Datenschutz als rechtlicher Entwicklungsprozess

Transkript

1 INFORMATION PROTECTION AND BUSSINESS RESSILIANCE Datenschutz als rechtlicher Entwicklungsprozess Herausforderungen der Datenschutzgesetz-Novelle 2010 März 2010 ADVISORY

2 Grundlagen des Datenschutzrechts Historische Entwicklung des Datenschutzgesetzes Wesentliche Entwicklungsschritte des Datenschutzrechts DSG 1978, in Kraft am Erste EU-Datenschutzrichtlinie 95/46/EG DSG 2000, in Kraft am Zweite EU-Datenschutzrichtlinie 2002/58/EG Dritte EU-Datenschutzrichtlinie 2006/24/EG DSG-Novelle 2010 logo are registered trademarks of KPMG International, a Swiss cooperative. 2

3 DSG Novelle 2010 Themenbereiche die durch die Novelle unerledigt blieben Verfassungsbestimmungen Ausweitung des Grundschutzes auf allgemein verfügbare Daten Betrieblicher Datenschutzbeauftragter Streichung der juristischen Person aus dem Anwendungsbereich des DSG Internationaler Datenverkehr Mitarbeiterdatenverarbeitung Datenschutz und Privatsphäre im Internet Bonitätsdaten (aktuelle OGH-Entscheidungen zum Widerspruchsrecht) Geodaten (Street View - Google-Earth, Smart Meetering) logo are registered trademarks of KPMG International, a Swiss cooperative. 3

4 DSG Novelle 2010 Wesentliche Neuerungen durch die Novelle 2010 Regelung zur Videoüberwachung Data Breach Notification Duty Atomisiertes Registrierungsverfahren Stärkung der Datenschutzkommission Geringfügige Erhöhung der Strafen logo are registered trademarks of KPMG International, a Swiss cooperative. 4

5 DSG Novelle 2010 Regelung zur Videoüberwachung Eigener Abschnitt zur Videoüberwachung im Datenschutzgesetz ( 50a bis e DSG 2000) Bisher keine gesonderten Regeln für private Videoüberwachung Daher Rückgriff auf allgemeine Regeln Videoüberwachung im Sinne des 50 a DSG: eine systematische und fortlaufende Feststellung von Ereignissen mittels Bildaufnahmeoder Bildübertragungsgeräten, wenn davon ein bestimmtes Objekt oder eine bestimmte Person betroffen ist Bis dato stellte die Judikatur der DSG auf eine Identifizierungsabsicht ab Web-Cams, Wetterkamera? logo are registered trademarks of KPMG International, a Swiss cooperative. 5

6 Grundlagen des Datenschutzrechts Wesentliche Neuerungen durch die DSG Novelle Videoüberwachung Vorliegen eines rechtmäßigen Zwecks Schutz des überwachten Objekts oder der überwachten Person Erfüllung rechtlicher Sorgfaltspflichten Verhältnismäßigkeitsgrundsatz Keine Verletzung von schutzwürdigen Geheimhaltungsinteressen Videoüberwachung im lebenswichtigen Interesse einer Person (Krankenbettüberwachung?) das gefilmte Verhalten lässt den Schluss zu, dass es darauf gerichtet war, öffentlich wahrgenommen zu werden (Demonstranten) der Betroffene hat der Überwachung ausdrücklich zugestimmt Echtzeitwiedergabe Analoge Aufzeichnungen genießen geringeren Grundschutz (keine Meldepflicht) logo are registered trademarks of KPMG International, a Swiss cooperative. 6

7 Grundlagen des Datenschutzrechts Wesentliche Neuerungen durch die DSG Novelle Videoüberwachung Jedenfalls unzulässig Videoüberwachung eines höchstpersönlichen Lebensbereiches o WC, Umkleide [Spindbereich?] Mitarbeiterkontrolle an Arbeitsstätte o Bankschalter [Schutz des Eigentums und der körperlichen Unversehrtheit?] o Eingangsbereich und Rezeption o Verladestation Abgleich der Videodaten mit anderen Daten o Abgleich biometrischer Daten o Bankomatbehebung? logo are registered trademarks of KPMG International, a Swiss cooperative. 7

8 Grundlagen des Datenschutzrechts Wesentliche Neuerungen durch die DSG Novelle Videoüberwachung Protokollierung, Löschungs- und Kennzeichnungspflicht, Auskunftsrecht Protokollierungspflicht für die Videoüberwachung Aufgezeichnete Daten spätestens nach 72 Stunden zu löschen Videoüberwachung ist in geeigneter Weise zu kennzeichnen (Möglichkeit auszuweichen) Ausnahme der Kennzeichnungspflicht nur bei zulässigen Ermittlungen durch Strafverfolgungsbehörden Vorgehensweise bei Verdachtslagen auf kriminelles Verhalten bei Mitarbeitern durch private Ermittler? Neu eingeführt wurde ein speziell für die Videoüberwachung geltendes Auskunftsrecht Übersendung einer Kopie in einem üblichen technischen Format Verfall der Videoanlage bei Übertretung der Bestimmung logo are registered trademarks of KPMG International, a Swiss cooperative. 8

9 Grundlagen des Datenschutzrechts Wesentliche Neuerungen durch die DSG Novelle Videoüberwachung Meldepflicht für Videoüberwachungen Grundsätzliche Meldeplicht an den Datenschutzregister Aufnahme der Überwachung erst nach Vorabgenehmigung durch DSK (eigentlich nicht neu) Ausnahme wenn Videoüberwachungsdaten verschlüsselt sind und einziger Schlüssel bei DSK hinterlegt ist Auswertung soll so nur in begründeten Ausnahmefällen möglich sein Bei Meldung ist Betriebsvereinbarung vorzulegen, wenn Mitarbeiter betroffen ist Keine Meldepflicht bei Echtzeitüberwachung bzw Aufnahme auf analoge Medien (VHS, etc) Auch Videoüberwachungen von Privathäusern sind meldepflichtig (entgegen bisheriger Judikatur) logo are registered trademarks of KPMG International, a Swiss cooperative. 9

10 Grundlagen des Datenschutzrechts Wesentliche Neuerungen durch die DSG Novelle 2010 Data Breach Notification Duty Informationspflicht für Unternehmen bei missbräuchlicher Verwendung von Daten an Betroffene Österreich mit Deutschland Vorreiterrolle Über USA und GB nach Österreich In den USA bereits eigener Wirtschaftszweig Individuelle Anschreiben, Zeitungsinserate, TV-Spots, Hotlines, etc Data Breach Notification Duty gemäß 24 (2a) DSG 2000 Wird dem Auftraggeber bekannt, dass Daten aus einer seiner Datenanwendungen systematisch und schwerwiegend unrechtmäßig verwendet wurden und den Betroffenen Schaden droht, hat er darüber unverzüglich die Betroffenen in geeigneter Form zu informieren. Diese Verpflichtung besteht nicht, wenn die Information angesichts der Drohung eines nur geringfügigen Schadens der Betroffenen einerseits oder der Kosten der Information aller Betroffenen andererseits einen unverhältnismäßigen Aufwand erfordert. logo are registered trademarks of KPMG International, a Swiss cooperative. 10

11 Grundlagen des Datenschutzrechts Wesentliche Neuerungen durch die DSG Novelle 2010 Data Breach Notification Duty Folgen bei Verletzung der Data Breach Notification Duty? Verwaltungsstrafe nach 52 (2) DSG bis zu EUR ,-- Bewusstes Negieren der Pflicht könnte zivilrechtlich als eigenständige rechtswidrige Handlung gesehen werden, aus dem ein direktes (vorsätzliches) Verschulden abgeleitet werden kann, auch wenn das Unternehmen Opfer war Zivilrechtliche Schadensminimierungspflicht ( 1304 ABGB) auch wenn das Unternehmen nur als Opfer zu qualifizieren ist o Das Unternehmen muss alles unternehmen um den Eintritt oder die Vergrößerung des Schadens für den Betroffenen zu verhindern o Versagung der Deckung durch Versicherer bei Verletzung der Schadensminimierungspflicht o Die Data Breach Notification Duty bietet hier eine gesetzliche Verpflichtung im Sinne eines Schutzgesetztes des 1311 ABGB logo are registered trademarks of KPMG International, a Swiss cooperative. 11

12 Grundlagen des Datenschutzrechts Wesentliche Neuerungen durch die DSG Novelle 2010 Data Breach Notification Duty Liechtenstein: Bank muss deutsche Steuersünder entschädigen Eine frühere Tochtergesellschaft der Liechtensteiner Fürstenbank LGT muss einem deutschen Steuersünder offenbar 7,3 Millionen Euro Entschädigung zahlen. Nach Informationen der "Süddeutschen Zeitung" fällte das fürstliche Landgericht in Liechtenstein ein entsprechendes Urteil. Darin heiße es, dass die damalige LGT-Treuhand AG den Kläger zu spät darüber informiert habe, dass seine Kundendaten und die von mehreren hundert anderen Bundesbürgern gestohlen worden waren. Der Datendieb war ein früherer Mitarbeiter, der die CD mit den Daten für 4,5 Millionen Euro dem deutschen Bundesnachrichtendienst verkauft hat. Dadurch war vor zwei Jahren unter anderem Post- Chef Klaus Zumwinkel als Steuersünder aufgeflogen. Selbstanzeige bei Warnung Mehrere deutsche Bundesbürger planen ähnliche Klagen. Die Argumentation der enttarnten Steuersünder ist im Wesentlichen dieselbe: Hätte die LGT-Treuhand sie unverzüglich über den Datenklau informiert, hätten sie sich selbst beim deutschen Fiskus anzeigen oder von einer zeitweiligen Amnestie profitieren können. Dadurch wären sie mit geringeren Geldstrafen weggekommen als dies nach ihrer Enttarnung der Fall ist. Das fürstliche Landgericht in Vaduz bewertete dies dem Bericht zufolge ähnlich und gab damit dem Kläger Recht. Das Urteil aus Vaduz sei noch nicht rechtskräftig, die Nachfolgegesellschaft der LGT- Treuhand, die Fiduco Treuhand AG, habe Berufung angekündigt. logo are registered trademarks of KPMG International, a Swiss cooperative. 12 Quelle:

13 Grundlagen des Datenschutzrechts Wesentliche Neuerungen durch die DSG Novelle 2010 Data Breach Notification Duty Erforderliche Handlungsmaßnahmen Implementierung eines effektiven Informationssicherheitsmanagementsystems Identifizierung besonderer Risikobereiche im Unternehmen Prüfung von Versicherungsbedingungen Sicherstellung einer raschen Reaktion im Anlassfall Entwicklung eines Data Breach Response Plan Einsetzung eines Data Breach Response Teams Durchführung einer Feuerübung o Prozessablauf (Checklisten) o Dokumentation o Kommunikation o Information logo are registered trademarks of KPMG International, a Swiss cooperative. 13

14 INFORMATION PROTECTION AND BUSSINESS RESSILIANCE Datenschutzaudit Der Weg zur Datenschutz-Compliance im Unternehmen März 2010 ADVISORY

15 Datenschutzaudit Inhalt Datenschutzmanagement Managementsystem Richtlinien Datenschutzorganisation Kontrollprozesse Rechtlicher Umgang mit personenbezogenen Daten Anforderungen des DSG Arbeitnehmerdatenschutz ArbeitsVerfG Telekommunikationsgesetz Meldepflichten Dienstleistervertäge. Technische Maßnahmen Zugriffschutz Daten-Verschlüsselung Archivierung Transfer Abgeleitet aus den neuen und bestehenden Anforderungen des DSG sind oben genannte Bereiche die inhaltlichen Schwerpunkte eines Datenschutzaudits. logo are registered trademarks of KPMG International, a Swiss cooperative. 15

16 Datenschutzaudit Modularer Aufbau Vertragswerke Technologie Crossborder Transfers Geschäftsbereiche Produkte Datenschutzassessment Compliance Management Datenschutzmanagement Ein Datenschutzaudit hat unterschiedliche Ausprägungen und kann je nach Risiken und Wünschen eines Kunden ausgerichtet werden. Dabei umfasst das Datenschutzmanagement die Steuerung zahlreicher Teilgebiete. Jedes Teilgebiet für sich kann als einzeln durchzuführendes, maßgeschneidertes Datenschutzaudit behandelt werden. logo are registered trademarks of KPMG International, a Swiss cooperative. 16

17 Datenschutzaudit Kernfragen (1/2) Module Kernfragen Praktische Beispiele Geschäftsbereiche Dürfen Daten erhoben werden? Liegt eine Einwilligung zur Verwendung vor? Dürfen Daten weitergegeben werden? Human Ressource Informationstechnologie Marketing Compliance Management Sind vorhandene interne Kontrollmaßnahmen in der Betrugs- und Korruptionsbekämpfung konform mit Datenschutzbestimmungen? Wie sind präventive Kontrollmaßnahmen mit dem DSG zu vereinbaren? Wie viel Überwachung ist rechtlich möglich? Dokumentation zu vorhandenen Dokumentation internen Kontrollen der Prozesse Aufbau Prüfung eines der internen Workflows mit Prozessschnittstellen Kontrollsysteme auf und Einhaltung Rollen der Datenschutzbestimmung Vertragswerk e Sind Formen der Einwilligung in Vertragswerken konform mit den rechtlichen Anforderungen? Liegen datenschutzrechtlich zwingende Zustimmungs-erklärungen bzw Vertragswerke vor? Prüfung der AGB auf versteckte Einwilligung zur Verarbeitung von personenbezogenen Daten Prüfung von Arbeitsverträgen auf Konformität mit dem DSG logo are registered trademarks of KPMG International, a Swiss cooperative. 17

18 Datenschutzaudit Kernfragen (2/2) Module Kernfragen Praktische Beispiele Produkte Welche Produkte verarbeiten personenbezogene Daten? Kann durch ein Datenschutzaudit ein Wettbewerbsvorteil erlangt werden? Software zur Verarbeitung von personenbezogenen Daten IT-Systeme dessen Einsatz unter die Bestimmungen des DSG fallen Crossborder Transfers Werden personenbezogene Daten ins Ausland transferiert? Sind diese Transfers bedingt durch Outsourcing oder innerhalb eines Konzerns? Handelt es sich um EU-Ausland oder Drittländer? Outsourcing der Buchhaltung in Dokumentation nicht EU-Länder der Prozesse Aufbau Konzernweite eines Workflows Verfügbarkeit mit von Prozessschnittstellen Personaldaten über und Rollen Ländergrenzen hinweg Technologie Ist die Sicherheit der Infrastruktur gegeben? Werden Verschlüsselungspotenziale von Datenbanken und Netzwerken genutzt? Wie ist die Zugangs-, Zugriffs-, und Weitergabekontrolle geregelt? Anwendung von Techniken zur Anonymisierung von personenbezogenen Daten Einsatz geeigneter Verschlüsselungsverfahren zur Übermittlung von Daten logo are registered trademarks of KPMG International, a Swiss cooperative. 18

19 Datenschutzaudit Vorgehen Planung Aufnahme GAP-Analyse Reporting Beratung (optional) Absteckung der Grenzen Definition der Ziele des Datenschutzaudits Interviews und Dokumentenreviews Aufnahme von Daten und Prozesse Analyse der gesammelten Informationen Konzentration auf erkannte Kernrisiken Detaillierte Besprechung und Abstimmung im Vorfeld Darstellung der Risiken Hilfestellungen zur Behebung der Schwachstellen Empfehlung geeigneter Maßnahmen Risikobasierter Ansatz zur Reduktion des Umfangs auf das notwendige Maß Sichtung von Systemen Der Report ist ein wesentliches Ergebnis unserer Arbeit Unterstützung bei der Umsetzung von Maßnahmen logo are registered trademarks of KPMG International, a Swiss cooperative. 19

20 Datenschutzaudit Leistungsüberblick Sichtung der Datenschutz Richtlinien Ist ein Datenschutzkonzept vorhanden und wirksam? Vollständigkeit des zu steuernden Datenschutzprozesses Interviews mit relevanten Ansprechpartnern Datenschutzbeauftragter Rechtsabteilung Interne Revision Konzentration auf bekannte kritische Punkte Steuerung des Datenschutzes Umgang mit personenbezogenen Daten Zugriffsbeschränkung auf personenbezogene Daten logo are registered trademarks of KPMG International, a Swiss cooperative. 20

21 Datenschutzaudit Zertifizierung - Datenschutzgütesiegel Gütesiegel bescheinigt IT-Produkten (Hardware und Software) und IT-basierten Dienstleistungen (zb webbasierte Dienstleistungen wie Online-Banking) ihre Vereinbarkeit mit den Vorschriften de EU-Datenschutzrechts logo are registered trademarks of KPMG International, a Swiss cooperative. 21

22 Datenschutzaudit Fragen...? logo are registered trademarks of KPMG International, a Swiss cooperative. 22

23 Datenschutzaudit Kontakt Georg Beham, MSc. Manager, Advisory KPMG, Kudlichstraße 41-43, 4020 Linz Tel (732) Fax + 43 (732) gbeham@kpmg.at Mag. Patrik Kutschi Manager, Advisory KPMG, Kudlichstraße 41-43, 4020 Linz Tel (732) Fax + 43 (732) pkutschi@kpmg.at logo are registered trademarks of KPMG International, a Swiss cooperative. 23