Datenschutz-Grundverordnung Überblick & Workshop

Transkript

1 Datenschutz-Grundverordnung Überblick & Workshop

2 Die Welt der Datenschutz-Richtlinie 2017 Schoenherr 2

3 2017 Schoenherr 3

4 Status quo & Änderungsbedarf Der Änderungsbedarf: Datenschutz Grundverordnung Im Jänner 2012 präsentierte die Europäische Kommission den Entwurf einer EU-Datenschutz-Grundverordnung (die "DSGVO") Nationale Datenschutzgesetze sollen durch ein einheitliches, unmittelbar anwendbares europäisches Datenschutzrecht ersetzt werden DSGVO zielt auf eine grundlegende Änderung der derzeit geltenden Datenschutzgesetze ab DSGVO soll eine Modernisierung und Vereinheitlichung des Datenschutzrechts in Europa bewirken und so den Wirtschaftsstandort Europa stärken Zeitplan: Veröffentlichung am im Amtsblatt der Europäisches Union Inkrafttreten am Anwendbar ab Schoenherr 4

5 Das Ergebnis Von der Idee zur Realität Die Idee: Unmittelbar anwendbares Datenschutzrecht innerhalb Europas Die Realität: "Hinkende VO" (= durch Öffnungsklauseln erlaubt die DSGVO den Mitgliedstaaten nationale "Anpassungsgesetze") Die Idee: Einheitliches Datenschutzrecht innerhalb Europas Die Realität: Regelungsspielraum für materiespezifische Besonderheiten (zb Gesundheitsbereich, Arbeitsrecht etc) Die Idee: Einheitliche Rechtsauslegung innerhalb Europas Die Realität: Gerichtliche Rechtssprechungshoheit bleibt bestehen Die Realität: Die DSGVO wurde unter Zeitdruck verabschiedet, sie bietet in vielen Bereichen keine klaren Regelungen und in machen Bereichen fehlen Regelungen (zb Videoüberwachung) 2017 Schoenherr 5

6 Bekannte Grundsätze Die datenschutzrechtlichen Grundprinzipien der DSGVO Rechtmäßigkeit Verarbeitung nach Treu und Glauben Transparenz Zweckbindung Datensparsamkeit bzw minimierung Datenrichtigkeit, Datenintegrität und Vertraulichkeit Rechenschaftspflicht des Verantwortlichen 2017 Schoenherr 6

7 Bekannte Grundsätze Es gilt der Grundsatz: "Verbot mit Erlaubnisvorbehalt" Verarbeitung ist nur zulässig, wenn eine in der DSGVO normierte Ausnahme bzw Rechtsgrundlage vorliegt: Einwilligung Vertragserfüllung Erfüllung einer rechtlichen Verpflichtung Wahrung berechtigter Interessen des für die Verarbeitung Verantwortlichen sofern nicht die Interessen des Betroffenen überwiegen Lebenswichtige Interessen Ausübung öffentlicher Gewalt 2017 Schoenherr 7

8 Fokus: Investor Relations Gesetzliche Rahmenbedingungen Datenübermittlungen zb gesetzlich vorgesehen in Zusammenhang mit Ausübung Aktionärsrechte id HV ( 10a (2)Z2 ivm 111(2) AktG) Meldung bedeutender Beteiligungen ( 91ff ivm 92a (1) Z 4 BörseG) Anknüpfungspunkte im ÖCGK Offenlegungen zu Aktionärsstruktur (C-Regel 64) ConfCalls / Informationsveranstaltungen für Investoren (R-Regel 75) 2017 Schoenherr 8

9

10 Die Themenschwerpunkte der DSGVO DSGVO Untergliederung in 9 Schwerpunkte : Verarbeitungsverzeichnis, Vorabkonsultation, Privacy Impact Assessment Neue Konzepte (etwa Privacy by Design, Privacy by Default) Löschfristen (Dauer der Aufbewahrung personenbezogener Daten) Informationspflichten Betroffenenrechte Dienstleistungsverträge / Joint Controlling Internationaler Datentransfer Pflichten bei Datenschutzverletzung Datenschutzbeauftragter 2017 Schoenherr 10

11 Verzeichnis von Verarbeitungstätigkeiten 2017 Schoenherr 11

12 Verzeichnis von Verarbeitungstätigkeiten Zweck: Nachweis der Einhaltung der DSGVO Von jedem Verantwortlichen zu führen Ausnahme: 250er Regel: Verantwortlicher < 250 Mitarbeiter Es sei denn: Verantwortlicher / Auftraggeber verarbeitet Daten mit Risiken für die Rechte und Freiheiten der betroffenen Personen Insbes sensiblen Daten / Daten über strafrechtliche Verurteilungen wenn die Datenverarbeitung stetig erfolgt (nicht nur gelegentlich) 2017 Schoenherr 12

13 Löschkonzept 2017 Schoenherr 13

14 Löschkonzept DSGVO verpflichtet an verschiedener Stelle zu Löschkonzept Fristen für die Löschung von Daten sind im Verarbeitungsverzeichnis aufzunehmen (Art 30 Abs 1 lit f DSGVO) Betroffenen sind über die Dauer der Speicherung ihrer Daten zu informieren (Art 13 Abs 2 lit a und Art 14 Abs 2 lit a DSGVO) Löschkonzept sollte klare Rollen und Regeln definieren und nachvollziehbare Verantwortlichkeiten zuweisen: Nach Datenarten kategorisierte Vorhaltefristen (organisatorische Löschregeln); Technische Anforderungen an die Löschung bestimmter Daten (technische Löschregeln faktische Unumkehrbarkeit ); Verantwortlichkeiten für die Freigabe von Regellöschfristen; 2017 Schoenherr 14

15 Informationspflichten 2017 Schoenherr 15

16 Informationspflichten Eine Datenanwendung ist dann transparent, wenn Betroffene - die Existenz des Verarbeitungsvorganges, - den Zweck und - die Verantwortlichen der Datenanwendung nachvollziehen können. Die Informationen über die Datenanwendung müssen für die Betroffenen - präzise, - leicht zugänglich, - verständlich sowie - in klarer und einfacher Sprache abgefasst werden Schoenherr 16

17 Informationspflichten Geeignete Maßnahmen: - (Elektronisches) Dokument oder Link auf Website mit der Information von wem, welche Daten zu welchem Zweck verwendet werden sowie die Aufklärung welche Betroffenenrechte wie geltend gemacht werden können Privacy Policy - (Elektronische) Formulare zur Beantragung der Berichtigung, Löschung oder bei Inanspruchnahme des Widerspruchsrechts. - Zur "klaren und einfachen Sprache": Fachausdrücke möglichst vermeiden. Gegebenenfalls können auch visuelle Elemente verwendet werden. Achten Sie auf Ihren Betroffenenkreis und passen Sie das Wording und die Sprache dementsprechend an! 2017 Schoenherr 17

18 Betroffenenrechte 2017 Schoenherr 18

19 Betroffenenrechte Allgemein und ähnlich der bisherigen Rechtslage: Recht auf Auskunft (Art 15) Recht auf Berichtigung (Art 16) Recht auf Löschung (Art 17) Spezielle Ausformungen "Recht auf Vergessenwerden" (Art 17 Abs 2) Widerspruchsrecht (Art 21) Recht auf Einschränkung der Verarbeitung (Art 18) Recht auf Datenübertragbarkeit (Art 20) Recht auf automatisierte Entscheidung im Einzelfall (Art 22) 2017 Schoenherr 19

20 Nutzung von Auftragsverarbeitern (Cloud) 2017 Schoenherr 20

21 Nutzung von Auftragsverarbeitern Art 28 ermöglicht dem Verantwortlichen die Datenverarbeitung im Auftrag vornehmen zu lassen (Dienstleister). Begriff des Auftragsverarbeiters in Art 4 Z 8 definiert als: " eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. " Weiters wird in Art 28 geregelt: - Begründung der Auftragsverarbeitung und Rechtmäßigkeitsvoraussetzungen (Auswahlverantwortung) - Unterauftragnehmer in der Verarbeitungskette - Umfangreiches Pflichtenprogramm für Auftragsverarbeiter 2017 Schoenherr 21

22 Nutzung von Auftragsverarbeitern Praxisbedarf an internationalen Datentransfers: Datenübermittlungen, Datensharing, Datenzugriffe, etc innerhalb der Unternehmensgruppe Unternehmen in nahezu allen Geschäftsbereichen betroffen: Server außerhalb Österreichs, Cloud Provider (zb Microsoft Outlook), BYOD, etc. Datentransfer außerhalb Europas: Fiktion des unsicheren Drittlands Verschiedene Konzepte zur Herbeiführung eines "sicheren" internationalen Datentransfers: EU-Kommissionsentscheidung: Sicheres Drittland EU-Kommissionsentscheidung: "Safe Harbor " (nunmehr: "Privacy Shield") EU-Kommissionsentscheidung: Standardvertragsklauseln Binding Corporate Rules Informierte Einzelzustimmung 2017 Schoenherr 22

23 Pflichten bei Datenschutzverletzung 2017 Schoenherr 23

24 Pflichten bei Datenschutzverletzung Grundregel: Datenschutzverletzung ist "unverzüglich und möglichst binnen 72 Stunden" der zuständigen Aufsichtsbehörde zu melden. Ausnahme: Meldung kann unterbleiben, wenn die Verletzung nicht zu einem Risiko für die Rechte und Freiheiten der Betroffenen führt. Verschärfung: Wenn die Verletzung voraussichtlich ein hohes Risiko für die Rechte und Freiheiten der Betroffenen zur Folge hat, so sind die Betroffenen unverzüglich zu informieren. Kein ausdrückliches Formerfordernis für die Meldung an die Aufsichtsbehörde, wohl aber hat die Betroffeneninformation schriftlich zu ergehen (Art 12 Abs 1 ivm Art 34) Grundsätzlich Schriftform empfehlenswert (Dokumentationszweck!) Wichtig: Verletzung, Auswirkungen und ergriffene Maßnahmen sind zu dokumentieren Dient der Prüfmöglichkeit der Aufsichtsbehörde 2017 Schoenherr 24

25 Nationale Anpassung der DSGVO NATIONAL 2017 Schoenherr 25

26 Nationale Anpassung der DSGVO DSGVO ist zwar unmittelbar anwendbare Verordnung, jedoch besteht: - Raum zur Durchführung im innerstaatlichen Recht (zb gesetzliche Einrichtung und Ausgestaltung der nationalen Datenschutzbehörde) - Möglichkeit zur Nutzung von Öffnungsklauseln Am ging der Entwurf eines Datenschutz-Anpassungsgesetzes 2018 (DSG 2018) in Begutachtung Am Beschlussfassung durch den Nationalrat (ohne Verfassungsbestimmungen) Inkrafttreten des Gesetzes am Schoenherr 26

27 Nationale Anpassung der DSGVO DSG 2018 normiert unter anderem ein Datengeheimnis: - Gilt für Verantwortliche, Auftragsverarbeiter und Dienstnehmer (auch im dienstnehmerähnlichen Verhältnis) - Geheimhaltungspflicht für Daten, die ausschließlich in der berufsmäßigen Beschäftigung anvertraut wurden - Mitarbeiter dürfen Daten nur auf Anweisung verwenden - Mitarbeiter sind vertraglich auf das Datengeheimnis zu verpflichten und über das Datengeheimnis sowie die Folgen dessen allfälliger Verletzung zu belehren - Sanktionslosigkeit der Verweigerung einer Anordnung zur unzulässigen Datenübermittlung - Aussageverweigerungsrecht des Verantwortlichen darf nicht durch Zugriff auf Auftragsverarbeiter umgangen werden 2017 Schoenherr 27

28 Nationale Anpassung der DSGVO Datenschutzbehörde wird nationale Aufsichtsbehörde Befugnisse und Aufgaben (Auszug): - Recht auf Einschau und Unterlageneinsicht bei begründeten Verdachtsfällen - Einschau erst nach Vorabverständigung (Zeitraum im DSG 2018 nicht determiniert!), Erlaubnis auch zur Herstellung von Kopien - Mandatsbescheid zur (teilweisen) Untersagung einer Datenverarbeitung bei Gefahr im Verzug - Auf Antrag: Mandatsbescheid zur Einschränkung der Verarbeitung gem Art 18 DSGVO sofern Verantwortlicher dieser Pflicht nicht nachgekommen ist - Blacklists / Whitelists für die Datenschutz-Folgenabschätzung - Verordnungskompetenz für Akkreditierungsvoraussetzungen für Zertifizierer und Überwachungsstellen von Verhaltensregeln - Datenschutzbehörde ist die ausschließliche nationale Akkreditierungsstelle 2017 Schoenherr 28

29 Vielen Dank! Ursula Rath Partner Kapitalmarktrecht T: E: u.rath@schoenherr.eu Günther Leissler Counsel Datenschutzrecht T: E: g.leissler@schoenherr.eu 2017 Schoenherr 29