Die neue EU-DSGVO. Carmen De la Cruz Böhringer, RA lic. iur., de la cruz beranek Rechtsanwälte AG

Transkript

1 Die neue EU-DSGVO Carmen De la Cruz Böhringer, RA lic. iur.,

2 2 Bedeutung der neuen EU- DSGVO

3 3 Warum die neue EU-DSGVO für Unternehmen en wichtig ist: beachtliche Bussen möglich Anwendung auch ausserhalb EU Bestimmungsrechte der Betroffenen Meldepflichten bei Verletzungen Datenübermittlung an Drittländer Datenschutzbeauftragter Jugendschutz

4 4 Agenda

5 5 Agenda Räumlicher Anwendungsbereich Einwilligung des Kunden Organisatorische und technische Massnahmen Meldepflichten bei Datenschutzverletzungen Betriebsinterner Datenschutzbeauftragter Datenschutz-Folgenabschätzung Übermittlung von Daten an Drittländer Bussen Jugendschutzbestimmungen

6 6 Räumlicher Anwendungsbereich

7 7 Räumlicher Anwendungsbereich (1) Bisherige Rechtslage: Datenschutz-Richtlinie 95/46/EG Territorialitätsprinzip: Nur Bearbeitung der Daten auf dem Gebiet der EU Bearbeitung der Daten auf Mitteln, welche in der EU gelegen sind

8 8 Räumlicher Anwendungsbereich (2) Neue Rechtslage (Art. 3 EU-DSGVO): Betroffene Bearbeiter mit Sitz / Niederlassung in der EU In der EU erfolgtes Verhalten Auswirkungsprinzip: Betroffene (Wohn)Sitz in der EU Auch Datenverarbeitungen ausserhalb der EU Keine Standortgebundenheit der Bearbeitung Herkunft der Daten unerheblich Territorialitätsprinzip Anwendbarkeit von öffentlichem Recht nur auf schweizerische Sachverhalte

9 9 Einwilligung des Kunden

10 10 Einwilligung: Übersicht Grundprinzipien Übersicht über die neuen Grundprinzipien bezüglich Einwilligung:

11 11 Neukonzeption der ausdrücklichen Einwilligung Notwendigkeit der ausdrücklichen Einwilligung der betroffenen Person «Opt-in» Einwilligung (EU-DSGVO 6 (a)) Einwilligung nur bei entsprechender Erklärung Erklärender hat Tragweite der Einwilligung erkannt Auswirkungen im Bereich des Internets Bsp. Cookies: ausdrückliche Einwilligung durch Pop-up-Felder Ausgeschlossen sind stillschweigende Annahme Stillschweigendes Einverständnis Standardmässig angekreuzte Kästchen Extensive Datenschutzerklärung gemäss AGB

12 12 Nachweis / Widerruf der Einwilligung Anforderungen an Widerruf (Art. 7 EU-DSGVO): Herabsetzung der Anforderungen Begründungsloser Widerruf Jederzeitiger Nachweis Einfache Gestaltung

13 13 Recht auf «Vergessenwerden» Art. 17 EU-DSGVO hält folgende Rahmenpunkte fest: Statuierung eines expliziten Rechts auf Löschung Verhältnis zum Recht auf Widerruf Ausführung der Löschvorgänge Verwendung umfassender Protokolllösungen

14 14 Recht auf Datenübertragbarkeit Recht auf Erhalt der personenbezogenen Daten Strukturiertes, gängiges und maschinenlesbares Format Möglichkeit der Übermittlung an anderen Verantwortlichen

15 15 Folgen für Unternehmen Einwilligung: Prozess, Detaillierungsgrad, Zweckänderungen auch in elektronischer Form möglich Einführung effektiver Prozesse für die Umsetzung des Widerrufs Vorsicht bei der Gestaltung von Webseiten, Apps und digitalen Diensten Genaue Dokumentation der personenbezogenen Daten Art der Daten Herkunft Weitergabe Überprüfung des Löschverfahrens

16 16 Organisatorische und technische Massnahmen

17 17 Organisatorische Massnahmen (1) Statuierung einer allgemeinen Pflicht zur Implementierung von technischen und organisatorischen Massnahmen Umsetzung mit der Pflicht zum Nachweis der vorgeschriebenen Implementierung Sicherstellung der durch Verordnung vorgeschriebenen Verarbeitung Überprüfung und Aktualisierung von Massnahmen

18 18 Technische Massnahmen: Im Allgemeinen Allgemeine Massnahmen (Art. 32 EU-DSGVO) Technische Massnahmen und Wahl der Mittel Datenbearbeitungsprozesse nach Stand der Technik Beispiele: Pseudonymisierung Sicherstellung der Vertraulichkeit Datenwiederherstellung Verfahren zur regelmässigen Überprüfung Besondere Beachtung sensibler Daten Ausnahmetatbestand Definition Verschärfung risikobasierter Einstufung Folgen

19 19 Technische Massnahmen: Verzeichnisse (1) A. Besonderheiten bei der Erstellung von Verzeichnissen (Art. 30 EU-DSGVO) Unternehmensleitung für Verfahrensverzeichnisse verantwortlich Auftragsverarbeiter ebenfalls zur Führung von Verfahrensverzeichnissen verpflichtet Beschränktes Einsichtsrecht

20 20 Technische Massnahmen: Verzeichnisse (2) B. Inhalt der Verzeichnisse => Beispiele Name des Verantwortlichen Zwecke der Verarbeitung Betroffene Personen und personenbezogene Daten Empfänger Übermittlungen von Daten an Drittland

21 21 Technische Massnahmen: Verzeichnisse (3) C. «Logfiles» Erstellen eines Protokollierungsmechanismus («Logfiles») Orientierung an Ausführungen im Leitfaden des EDÖB Beispiele: Erstellung von Katalogen mit umschriebenen Kriterien Anpassung der Aufbewahrungsdauer der Logfiles Inhalt und Aufbewahrungsdauer der Logfiles stehen in einem Verhältnis zu den Daten und den vorgenommenen Bearbeitungen

22 22 Meldepflichten bei Datenschutzverletzungen

23 23 Meldepflichten (1) A. Meldepflicht an Aufsichtsbehörde (Art. 33 EU-DSGVO) Meldefrist von max. 72 Stunden Angabe von Gründen bei Nichteinhaltung der 72-Stunden-Frist Ausführliche Beschreibung des Datenschutzverstosses inkl. Einschätzung der Auswirkungen Umfassende Dokumentation der Verletzungen

24 24 Meldepflichten (2) B. Meldepflicht an Betroffene (Art. 34 EU-DSGVO) Grundsatz: unverzügliche Benachrichtigung des Betroffenen wenn Datenschutzverletzung ein hohes Risiko für die persönlichen Rechte und Freiheiten zur Folge hat Ausnahmen: Treffen von technischen/organisatorische Sicherheitsvorkehrungen Hohes Risiko besteht nicht mehr unverhältnismässig hoher Aufwand

25 25 Folgen für die Unternehmen Überprüfung der internen Berichterstattung Identifikation von potentiellen Datenschutzverstössen sicherstellen Umgang mit Datenschutzverstössen

26 26 Betriebsinterner Datenschutzbeauftragter

27 27 Datenschutzbeauftragter Ernennung des Datenschutzbeauftragten durch Verantwortliche Zwingende Ernennung des Datenschutzbeauftragten: Unternehmen führt regelmässige und systematische Überwachung von betroffenen Personen aus umfangreiche Verarbeitung besonderer («sensiblen») Kategorien von Daten erforderlich Zusätzliche Auflagen durch nationales Recht möglich

28 28 Datenschutzbeauftragter (3) Beispiele von Aufgaben des Datenschutzbeauftragten Unterstützung ihrer Kollegen Prüfung der Vereinbarkeit der Firmenpolitik mit der DSG-VO Ratschläge geben betreffend Datenschutz- Folgenabschätzungen Kontakt mit Aufsichtsbehörden Datenschutzbeauftragter in direktem Kontakt mit Management 1 Datenschutzbeauftragter bei einer Gruppe von Unternehmen

29 29 Folgen für Unternehmen Beauftragter soll Auftrag ohne Weisungsgebundenheit ausführen können (Unterstellung unter den VR?) Kontrollaufgaben und arbeitsrechtliche Konsequenzen Ernennung von Datenschutzbeauftragten aus arbeitsrechtlicher Sicht? Publikation der Kontaktdaten und Mitteilung an Aufsichtsbehörde

30 30 Datenschutz- Folgenabschätzung

31 31 Datenschutz-Folgenabschätzung (1) Identifizierung und Minimierung von non-compliance Risiken Datenschutz-Folgenabschätzung in der Schweiz Durchführung der Folgenabschätzung vor Hochrisiko- Verarbeitungsaktivität Hochrisiko-Fälle mit Folgenabschätzung zwingend wenn: Form der Verarbeitung verursacht wahrscheinlich ein hohes Risiko, insbesondere bei neuen Technologien oder aufgrund ihres Wesens, ihres Umfangs, ihres Kontexts oder ihrer Zwecke

32 32 Datenschutz-Folgenabschätzung (2) Neue Technologien: Beispiele o Systematische Bewertung aufgrund automatisierter Verarbeitung o Umfangreiche Verarbeitung besonderer Datenkategorien o Weiträumige Überwachung öffentlich zugänglicher Bereiche

33 33 Datenschutz-Folgenabschätzung (3) Veröffentlichung von Einzelheiten und Leitlinien bzgl. Hochrisiko-Fälle Minimalvorgaben in der neuen EU-DSG-VO: Beschreibung der Verarbeitungsaktivitäten und deren Zweck Beurteilung der Notwendigkeit und der Verhältnismässigkeit der Verarbeitung, die Risiken und die ergriffenen Massnahmen zur Risikominimierung, vor allem Vorsichts- und Sicherheitsmassnahmen, die dem Schutz der persönlichen Daten dienen und den Vorgaben in der DSG-VO entsprechen Meinung des Datenschutzbeauftragten bezüglich Folgenabschätzung wichtig Aufsichtsbehörde muss im Hochrisikofall in Kenntnis gesetzt werden

34 34 Datenaustausch / Übermittlung von Daten an Drittländer

35 35 Übermittlung von Daten an Drittländer (1) Bedingungen für den erlaubten Datentransfer 1. Angemessenes Schutzniveau für den Drittstaat Beurteilung der Angemessenheit: Kriterien (Auswahl) Rechtsstaatlichkeit, Menschenrechte und Grundrechte im Drittstaat Vollzug des Datenschutzrechts im Drittstaat Zugriff von Behörden auf personenbezogene Daten Rechtsprechung der Gerichte des Drittstaates

36 36 Übermittlung von Daten an Drittländer (2) 2. Datentransfer erfolgt auf Grundlage von Standardvertragsklauseln Standardvertragsklauseln geeignete Garantien von Kommission gemäss Prüfverfahren erlassen werden von Aufsichtsbehörde angenommenen Standarddatenschutzklauseln 3. Einzelgenehmigung des Datentransfers 4. Einwilligung der Betroffenen Vorgängige Information Aufklärung von Risiken

37 37 Übermittlung von Daten an Drittländer (3) 5. Datentransfer erfolgt auf der Grundlage von Binding Corporate Rules BCRs: Sicherstellung eines angemessenen Vertragsniveaus Praktische Relevanz im Bereich des Outsourcing und des Cloud Computing Inhalt der Binding Corporate Rules: Beispiele Definition des Geltungsbereichs Aufbau und Umsetzung eines Sicherheitskonzepts zum Schutz von pers. Daten Datenschutzschulung von Mitarbeitern

38 38 Bussen

39 39 Verwaltungsrechtliche Sanktionen (1) Katalog von Verstössen in EU-DSGVO grösser als im schweizerischen adsg Neue Rechte von betroffenen Personen Neue Pflichten für Bearbeiter Weitere verwaltungsrechtliche bzw. strafrechtliche Sanktionen durch Mitgliedstaaten möglich Beachtung von ne bis in idem

40 40 Verwaltungsrechtliche Sanktionen (2) Art. 79 Abs. 3 EU-DSGVO (a) Verstoss gegen die Pflichten als Verarbeiter Art. 8, 10, 23-39a Art. 8: Verarbeitung personenbezogener Daten eines Kindes Art. 10: Verarbeitung ohne dass die betroffene Person bestimmt werden kann Art a: Für die Datenverarbeitung Verantwortliche und Auftragsverarbeiter (aa) Verstoss gegen Pflicht als Zertifizierungsstelle 39-39a (ab) Verstoss gegen die Pflicht als Überwachungsstelle Art. 38a Art. 79 Abs. 3a EU-DSGVO (a) Grundsätze der Verarbeitung und der Einwilligung Art. 5: Grundsätze für die Verarbeitung personenbezogener Daten Art. 6: Rechtmäßigkeit der Verarbeitung Art. 7: Einwilligung Art. 9: Verarbeitung personenbezogener Kategorien von personenbezogenen Daten (b) Rechte der betroffenen Personen Art : Kapitel III Rechte der betroffenen Person (ba) bei der Übermittlung personenbezogener Daten an ein Drittland oder internatl. Organisation Art : Kapitel V Übermittlung personenbezogener Daten an Drittländer oder an internationale Organisationen (bb) Verpflichtungen gemäss der durch den Mitgliedstaat, gemäss Kapitel IX, verabschiedete Gesetze (c) Nichteinhaltung einer Anordnung oder Beschränkung der Verarbeitung oder Aussetzung durch die Aufsichtsbehörde oder Verweigerung des Zugangs Art. 53 Abs. 1b Art. 53 Abs. 1

41 41 Verhängung von Geldbussen (1) Ordnungswidrigkeitstatbestände (Art. 83 EU-DSGVO) Wirksame und verhältnismässige Wirkung von Geldbussen Würdigung der Umstände des Einzelfalles Höhe der Geldbussen: EUR 10 Mio. bzw. EUR 20 Mio. oder im Fall eines Unternehmens von bis zu 2 % bzw. 4% seines gesamten weltweit erzielten Jahresumsatzes des vorangegangenen Geschäftsjahrs Durchsetzbarkeit gegen Schweizer in EU Vollstreckbarkeit in Schweiz?

42 42 Verhängung von Geldbussen (2) Kriterien (Auswahl) für Bussenverhängung Art, Schwere und Dauer des Verstosses Art und die Reichweite sowie der Zweck der jeweiligen Datenverarbeitung Zahl der von dem Verstoss Betroffenen Ausmass des für den Betroffenen entstandenen Schadens Vorsätzliche / fahrlässige Begehung des Verstosses

43 43 Tom Bayer Fotolia.com

44 Thank you for your attention!

45 45 Junge Kunden

46 46 Jugendschutzbestimmungen (1) A. Tragweite/Bedeutung der Bestimmungen Jugendschutzbestimmungen neu in der EU-DSG-VO Kinder/Jugendliche: «schutzbedürftiger natürlicher Personen» Keine Angaben bzgl. Alter des Kindes/Jugendlichen Zustimmung der Eltern wenn Online-Dienste Kindern zur Verfügung gestellt werden Beachtung des Alters

47 47 Jugendschutzbestimmungen (2) B. Zustimmung der Eltern: Konstellationen Falls Kind/Jugendlicher das 16. Lebensjahr vollendet hat: Verarbeitung der personenbezogenen Daten des Kindes rechtmässig Falls Kind/Jugendlicher das 16. Lebensjahr noch nicht vollendet hat: Verarbeitung von personenbezogenen Daten nur rechtmässig, sofern Einwilligung durch den Träger der elterlichen Verantwortung für das Kind Zustimmung durch Träger der elterlichen Verantwortung

48 48 Jugendschutzbestimmungen (3) C. Kinder-/jugendgerechte Benachrichtigungen Verständliche und leicht zugängliche Form klare und einfache Sprache Tragweite der Schutzbedürftigkeit von Kindern/Jugendlichen Kinder und Jugendliche müssen die Informationen verstehen können

49 49 Folgen für Unternehmen Anwendbarkeit nationaler Regeln überprüfen Anwendbarkeit nationaler Regeln auf Vertragsschlussmechanismen Offline-Datenverarbeitung Vermittlung klarer, verständlicher Informationen in kind- bzw. jugendgerechter Art und Weise Standesregeln des Unternehmens