(im Folgenden Datenschutzgrundverordnung oder DSGV)

Transkript

1 Grundinformationen zu der VERORDNUNG (EU) 2016/679 DES EUROPÄISCHEN PARLAMENTS UND DES RATES vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverordnung) (im Folgenden Datenschutzgrundverordnung oder DSGV) 1

2 Warum ist die Datenschutzgrundverordnung überhaupt erlassen worden? 1. Weil die jetzigen, aufgrund einer Richtlinie erlassenen datenschutzrechtlichen Regelungen in verschiedenen Mitgliedsstaaten unterschiedlich implementiert sind. Die Anforderungen an den Datenschutz sind unterschiedlich z.b. in Irland Deutschland Belgien 2. Weil die Informationen über Nutzer sehr wertvoll sind: USD 1 Trillion USD ( ) 2

3 Die Erschwerung des Zugangs zu Daten kann zu einem Wettbewerbsinstrument werden 3

4 Entwurf einer Richtlinie über Zahlungsdienste in der EU, Stand 2014/2015 («PSD2») Art. Commission proposall Council Text European Parliament text Art.58- para 2 2. Where a third party payment service provider has been authorised by the payer to provide payment services under paragraph 1, he shall have the following obligations: 2. Where a third party payment service provider has been authorised by the payer to provide payment services under paragraph 1, he shall have the following obligations: 2. Where a third party payment service provider has been authorised by the payer to provide payment services under paragraph 1, it shall have the following obligations: Art.58- para 2- point c (c) not to store sensitive payment data or personalised security credentials of the payment service user. (d) not to store sensitive payment data [...] of the payment service user and not to request from the payment service user any data other than those necessary to initiate the payment; (c) not to store [...]personalised security credentials of the payment service user. Art.58- para 2- point ca (e) not to use, access and store any data for purposes other than for performing the payment initiation service explicitly requested by the payer; (ca) not to use data for purposes other than those explicitly requested by the payer. 4

5 Warum ist die Einhaltung der Vorschriften der DSGV so wichtig? Weil das Nicht-Einhalten der Vorschriften der DSGV Bussen von bis zu 4% des globalen Umsatzes nach sich ziehen kann. 5

6 Warum beschäftigen wir uns in der Schweiz und in anderen nicht-eu-ländern mit der DSGV? Weil die DSGV auch einen «exterritorialen» Charakter hat das heisst, auch Unternehmen, die nicht in der EU ansässig oder tätig sind, können unter Umständen in den Anwendungsbereich der DSGV fallen : 6

7 Artikel 3 Räumlicher Anwendungsbereich (1) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeiten einer Niederlassung eines Verantwortlichen oder eines Auftragsverarbeiters in der Union erfolgt, unabhängig davon, ob die Verarbeitung in der Union stattfindet. (2) Diese Verordnung findet Anwendung auf die Verarbeitung personenbezogener Daten von betroffenen Personen, die sich in der Union befinden, durch einen nicht in der Union niedergelassenen Verantwortlichen oder Auftragsverarbeiter, wenn die Datenverarbeitung im Zusammenhang damit steht a) betroffenen Personen in der Union Waren oder Dienstleistungen anzubieten, unabhängig davon, ob von diesen betroffenen Personen eine Zahlung zu leisten ist b) das Verhalten betroffener Personen zu beobachten, soweit ihr Verhalten in der Union erfolgt. 7

8 In welchen Konstellationen kann ein Schweizer Unternehmen von DSGV erfasst werden: - Verarbeitung der Daten von Kunden in der EU, denen auch Produkte oder Ware angeboten werden - Beobachtung und Auswertung des Verhaltens der Benutzer aus der EU in der CH, auch wenn es sich um eine eigene Niederlassung in der EU handelt - Auslagerung der Daten an einen Dienstleister in der EU 8

9 In welchen Konstellationen findet die DSGV auf Schweiz Unternehmen keine Anwendung? - Bearbeitung der Daten von Kunden aus der EU, wenn die Produkte und Dienstleistungen nur in der Schweiz angeboten werden - Wenn HR-Daten von den in der Schweiz tätigen Mitarbeitern (auch aus der EU) in der Schweiz bearbeitet werden 9

10 Was wird durch die DSGV geschützt? Personenbezogene Daten Was sind personenbezogene Daten? Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (Art. 1, I, 1 DSGV). 10

11 Was ist Verarbeitung? "Verarbeitung" = jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, der Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung; Also: jegliche automatisierte oder nichtautomatisierte Bearbeitung 11

12 Grundsätze der Datenbearbeitung? Artikel 5 Grundsätze für die Verarbeitung personenbezogener Daten 1. Personenbezogene Daten müssen nach folgenden Prinzipien verarbeitet werden a) Rechtmäßigkeit b) Verarbeitung nach Treu und Glauben, Transparenz; c) Zweckbindung; d) Datenminimierung; e) Richtigkeit; f) Speicherbegrenzung; g) Integrität und Vertraulichkeit (Sicherheit); 2. Der Verantwortliche ist für die Einhaltung dieser Prinzipien verantwortlich und muss dessen Einhaltung nachweisen können ("Rechenschaftspflicht") 12

13 Wer sind die betroffenen Personen, denen gemäss der DSGV eine Rolle zugesprochen wurde? - Verantwortlicher - natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet; sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche bzw. können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden; - Auftragsverarbeiter - eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet; - Empfänger - eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. 13

14 - Dritter - eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, ausser der betroffenen Person, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten; - Vertreter - eine in der Union niedergelassene natürliche oder juristische Person, die von dem Verantwortlichen oder Auftragsverarbeiter schriftlich gemäß Artikel 27 bestellt wurde und den Verantwortlichen oder Auftragsverarbeiter bezüglich der diesen jeweils nach dieser Verordnung obliegenden Pflichten vertritt; - Betroffene Person 14

15 Was sind die wichtigsten Pflichten? - Informationspflichten - Rechenschaftspflichten - Sicherheitspflichten - Ernennung eines Vertreters in der EU - Ernennung eines Datenbeauftragten - Anmeldung bei der jeweiligen Datenschutzbehörde 15

16 Rechtsmässigkeit der Datenverarbeitung a) die betroffene Person hat ihre Einwilligung zu der Verarbeitung der sie betreffenden personenbezogenen Daten für einen oder mehrere bestimmte Zwecke gegeben b) die Verarbeitung ist für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist oder zur Durchführung vorvertraglicher Maßnahmen erforderlich, die auf Anfrage der betroffenen Person erfolgen; c) die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich, welcher der Verantwortliche unterliegt; 16

17 d) die Verarbeitung ist erforderlich, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen; e) die Verarbeitung ist für die Wahrnehmung einer Aufgabe erforderlich, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; f) die Verarbeitung ist zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich bei der 17 betroffenen Person um ein Kind handelt

18 Was ist die Einwilligung? "Einwilligung der betroffenen Person - jede freiwillig für den bestimmten Fall, in informierter Weise und unmissverständlich abgegebene Willensbekundung, in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist. Einwilligung v. Erfüllung des Vertrages, etc Im Zweifelsfall Einwilligung ist sicherer. 18

19 Bedingungen für die Einwilligung 1. Beruht die Verarbeitung auf einer Einwilligung, muss der Verantwortliche nachweisen können, dass die betroffene Person in die Verarbeitung ihrer personenbezogenen Daten eingewilligt hat. 2. verständlich, leicht zugänglich, verfasst in einer klaren und einfachen Sprache, von den anderen Sachverhalten klar zu unterscheiden; Teile der Erklärung sind dann nicht verbindlich, wenn sie einen Verstoß gegen diese Verordnung darstellen (AGB + Datenschutzerklärung). 3. Die betroffene Person hat das Recht, ihre Einwilligung jederzeit zu widerrufen. Die betroffene Person wird vor Abgabe der Einwilligung hiervon in Kenntnis gesetzt (Informationspflicht). Der Widerruf der Einwilligung muss genauso einfach wie die Erteilung der Einwilligung möglich sein. 4. Im Fall von sog. «sensitiven» Daten muss die Einwilligung ausserdem ausdrücklich gemacht werden. 19

20 Recht auf Datenübertragbarkeit 1. Die betroffene Person hat das Recht, die sie betreffenden personenbezogenen Daten, die sie einem Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und sie hat das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Verantwortlichen, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern a) die Verarbeitung auf einer Einwilligung beruht und b) die Verarbeitung mithilfe automatisierter Verfahren erfolgt 2. Bei der Ausübung ihres Rechts auf Datenübertragbarkeit hat die betroffene Person das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist (Muss Facebook ein 20 ganzes Profil einer anderen Socialmedia Plattfrom übermitteln?)

21 Verarbeitung der Daten in Drittländer Nur dann zulässig, wenn der Verantwortliche und der Auftragsverarbeiter die bestimmten, in der DSGV vorgesehenen Bedingungen einhalten und auch die sonstigen Bestimmungen dieser Verordnung eingehalten werden; dies gilt auch für die etwaige Weiterübermittlung personenbezogener Daten durch das betreffende Drittland oder die betreffende internationale Organisation an ein anderes Drittland oder eine andere internationale Organisation. - Vertrag - Garantien - Interne Datenschutzvorschriften - Safe Harbour - Neue Richtlinien werden von der EU-Kommission herausgearbeitet, 21

22 Wie sieht es mit den Daten von Kindern aus? - Die Verarbeitung der personenbezogenen Daten des Kindes ist rechtmäßig, wenn das Kind das sechzehnte Lebensjahr vollendet hat. Hat das Kind noch nicht das sechzehnte Lebensjahr vollendet, so ist diese Verarbeitung nur rechtmäßig, sofern und soweit eine Einwilligung durch den Träger der elterlichen Verantwortung für das Kind erteilt wird, oder dessen Zustimmung vorliegt. - Die Mitgliedstaaten können durch Rechtsvorschriften eine niedrigere Altersgrenze vorsehen, die jedoch nicht unter dem vollendeten dreizehnten Lebensjahr liegen darf. - Der Verantwortliche unternimmt, unter Berücksichtigung der verfügbaren Technik, angemessene Anstrengungen, um sich in solchen Fällen zu vergewissern, dass die Einwilligung durch den Träger der elterlichen Verantwortung für das Kind erteilt wurde oder oder mit dessen Zustimmung vorliegt (wie??? sollen Kopie von Geburtsurkunden gefragt und gespeichert werden?) - Das allgemeine Vertragsrecht der Mitgliedstaaten, wie etwa die Vorschriften zur Gültigkeit, zum Zustandekommen oder zu den Rechtsfolgen eines Vertrags in Bezug auf ein Kind, bleiben unberührt 22

23 Was tun, wenn man nicht sicher ist? Audit Analyse der Lage Analyse des Ergebnisses: gilt die DSGV für mich? Ja oder Nein? Was muss ich tun? Strategie: generell oder punktuell? Plan der Umsetzung Monitoring der Umsetzung Wie können wir, «HütteLaw», behilflich sein? 23

24 Ergebnis bei der Umsetzung der PSD2 The payment initiation service provider shall: ( ) (f) not request from the payment service user any data other than those necessary to provide the payment initiation service; (g) not use, access or store any data for purposes other than for the provision of the payment initiation service as explicitly requested by the payer; ( ) 24

25 Fragen, Kommentare, Bemerkungen entweder jetzt oder auch später an: Dr. Katharina Lasota Heller, LL.M. Attorney at Law HütteLaw Katharina.lasotaheller@huettelaw.ch 25

26 Wenn es keine Fragen mehr gibt: 26