personenbezogenen Daten) des Gesetzes Nr. 300/2005 Slg. Strafgesetz in der Fassung von späteren Vorschriften strafrechtlich verfolgt werden oder ein Disziplinarverfahren kann gegen sie eingeführt werden.