EU-DATENSCHUTZ- GRUNDVERORDNUNG (EU-DSGVO) und DATENSCHUTZ- ANPASSUNGSGESETZ 2018

Transkript

1 EU-DATENSCHUTZ- GRUNDVERORDNUNG (EU-DSGVO) und DATENSCHUTZ- ANPASSUNGSGESETZ 2018 Rsenmayr-Klemenz (Hg) Beiträge vn Bgendrfer, Haidinger, Hauser-Bulanger/Auer, Illibauer, Peter/Haselsteiner, Rsenmayr-Klemenz Jänner 2018

2 Dieser Band ist in der Service-GmbH der Wirtschaftskammer Österreich erhältlich: T: DW 5050 der F: DW 236 swie W: der E: ISBN: Preis: EUR 16,- inkl. USt. Alle Rechte vrbehalten Nachdruck auch auszugsweise nur mit Quellenangabe und vrheriger Rücksprache. Jede Verwertung außerhalb des Urhebergesetzes ist hne Zustimmung des Verlages unzulässig und strafbar. Das gilt insbesndere für Vervielfältigungen, Übersetzungen, Mikrverfilmungen und die Einspeicherung und Verarbeitung in elektrnischen Systemen. Es ist hne schriftliche Genehmigung nicht gestattet, Abbildungen dieses Buches zu scannen, in PCs bzw. auf CDs zu speichern der in PCs/Cmputern zu verändern der einzeln der zusammen mit anderen Bildvrlagen zu manipulieren. Haftungsausschluss: Trtz srgfältiger Prüfung der Brschüre sind Fehler nicht auszuschließen. Die Richtigkeit des Inhalts ist daher hne Gewähr. Eine Haftung des Verlages, des Herausgebers der der Autren ist ausgeschlssen. Geschlechtsneutralität: Um eine bessere Lesbarkeit zu erreichen, wurde auf geschlechtsneutrale Frmulierungen verzichtet. Es versteht sich jedch vn selbst, dass sich alle persnenbezgenen Bezeichnungen auf beide Geschlechter beziehen.

3 Impressum: Medieninhaber, Verleger: Service-GmbH der Wirtschaftskammer Österreich Wiedner Hauptstraße 63, 1040 Wien Herausgeber: Dr. Claudia Rsenmayr-Klemenz, WK Österreich Autren: Mag. Rbert Auer, MBL, WK Wien Mag. René Bgendrfer, WK Österreich Mag. Viktria Haidinger, WK Österreich Mag. Regina Hauser-Bulanger, WK Wien Mag. Renée Haselsteiner, WK Niederösterreich Mag. Ursula Illibauer, WK Österreich Mag. Katharina Peter, WK Tirl Dr. Claudia Rsenmayr-Klemenz, WK Österreich Herausgeber & Verleger ist die Service-GmbH. Die Autren sind Mitarbeiter des Kmpetenzcenter Wirtschaftsrecht der Wirtschaftskammern Österreichs. Diese Brschüre ist ein Prdukt der Zusammenarbeit aller Wirtschaftskammern. Bei Fragen wenden Sie sich bitte an die Wirtschaftskammer Ihres Bundeslandes. Jänner 2018

4 VORWORT Am 4. Mai 2016 wurde die Verrdnung (EU) 2016/679 des Eurpäischen Parlaments und des Rates vm 27. April 2016 zum Schutz natürlicher Persnen bei der Verarbeitung persnenbezgener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz- Grundverrdnung) kundgemacht. Die Datenschutz-Grundverrdnung tritt am 25. Mai 2018 in Geltung. Bis dahin müssen alle Datenanwendungen an die neue Rechtslage angepasst werden. Die Datenschutz-Grundverrdnung ist zwar als EU-Verrdnung in jedem EU-Mitgliedstaat unmittelbar anwendbar, sie enthält jedch zahlreiche Öffnungsklauseln und lässt dem natinalen Gesetzgeber gewisse Spielräume. Zur Durchführung dieser Öffnungsklauseln und Spielräume wurde in Österreich das Datenschutz-Anpassungsgesetz 2018 (siehe Kapitel 20.), eine Nvelle des DSG 2000 (künftig: DSG) beschlssen. Bis 24. Mai 2018 gelten die derzeitigen Regelungen des Datenschutzgesetzes Welche wesentlichen Neuerungen kmmen durch die Datenschutz-Grundverrdnung (DSGVO) auf Unternehmen zu? Es wird keine Meldepflicht bei der Datenschutzbehörde (Datenverarbeitungsregister) mehr geben. Statt dessen stärkere Verantwrtung für Verantwrtliche (derzeit Auftraggeber ) und Auftragsverarbeiter (derzeit Dienstleister ) und weitreichende Neuregelung der Pflichten bei der Datenverarbeitung: Datenschutz durch Technikgestaltung und datenschutzfreundliche Vreinstellungen ( privacy by design/privacy by default): Es sind geeignete technische und rganisatrische Maßnahmen und Verfahren (z.b. Pseudnymisierung) zu treffen, damit die Verarbeitung den Anfrderungen der Verrdnung genügt und die Rechte der betrffenen 4

5 Persnen geschützt werden. Datenschutzrechtliche Vreinstellungen sllen sicherstellen, dass grundsätzlich nur persnenbezgene Daten, deren Verarbeitung für den jeweiligen bestimmten Verarbeitungszweck erfrderlich ist, verarbeitet werden. Verantwrtliche und Auftragsverarbeiter müssen ein Verzeichnis vn Verarbeitungstätigkeiten führen: Der Inhalt ist ähnlich den derzeitigen DVR-Meldungen und hat insbesndere die eigenen Kntaktdaten, die Zwecke der Verarbeitung, eine Beschreibung der Datenkategrien und der Kategrien vn betrffenen Persnen, die Empfängerkategrien, gegebenenfalls Übermittlungen vn Daten in Drittländer, wenn möglich die vrgesehenen Löschungsfristen und eine allgemeine Beschreibung der technischen und rganisatrischen Datensicherheitsmaßnahmen zu enthalten. Die Pflicht zur Führung dieses Verzeichnisses gilt für Unternehmen mit weniger als 250 Mitarbeitern - nur - dann nicht, wenn die vn ihnen vrgenmmene Verarbeitung kein Risik für die Rechte und Freiheiten der betrffenen Persnen birgt, die Verarbeitung nur gelegentlich erflgt und keine Verarbeitung besnderer Datenkategrien bzw. keine Verarbeitung vn Daten über strafrechtliche Verurteilungen und Straftaten umfasst. Verletzungen des Schutzes persnenbezgener Daten sind swhl den natinalen Aufsichtsbehörden (hne unangemessene Verzögerung möglichst binnen höchstens 72 Stunden nach dem Entdecken; außer die Verletzung führt vraussichtlich nicht zu einem Risik für die persönlichen Rechte und Freiheiten) als auch der betrffenen Persn (hne unangemessene Verzögerung, wenn die Wahrscheinlichkeit besteht, dass die Verletzung des Schutzes persnenbezgener Daten ein hhes Risik 5

6 für die persönlichen Rechte und Freiheiten bewirkt) u melden. Pflicht zur Datenschutz-Flgenabschätzung bei Verarbeitungsvrgängen, die (insbesndere bei Verwendung neuer Technlgien) aufgrund der Art, des Umfangs, der Umstände und der Zwecke vraussichtlich ein hhes Risik für die Rechte und Freiheiten natürlicher Persnen zur Flge haben. Vrherige Knsultatin der Aufsichtsbehörde, wenn aus einer Datenschutz-Flgenabschätzung hervrgeht, dass die Verarbeitung ein hhes Risik zur Flge hätte, sfern der für die Verarbeitung Verantwrtliche keine Maßnahmen zur Eindämmung des Risiks trifft. (Verpflichtender) Datenschutzbeauftragter: Eine Verpflichtung zur Bestellung eines Datenschutzbeauftragten besteht für Unternehmen (Verantwrtliche und Auftragsverarbeiter), wenn - die Kerntätigkeit in der Durchführung vn Verarbeitungsvrgängen besteht, die aufgrund ihrer Art, ihres Umfanges und/der ihrer Zwecke eine umfangreiche regelmäßige und systematische Bebachtung vn betrffenen Persnen erfrderlich machen, der - die Kerntätigkeit in der umfangreichen Verarbeitung besnderer Kategrien vn Daten der vn Daten über strafrechtliche Verurteilungen der Straftaten besteht. (Neue) Infrmatinspflichten und Betrffenenrechte Infrmatinen können in Kmbinatin mit standardisierten Bildsymblen bereitgestellt werden Infrmatinen und Betrffenenrechte sind hne unangemessene Verzögerung, spätestens aber innerhalb eines Mnats zu erledigen (diese Frist kann um höchstens weitere 2 Mnate verlängert werden) 6

7 Auskunftsrecht (ua auch über geplante Speicherdauer) Recht auf Berichtigung Recht auf Löschung und auf Vergessenwerden Recht auf Einschränkung der Verarbeitung Mitteilungspflicht bei Berichtigung, Löschung der Einschränkung an alle Empfänger Recht auf Datenübertragbarkeit Widerspruchsrecht Regelungen betreffend autmatisierte Generierung vn Einzelentscheidungen einschließlich prfiling Befugnisse und Aufgaben der Aufsichtsbehörden werden erweitert Insbesndere auch Verhängung vn Geldbußen Hhe Strafen Geldbußen vn bis zu EUR 20 Mi der im Fall eines Unternehmens vn bis zu 4 % seines weltweiten Jahresumsatzes des vrangegangenen Geschäftsjahres. Die vrliegende Brschüre bietet einen kmpakten Überblick über die für Unternehmen wesentlichen Vrschriften der DSGVO und des österreichischen Datenschutzgesetzes i.d.f. des Datenschutz-Anpassungsgesetzes 2018, enthält Checklisten und Musterdkumente und sll als Hilfestellung bei der Anpassung der eigenen Datenverarbeitungen an die neue Rechtslage dienen. 7

8 INHALTSVERZEICHNIS 1. Sachlicher und räumlicher Anwendungsbereich Sachlicher Anwendungsbereich Räumlicher Anwendungsbereich Niederlassungen in der EU Niederlassungen außerhalb der EU ( Marktrtprinzip ) Räumlicher Anwendungsbereich des österreichischen Datenschutzgesetzes (DSG) i.d.f. des Datenschutz- Anpassungsgesetzes Wichtige Begriffsbestimmungen Persnenbezgene Daten (Art 4 Z 1) Besndere Kategrien persnenbezgener Daten ( sensible Daten, Art 9 Abs 1): Verarbeitung (Art 4 Z 2) Verantwrtlicher (Art 4 Z 7) und Auftragsverarbeiter (Art 4 Z 8) Empfänger (Art 4 Z 9) Einwilligung (Art 4 Z 11) Kind (Art 8 Abs 1) Pseudnymisierung (Art 4 Z 5) Dateisystem (Art 4 Z 6) Gesundheitsdaten (Art 4 Z 15) Genetische Daten (Art 4 Z 13) Bimetrische Daten (Art 4 Z 14) Prfiling (Art 4 Z 4) Grundsätze und Rechtmäßigkeit der Verarbeitung Vraussetzungen für die Rechtmäßigkeit der Verarbeitung

9 3.1.1 Welche Grundsätze sind bei der Verarbeitung vn persnenbezgenen Daten einzuhalten? Unter welchen Vraussetzungen ist die Verarbeitung rechtmäßig? Unter welchen Vraussetzungen ist eine Weiterverarbeitung für einen anderen Zweck zulässig? Verarbeitung vn sensiblen Daten Verarbeitung persnenbezgener Daten über strafrechtliche Verurteilungen und Straftaten Geldstrafen Einwilligungserklärung Wann brauche ich eine Einwilligung? Was muss sie enthalten? Bei nicht sensiblen Daten kann diese andere Rechtsgrundlage flgende sein: Bei sensiblen Daten kann diese andere Rechtsgrundlage flgende sein: Bei der Verarbeitung vn persnenbezgenen Daten zu strafrechtlichen Verurteilungen und Straftaten bestehen flgende Rechtsgrundlagen: Die Einwilligungserklärung Besnderheiten bei Einwilligungserklärungen vn Kindern Bestehende Einwilligungserklärungen Betrffenenrechte Was sind Betrffenenrechte? Welche Rechte gibt es? Transparente Infrmatin, Kmmunikatin und Mdalitäten Identitätsnachweis Frist

10 5.6 Unentgeltlichkeit Geldstrafen Infrmatinspflichten Wrüber muss der die betrffene Persn infrmiert werden? Daten werden bei der betrffenen Persn selbst erhben Daten werden nicht bei der betrffenen Persn selbst erhben Geldstrafen Auskunftspflicht des Verantwrtlichen Wem steht ein Auskunftsanspruch zu? Wer muss die Auskunft erteilen? Wie muss die Auskunft beantragt werden? Was hat die Auskunft zu umfassen? Wie hat die Auskunft zu erflgen? Kann die Auskunft verweigert werden? In welcher Frist ist die Auskunft zu erteilen? Muss die Auskunftserteilung kstenls erflgen? W kann der Auskunftswerber seine Ansprüche auf Auskunftserteilung durchsetzen? Geldstrafen Pflicht zur Löschung ( Recht auf Vergessenwerden ), Berichtigung und zur Einschränkung der Verarbeitung Wem stehen diese Ansprüche zu? Wen treffen diese Pflichten? Wie muss die Berichtigung, Löschung der Einschränkung verlangt werden? Vraussetzungen

11 8.5 Wie ist die betrffene Persn zu verständigen? Kann der Antrag abgelehnt werden? In welcher Frist ist dem Antrag nachzukmmen? Spezielle Mitteilungspflichten Muss die Berichtigung, Löschung der Einschränkung kstenls erflgen? W kann die betrffene Persn ihre Ansprüche durchsetzen? Geldstrafen Datenschutzrechtliche Pflicht zur Datenübertragbarkeit Wem stehen diese Ansprüche zu? Wen trifft diese Pflicht? Wie muss die Datenübertragung verlangt werden? Welche Vraussetzungen hat das Recht auf Datenübertragbarkeit? Was ist bei einem Antrag auf Datenübertragung zu tun? Welche Daten sind erfasst? Muss ein Verantwrtlicher seine Systeme anpassen? Welche Daten stellt die betrffene Persn bereit? Weitere Rechte Wie sind die Daten zu übermitteln? Kann der Antrag abgelehnt werden? In welcher Frist ist dem Antrag nachzukmmen? Muss die Datenübertragung kstenls erflgen? W kann die betrffene Persn ihre Ansprüche durchsetzen? Geldstrafen

12 10. Datenschutzrechtliche Pflicht zur Umsetzung eines Widerspruches Wem stehen diese Ansprüche zu? Wen trifft diese Pflicht? Wie muss das Widerspruchsrecht geltend gemacht werden? Welche Vraussetzungen hat das Recht auf Widerspruch? Was ist bei einem Widerspruch zu tun? Wie ist die betrffene Persn zu verständigen? Kann der Widerspruch abgelehnt werden? In welcher Frist ist dem Widerspruch nachzukmmen? Muss die Umsetzung des Widerspruches kstenls erflgen? W kann die betrffene Persn ihre Ansprüche durchsetzen? Geldstrafen Pflichten des Verantwrtlichen Pflichten Gemeinsam für die Verarbeitung Verantwrtliche Vertreter vn nicht in der Unin niedergelassenen Verantwrtlichen Haftung Pflichten des Auftragsverarbeiters Pflichten Sub-Auftragsverarbeiter Vertragliche Bindung Warnpflicht

13 12.5 Verarbeitung unter der Aufsicht des Verantwrtlichen der des Auftragsverarbeiters Vertreter vn nicht in der Unin niedergelassenen Auftragsverarbeitern Haftung Dkumentatinspflicht Verzeichnis vn Verarbeitungstätigkeiten Was muss das Verzeichnis enthalten? Frm der Verzeichnisse Pflichten gegenüber der Aufsichtsbehörde Wen trifft die Pflicht zur Führung dieser Verzeichnisse? Geldstrafen Datensicherheit und Datenschutz durch Technik und datenschutz-freundliche Vreinstellungen (privacy by design & privacy by default) Datensicherheit Beurteilung des angemessenen Schutzniveaus Datenschutz durch Technik Datenschutzfreundliche Vreinstellungen Geldstrafen Meldung vn Datenschutzverletzungen (Data Breach Ntificatin) Meldung an die Aufsichtsbehörde Benachrichtigung der betrffenen Persn Geldstrafen Datenschutz-Flgenabschätzung und vrherige Knsultatin Wann ist eine Datenschutz-Flgenabschätzung durchzuführen?

14 16.2 Was muss die Datenschutz-Flgenabschätzung umfassen? Vrherige Knsultatin der Datenschutzbehörde Geldstrafen Ablaufplan (Checkliste)/Prüfschritte bei der Datenschutz-Flgenabschätzung (siehe Anhang 2) Leitlinien der Artikel 29-Gruppe Der Datenschutzbeauftragte Besteht eine Verpflichtung zur Bestellung? Aufgaben Qualifikatinen Stellung im Unternehmen Aussageverweigerungsrecht Bestellung Haftung - verantwrtlicher Beauftragter Geldstrafen Internatinaler Datenverkehr Wann ist der Transfer persnenbezgener Daten an Drittländer zulässig? Angemessenheitsbeschluss der Kmmissin Vrliegen geeigneter Garantien Ausnahmen für bestimmte Fälle Geldstrafen Rechtsdurchsetzung und Strafen Rechtsbehelfe Haftung und Recht auf Schadenersatz Sanktinen Strafen nach der DSGVO

15 19.5 Strafen nach dem DSG i.d.f. des Datenschutz- Anpassungsgesetzes Verwaltungsstrafbestimmung Gerichtlich strafbarer Tatbestand: Datenverarbeitung in Gewinn- der Schädigungsabsicht Datenschutz-Anpassungsgesetz Bildverarbeitung Definitin Zulässigkeit der Bildaufnahme Besndere Datensicherheitsmaßnahmen und Kennzeichnung Strafbestimmungen Datenverarbeitung zu Archivzwecken, zu wissenschaftlichen und histrischen Frschungszwecken swie zu statistischen Zwecken Pseudnymisierung und Annymisierung Geldstrafen Anhang Checkliste Anpassung an die DSGVO Anhang Ablaufplan (Checkliste)/Prüfschritte bei der Datenschutz- Flgenabschätzung Anhang Speicher- und Aufbewahrungsfristen Anhang 4 A Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU- Datenschutz-Grundverrdnung (DSGVO) (Verantwrtlicher) 15

16 Anhang 4 B Datenverarbeitungsverzeichnis nach Art 30 Abs 1 EU- Datenschutz-Grundverrdnung (DSGVO) (Verantwrtlicher) Anhang 5 A Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU- Datenschutz-Grundverrdnung (DSGVO) (Auftragsverarbeiter) Anhang 5 B Beispiel Datenverarbeitungsverzeichnis nach Art 30 Abs 2 EU- Datenschutz-Grundverrdnung (DSGVO) (Auftragsverarbeiter) Anhang Musterschreiben zur Auskunftserteilung Erteilung der Auskunft nach Art 15 DSGVO Anhang Mustervertrag Vereinbarung über eine Auftragsverarbeitung nach Art 28 DSGVO Anhang Data Breach Ntificatin Meldung an die Aufsichtsbehörde Anhang Data Breach Ntificatin Benachrichtigung der vn einer Verletzung des Schutzes persnenbezgener Daten betrffenen Persn Stichwrtverzeichnis